Нур-Султан

Алматы

BugBounty: как пробивают банковскую защиту

20 ноября 2020, 13:252288

Не так давно всю страну всколыхнул технический сбой в одном из банков. Пользователи массово рассылали друг другу информацию о кибератаке, делились состоянием карточных счетов и придумывали интернет-мемы. Вместе с Олжасом САТИЕВЫМ, президентом «Центра анализа и расследования кибератак», мы разобрались в безопасности банковских продуктов, уязвимости банковских систем, киберрисках и влиянии удалённой работы на них. 

Недавно Центр анализа и расследования кибератак (ЦАРКА) опубликовал отчёт о киберрисках казахстанских банков второго уровня. Целью исследования была оценка уровня безопасности публично доступных банковских ресурсов и их соответствие мировым практикам. 

 

Киберриски

Специалисты анализировали главные страницы банковских сайтов, используя те данные, которые доступны и обычным пользователям. Фасад банков прогнали через скоринг, который анализировал сразу по нескольким показателям: наличие защищённых соединений, секьюрити-заголовки в кодах разработчиков, утечки данных сотрудников и прочее. Это не полноценный аудит безопасности банков, но такая проверка показывает бизнес-процессы, которые выстроены в банках. Если команда разработчиков не выстроила процесс так, чтобы главная страница банка соответствовала информационной безопасности, значит и внутри есть какие-то проблемы. 

«Исследование выявило проблемы с защитой персональных данных почти у всех банков. Многие банки второго уровня пренебрегали элементарными решениями по повышению безопасности веб-ресурсов», – рассказал президент ЦАРКИ и поделился результатами анализа.

• у 88% казахстанских банков существует риск эксплуатации веб-уязвимостей

• 23% не прошли проверку настроек SSL/TLS

• у 50% выявлено 386 утечек информации

• 8 банков имели открытые порты, что гипотетически могло привести к неправомерному доступу и получению контроля над внутренними информационными ресурсами

• 76% – средний показатель Email security, который характеризует некорректную настройку почтового сервера веб-ресурса 

• 46% доменов имеют высокую скорость загрузки сайта

• 23% доменов имеют высокую оценку защищенности заголовков HTTP и CSP.

Безопасность продуктов

По словам Олжаса Сатиева, уязвимости всегда есть, другое дело – как на них реагируют банки второго уровня. Не так давно специалисты ЦАРКА анонсировали программу BugBounty, где исследователям платят вознаграждение за найденные уязвимости. 

Один из пользователей нашёл уязвимость в крупнейшем банке, которая позволяла получить доступы к документам, относящимся к банковской тайне, счетам, карточным и прочим данным. Команда безопасности банка приняла эту информацию и начала исправлять уязвимость. 

Случаи хакерских атак на казахстанские банки не афишируются. Во-первых, это не становится публичным для обычных пользователей. Во-вторых, банки привлекают сторонние компании для расследования инцидентов, чтобы не было утечек информации.

Обсуждая недавний кейс с Kaspi, специалист отметил, что это не мог быть взлом или кибератака, а скорее технический сбой, связанный с обновлениями программных обеспечений приложения. Увеличение сумм у одних пользователей и уменьшение у других при кибератаках невозможно, и такие атаки остаются незамеченными клиентами банка. 

 

Как защищаются банки от кибератак 

«Основная проблема банков – это нехватка кадров. Чтобы обезопасить банки, нужно подключать независимых исследователей. В некоторых банках есть свои команды нападающих Red Team и команда защитников – Blue Team. Эти команды, играя свои роли, проверяют банковские системы и продукты на уязвимости.    

Зачастую банки держат только Blue Team, а Red Team привлекают на аутсорс – это хорошая практика. Независимые команды имеют больше компетенций, поскольку у них широкий круг задач и уязвимостей.  Плохая практика – когда банк аудирует сам себя изнутри», – говорит об особенностях защиты банков Олжас Сатиев.  

Во многих зарубежных компаниях практикуется аудит по принципу «мельницы» – это когда внутренняя и сторонняя Red Team команды работают с разных сторон. Также существует понятие «Security development live cycle», например, банк хочет выпустить новое приложение или мобильную услугу, отдает на аудит – компания делает отчет и банк выпускает продукт после устранения уязвимостей. 

«Чтобы обеспечивать защиту, нужен комплексный подход. Самое слабое звено в структуре кибербезопасности – персонал, – отмечает специалист. – Поэтому нужно повышать осведомленность сотрудников о киберрисках. С технической точки зрения – это и готовые продукты для защиты веб-приложений, и использование многофакторной аутентификации, разграничение прав доступа и прочее». 

 

Банковская система и удалённая работа

Президент ЦАРКИ отметил, что переход на удалённую работу очень сильно ударил по информационной безопасности: «При работе специалистов из банка периметр защищают файрволы (технологический барьер для предотвращения несанкционированного или нежелательного сообщения между компьютерными сетями или хостами – ред.); антивирусы; есть отдельная сеть и лицензионные программы. При работе из дома хакеры могут атаковать ваш домашний роутер или компьютер, зачастую специалисты работают в банковских программах, имея пиратский windows на компьютере. В этих случаях нагрузка на информбезопасность колоссальная». 

Пандемия увеличила для хакеров количество путей, по которым можно найти уязвимость. Самым яркий пример – созданный во время карантина сайт, на котором предлагали скачать и установить «Антивирус от коронавируса».

 

На сегодняшний день регулятор в области информационной безопасности в стране – Комитет по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности РК.

В сфере информбезопасности банки выполняют:

– требования, регламентирующие информационную безопасность в банковской сфере. Часть из них носит рекомендательный характер, часть регулируется нормативно-правовыми актами, в том числе Законом о персональных данных и их защите;

– постановления правления Национального банка РК по обеспечению информационной безопасности банков и организаций, осуществляющих отдельные виды банковских операций;

– соответствие международному стандарту PCI DSS – стандарт безопасности данных индустрии платежных карт.

 

От редакции:

Чтобы не попасться на удочку мошенников во время телефонного звонка:

1. Никогда не сообщайте по телефону CVV/CVC и ПИН-коды. 

2. Всегда проверяйте информацию на официальных сайтах или в банковских call-центрах.


Асель ЖАКУПОВА

комментарии
Авторизуйтесь на сайте,чтобы писать комментарии!

2006 - 2020 © Деловой Казахстан. 16+