Не так давно всю страну всколыхнул технический сбой в одном из банков. Пользователи массово рассылали друг другу информацию о кибератаке, делились состоянием карточных счетов и придумывали интернет-мемы. Вместе с Олжасом САТИЕВЫМ, президентом «Центра анализа и расследования кибератак», мы разобрались в безопасности банковских продуктов, уязвимости банковских систем, киберрисках и влиянии удалённой работы на них.
Недавно Центр анализа и расследования кибератак (ЦАРКА) опубликовал отчёт о киберрисках казахстанских банков второго уровня. Целью исследования была оценка уровня безопасности публично доступных банковских ресурсов и их соответствие мировым практикам.
Киберриски
Специалисты анализировали главные страницы банковских сайтов, используя те данные, которые доступны и обычным пользователям. Фасад банков прогнали через скоринг, который анализировал сразу по нескольким показателям: наличие защищённых соединений, секьюрити-заголовки в кодах разработчиков, утечки данных сотрудников и прочее. Это не полноценный аудит безопасности банков, но такая проверка показывает бизнес-процессы, которые выстроены в банках. Если команда разработчиков не выстроила процесс так, чтобы главная страница банка соответствовала информационной безопасности, значит и внутри есть какие-то проблемы.
«Исследование выявило проблемы с защитой персональных данных почти у всех банков. Многие банки второго уровня пренебрегали элементарными решениями по повышению безопасности веб-ресурсов», – рассказал президент ЦАРКИ и поделился результатами анализа.
• у 88% казахстанских банков существует риск эксплуатации веб-уязвимостей
• 23% не прошли проверку настроек SSL/TLS
• у 50% выявлено 386 утечек информации
• 8 банков имели открытые порты, что гипотетически могло привести к неправомерному доступу и получению контроля над внутренними информационными ресурсами
• 76% – средний показатель Email security, который характеризует некорректную настройку почтового сервера веб-ресурса
• 46% доменов имеют высокую скорость загрузки сайта
• 23% доменов имеют высокую оценку защищенности заголовков HTTP и CSP.
Безопасность продуктов
По словам Олжаса Сатиева, уязвимости всегда есть, другое дело – как на них реагируют банки второго уровня. Не так давно специалисты ЦАРКА анонсировали программу BugBounty, где исследователям платят вознаграждение за найденные уязвимости.
Один из пользователей нашёл уязвимость в крупнейшем банке, которая позволяла получить доступы к документам, относящимся к банковской тайне, счетам, карточным и прочим данным. Команда безопасности банка приняла эту информацию и начала исправлять уязвимость.
Случаи хакерских атак на казахстанские банки не афишируются. Во-первых, это не становится публичным для обычных пользователей. Во-вторых, банки привлекают сторонние компании для расследования инцидентов, чтобы не было утечек информации.
Обсуждая недавний кейс с Kaspi, специалист отметил, что это не мог быть взлом или кибератака, а скорее технический сбой, связанный с обновлениями программных обеспечений приложения. Увеличение сумм у одних пользователей и уменьшение у других при кибератаках невозможно, и такие атаки остаются незамеченными клиентами банка.
Как защищаются банки от кибератак
«Основная проблема банков – это нехватка кадров. Чтобы обезопасить банки, нужно подключать независимых исследователей. В некоторых банках есть свои команды нападающих Red Team и команда защитников – Blue Team. Эти команды, играя свои роли, проверяют банковские системы и продукты на уязвимости.
Зачастую банки держат только Blue Team, а Red Team привлекают на аутсорс – это хорошая практика. Независимые команды имеют больше компетенций, поскольку у них широкий круг задач и уязвимостей. Плохая практика – когда банк аудирует сам себя изнутри», – говорит об особенностях защиты банков Олжас Сатиев.
Во многих зарубежных компаниях практикуется аудит по принципу «мельницы» – это когда внутренняя и сторонняя Red Team команды работают с разных сторон. Также существует понятие «Security development live cycle», например, банк хочет выпустить новое приложение или мобильную услугу, отдает на аудит – компания делает отчет и банк выпускает продукт после устранения уязвимостей.
«Чтобы обеспечивать защиту, нужен комплексный подход. Самое слабое звено в структуре кибербезопасности – персонал, – отмечает специалист. – Поэтому нужно повышать осведомленность сотрудников о киберрисках. С технической точки зрения – это и готовые продукты для защиты веб-приложений, и использование многофакторной аутентификации, разграничение прав доступа и прочее».
Банковская система и удалённая работа
Президент ЦАРКИ отметил, что переход на удалённую работу очень сильно ударил по информационной безопасности: «При работе специалистов из банка периметр защищают файрволы (технологический барьер для предотвращения несанкционированного или нежелательного сообщения между компьютерными сетями или хостами – ред.); антивирусы; есть отдельная сеть и лицензионные программы. При работе из дома хакеры могут атаковать ваш домашний роутер или компьютер, зачастую специалисты работают в банковских программах, имея пиратский windows на компьютере. В этих случаях нагрузка на информбезопасность колоссальная».
Пандемия увеличила для хакеров количество путей, по которым можно найти уязвимость. Самым яркий пример – созданный во время карантина сайт, на котором предлагали скачать и установить «Антивирус от коронавируса».
На сегодняшний день регулятор в области информационной безопасности в стране – Комитет по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности РК.
В сфере информбезопасности банки выполняют:
– требования, регламентирующие информационную безопасность в банковской сфере. Часть из них носит рекомендательный характер, часть регулируется нормативно-правовыми актами, в том числе Законом о персональных данных и их защите;
– постановления правления Национального банка РК по обеспечению информационной безопасности банков и организаций, осуществляющих отдельные виды банковских операций;
– соответствие международному стандарту PCI DSS – стандарт безопасности данных индустрии платежных карт.
От редакции:
Чтобы не попасться на удочку мошенников во время телефонного звонка:
1. Никогда не сообщайте по телефону CVV/CVC и ПИН-коды.
2. Всегда проверяйте информацию на официальных сайтах или в банковских call-центрах.
Асель ЖАКУПОВА
