PCI DSS PA-DSS Статьи Блог Форум О Сообществе PCI DSS Russia Семинар


PCI DSS
Новые статьи в RSSНовые статьи

Хакеры заинтересовались POS-терминалами

 4 августа 2016   0 комментариев
 Алина Оприско  
Кражи через такие терминалы распространены на Западе, предупредил банкиров Центробанк

В Digital Security подготовили обзор по безопасности высокоскоростных поездов

 2 августа 2016   0 комментариев
 Алина Оприско  
Компания Digital Security открывает цикл аналитических обзоров, посвященных безопасности транспорта и промышленных объектов. Первый обзор серии подготовлен Егором Литвиновым, ведущим специалистом по безопасности АСУ ТП Digital Security, который сосредоточил свое внимание на ИБ высокоскоростных поездов на основе информации из открытых источников. Специалист Digital Security описал инфраструктуру современного поезда, а также представил возможные векторы атак, которые в потенциале имеются в распоряжении злоумышленников. Обзор полностью можно почитать в нашем блоге на Хабре.

ЦБ потребовал киберзащиты

 2 августа 2016   0 комментариев
 Алина Оприско  
От рекомендаций банкам по информационной безопасности ЦБ перешел к однозначным требованиям. Регулятор разработал четкий и обязательный для всех банков регламент кибербезопасности, призванный защитить кредитные организации от хакерских атак. В документе, в частности, вводится обязанность банка в течение трех часов сообщать о готовящейся или свершившейся атаке.

Опросы
Где расположена ваша информационная инфраструктура?

В собственной серверной комнате
На арендованной площадке в дата-центре
В арендованной у дата-центра виртуальной среде

 
FAQ:
PCI DSS & PA-DSS


Что такое PCI DSS и PA-DSS? Ответы на главные вопросы.
Путь к соответствию PCI DSS

Выполнение требований стандарта и разработка компенсирующих мер.
Проверка
соответствия


Правила проверки соответствия компании требованиям стандартов и контакты тех, кто проверяет.
Копилка
полезностей


Здесь можно скачать стандарты PCI DSS и PA-DSS на русском языке и другие полезные материалы.
Главная Блог Статьи

Пути снижения рисков реализации кибератак на дистанционное банковское обслуживание

18 декабря 2015
  
  pdf-версия

БОЕВОЙ ЧЕРВЬ ОПАСНЕЕ БОЕВОГО СЛОНА

Последние достижения в области информационно-телекоммуникационных технологий заметно изменили поведение людей, переместив большую часть их общения в виртуальную форму. Рост числа пользователей интернета и доступность сотовой связи создали идеальные условия для внедрения систем дистанционного банковского обслуживания (ДБО).

Сегодня многие системы ДБО дают возможность клиентам, не посещая отделений банков, осуществлять большую часть банковских операций: управлять средствами на своих счетах, обменивать валюту, совершать платежи и переводы (в том числе пополнять вклады и погашать кредиты), оплачивать мобильную связь, интернет, коммунальные услуги, налоги, штрафы, услуги государственных учреждений. Среди систем ДБО лидирующие позиции занимают: интернет-банкинг (управление банковскими счетами и картами через Интернет и web-браузер в режиме on-line) и мобильный банкинг (управление банковскими счетами и картами с КПК, коммуникаторов, смартфонов и других аналогичных устройств).

Известный банкир Бретт Кинг в одной из своих последних работ так охарактеризовал современный банкинг — «раньше, чтобы воспользоваться услугами банка, надо было туда идти, а теперь банк всегда под рукой».

Статистика подтверждает рост популярности систем бесконтактного банкинга. Еще в 2009 году общее число активных пользователей данного направления в России составляло порядка 1,5 млн человек — чуть более 1% общей численности населения, или 4,6% от аудитории российского интернета.

К ноябрю 2013 года согласно исследованию e-Finance User Index 2014 агентства Markswebb Rank & Report, уже 19,4 млн человек в России регулярно пользовались сервисами онлайн-банкинга. Это 13,5% от всего населения страны и 68,7% пользователей Рунета. И на октябрь 2014 года количество россиян, использующих интернет-банкинг для управления своими банковскими счетами составило 23,3 млн человек.

ЗЛОУМЫШЛЕННИКИ НА МАРШЕ

Компанией Group-IB 3 было зафиксировано множество целевых атак на финансовые организации, которые завершились успешным проникновением злоумышленников в сети банков и получением доступа к банковским и платёжным системам. Наблюдается рост активности злоумышленников в отношении банкоматов и платежных терминалов оплаты, используются новые вредоносные программы, которые не только собирают данные карт, но и позволяют манипулировать суммами выдачи, управлять диспенсером. Перспективным направлением для злоумышленников является атака на инфраструктуру платёжных систем.

По оценкам Group-IB, в 2013 году только хакерами из России и стран СНГ было похищено $2,5 млрд. Более «свежая статистика» только подтверждает постоянный рост угроз от реализации компьютерных атак. Из материалов отчета компании Check Point Software Technologies за 2014 год типичный день в крупной организации характеризуется следующими показателями:

  • каждые 24 секунды хост обращается к вредоносному web-сайту;
  • каждые 34 секунды загружается неизвестное вредоносное программное обеспечение;
  • каждую 1 минуту бот связывается со своим центром управления;
  • каждые 5 минут используется приложение высокого риска;
  • каждые 6 минут загружается известное вредоносное программное обеспечение;
  • каждые 36 минут конфиденциальная информация отсылается за пределы организации.
  • Приведем несколько характерных примеров реализации компьютерных атак в банковском секторе, которые повлекли за собой серьезные финансовые потери. Пожалуй, одним из самых громких прецедентов является киберограбление банды Carbanak, в ходе которого злоумышленники похитили почти миллиард долларов США, о чем стало известно в феврале 2015 года. На протяжении двух лет хакеры воровали деньги из ста ОКФС мира.

    Что интересно, теперь взломщики могут красть деньги не только у пользователей, но и напрямую из банков. Проникая в компьютер сотрудника организации с помощью фишинговых приемов, киберпреступники получали доступ к внутренней сети банка (Intranet) и маскировали свои действия под ежедневные операции сотрудников при переводе денег на мошеннические счета.

    ЛЁГКОЙ ЖИЗНИ ЖДАТЬ НЕ ПРИХОДИТСЯ

    В России по официальным данным, хакерские группировки зарабатывают несколько миллиардов рублей в год. Их деятельность наносит серьезный ущерб бизнесу и даже приводит к банкротству отдельных компаний. Поэтому в 2017 году в России появятся единые требования к уровню защиты систем дистанционного банковского обслуживания по требованию Центробанка.

    В частности, в 2014 году объём мошеннических операций с использованием только платёжных карт составил 1,58 млрд рублей, подсчитали в ЦБ. Для выуживания персональных данных держателей карт и их кредиток преступники активно используют два популярных вида мошенничества: методы социальной инженерии (науки об управлении поведением человека без технических средств на основе психологии) и скимминг (кража данных карты при помощи считывающего устройства на банкоматах и других платежных устройствах общего пользования).

    Поэтому очевидно, что в будущем угрозы не станут проще. Уже сегодня многие атаки — это комбинации различных методик. Использование только традиционных систем, таких как сигнатурные антивирусы, не дает возможности адекватно защищаться от современных типов атак. ОКФС, которые защищаются только от известных угроз, всегда рискуют, поскольку атакующие продолжают выдумывать и создавать новые техники атак.

    К факторам, повышающим уровень воздействия кибератак, относятся:

  • отсутствие отлаженного правового и организационно-технического обеспечения законных интересов граждан, государства и общества в области информационной безопасности (в том числе в условиях ДБО);
  • высокая латентность киберпреступлений и недостаточное осознание органами государственной власти на федеральном и особенно региональном уровнях, возможных политических, экономических, моральных и юридических последствий компьютерных преступлений;
  • слабая координация действий правоохранительных органов, суда и прокуратуры в борьбе с компьютерными преступлениями, неподготовленность их кадрового состава к эффективному предупреждению, выявлению и расследованию таких действий;
  • несовершенство системы единого учета правонарушений, совершаемых с использованием средств информатизации;
  • отсутствие у Банка России подразделений по надзору за применением информационных технологий в ОКФС и обеспечения кибербезопасности;
  • существенное отставание отечественной индустрии средств и технологий информатизации и информационной безопасности от мирового уровня;
  • ограниченные возможности бюджетного финансирования научно-исследовательских, опытно-конструкторских работ по созданию правовой, организационной и технической баз информационной безопасности.
  • ОТВЕТ РЕГУЛЯТОРА

    Для решения вопросов обеспечения кибербезопасности Банком России было принято решение создать в Главном управлении безопасности и защиты информации Банка России Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере.

    Основной целью деятельности центра является организация и координация работ по направлению комплексного противодействия противоправным действиям при предоставлении организациями кредитно-финансовой сферы финансовых услуг и услуг по переводу денежных средств с использованием информационных и телекоммуникационных технологий, а также противодействия компьютерным атакам на информационные ресурсы ОКФС.

    Работа данного центра организуется по трем направлениям:

  • ведение мониторинга и анализа всех видов инцидентов информационной безопасности, формирование единой базы данных уязвимостей, видов инструментария атак;
  • оперативное предоставление участвующим в этой работе банкам аналитической и «горячей» информации о новых угрозах и атаках;
  • взаимодействие с правоохранительными органами в расследовании инцидентов и пресечении активности «высокотехнологичной преступности».
  • На сегодняшний день есть несколько первоочередных задач в области регулирования применения систем ДБО, связанных с минимизацией последствий реализации кибератак:

  • повысить качество нормативно-правового обеспечения в области кибербезопасности в условиях ДБО;
  • повысить уровень надежности аппаратно-программного обеспечения систем ДБО;
  • организовать мероприятия, направленные на повышение финансовой грамотности населения по вопросам кибербезопасности;
  • организовать подготовку (переподготовку) специалистов ОКФС по вопросам обеспечения кибербезопасности;
  • расширить функции внутреннего контроля в ОКФС за счёт учета новых источников рисков, связанных с недостатками в обеспечении кибербезопасности (в т.ч. в условиях ДБО).
  • ВЫВОДЫ

    Успешное развитие дистанционных банковских услуг в кредитно-финансовой сфере (в первую очередь — завоевание доверия клиентов к данному виду обслуживания) может быть только в условиях обеспечения должного уровня кибербезопасности (включая надежность и защищенность аппаратно-программного обеспечения систем ДБО). Регулирующие органы должны создать работоспособную систему обеспечения кибербезопасности в кредитно-финансовой сфере, в том числе специальные надзорные подразделения, способные осуществлять как дистанционный надзор, так и надзор «на местах» (инспекционные проверки по тематике надежности и защищенности систем ДБО от кибератак).

    Продолжением политики регулятора в области обеспечения кибербезопасности должны быть рекомендации для ОКФС, направленные на повышение качества управления рисками, источниками возникновения которых могут быть «удачно реализованные» компьютерные атаки. Необходимо обеспечить своевременную подготовку (переподготовку) специалистов в области кибербезопасности (включая специалистов риск-подразделений и служб внутреннего контроля). Совершенствовать системы управления рисками и системы внутреннего контроля в ОКФС за счет учета новых источников типичных банковских рисков, связанных с появлением новых киберугроз (в т.ч. с появлением целенаправленных атак на системы ДБО).

    Источник: ib-bank.ru

    КомментарииКомментарии

    Добавьте комментарий!
    Представьтесь, пожалуйста
    Укажите адрес вашей почты
    Опубликован не будет
    Следить за дискуссией по почте
     











    Партнеры