30—31 мая в центре Digital October прошел 2-й международный форум по информационной безопасности (ИБ) Positive Hack Days, организованный компанией Positive Technologies.

Недавно на одном традиционном мероприятии по ИБ после выступления специалистов, проанализировавших возможные атаки на клиентов банков, АБС и базы данных, сидевший рядом со мной представитель одного банка выразил надежду, что хакеры о содержании этих выступлений не узнают… Значит, хакер — это зло, безусловное зло. Но верно ли это?

Выступая на открывающей форум пресс-конференции, инициатор и идеолог Positive Hack Days Сергей Гордейчик напомнил, что после того, как школьник Билл Гейтс взломал школьный компьютер, его не стали наказывать, а предложили работу программиста в городской администрации. Дальнейшее хорошо известно…

С хакерами надо работать, поддерживая существующие у них положительные альтернативы киберпреступности. Positive Hack Days – это шаг в данном направлении, но этот форум оказался очень интересным и с практической точки зрения.

Ситуация с ИБ в России, отметил Сергей Гордейчик, сложна из-за дефицита кадров, в том числе и из-за их утечки за границу, высокого уровня коррупции, а главное — из-за отсутствия единой стратегии развития и разобщенности участников отрасли. Поэтому организаторы форума пригласили всех сопричастных к ИБ — представителей госорганов, экспертов по ИБ, специалистов из банков и предприятий, студентов. И хакеров, включая хакерские команды из 12 стран, приехавшие для участия в многочисленных конкурсах по взлому и поиску уязвимостей.

Фото: Альберт Тахавиев, Bankir.Ru

Помимо этих конкурсов, посетителям форума были предложены доклады в шести потоках, включая секции по ИБ в банках и телекоме, семинары и мастер-классы.

Банковскую секцию вел Андрей Сычев, заместитель директора департамента, начальник управления Россельхозбанка, который обрисовал текущую ситуацию. А она достаточно тревожна, растет количество инцидентов и похищенных средств, киберпреступники действуют группами, часто международными, проводят скоординированные атаки, с которыми отдельным банкам очень сложно бороться. Андрей Сычев отметил, что 218 банков в рамках Ассоциации российских банков участвуют в информационном обмене по ИБ.

Пока такой обмен данными по инцидентам происходит постфактум, но для того, чтобы обмен данными о подозрительных действиях, транзакциях, происходил в ходе инцидентов, что позволило бы их пресекать, нужны не только технологические решения, но и изменения в законодательстве, подчеркнул Дмитрий Кузнецов, заместитель технического директора компании Positive Technologies. Ведь в настоящее время, если банк А и обнаружит подозрительный перевод со счета своего клиента на счет в банке Б и сообщит об этом, последний не может на законном основании заблокировать этот счет…

Ульрик Флек, директор по развитию бизнеса консалтинговой компании SEC Consult Austria, рассказал об исследовании защищенности АБС (систем core banking) ведущих западных разработчиков: Oracle, Temenos, Misys, Infosys, SAP, Fidelity, Avaloq, Delta Informatique и др., которое провели эксперты его компании. Результаты оказались не блестящими, хотя разработчики этих систем осознают проблему ИБ и реализуют специальные подходы и методики для недопущения уязвимостей, обеспечения требований международных и национальных стандартов ИБ.

На российским рынке ИТ и ИБ доминируют компании США и других западных стран, которые разрабатывают свои продукты и системы с ориентацией на свои рынки, своих потребителей, в частности на свои банки. Евгений Царев, начальник отдела компании «Техносерв», отметил, что российские банки по оборотам, продуктам ведению бизнеса значительно отличаются от банков США. Но им приходится использовать продукты, разработанные для значительно большего и конкурентного рынка США, на котором действуют множество специализированных компаний, в том числе и в области ИБ, в совсем других условиях…

Он также отметил, что при определении развития, например, ДБО, и учете соответствующих рисков надо учитывать всю совокупность рисков банка и банковской системы. А эта совокупность для России значительно выше, чем для США. Евгений Царев подчеркнул, что, в частности, кредитные риски для российских банков значительно выше («Банки — заложники долгов»), чем риски в ДБО и изложил свое представление о нормальной обработке этих рисков.

Фото: Альберт Тахавиев, Bankir.Ru

О «позитивном» анализе защищенности платежных приложений рассказал Дмитрий Кузнецов. Как повод для оптимизма он отметил уменьшение доли критических уязвимостей, причем банки опережают другие отрасли, и как факторы снижения уровня защищенности — игнорирование общепринятых стандартов, проблема единственного вендора, непонимание вопросов безопасности разработчиками и эксплуатантами. Например, в поле зрения безопасников только платежные приложения, а другие уязвимые системы в том же сегменте сети игнорируются. Кузнецов особо выделил объединение разнородных платежных сервисов в рамках Национальной платежной системы (НПС) как новую и очень серьезную угрозу для ИБ.

В заключение банковской секции в присутствии экспертов по ИБ и представителей финансовых организаций прошел конкурс «Большой ку$h». Была подготовлена среда с типичными уязвимостями систем ДБО, хакеры использовали эти уязвимости и перевели на свои виртуальные счета различные денежные суммы, а затем сняли их через банкомат, который располагался рядом с местом проведения конкурса. Победителем стал Алексей Осипов, студент пятого курса Московского энергетического института.

Подробные описания этого и других конкурсов, а также презентаций докладов форума вскоре будут размещены на сайте организаторов.