В настоящее время Центробанк делает все возможное, чтобы достойно противостоять киберпреступникам, ведь речь идет о стабильности и надежности финансовой системы в целом.

Какие технические средства могут помочь быстро и просто повлиять на процесс, затруднив проведение атаки или в принципе убрав этот вектор?

По сообщениям официальных лиц ЦБ, в ближайшее время планируется обнародовать комплекс мер, который позволит минимизировать количество инцидентов в коммерческих банках. И здесь мы рассмотрим только один вопрос: какие технические средства могут помочь относительно быстро и просто повлиять на этот процесс, существенно затруднив проведение атаки или в принципе убрав этот вектор?

Схема атаки на АРМ КБР

Прежде чем перейти к решению, кратко остановимся на технических аспектах реализации актуальных сегодня атак на АРМ КБР. Сразу отметим, что все происходит в штатном режиме. Специфика работы этого ПО состоит в том, что текущий рейсовый платеж банка (обычно их пять в день, и это совокупность межбанковских платежей клиентов данного банка на данный момент времени), выходящий из АБС, поступает в АРМ КБР в… открытом виде (обычный XML-файл). Далее в АРМ КБР он шифруется, подписывается и идет в ЦБ на обработку. Соответственно, схема атаки крайне проста: преступники обычно методом социальной инженерии из интернета проникают в корпоративную сеть банка, взламывают ее, а затем тем или иным образом отправляют на вход АРМ КБР заранее подготовленный рейсовый платеж — обычный файл.

Почему эпидемия началась только в конце 2015-го — вопрос сложный, ведь первые «звонки» раздались еще в 2014-м

Схема банальна. Мы не раз говорили о том, что многие наши банки ниже первой сотни держатся только благодаря низкой квалификации и отсутствию интереса злоумышленников. Почему эпидемия началась только в конце 2015-го — вопрос сложный, ведь первые «звонки» раздались еще в 2014-м. Видимо, злоумышленникам, наконец, удалось поставить на поток данную схему. А сейчас, когда они почувствовали «кровь», похитив огромные суммы, они уже точно не остановятся. И пора ЦБ серьезно вмешаться.

Итоги Уральского форума. Киберпреступники могут наказать гораздо сильнее ЦБ.Мир стремительно меняется во всех сферах, не является исключением и банковская безопасность. В четвертом квартале 2015 года, по подсчетам ЦБ РФ, из российских банков было украдено более 1,5 млрд руб. Хищений примерно на такую же сумму удалось избежать.

Как приостановить эпидемию

Относительно простое и быстро реализуемое техническое решение очевидно. Достаточно… просто несколько изменить логику взаимодействия между АБС и АРМ КБР, реализовав шифрование с цифровой подписью самого рейса. То есть из АБС в АРМ КБР он должен поступать только в зашифрованном и подписанном виде. Тривиальное решение, и его можно реализовать если не прямо завтра, то достаточно оперативно, особенно учитывая серьезность угрозы. Почему это не было сделано раньше, вполне понятно: считалось, что злоумышленники не могут проникнуть внутрь банков, а инсайдерство — это редкость. Кроме того, ЦБ всегда предлагал специальную организационно-техническую схему взаимодействия с АРМ КБР, минимизирующую данные риски, которую многие банки для удобства нарушали и нарушают до сих пор (!).

В прицеле АБС

Вероятнее всего, ЦБ РФ в ближайшее время предложит подобную новую схему работы АБС с АРМ КБР, сделав ее обязательной, дополнительно ужесточив организационную схему работы с АРМ КБР и процедуры контроля над банками в этой области. Такие меры помогут блокировать данный вектор атаки и постепенно свести эпидемию на нет. Однако надо отдавать себе отчет, что злоумышленники, начав играть по-крупному, теперь уже точно не остановятся. «Убив» этот вектор атаки на АРМ КБР, мы просто получим небольшой тайм-аут, не более.

Всю банковскую систему ждет гораздо более страшная эпидемия сложных целевых атак

Очевидно, что с течением времени вектор атаки сместится, и злоумышленники переключат свое внимание на АБС (!), которые буквально «кишат» уязвимостями. И тогда на вход АРМ КБР будет снова получать правильно сформированный злоумышленниками рейсовый платеж. Поэтому, если не принять срочных мер по регулярному анализу защищенности АБС (чего никто пока не делает всерьез) и не начать использовать рекомендации ЦБ по обеспечению безопасности банковских приложений на всех этапах жизненного цикла от 2014 года, которые с выходом нового 382П в ближайшее время станут обязательными к исполнению для банков, всю банковскую систему ждет гораздо более страшная эпидемия сложных целевых атак. По сравнению с ней существующие проблемы покажутся школьными задачками по математике.

В свое время мы с ЦБ РФ немало сил потратили на то, чтобы разработать стандарт безопасности жизненного цикла в соответствии с лучшими мировыми практиками, сделав его понятным и реализуемым. Жаль, что почти все стандарты, которые готовит ЦБ с грифом «Рекомендательный», затем просто игнорируются банками. Но радует, что уже скоро правила станут обязательными для всех и ситуация начнет меняться в лучшую сторону.