Артем Сычев: Считать финтех отдельной киберугрозой неверно. Недостаточно продуманное использование технологий финтеха может привести к созданию угроз.  Во всех выступлениях я обращаю внимание на то, что смотреть надо не просто на общую картину взломов, а на экономику с другой стороны. Кто получает деньги и сколько?

Историю с Ethereum взломом назвать нельзя, это легальное использование технологии. На темной стороне сидят люди, оценивающие бизнесовую составляющую своего «проекта». Та же история была с хищением денег через ДБО – сначала изучалось, как проводятся транзакции, и только потом, как на них воздействовать в своих целях.

Последствия истории с Ethereum – злоумышленники попытаются по суду доказать, что это их деньги. И, скорее всего, иск будет удовлетворен.

Илья Медведовский: Финтех — это актуальные новые технологии. ДБО, АБС — тоже когда-то были финтехом. Но у финтеха нынешнего ситуация немного иная. Два года назад произошла преступная революция. Киберпреступники почувствовали вкус денег. Они воруют миллиардами. И часть денег реинвестируется в исследования, чтобы лучше атаковать следующие цели.

В финтех-решения зачастую не закладываются принципы безопасности. Но так жить больше не получится. Преступность вышла на новый уровень. Как только в вашей технологии появятся деньги, вы тут же «попадете».

Интеграторы стартапов в принципе не учитывают вопросы безопасности

А.С. Большая проблема в том, что интеграторы стартапов в принципе не учитывают вопросы безопасности. Не межсетевые экраны, антивирусы и т.д. Они не понимаю сути: анализ технологии начинается с понимания, как она работает, и как можно воспользоваться багами в самой технологии. Этот анализ — задача не стартапа. И отвечать, если что, придется не ему, а интегратору. Деньгами, репутацией.

Проблемы надо искать на уровне архитектуры услуги. И это происходит на стороне банка, услугу заказывающего. Происходит смещение рисков с прямых взломов на захват конечных устройств. У 90% людей есть домашние роутеры, а это, в общем, компьютер на Linux. И по совместительству замечательный пункт перехвата информации. Роутер с измененной SSL может взять из телевизора данные о карте, которые вы внесли для покупки фильма в Google Play. Дальнейшее очевидно.

И.М. Я бы рекомендовал финтехам при разработке приложений обратить внимание на стандарты безопасности ЦБ. Чтобы понимать, о чем идет речь. Дальше будет хуже, потому что преступники умнеют очень быстро.

Намечается интересная тенденция: преступники в мире обратили внимание на SWIFT. У нас в последние полтора года взламывают АРМ КБР, но скоро придет черед именно SWIFT.

О блокчейне

А.С. Если рассматривать блокчейн, как альтернативу SWIFT, то инициатива идет со стороны американских банков. Как в свое время неожиданно возникли доткомы и сдулись, то же происходит и с блокчейном. Вопрос лишь в сумме инвестированных денег, которая на сей раз гораздо больше.

Блокчейн нам навязывают, нас к нему подводят.

И.М. Обратите внимание, что когда вы слышите про блокчейн, вбивается мысль о его абсолютной безопасности. У обывателя возникает ощущение панацеи. Нас, безопасников, это всегда напрягает. Не бывает панацей. Не бывает серебряной пули. История с DAO — первый звоночек. Никогда безопасность не заключается лишь в криптографии, это лишь один из компонентов. Open Source — тоже не панацея и не безопасно.

Блокчейн нам навязывают, нас к нему подводят. Технологически это интересно, но проблем с безопасностью и новых рисков там будет много.

Нам даже финтех не интересен точки зрения ИБ, там ничего принципиально нового нет. А вот в блокчейне нового много, просто им никто всерьез не занимался. Когда блокчейн начнут использовать финансовые организации, мы заинтересуемся им, как исследователи, а преступники — как преступники.

О мессенджерах

А.С. Первый взлом ICQ состоялся через полтора года после выхода на рынок. Если вы думаете, что с тех пор с мессенджерами что-то поменялось, вы ошибаетесь. Дырок там очень много.

Проблема не в мессенджере и в боте, а как построена связка фронт-бэк.

И.М. Относитесь к мессенджерам, как недоверенной среде. Если что-то произойдет, разбираться будут с оператором услуги или банком, а не с мессенджером. В суд на Telegram подавать никто не будет.

О предусмотрительности

И.М. Самый простой способ — думать о безопасности с первых шагов создания приложения. Надо понимать, что его однажды будут ломать. И изначально задумываться о базовых вещах. Иначе потом будет совсем сложно. Если в архитектуре изначально не предусмотрены меры ИБ, придется все переделывать с нуля. Кстати, АБС когда-то делались с уверенностью, что уж их-то ломать не будут.

А.С. Разработчику удобно, когда пользователь по умолчанию имеет все полномочия в системе. Или когда ключи лежат в общей папке. О разграничении прав программисты и архитекторы часто вспоминают в последнюю очередь.

То, что сейчас в общем доступе в рамках 122-го комитета обсуждаются требования к специалистам в сфере ИБ – это факт. В этой части мы не стоим на месте. Мировое сообщество ничего нового не придумало, в Базельских требованиях все описано.

Многие банки тоже считали, что требования регулятора ерунда, пока им счета не почистили на миллионы рублей. Анализ рисков никто не отменял, просто если раньше все сосредотачивалось в области финансов, сейчас любая новая технология несет за собой новые риски в ИБ. И их нужно учитывать. Возможно, новыми методами ИБ, возможно изменениями архитектуры. И когда говорим о возврате инвестиций, в их оценку надо вкладывать затраты на новые риски.

Рынок падает, но злоумышленники воруют все больше

И.М. В ИБ вкладывают, когда начинают бояться по-настоящему. Все крупные вендоры начинают вкладывать деньги, когда все становится совсем плохо.

Рынок падает, но злоумышленники воруют все больше. Для банков безопасность становится вопросом выживания. Падает рынок, не падает — неважно.

А.С. Ничего не бывает на ровном месте. Сначала нарабатываются технологии, потом они запускаются. Идет своеобразная индустриализация. Но при этом этап с инвестированием в безопасность почему-то многими отвергается, как ненужный. Может быть, это стоит изменить?

И.М. У финтеха молодого есть шанс не повторить ошибки старых финтехов. Сделайте сразу хорошо. Думайте, когда программируете. Вам самим будет проще продаться, потому что “дырявая” технология слишком сложна в имплементации и может не найти спроса.