Михаил Калиниченко, CEO, компания SafenSoftМихаил Калиниченко, CEO компании SafenSoft

Написать эту статью меня побудили несколько причин, главная из которых – информационный вакуум вокруг темы электронных преступлений, связанных с незаконным доступом к информационным ресурсам банкоматов и банковских сетей через банкоматы. Для многих киберкриминал и способы борьбы с ним остаются чем-то далёким, почти голливудским. Тем не менее, угроза кибератак вполне реальна, она заметна не только на международном уровне, но и в России. Ставшие, увы, традиционными преступные махинации с пластиковыми картами приобретают новые черты, выходящие далеко за пределы использования привычных скиммеров и микрокамер для съёмки ввода клиентом PIN-кода. Вместе с тем, активно развиваются новые методы незаконного получения персональных данных клиентов (разумеется, вместе с деньгами на их счетах). Это планомерно разработанные и превосходно организованные атаки, направленные на многочисленные бреши в системах безопасности программного обеспечения банкоматов. Такие «тихие» преступления значительно безопаснее для злоумышленников – их трудно обнаружить, трудно доказать, трудно выследить самого преступника. Международная ассоциация индустрии банкоматов ATMIA забила тревогу ещё в 2009 году, когда сообщения о взломах информационной безопасности ATM-систем приобрели массовый характер. Совсем недавно, осенью 2011 года, была выпущена уже вторая редакция специального руководства ATMIA по обеспечению защиты программного обеспечения банкоматов и выстраиванию новых политик безопасности для противодействия новым угрозам. Тезисами этого руководства я хочу поделиться с вами.

Итак, киберпреступления из сферы научной фантастики переместились в реальную жизнь. Активно развивается практика целенаправленных атак, для которых введен термин APT (Advanced Persistent Threats). Особенностью таких преступных операций является планомерное изучение слабых звеньев информационной системы компании, их проверка на прочность с последующим массированным ударом по самому слабому месту информационной защиты. Актуальность и опасность этой угрозы уже оценили не только эксперты по информационной безопасности, но и банки, причём многие – на собственном печальном опыте. По итогам опроса «2012 Global State of Information Security Survey» компании PricewaterhouseCoopers, в котором приняли участие почти 10 000 руководителей финансовых учреждений, старших офицеров информационной безопасности, технических директоров и других специалистов высшего звена, половина респондентов назвали таргетированные атаки на информационные ресурсы наиболее острой темой информационной безопасности их предприятий. За последние пару лет этот вид атак уже испытали на себе представители компаний госуправления, ядерной промышленности, безопасности и международные финансовые организации. Пугает то, что на данный момент только 16 процентов участников опроса имеют разработанную политику информационной безопасности, в которой адресована угроза APT.

В случаях с банками наиболее частой жертвой хакерских атак становится именно банкомат. Несовершенство операционной системы Windows, уязвимость приложений, сравнительная лёгкость маскировки зловредного кода под безобидное обновление или патч – так банкомат становится заманчивой добычей для электронного преступника. Службы безопасности банка, способные эффективно предотвратить угрозы физического взлома, порой совершенно бессильны против киберпреступлений, поскольку должным образом не оценивают вероятность и потенциал такой угрозы, а значит и не вооружаются эффективными практиками противодействия им.

Специалисты ассоциации ATMIA выработали список рекомендаций по обеспечению информационной безопасности банкоматов (подробнее с текстом рекомендаций можно ознакомиться здесь), с основными положениями которого я предлагаю познакомиться ниже.

Новое руководство по защите ПО банкоматов от ассоциации ATMIA призвано помочь производителям банкоматов и банкам защитить банкомат от угроз информационной безопасности. Среди авторов руководства – эксперты производителей банкоматов Diebold, NCR, Vantiv, Triton, Wincor Nixdorf, специалисты корпорации Microsoft и российского разработчика систем информационной безопасности SafenSoft.


Обеспечение многоуровневой информационной безопасности с использованием решений различных вендоров – главная рекомендация в контексте защиты от сложных угроз, особенно для банков.

Основная философия руководства ATMIA – комплексный подход к обеспечению информационной безопасности, гарантирующий защиту как от внешних угроз, так и от злонамеренных действий инсайдеров. Рекомендуется введение нескольких линий обороны ПО, лишающих мошенника малейшего шанса на успех. Информационная безопасность банкомата должна быть привязана к жизненному циклу устанавливаемого на банкомате ПО с учетом потребности в обновлении и обслуживании ПО, а также самого устройства.

Комплексная система информационной защиты банкомата включает комбинацию таких средств, как брандмауэры, средства защиты от вредоносного ПО и кибератак, средства контроля устройств и целостности системы, а также инструменты для обновления ПО и управления изменениями.

Брандмауэр

Локальный брандмауэр необходим банкоматам, взаимодействующим через совместную или внешнюю сеть. Настройка надлежащих правил автономного/терминального брандмауэра позволит предотвратить доступ вредоносных программ в банкоматы. Брандмауэры могут внедряться в виде ПО как часть операционной среды банкомата, либо на аппаратном устройстве, встроенном в банкомат или находящемся рядом с ним. Наиболее безопасны программные решения, поскольку для их взлома недостаточно физического доступа.

Защита портов/ Контроль подключаемых внешних устройств

Банкоматы функционируют как обычные компьютеры и имеют интерфейсные порты. При возникновении потребности в доступе к банкомату (например, при обслуживании аппаратных средств подрядчиком), человек получает доступ и портам, а, значит, может установить вредоносное ПО или получить несанкционированный доступ к системе. Инструменты контроля портов могут предотвратить подобный доступ, либо ограничить его определенным кругом пользователей, используя аутентификацию. Функцией защиты портов либо ограничения подключения внешних устройств (например, USB) могут обладать инструменты защиты терминала (брандмауэры) и средства противодействия вредоносному ПО.

Политика обновлений ПО банкомата

Строгий и методичный контроль изменений – секрет грамотной установки исправлений и обновлений в средах, где такое значение имеют неприкосновенность данных, доступность сервиса и конфиденциальность. Чем больше ПО установлено на устройстве, тем больше исправлений потребуется.

Особое значение имеет процесс принятия решений о выборе нужных исправлений и определение важности их внедрения. В организации должен быть четкий набор критериев для принятия решений об исправлениях, особенно в части определения «исправлений, имеющих критическое значение для безопасности», по стандарту PCI DSS.

Рекомендуется определить стандартный цикл установки исправлений. Оптимальным сейчас считается ежемесячная установка, хотя некоторые операторы банкоматов используют и более жесткие графики. Цикл длиннее квартала принято считать слишком длинным на фоне постоянно меняющихся угроз.

Защита от вредоносного ПО, кибератак и утечек данных

Дополнить брандмауэр могут средства защиты от вредоносного ПО, включающие системы предотвращения вторжений, решения на основе черных/белых списков (blacklisting/whitelisting), инструменты для контроля целостности ПО и операционной системы.

Решения на основе черных или белых списков (blacklisting/whitelisting)

Типичные решения, которые используются для защиты от инфицирования вирусами, предотвращения целевых атак и внедрения вредоносного кода, могут функционировать на основе парадигмы «черного списка» (запретительный принцип), либо «белого списка».

Blacklisting 

Квинтэссенцией данного принципа является утверждение «все, что не запрещено – разрешено». Типичные решения на основе черных списков – это антивирусы, запрещающие выполнение кода, который присутствует в базе данных вирусных сигнатур. Нередко антивирусы выбираются как наиболее привычное средство, без учета возможных недостатков и рисков. В качестве причин такого выбора часто называют их низкую стоимость, упоминание конкретного продукта в стандартах PCI DSS и удовлетворенность работой версий данного продукта для персональных ПК или корпоративных сетей.

Контраргументы совершенно очевидны: имеет смысл учесть не только стоимость лицензий, но и операционные расходы и ресурсы, которые требуются на обновление сигнатур, а также незащищенность банкомата от так  называемых угроз «нулевого дня» (отсутствующих в сигнатурных базах данного вендора). Кроме того, стандарты безопасности PCI DSS также упоминает другие возможные варианты, например, основанные на белых списках. Если выбор средства защиты делается в пользу традиционного антивируса, то следует обязательно провести тщательное тестирование на его совместимость с ПО, установленным на банкомате, а также убедиться в минимальном влиянии на производительность операционной системы банкомата.

Whitelisting

Решения, основанные на принципе белых списков допускают выполнение лишь тех приложений, которые в явном виде внесены в список разрешенных. Такие решения являются оптимальными для систем, не подверженных частым изменениям, а это как раз и есть типичный случай информационной среды банкомата. В банкоматах конфигурация как аппаратной, так и программной части является типовой, набор программного обеспечения известен заранее, обновления и изменения вносятся редко, в строгом соответствии с утвержденными политиками.

Если безобидное приложение не внесено в белый список, то оно будет заблокировано наряду с опасными. По сравнению с антивирусами, решения на основе «белых списков» значительно компактнее и не нуждаются в частых обновлениях, то есть потребляют меньше системных ресурсов и меньше влияют на производительность системы. Главным же их преимуществом является защита от новых угроз, в том числе целевых.

Решения на основе белых списков помогут:

  • обеспечить дополнительный уровень защиты, закрыв те уязвимые места, против которых бессилен сетевой экран,
  • обеспечить соответствие стандартам регулирующих органов,
  • предотвратить риски, связанные с заражением из-за того, что вредоносный код содержится в программных обновлениях/патчах установленного на банкомате ПО, или замаскирован в загружаемом контенте.

Системы предотвращения вторжений (HIPS - Host Intrusion Prevention system)

Системы предотвращения вторжений на уровне хоста (HIPS - Host Intrusion Prevention system) являются хорошей альтернативой антивирусам, поскольку позволяют запуск только доверенных приложений и процессов, и исключают вероятность ложных срабатываний.

Контроль целостности

Также следует обратить внимание на инструменты, которые позволяют осуществлять контроль целостности операционной системы, исполняемых файлов, библиотек и драйверов. Они помогут усилить систему безопасности, блокируя выполнение недоверенного программного обеспечения, и допуская работу только тех приложений, которых имеют сертификат доверенного издателя ПО. Таким образом, вредоносное ПО не сможет быть запущено.

Итак, мы рассмотрели типичные компоненты комплексной системы информационной безопасности банкомата.

Дополнительная ценность такой системы в том, что она не только позволит обнаружить и пресечь атаки извне, но и поможет отследить неаккуратные или злонамеренные действия со стороны администраторов, что особенно важно в условиях возможной нескоординированности действий персонала в удаленных территориальных филиалах банка, а также невозможности контролировать сотрудников сторонних обслуживающих организаций.

На сегодняшний день существует ряд решений, сочетающих вышеописанный функционал. Авторы рекомендаций ATMIA отмечают, что для уменьшения рисков информационного взлома устройства самообслуживания, наиболее правильным будет использование решений нескольких вендоров.

Напоследок, еще один совет.  Выбирая решения для информационной защиты банкомата, не забывайте о главном принципе построения любой системы безопасности: сложность – враг безопасности.

Увеличение количества защитных мер или усложнение их настроек вовсе не гарантирует реальную защиту. Делая выбор между простой или сложной технологией или системой, помните, что в дальней перспективе простой вариант может быть более надежным.