Стеклянные Банки

Насколько защищены наши деньги —эта тема волнует буквально каждого, не правда ли? Можно их держать дома в стеклянной банке, но страшно — вдруг украдут. Гораздо безопаснее положить их в настоящий банк, справедливо полагая, что уж там-то они точно находятся под надежной защитой. А так ли это сейчас? Вопрос, к сожалению, во многом риторический. Насколько сложно злоумышленнику проникнуть в банковскую систему и украсть деньги — сегодня мы поговорим именно об этом.

«Ты помнишь, как все начиналось?»

А начиналось все достаточно банально — примерно шесть лет назад резко активизировались преступные группировки, чьей главной целью стали вовсе не банки, а их клиенты. Зачем атаковать банк, когда можно атаковать слабозащищенный компьютер его клиента, получить к нему доступ и через систему «банк-клиент» перевести необходимую сумму с его счета? Банк в этом случае обычно разводил руками и говорил, что это вина клиента. Деньги никто не возвращал, за редким исключением. Однако банки не устраивала подобная ситуация: обращений недовольных клиентов становилось все больше, к тому же в перспективе замаячила в итоге успешно принятая новая статья закона, серьезно осложняющая банку столь вольготное поведение. Все это привело к тому, что банки стали активно внедрять антифрод-системы, блокировавшие подозрительные операции со стороны клиента. Постепенно такие системы были внедрены подавляющим большинством крупных банков и с течением времени эффективно заработали, серьезно снизив вероятность успеха атаки на клиента, связанной с переводом денежных средств.

Тогда преступники поняли, что на клиенте больше не заработаешь, и тренд начал меняться. Случилось это примерно три года назад — число атак на клиентов стало резко уменьшаться, одновременно увеличились атаки на банки. А с прошлого года удары по банкам, платежным системам и процессингу стали постоянными и рост их количества принял лавинообразный характер. Теперь воруют десятками миллионов, причем регулярно. И в данном случае банку некому предъявить претензии, кроме как самому себе. Ситуация просто тяжелейшая — это видят все, кто находится внутри данной системы. То, что попадает в СМИ, лишь маленькая вершинка айсберга. Деньги, как известно, любят тишину, а потому глубина темного банковского моря скрывает львиную долю инцидентов, о которых банки не спешат делиться ни с кем, включая правоохранительные органы.

Парадокс, но, несмотря на катастрофическую ситуацию с банковской безопасностью, у банков до сих пор нет легального способа делиться друг с другом информацией об инцидентах, так как нет единого органа, координирующего их борьбу с киберпреступностью. Правда, в ближайшее время ситуация должна измениться, на что очень надеется все банковское сообщество, но об этом чуть позже.

«Спасение утопающих дело рук самих утопающих»

На самом деле, как обычно это бывает в ИБ, все достаточно банально: во многом виноват вендор. Главная беда банковской безопасности состоит в том, что банки на 100% зависят от вендоров, разрабатывающих критичные банковские приложения. Тех самых отечественных вендоров, не нуждающихся в импортозамещении (!), которые при этом не несут никакой ответственности за оставленные уязвимости в банковском ПО. И желания вкладывать деньги в обеспечение безопасности, занимаясь безопасной разработкой, у них нет, и не предвидится. Конкуренция на этом рынке невелика, софт других отечественных вендоров не менее дыряв, а значит, никто не будет менять шило на мыло. Тем более для банка переход связан с множеством проблем, соответственно, особой мотивации у вендора удлинять и удорожать цикл разработки как не было, так и нет.

И не удивительно, что, проведя пентест огромного числа банков за последние три года, мы видели такое, от чего у нормального человека навсегда будет отбито желание держать деньги в банке. Потому что банки оказались вовсе не железными, а стеклянными. Дыры на любой вкус. Без какой либо аутентификации трояним всех пользователей системы ДБО — легко. Админка процессинга, по разгильдяйству администраторов доступная в Интернете без пароля, — не вопрос. Мобильный банкинг с самопальным протоколом криптозащиты, уязвимый к атаке человек посередине — ничего удивительного. Архитектурно дырявая АБС, которая разрабатывалась вообще без единой мысли о том, что ее будут ломать, и в которой элементарно изменить данные о балансе на счете, — будни. Уязвимости — по вашему выбору, более чем в 95% случаев позволявшие нам по результатам пентестов провести успешную атаку, связанную с возможностью перевода денежных средств. Вот она — современная реальность стеклянных банков!

Не сложно догадаться, что об этом знаем не только мы, банки и правоохранительные органы, но и преступники, которые активно пользуются всеми предоставленными возможностями, регулярно атакуя банки и время от времени нанося им серьезный ущерб. Ждать помощи от вендоров банкам нет смысла — спасение утопающих дело рук самих утопающих, и сегодня банки активно борются сами. Надеюсь, что с течением времени все вместе мы сможем потушить этот разгорающийся пожар. Но прежде всего надо понимать, а где же именно горит?

После клиентов «загорелось» в системах ДБО. Банки отреагировали и начали массово проводить пентест подобных систем, взяв за практику регулярное его выполнение. Однако мы еще три года назад честно предупреждали, что ДБО лишь верхушка айсберга, преступники быстро сориентируются и начнут атаковать сердце банка — его автоматизированную банковскую систему (АБС), чьей безопасностью не занимался никто и никогда. И что самое страшное — АБС проектировались без какой-либо оглядки на безопасность. А сегодня мы имеем следующее: львиная доля атак направлена именно на абсолютно дырявые АБС. Однако до сих пор лишь единицы заказывают аудит АБС.

И сейчас для банков крайне важно, не ослабляя контроль за ДБО, срочно обратить внимание на системы АБС, занявшись регулярным аудитом их защищенности, что позволит в ближайшие три года несколько выправить сегодняшнюю плачевную ситуацию. Или пресловутый мобильный банкинг. С его помощью ты получаешь доступ к тому же счету, что и с обычного банкинга. И я прекрасно помню выражение лица владельца банка, которому мы показывали атаку на его мобильный банкинг, и его реакцию на пренебрежительную фразу ИТ-директора: «Да ладно, у нас не так много в нем пользователей (было на тот момент)». «Да мне не важно, сколько там пользователей!» —раздраженно воскликнул владелец банка. «Мне достаточно того, что им активно пользуется Иван Петрович, владелец компании, которая держит у нас все свои счета, являясь нашим крупнейшим корпоративным клиентом». Как говорил Мюллер: «Это не ерунда, дорогой Битнер! Это совсем даже не ерунда!»

«А что скажет товарищ Берия?»

А что же регуляторы, спросите вы. ФСБ занимается криптографией и безопасность банков — это не совсем ее епархия, конечно, кроме ключей и криптозащиты. Но это никто и не атакует, так как нет особого смысла. ФСТЭК тут вообще не при чем — это не задача данной службы. Правоохранительные органы — Управление «К» МВД РФ и ЦИБ ФСБ — да, борются с преступниками как могут, и их деятельность на виду (Управление «К»). Мы все с вами регулярно видим новости, что Управление «К» поймало очередного негодяя. Правда, к сожалению, далеко не всегда это заканчивается для него серьезным сроком, если вообще заканчивается.

А что же главный регулятор — Центральный Банк РФ? ЦБ, в отличие от Управления «К», не занимается оперативно-розыскной деятельностью. ЦБ не может и не должен ловить преступников. Но ЦБ может и должен предъявлять банкам требования по обеспечению ИБ, в том числе банковских приложений, и контролировать их выполнение. Эта работа началась в ЦБ достаточно давно, около 10 лет назад. Изначально ЦБ сфокусировался на процессе управления ИБ и базовых технических требованиях, что упрощало внутренний контроль, но не позволяло на практике сделать ПО банков более защищенным. Очередной парадокс состоял в том, что до недавнего времени ЦБ не предъявлял банкам требований, связанных с разработкой и безопасной эксплуатацией банковского софта. Но два года назад ситуация силами ГУБЗИ ЦБ РФ была сдвинута с мертвой точки — после недолгих баталий была создана очень узкая рабочая группа, и начата работа над стандартом безопасности жизненного цикла платежных приложений. В результате через год появился стандарт, регламентирующий безопасность жизненного цикла ключевых банковских приложений (прежде всего ДБО, процессинга и АБС), в котором ключевой контрольной процедурой стал регулярный пентест. Стандарт официально принят ЦБ чуть менее года назад. Хотя в силу специфики нашего законодательства данный стандарт и носит рекомендательный характер, все равно, с точки зрения практика, это была настоящая техническая революция для Центрального Банка, призванная сделать приложения более безопасными. В данном случае надо понимать, что ЦБ РФ никогда ничего не делает просто так и при желании всегда найдет способ потребовать выполнения того, что он считает нужным: «Железный банк всегда получает свое».

Но предъявлять требования к безопасности банков только половина дела. Важно еще обеспечить мониторинг и координацию действий в случае киберпреступлений в банковской сфере. Сегодня складывается парадоксальная картина, когда банки сами за себя. Конечно, банки пытаются объединяться и по мере сил совместно бороться с преступниками, обмениваясь информацией об инцидентах. Но законных оснований для этого нет. Более того, сегодня даже у органов правопорядка в принципе нет полномочий для предотвращения расползания инцидента из одного банка в другой — банк не обязан заявлять в полицию об инциденте. Не так давно произошла серьезная атака через уязвимость на процессинг сразу нескольких крупнейших российских банков, и каждый боролся сам по себе, не зная, что сосед находится в такой же ситуации.

Прекрасно понимая все это, последние несколько лет банковское сообщество буквально как манны небесной ждет создания единого центра координации и предотвращения инцидентов в банковской сфере — так называемого FinCERT. Его главная задача должна состоять не в формальном сборе информации об инцидентах, а в постоянном мониторинге, координации и серьезной технической помощи банкам в выявлении и устранении причин инцидентов. Речь не о поимке преступников — это функция полиции. Речь о техническом анализе причин таких происшествий и координации действий банков для оперативной борьбы с захлестнувшей волной киберпреступности и для предотвращения или блокирования мошеннических платежей. Это основная цель FinCERT сегодня, как ее видит все банковское сообщество. Именно такой помощи банки ждут от государства в лице ЦБ РФ. И подобный центр будет создан в самое ближайшее время — в мае текущего года. Решение уже принято на самом высоком уровне. Другой вопрос, что пока никому не понятно, какие именно задачи будет решать данный центр, а это краеугольный камень, ибо дьявол, как известно, в деталях, в данном случае — в технических. И, как клиенты банков, будем надеяться, что создаваемый в недрах ЦБ РФ FinCERT не станет очередным центром сбора формальной отчетности об инцидентах и практическая инициатива по созданию стандарта безопасности жизненного цикла банковских приложений будет дополнена формированием центра по техническому контролю и анализу инцидентов, в дальнейшем став надежным барьером на пути злоумышленников.

А есть ли свет в конце туннеля?

Безусловно, есть. С одной стороны, банки делают всё что могут. Правда, не все, а только те, кто понимает. Но таких сегодня становится больше — жизнь заставляет. Да, инертность высока, и этот «паровоз» очень сложно заставить набрать ход. Да, банки постепенно привыкают проводить с той или иной степенью регулярности пентест ДБО, пока еще, к сожалению, забывая про дырявые и регулярно атакуемые АБС.

С другой стороны, ЦБ РФ прилагает все усилия для нормализации обстановки, связанной с минимизацией возможностей проведения атак на банковскую систему РФ. Да, это не просто и не быстро, но дорогу, как известно, осилит идущий. Управление «К» также не дремлет, регулярно возбуждая дела против очередных пойманных негодяев. Банковские безопасники делают, что могут, и что не могут – делают тоже. Поэтому свет в конце туннеля есть. И мы его видим. Но где-то далеко. Совсем далеко. Главное, чтобы это был не мираж...