Подписаться arrow_upward

Вячеслав

ЦБ наносит ответный удар, или Как технически остановить эпидемию атак


Продолжающаяся с четвертого квартала прошлого года эпидемия банковских краж через АРМ КБР (Автоматизированное рабочее место клиента Банка России) уже привела к тому, что банки потеряли более 2 млрд рублей. Примерно столько же удалось сохранить от посягательств злоумышленников благодаря действиям Центробанка РФ.

В настоящее время Центробанк делает все возможное, чтобы достойно противостоять киберпреступникам, ведь речь идет о стабильности и надежности финансовой системы в целом.

По сообщениям официальных лиц ЦБ, в ближайшее время планируется обнародовать комплекс мер, который позволит минимизировать количество инцидентов в коммерческих банках. И здесь мы рассмотрим только один вопрос: какие технические средства могут помочь относительно быстро и просто повлиять на этот процесс, существенно затруднив проведение атаки или в принципе убрав этот вектор?

Схема атаки на АРМ КБР

Прежде чем перейти к решению, кратко остановимся на технических аспектах реализации актуальных сегодня атак на АРМ КБР. Сразу отметим, что все происходит в штатном режиме. Специфика работы этого ПО состоит в том, что текущий рейсовый платеж банка (обычно их пять в день, и это совокупность межбанковских платежей клиентов данного банка на данный момент времени), выходящий из АБС(автоматизированная банковская система), поступает в АРМ КБР в… открытом виде (обычный XML-файл). Далее в АРМ КБР он шифруется, подписывается и идет в ЦБ на обработку. Соответственно, схема атаки крайне проста: преступники обычно методом социальной инженерии из интернета проникают в корпоративную сеть банка, взламывают ее, а затем тем или иным образом отправляют на вход АРМ КБР заранее подготовленный рейсовый платеж — обычный файл.

Схема банальна. Мы не раз говорили о том, что многие наши банки ниже первой сотни держатся только благодаря низкой квалификации и отсутствию интереса злоумышленников. Почему эпидемия началась только в конце 2015-го — вопрос сложный, ведь первые «звонки» раздались еще в 2014-м. Видимо, злоумышленникам, наконец, удалось поставить на поток данную схему. А сейчас, когда они почувствовали «кровь», похитив огромные суммы, они уже точно не остановятся. И пора ЦБ серьезно вмешаться.

Как приостановить эпидемию

Относительно простое и быстро реализуемое техническое решение очевидно. Достаточно… просто несколько изменить логику взаимодействия между АБС и АРМ КБР, реализовав шифрование с цифровой подписью самого рейса. То есть из АБС в АРМ КБР он должен поступать только в зашифрованном и подписанном виде. Тривиальное решение, и его можно реализовать если не прямо завтра, то достаточно оперативно, особенно учитывая серьезность угрозы. Почему это не было сделано раньше, вполне понятно: считалось, что злоумышленники не могут проникнуть внутрь банков, а инсайдерство — это редкость. Кроме того, ЦБ всегда предлагал специальную организационно-техническую схему взаимодействия с АРМ КБР, минимизирующую данные риски, которую многие банки для удобства нарушали и нарушают до сих пор (!).

В прицеле АБС

Вероятнее всего, ЦБ РФ в ближайшее время предложит подобную новую схему работы АБС с АРМ КБР, сделав ее обязательной, дополнительно ужесточив организационную схему работы с АРМ КБР и процедуры контроля над банками в этой области. Такие меры помогут блокировать данный вектор атаки и постепенно свести эпидемию на нет. Однако надо отдавать себе отчет, что злоумышленники, начав играть по-крупному, теперь уже точно не остановятся. «Убив» этот вектор атаки на АРМ КБР, мы просто получим небольшой тайм-аут, не более.

Очевидно, что с течением времени вектор атаки сместится, и злоумышленники переключат свое внимание на АБС (!), которые буквально «кишат» уязвимостями. И тогда на вход АРМ КБР будет снова получать правильно сформированный злоумышленниками рейсовый платеж. Поэтому, если не принять срочных мер по регулярному анализу защищенности АБС (чего никто пока не делает всерьез) и не начать использовать рекомендации ЦБ по обеспечению безопасности банковских приложений на всех этапах жизненного цикла от 2014 года, которые с выходом нового 382П в ближайшее время станут обязательными к исполнению для банков, всю банковскую систему ждет гораздо более страшная эпидемия сложных целевых атак. По сравнению с ней существующие проблемы покажутся школьными задачками по математике.

В свое время мы с ЦБ РФ немало сил потратили на то, чтобы разработать стандарт безопасности жизненного цикла в соответствии с лучшими мировыми практиками, сделав его понятным и реализуемым. Жаль, что почти все стандарты, которые готовит ЦБ с грифом «Рекомендательный», затем просто игнорируются банками. Но радует, что уже скоро правила станут обязательными для всех и ситуация начнет меняться в лучшую сторону.

ИЛЬЯ МЕДВЕДОВСКИЙ генеральный директор Digital Security http://bankir.ru/


Гриборыб и 3 пользователям это нравится

Чтобы упомянуть другого пользователя в комментарии, введите знак @

Упомянуть можно тех, на кого Вы подписаны или тех, кто принимал участие в дискуссии


Чтобы упомянуть ценную бумагу в комментарии, введите ее тикер после знака ^

Последние комментарии в блогах

Silver Surfer

Уже 10 лет наши управляющие успешно ведут портфель трендовой стратении SilverSurfer по российскому рынку акций.

Правила поведения в блогах и ограничение ответственности

Цель социальной сети TRADERNET – общение и дискуссии на тему финансовых рынков и экономики в широком ее спектре. Участие в общении может принимать любой желающий, придерживающийся настоящих правил.

ПРАВИЛА ИСПОЛЬЗОВАНИЯ САЙТА TRADERNET

1. Регистрация

1.1 Факт вашей регистрации означает, что вы согласны соблюдать настоящие правила.

1.2 Ник (имя профиля) выбирается индивидуально самим пользователем, старайтесь избегать ников, совпадающих с уже ранее существующими.

1.3 Аватара - это небольшое изображение, показываемое в ваших сообщениях и блогах. Выбирается пользователем самостоятельно. Аватарку можно менять в зависимости от желания и настроения, но при его частой смене есть риск «потеряться», так как собеседники к вашему виртуальному лицу привыкают.

1.4 Категорически запрещается использовать в имени, нике, аватаре, грубые или нецензурные выражения, содержание в любых проявлениях разврат, насилие, рекламный текст или политическую направленность.

1.5 Все материалы, помещаемые на данном сайте (включая все сообщения Пользователя), отражают исключительно мнения их авторов, администрация сайта не даёт каких-либо гарантий, выраженных явно или подразумеваемых, что они полны, полезны и правдивы. Вы можете их использовать только на свой страх и риск. Администрация Сайта не несёт никакой ответственности за прямой или косвенный ущерб, причинённый Вам в результате использования (или неиспользования) этих материалов, упущенную выгоду, потерю информации и прочее. Администрация данного Сайта также не несёт никакой ответственности за содержание рекламных материалов, размещённых на страницах Сайта, а также материалов, на которые могут указывать ссылки из материалов, расположенных в Форуме.

2. Общение в блогах

2.1 Каждый пользователь имеет право вести свой блог.

2.2 Каждый пользователь имеет право оставлять комментарии к любому посту в сообществе.

2.3 Автор блога должен стремиться к тому, чтобы его запись была не только интересной сообществу, но и эксклюзивной для рунета.

2.4 Использование тегов, при публикации поста, приветствуется. Это позволит увеличить число ваших подписчиков и читаемость блога.

3. Запрещается на ресурсе

3.1 Недопустимо использование на ресурсе мата, грубых выражений, оскорблений, оскорбление национальных или религиозных чувств, реклама в любом ее проявлении. Для выяснения личных отношений существуют Личные сообщения.

3.2 Запрещено публично вести споры и перебранки, а также цитировать личную переписку с администрацией сайта и модераторами. Для разрешения спорных вопросов достаточно написать Личное сообщение модератору!

3.3 Обилие грамматических ошибок является основанием для удаления вашего поста из общей ленты.

3.4 Нарушение правил карается БАНом на 7 дней. Последующие нарушения могут вынудить администрацию продлить этот срок до бесконечности.

4. Администрация ресурса

4.1 Администрация предлагает строить отношения между самими пользователями и, пользователями и администрацией на дружественной и уважительной основе. Здоровое чувство юмора приветствуется.

4.2 Администрация готова рассмотреть любые предложения по улучшению работы ресурса. Свои идеи публикуйте в общей ленте с тегом «Инновация».

4.3 Администрация сайта оставляет за собой исключительное право в некоторых ситуациях, действовать во благо ресурса, не руководствуясь установленными Правилами.

5. Отношения в сфере распространения информации:

5.1 Администрация сайта:

5.1.1 не осуществляет обязательную проверку размещаемых пользователями на Сайте материалов.

5.1.2 не несет ответственности за содержание материалов, за негативные последствия их использования.

5.1.3 вправе удалять любые публикации пользователей, не соответствующие политике Администрации Сайта.

5.2 Размещая материалы на настоящем сайте, пользователь сайта:

5.2.1 подтверждает, что обладает всеми правами, необходимыми для доведения материалов до всеобщего сведения, обязуется самостоятельно урегулировать претензии третьих лиц, оспаривающих наличие у пользователя таких прав.

5.2.2 несет полную ответственность за соответствие применимому законодательству размещаемых материалов.

5.2.3 обязуется возместить любой ущерб, возникший у TRADERNET, вследствие нарушений Пользователем законодательства или прав третьих лиц.

5.2.4 предоставляет Администрации сайта и его партнерам бесплатное, постоянное, безотзывное, неисключительное право (неисключительную лицензию) на территории всех стран мира на весь срок охраны авторского права, предусмотренный местным законодательством, в отношении таких материалов, в том числе использовать эти материалы, размещать их, хранить, воспроизводить, публиковать их, открыто воспроизводить, отображать, а также распространять перечисленные права.

5.2.5 по требованию Администрации сайта обязуется предоставить копии своих удостоверяющих личность документов.