Українські банки під прицілом хакера?
Криза спровокувала зростання фінансової інтернет-злочинності.
Навесні 2010 року Служба безпеки України затримала групу студентів-програмістів, які грабували вітчизняні банки. За допомогою троянських програм вони отримували інформацію про клієнтів, їх рахунки і паролі доступу до них.
Потім винахідливі студенти на підставних осіб відкривали рахунки і переводили на них гроші. Паралельно вони виготовляли платіжні карти, за якими у банкоматах знімали готівку.
Інтернет-злочинці в Україні активізувалися з приходом кризи. За даними джерела "Економічної правди" в СБУ, в 2006-2007 роках збиток від їх діяльності склав 12-15 мільйонів доларів на рік. У 2009 році втрати зросли до 17-19 мільйонів доларів.
[B]
Дві третини цієї суми - вкрадені клієнтські кошти. Решта - витрати банкірів на мінімізацію наслідків хакерських атак або витік конфіденційної інформації. Втім, у 80% випадків у зникненні грошей винні самі клієнти, стверджують фінансисти.
"Слабка ланка будь-якої системи захисту - людина, її ігнорування вимоги банку не розголошувати свої конфіденційні дані", - говорить начальник управління інформаційної безпеки VAB Банку Володимир Лукін.
Найпопулярнішими серед шахраїв способами доступу до грошей клієнтів є скіммери - накладки на банкомати, а також фішинг - жертва електронною поштою отримує лист нібито від банку з проханням оновити свої реквізити і паролі доступу.
Успішними ці технології можуть бути тільки за умови неуважності клієнта. У 2006-2008 роках від фішингу постраждало 30 тисяч користувачів однієї лише системи "Приват24". Втім, причина полягала не у її захисті, а в популярності серед клієнтів.
"Приват24" тоді був єдиним працюючим інтернет-банком на ринку", - пояснює заступник голови Приватбанку Олександр Вітязь.
Якщо фішинг-атака виявилася успішною, у першу чергу, це вина клієнта. Між тим, банки дбають про безпеку онлайн-платежів і вельми успішно борються з фішерами. От тільки це далеко не найбільша їхня проблема.
Вразливе місце
Комп'ютерні атаки здійснюються не тільки на клієнтів, але і на самих банкірів. Такі штурми бувають зовнішні і внутрішні.
Перші - це цілеспрямовані напади на внутрішню мережу банку. Вони проводяться для отримання доступу до бази даних клієнтів, її копіювання і викрадання грошей. У світовій практиці вони трапляються рідко, а успішних було зовсім мало.
Це високотехнологічні і дуже складні злочини. В Україні такі атаки поки екзотика - на рік трапляється один або два успішні напади, які закінчуються викраденням грошей. Банки, зрозуміло, про них мовчать, адже це питання їх репутації.
Внутрішні, інсайдерські, атаки - ахіллесова п'ята банківського сектора. Вони полягають у копіюванні інформації та її продажу з метою наживи. Унеможливити такі дії важко, а відповідні заходи коштують достатньо дорого. Знизити ризики дозволяють системи моніторингу мережі та вдосконалення роботи з інформацією.
Більш того, зовнішні атаки теж не обходяться без витоку даних з банку.
"Програма для зовнішнього проникнення у систему має бути розроблена для конкретного банку. Приступаючи до написання шкідливого коду, зловмисник повинен мати інформацію про діючі в установі програми", - говорить начальник управління технічного захисту інформації банку "Форум" Петро Жуков.
"Зламати" систему без таких даних важко і дорого. Підкупити менеджера - дешевше. Банку ж "продажний" співробітник може обійтися дуже дорого.
У 2006 році в Україні було дві хвилі інтелектуальних нападів на банкомати. Використовуючи бездротовий зв'язок, знаючі люди переводили техніку в режим тестового зняття грошей і забирали всю готівку.
Тоді постраждало близько десяти банків. Сума збитку невідома, але оскільки в один банкомат завантажується в середньому 40 тисяч доларів, можна припустити, що вона обчислюється мільйонами доларів.
Протистояти внутрішнім банківським ризикам покликані потужні програмні комплекси, здатні напрацьовувати статистику. Вони можуть відстежувати частоту запитів до баз даних, активність користувачів, мережевий та поштовий трафіки, платежі клієнтів.
Такі системи сигналізують у разі настання нестандартних подій, наприклад, якщо сума трансакції і одержувач явно не відповідають операціям, що проводилися раніше. Далі банк може затримати трансакцію і уточнити у клієнта її легітимність.
Системи здатні аналізувати електронні документи і затримувати на виході з мережі банку файли, що містять конфіденційну інформацію. Коштують такі рішення дорого, і поки не всі банки вважають за потрібне їх купувати.
"Деякі фінансисти не уявляють, які проблеми можуть створити діри в IT-безпеці. Недавно наші інженери працювали в одному банку. Мережа у його центральному офісі взагалі не була захищена! У великих банках краща ситуація, але до світового рівня вони не дотягують", - каже директор компанії "Бакотек" Євген Бадах.
Цікаво, що НБУ ніколи не регламентував внутрішню інформаційну безпеку комбанків. Тим не менше, регулятор забезпечує безпеку самих грошових перетоків. За словами фахівців, захищеність системи платежів Нацбанку не викликає зауважень. Доволі часто нелегітимні трансакції блокувалися саме на рівні НБУ.
Крім того, будь-який електронний платіжний документ, що проводиться у вітчизняній банківській системі, підписується двома електронно-цифровими підписами: людиною, яка його створює, і тим, хто його проводить. Це система "чотирьох очей".
Ще один важливий момент інформаційної безпеки - система розподілу доступу до даних. Щоб вона працювала ефективно, потрібно грамотно організувати її роботу.
"Найважче - вибрати рівень достатності доступу співробітників до інформації. Якщо його надто сильно обмежити, люди не зможуть працювати. Послаблювати контроль теж не можна. Потрібно вміти балансувати", - упевнений Жуков.
Ціна питання
Вартість забезпечення захисту інформації прямо залежить від її цінності. Є формула, яка допомагає банкірам визначитися, скільки має коштувати їх система IT-захисту. Ризик втрати даних завжди можна виразити в грошах.
Банк визначає суму можливих втрат, потім оцінюється ймовірність настання ризиків, і ці показники перемножуються. У результаті виходить обсяг коштів "під ризиком". Виходячи з цього, керівництво визначає, яку суму слід витратити на IT-безпеку.
"Розрахунки протвережують керівництво. Два роки тому я рекомендував голові правління банку впровадити систему моніторингу. Він відмовився, мовляв, надто дорого. Через два тижні я показав йому суму "під ризиком". Гроші знайшлися", - розповів начальник відділу інформаційної безпеки одного з банків.
Для невеликої установи система IT-безпеки коштує 10-40 тисяч доларів. Крупним банкам необхідні потужніші системи. У таких установах захист має кілька рівнів і складається з низки комплексів. Ціна впровадження одного - 100-500 тисяч євро.
На жаль, дані системи знижують банківську продуктивність, тому для мінімізації цієї проблеми необхідні потужні обчислювальні ресурси.
То чи варто витрачатися? Однозначної відповіді банкіри не мають. Великих проблем у них ще не було, але оцінити можливі наслідки атак або витоку даних можна. Так, два роки тому співробітник банку LGT, Ліхтенштейн, Хайнріх Кібер продав базу даних установи німецькій спецслужбі, отримавши за це 6,5 мільйона доларів.
Виявилося, банк був раєм для неплатників податків. Через тиждень після отримання даних Німеччина поповнила свій бюджет на 41,4 мільйона доларів. Сам LGT і вся фінансова система Ліхтенштейну зазнали воістину непоправної шкоди.