Текст книги "Кибербезопасность в условиях электронного банкинга. Практическое пособие"

2.2. Методология анализа рисков недостаточного обеспечения кибербезопасности

– Есть новости. Хорошая и плохая, – сказал Сэм. – С какой начать?

– С хорошей.

– Девяносто процентов, что торпед внизу нет…

– А плохая?

– Всего девяносто процентов, что торпед внизу нет.

Клайв Касслер, Грант Блэквуд.

Золото Спарты

Основными причинами повышенного внимания регулирующих органов к технологиям ДБО (включая СЭБ) являются «виртуальная» форма совершения банковских операций (когда каждая проводка выражается в мгновенном изменении содержания центральной базы банковских данных), снижение надежности и устойчивости кредитных организаций, а также банковской системы в целом, так как любые высокотехнологичные нововведения повышают и усложняют банковские риски.

В условиях применения СЭБ возникают ранее не учитываемые источники угроз, которые способны создать дополнительные проблемы, связанные со снижением уровня надежности банковских автоматизированных систем и угрозами безопасности информационных ресурсов (в т. ч. АПО, находящегося на стороне провайдеров). Для перехода на новый качественный уровень управления рисками, возникающими в условиях применения СЭБ, не следует ограничиваться только выявлением причин и определением размеров возможных финансовых потерь. Необходимо шире рассматривать проблемы, связанные с использованием СЭБ, выходить за рамки привычных методов учета рисков. В качестве итоговых оценок следует рассматривать риски, связанные с системными характеристиками и показателями (риски системного уровня): возможность продолжения функционирования банка и выполнения им функций финансового посредника в неизменном или измененном масштабе, временный запрет на выполнение определенного вида банковских операций, введение временной администрации, отзыв лицензии на банковскую деятельность.

Иерархию рисков можно представить в виде трех уровней: системный банковский риск (СБР), типичный банковский риск (ТБР) и элементарный банковский риск (ЭБР). Они имеют разную природу. Каждый ЭБР отражает некий выявляемый факт, каждый ТБР – какое-либо событие в банке, образуемое совокупностью фактов и связанное с финансовыми потерями, а СБР описывает некоторую итоговую рисковую ситуацию (рис. 26). Количество источников ЭБР для каждого ТБР различно.

Поиск источников ЭБР и дальнейшее выстраивание причинно-следственных связей представляют собой наиболее сложную задачу для адекватной оценки. Поэтому специалисты, входящие в риск-подразделения и службы внутреннего контроля, должны хорошо представлять особенности функционирования СЭБ и возможные последствия проявления сопутствующих рисков (включая воздействие компьютерных атак на информационные ресурсы банка). Очевидно, что реализованные компьютерные атаки значительно расширяют профили типичных банковских рисков.

Рис. 26. Иерархическая схема для выявления, анализа и мониторинга банковских рисков

Примерная схема анализа возможного влияния нарушения кибербезопасности в условиях ДБО на деятельность кредитных организаций представлена на рис. 27, влияние компьютерных атак на устойчивость и стабильность банковской системы показано на рис. 28. Например, в случае реализованной компьютерной атаки на системы ДБО банка вполне вероятно, что многие клиенты откажутся от услуг данной кредитной организации. Следовательно, сумма остатков на их счетах и будет возможной суммой единовременного снятия средств клиентами (риск ликвидности). Далее такие клиенты могут быстро распространить отрицательные отзывы о банке, и вполне вероятно, что их знакомые, которые также являются клиентами банка, могут последовать их примеру и закрыть свои счета (репутационный риск и возрастание риска ликвидности).

Рис. 27. Взаимосвязь кибератак на АПО БАС и возможных последствий для банка[52]52
  АРМ КБР – автоматизированное рабочее место клиента Банка России.
  SWIFT – Society for Worldwide Interbank Financial Telecommunications.


[Закрыть]

Рис. 28. Влияние компьютерных атак на устойчивость и стабильность банковской системы

Добавим, что некоторые клиенты могут обратиться в суды за возмещением не только похищенной суммы, но и суммы упущенной выгоды (например, в случае временной неплатежеспособности при взаимодействии с выгодным клиентом, деловым партнером и т. п.). Судебные издержки, негативная информация об этих судебных решениях в СМИ могут серьезно повлиять на репутацию организации (правовой и репутационный риски).

Для многих кредитных организаций существует управленческая задача, обусловленная несоразмерностью мер по информационной безопасности (включая обеспечение кибербезопасности) основным целям и общему уровню принимаемых рисков. Это говорит о нехватке качественного управления рисками и о том, что кибербезопасность обеспечивается постфактум, по итогам уже совершившегося события, а должна носить превентивный характер и работать на опережение.

К основным причинам появления рисков недостаточного обеспечения кибербезопасности в условиях применения СЭБ можно отнести:

– наличие множественных уязвимостей АПО СЭБ, отсутствие должной реализации процедур контроля за соответствием СЭБ требованиям информационной безопасности;

– низкую эффективность проводимых кредитными организациями мероприятий по внедрению и использованию документов Банка России в области стандартизации обеспечения информационной безопасности;

– отсутствие правовой основы для распространения нормативных требований к обеспечению защиты информации, устанавливаемых Банком России, на все процессы в деятельности кредитных организаций;

– отсутствие должной достоверности контроля выполнения технических требований, реализуемого, как правило, в форме самооценки [107, c. 118].

Банк России выделяет следующие ключевые направления деятельности для минимизации последствий проявления рисков недостаточного обеспечения кибербезопасности:

– проработка вопроса о законодательном закреплении права Банка России совместно с ФСТЭК России и ФСБ России осуществлять нормативное регулирование и контроль всех вопросов, связанных с обеспечением информационной безопасности в кредитных организациях, в том числе вопросов защиты информации, отнесенной к категории банковской тайны;

– законодательное закрепление основ деятельности по реализации системы противодействия хищениям денежных средств (системы антифрода) и создание такой системы на базе ФинЦЕРТ Банка России;

– обеспечение скорейшей разработки и ввода в действие национальных стандартов, регулирующих технические вопросы обеспечения информационной безопасности в организациях кредитно-финансовой сферы;

– создание совместно с ФСБ России и ФСТЭК России системы для подтверждения соответствия обеспечения информационной безопасности кредитно-финансовых организаций требованиям национальных стандартов;

– пересмотр технологических требований, связанных с осуществлением переводов денежных средств, внедрение безопасных технологий, в том числе для участников платежной системы Банка России;

– пересмотр технологии контроля со стороны Банка России за соблюдением участниками платежной системы Банка России требований к обеспечению информационной безопасности;

– реализация системы надзорных мер, учитывающей результаты контроля информационной безопасности в рамках системы подтверждения соответствия национальным стандартам.

В ближайшей перспективе из-за развития технологий ДБО количество «физических» банковских офисов в России будет постепенно уменьшаться. Наличие собственного кабинета в киберпространстве станет таким же распространенным явлением, как сегодня наличие мобильного телефона.

Активное использование СЭБ в банковском бизнесе создает не только новые общие возможности, но и общие уязвимости, формируя при этом общую ответственность. Создание системы кибербезопасности и соблюдение культуры кибербезопасности всеми участниками информационного обмена в условиях применения СЭБ являются залогом доверия клиентов не только к конкретной кредитной организации, но и ко всей банковской системе в целом.

2.3. Информационное общество и кибербезопасность

Кто хочет, чтобы его не поглотила пучина, должен уметь плавать.

Генрик Сенкевич, польский писатель, лауреат Нобелевской премии

Средства информационного обмена непрерывно развиваются и совершенствуются, что делает наш мир все более взаимосвязанным. Информатизация общества берет свое начало во второй половине XX в. и к XXI в. охватывает практически все сферы человеческого бытия. Психологи говорят об угрозах интеллектуальной деградации личности из-за чрезмерно длительного пребывания в сети, игромании, мании преследования, боязни (фобии) потерять свой коммуникатор, нарушениях памяти (способности запоминать числа и факты). В самом деле, активному пользователю киберпространства ничего знать (запоминать) не надо: ему достаточно иметь доступ к информационно-поисковым системам и уметь ими пользоваться. Подобно тому, как постоянное использование калькуляторов буквально подавляет навыки «счета в уме», систематическое получение искомых сведений без присущих человеческому мозгу мысленных усилий (например, логических ассоциаций) истощает его, подрывает интуицию, что в целом может привести к ослаблению интеллектуального потенциала человека. Вдобавок регулярное использование внешних приспособлений снижает уровень счастья (Международный индекс счастья – Happy Planet Index) населения. Это, пожалуй, стоит считать фундаментальными проблемами, возникающими вследствие развития информационно-коммуникационных технологий (ИКТ) и интернета вещей[53]53
  Интернет вещей (англ. Internet of Things, IoT) – концепция вычислительной сети физических объектов («вещей»), оснащенных встроенными технологиями для взаимодействия друг с другом или с внешней средой, рассматривающая организацию таких сетей как явление, способное перестроить экономические и общественные процессы, исключающее из части действий и операций необходимость участия человека.


[Закрыть].

Решением является повышение общего уровня грамотности населения и конкретного человека, в том числе с помощью интернета вещей. Ведь интернет вещей уже оказывает влияние на здравоохранение, образование, экологию и общую жизнедеятельность, причем возможности дальнейших IoT-взаимодействий практически безграничны.

Отсюда следует, что в целом интерес со стороны организаций к технологиям и платформам интернета вещей есть, но пока окончательно не сформировался[54]54
  Подробнее см.: http://www.comnews.ru/node/99810#ixzz42a2YxSMK.


[Закрыть]. Тем не менее, повсеместное применение ИКТ непрерывно расширяется и человеческая жизнь уже немыслима в отрыве от этого процесса.

Развитие виртуальных взаимоотношений между людьми и организациями создало и новый класс преступников, специализирующихся на правонарушениях в области высоких технологий, – киберпреступников, а для борьбы с ними – киберполицейских и кибербезопасность.

Под кибербезопасностью в широком смысле понимают состояние защищенности в новой виртуальной сфере, достигаемое за счет набора средств, стратегий, принципов обеспечения безопасности, подходов к управлению рисками, действий, профессиональной подготовки, страхования и технологий, которые используются для защиты виртуальной среды, ресурсов организаций и пользователей сервисов от целенаправленного деструктивного воздействия.

Кибербезопасность направлена на защиту компьютеров, сетей, программ и данных от случайного или преднамеренного несанкционированного доступа, изменения или уничтожения [63].

Инструменты хакерских атак доступны не только правительствам[55]55
  Атаки хакеров-одиночек – вчерашний день. Настоящие кибернетические войны теперь ведут государства. Согласно информации о взломах, наиболее развитым кибероружием обладают США, Великобритания, Россия, Китай, Индия, Иран и Северная Корея. URL: http://tadviser.ru/a/53662.


[Закрыть], но и агрессивным политическим группировкам и террористическим организациям. Западные страны, в том числе члены НАТО, вынуждены пересматривать свои военные доктрины.

Российские и западные организации умеют защищать деньги и информацию. Но кибертеррористам сегодня важнее создать хаос, а еще лучше – вызвать массовую гибель людей. Их цели – АЭС, объекты ЖКХ, транспорт и другие объекты, где сбои в информационных системах могут привести к катастрофам. Недооценка угрозы кибертерроризма напоминает недооценку фашизма в период между мировыми войнами.

Что касается интернета вещей, то его возможности позволят злоумышленникам удаленно управлять автомобилями, персональными медицинскими системами или заставить «умный холодильник» совершать покупки, которые не входили в планы хозяина. Вспомним атаку на Иран в 2010 г., которая остановила обогащение урана и отбросила национальную ядерную программу Ирана на два года назад. Вирус Stuxnet, запущенный на IoT-устройствах ядерного комплекса, был использован для дистанционной агрессии одного государства против другого. Поэтому IoT-инциденты не ограничиваются хищением информации и денег, а могут использоваться, чтобы нанести физический вред и значительный ущерб.

Современные теоретики, говоря о будущих кибервойнах, обычно имеют в виду не столько противоборство между компьютерами, управляющими оружием, сколько войну, цель которой состоит в захвате контроля над информационным пространством противника. Разработано множество методов и приемов для защиты IoT-пространства, и все же задачу обеспечения кибербезопасности усложняет ряд неблагоприятных факторов развития информационной инфраструктуры:

– чрезмерная скорость устаревания техники;

– безграничность интернета и неадекватность нормативно-правовой базы, регулирующей информационные потоки;

– чрезвычайная сложность (а в ряде случаев – невозможность) идентификации киберпреступников;

– ограниченные ресурсы обеспечения кибербезопасности.

2.4. Электронные финансы – в интернет вещей

Лучший способ предсказать будущее – это изобрести его.

Сэмюэл Грингард.

Интернет вещей. Будущее уже здесь

Рост объема информации предопределил развитие инфраструктуры хранения данных в последние десять лет, в том числе в финансовой сфере. На протяжении пяти веков в основе работы розничных банков был оборот наличных денег. Всего лишь за полвека эта модель трансформировалась в направлении электронного оборота, который к концу первой декады нового тысячелетия достиг зрелости и уже прошел проверку практикой. Для банков сейчас самое время сконцентрироваться на электронных платформах.

«Носимый» банкинг (для так называемых Wearable Technology – очков, часов, браслетов и прочих гаджетов) сейчас вызывает немало надежд и восторга.

Например, MasterCard развивает программу, которая позволит превратить любой аксессуар, гаджет или предмет бытовой техники в устройство с функцией оплаты. На техновыставке Consumer Electronics Show (CES) специалисты компании представили сразу два таких решения. Одно из них – это приложение Groceries для покупок прямо на дисплее холодильника, которое связывает покупателей с ведущими продуктовыми магазинами. Кроме того, MasterCard объявила о партнерстве с компанией Coin, которое предполагает встраивание платежных технологий MasterCard в фитнес-браслеты, смарт-часы и другие носимые устройства[56]56
  Подробнее см.: MasterCard представила решения для платежей через холодильник и фитнес-браслеты. URL: http://www.banki.ru/news/lenta/?id=8603837.


[Закрыть].

Компания Microsoft 20 августа 2019 г. представила исследование IoT Signals, посвященное динамике внедрения интернета вещей в компаниях из разных индустрий и стран. Согласно его результатам, 85 % организаций уже имеют как минимум один бизнес-проект в данной сфере, а к 2021 г. эта цифра вырастет до 94 %. Цели внедрения IoT-решений отображены на рис. 29.

Рис. 29. Цели внедрения IoT-решений в работу организаций[57]57
  Интернет вещей, IoT, M2M мировой рынок. URL: http://www.tadviser.ru/a/302413.


[Закрыть]

При этом 97 % опрошенных беспокоит безопасность систем интернета вещей. Наиболее перспективными превентивными мерами для обеспечения безопасности могут быть:

– создание надежной системы аутентификации пользователей (43 %);

– отслеживание и управление устройствами интернета вещей (38 %);

– защита конечных точек интернета вещей (38 %)[58]58
  Там же.


[Закрыть].

Одной из недавних неприятностей, связанных со смарт-устройст-вами, стал взлом «умных» кормушек для домашних животных с краудфандинговой площадки Xiaomi, открывший хакеру доступ ко всем таким кормушкам в мире. Российский ИТ-специалист получил возможность легко накормить до отвала всех котиков и собачек или, наоборот, напрочь лишить их еды и воды, пока хозяин в отпуске[59]59
  Россиянка взломала автоматические кормушки для животных. URL: https:// www.securitylab.ru/news/502052.php.


[Закрыть].

Распределение кибератак по целям представлено в табл. 1.

Таблица 1

Распределение кибератак по целям[60]60
  September 2019 Cyber Attacks Statistics. URL: https://www.hackmageddon.com/ 2019/11/04/september-2019-cyber-attacks-statistics/.


[Закрыть]

Интересно, что в России разработано одно из самых эффективных противоядий – антивирус Касперского, до недавнего времени использовавшийся даже в американском министерстве обороны – Пентагоне[61]61
  Пентагон уберет антивирус Касперского из всех своих информационных систем. URL: https://ria.ru/20171019/1507196875.html.


[Закрыть].

Отождествляя финансовые отношения с IoT-технологиями, не стоит забывать о распространении хищений денежных средств, сбоях в работе СЭБ и, как следствие, снижении доверия к использованию IoT-услуг кредитно-финансовых организаций (возрастании операционных и репутационных рисков). В России уже сегодня применяется следующая схема кражи: чтобы снять деньги со счета, мошенники прикладывают устройство беспроводного терминала к карману или сумке. Считыватели бесконтактных карт работают на расстоянии до 20 см, а ведь, как известно, злоумышленники находятся в местах массового скопления людей. К тому же мобильные терминалы не являются редкостью, достать их проблем не составляет. Считыватель карт можно даже собрать кустарным способом с помощью нехитрых радиокомпонентов, которые легко заказать онлайн[62]62
  Телепередача «Вести. Дежурная часть» от 12 февраля 2016 г., сюжет «Новый вид карманных краж: в зоне риска пассажиры общественного транспорта». URL: http://www.vesti.ru/videos/show/vid/670703/cid/1741/.


[Закрыть].

Цифровой банк станет банком расширенного финансового обслуживания, поскольку будет учитывать транзакции «человек-человек», «человек-машина» и даже «машина-машина». Взаимодействовать можно будет со всем, от одежды до эскалаторов, с помощью чипов радиочастотной идентификации – RFID[63]63
  Radio Frequency Identification – радиочастотная идентификация, способ автоматической идентификации объектов, когда посредством радиосигналов считываются или записываются данные. Некоторые энтузиасты тестируют применение RFID-чипов в реальной обстановке: для оплаты покупок и переводов между счетами клиента. Вдобавок вживляемый в руку биочип позволяет открывать дверные замки и запускать офисное оборудование.


[Закрыть], встроенных повсюду. Это означает, что все будет взаимодействовать со всем, разумно и без проводов, с помощью интернета вещей: он являет нам новый дополненный мир виртуальной реальности и вместе с тем несет множество новых угроз как для самих устройств, так и для платформ, на которых они работают. Финансовым организациям понадобятся технологии защиты от хакерских атак и непосредственного физического взлома «девайсов». Проблема усугубляется тем, что с целью снизить затраты потребителей большинство IoT-устройств создают с применением простейших операционных систем и процессоров, не поддерживающих сложные средства защиты.

Поэтому банки сегодня должны попытаться продумать, какого рода операции они будут предлагать и осуществлять в условиях, когда все устройства соединены между собой, могут взаимодействовать друг с другом и участвовать в торговле. Вот часть вопросов, на которые необходимо ответить:

1. Каким образом будут предоставляться IoT-услуги?

2. Кто будет выступать провайдерами?

3. Как будут обеспечиваться безопасность и аутентификация?

4. Когда банки начнут вводить продукты и услуги, использующие новые возможности [77, с. 285]?

Самые очевидные угрозы, вызванные тем, что устройства общаются посредством интернета, – это воровство данных, получение доступа к «умным» устройствам и блокирование устройств (например, с помощью DDoS-атаки). Оптимизация финансовых отношений на основе внедрения IoT-технологий будет осуществляться посредством СЭБ. И самый большой потенциал повышения безопасности СЭБ с помощью технологий кроется в использовании биометрических данных клиентов. Наиболее очевидный вариант – отпечатки пальцев или система распознавания лиц для удостоверения личности пользователя.

Применение биометрических данных имеет два преимущества. Первое – оно не позволит преступникам подобрать пароль или PIN-код, воспользоваться украденной картой или скопировать ее. Второе – это ускорение и улучшение обслуживания клиентов. Нам нужно помнить и вводить так много личных номеров и паролей, что распознавание биометрических данных кажется весьма привлекательной перспективой. Затраты на встраивание функции распознавания биометрических данных в СЭБ обязательно окупятся благодаря своей результативности. С учетом повсеместного использования технологии распознавания отпечатков пальцев в IoT-устройствах и мобильных телефонах признание новшества клиентами не будет проблемой. В зависимости от качества АПО, используемого в технологиях распознавания биометрических данных, угроза кражи денег и конфиденциальной информации у клиентов организаций кредитно-финансовой сферы может быть снижена или вовсе сведена к минимуму.

Хотя само биометрическое оборудование стоит недешево, модификация программного обеспечения и соответствующего процесса идентификации потребует от банков значительных инвестиций. По этой причине сегодня только две страны – Колумбия и Япония – внедрили в банкоматы систему распознавания биометрических данных.

Распознавание биометрических данных очень привлекательно для растущих рынков, особенно в бедных, менее развитых странах, где банкоматы появились сравнительно недавно. Расширение их применения тормозится распространением PIN-кодов и необходимостью хранения карт и PIN-кодов отдельно. Это относится в первую очередь к бедным регионам, где людям непросто запомнить PIN-коды, а их использование небезопасно.

Более интересна «биометрическая интеграция» с IoT-технологиями (распознавание лиц при приближении), которая позволит узнавать клиента и показывать подготовленные специально для него послания, основанные на портфеле продуктов этого клиента или его недавних финансовых операциях. Цифровые видеостены[64]64
  Видеостена – компьютеризированная система наглядной информации, представляющая собой конструкцию из нескольких панелей (экранов) для демонстрации рекламы, установленную в общественных местах: метро, аэропортах, магазинах и т. д.


[Закрыть] уже используют технологию распознавания лиц и могут «сказать», какого пола клиент, стар он или молод, расстроен или доволен.

Для создания позитивного опыта самообслуживания банкам будет очень важно найти правильное сочетание персонификации, отклика на нужды отдельно взятого клиента, правил конфиденциальности и безопасности. Это позволит сделать использование цифровых технологий более личным и человечным.