Взлом систем перестал быть чисто развлечением для хакеров, это бизнес, который в банковской сфере наиболее прибыльный. DDoS-атаки, атаки на Web, эксплуатация уязвимостей приложений – то, с чем можно и нужно бороться. О том, как обезопасить электронные платежи при работе в системах дистанционного банковского обслуживания, рассказали на семинаре, который организовал Сургутнефтегазбанк для своих корпоративных клиентов. Перед юридическими лицами и индивидуальными предпринимателями выступили партнеры банка по информационной безопасности – компании InfoWatch, Check Point, SafeTech и «Анлим-ИТ».
Работая в веб-пространстве, компании часто игнорируют технические недостатки на своем сетевом периметре, и это потенциальный источник проблем. Используя современные веб-приложения, бизнес открывает для себя новые возможности, которые гораздо важнее, чем отчеты о потенциальных угрозах, мифических хакерах и немыслимых ущербах, и на традиционную проверку безопасности времени не остается. Рост объема рынка электронной коммерции, услуг, сервисов и, соответственно, самого бизнеса сопровождается ростом ущерба компаний от хакерских атак, штрафов регуляторов, технических проблем.
По словам Алексея Афанасьева, регионального представителя на территории Уральского федерального округа в корпоративном сегменте компании InfoWatch, каждое веб-приложение содержит не менее 5 критичных уязвимостей, которые могут эксплуатировать хакеры. Используя ошибки в коде, хакеры получают контроль над ресурсом, доступ к базам данных, финансовым транзакциям, платежной, клиентской и другой конфиденциальной информации.
Атаки уже автоматизированы, и это основная причина, из-за которой защита вручную сегодня уже не является допустимым решением. По мнению Алексея Афанасьева, для проактивной защиты и интеграции техник информационной безопасности уже в процессе создания продукта нужно объединять усилия разработчиков и специалистов безопасности.
Так, компания InfoWatch предлагает решение для защиты от распространенных веб-угроз – InfoWatch Attack Killer. Это решение особенно полезно для защиты систем интернет-банкинга, торговых площадок, порталов госуслуг, систем групповой работы, интернет-магазинов и других веб-ресурсов. InfoWatch Attack Killer обеспечивает доступность веб-ресурса для клиентов, безопасность проведения финансовых транзакций, осуществляемых через ресурс организации, надежно защищает чувствительную информацию – коммерческие секреты или персональные данные пользователей. Кроме этого, защищает от подмены информации или размещения противоправного контента, от атак, направленных на посетителей сайта и реализованных путем размещения вредоносного кода на страницах ресурса, а также сохраняет позиции ресурса в поисковой выдаче даже при попытках злоумышленников совершить манипуляции с кодом.
Сергей Невструев, руководитель отдела предотвращения угроз (Восточная Европа) компании Check Point, отмечает, что разделение труда в киберпреступности уже давно состоялось, и злоумышленники легко могут использовать в атаках уже разработанные сложные инструменты, позволяющие обойти традиционные средства защиты. Поэтому компания Check Point разработала новое улучшенное решение для предотвращения угроз, обеспечивающее высокий уровень защиты на рынке. Новый механизм имеет уникальную способность идентифицировать самые опасные угрозы «нулевого дня» на начальной стадии до того, как вредоносная программа внедрится в инфраструктуру или попытается обойти системы обнаружения.
В связи с ростом интереса клиентов к системам дистанционного банковского обслуживания в последние годы наблюдается резкий всплеск хакерских атак на счета пользователей интернет-банкинга, особенно юридических лиц. По мнению Олега Плотникова, директора по развитию компании SafeTech, причиной тому является невозможность построения доверенной среды на компьютерах клиентов, так как все современные операционные системы подвержены воздействию вредоносного программного обеспечения: вирусов, «троянов», шпионского ПО и т.д. Даже токены и смарт-карты «с неизвлекаемыми ключами» не гарантируют защиту средств клиентов от современных видов атак.
Решением проблемы стало устройство SafeTouch PRO от компании SafeTech, которое гарантирует защиту от всех известных хакерских атак, обеспечивая высокий уровень безопасности средств на счетах клиентов систем ДБО. Устройство позволяет контролировать реквизиты подписываемых документов, при этом блокирует любые попытки несанкционированной подписи со стороны вредоносного ПО или удаленно подключившихся пользователей. Применяется такое устройство в системах дистанционного банковского обслуживания, электронной коммерции, системах электронного документооборота.
Другая популярная среда – мобильный банкинг. Согласно исследованию Global Mobile Money Report 2015, приведенному компанией SafeTech, 34% потребителей больше всего опасаются, что пользоваться мобильным банком небезопасно, 11% не доверяют защищенности мобильных платежей, 9% бояться указывать слишком много личной информации. Взамен одноразовым паролям через SMS и PUSH-уведомления компания SafeTech разработала специальное приложение для мобильного телефона – PayControl, позволяющее пользователю подтверждать операции, создаваемые в системах интернет- и мобильного банкинга, без использования дополнительных устройств, таких как токены, смарт-карты, OTP-генераторы. PayControl предоставляет пользователю возможность убедиться в корректности данных операции и сформировать код подтверждения, независимо от используемого компьютера. «Никаких дополнительных скретч-карт или криптокалькуляторов. Никакой зависимости от наличия сотовой связи и скорости доставки SMS. Использование PayControl нисколько не сложнее, чем звонок с мобильного телефона», – отмечает Олег Плотников.
Илья Куриленко, директор по развитию компании «Анлим-ИТ», ключевым слабым звеном в защите информации называет человеческий фактор. По его словам, кибергигиена – это то, что нужно прививать сотрудникам, то, что позволит значительно снизить риски для бизнеса.
Отметив типичные нарушения информационной безопасности среди пользователей, специалистов и руководства компаний, Илья Куриленко дает рекомендации по защите от медийных угроз. Среди них – установка последних обновлений для всех типов операционной системы и отслеживание актуальности данных обновлений, ограничение привилегий для всех пользователей, ограничение поверхности атаки путем установления разрешенных типов файлов для скачивания и разрешенного к установке/запуску программного обеспечения для каждой из групп пользователей, обучение сотрудников.
От того, насколько внимательно клиенты и их сотрудники отнесутся к обеспечению информационной безопасности, зависит сохранность средств при работе в системе дистанционного банковского обслуживания. Выбор методов защиты достаточно большой, а учитывая сложившуюся ситуацию с развитием киберпреступности, использование подобных технологий более чем оправдано.