Как устранить прорехи в кибербезопасности банков
CEO компании Security Vision Руслан Рахметов рассказывает об основных особенностях и проблемах, связанных с использованием банковских приложений
В последние годы финансовая отрасль и банки сталкиваются с нарастающими киберугрозами, оставляя пользователей в состоянии беспокойства относительно безопасности своих счетов и мобильных приложений. Нарастающее число хакерских атак и утечек данных подрывает доверие клиентов, заставляя их задумываться о надежности современных финансовых платформ. CEO компании Security Vision Руслан Рахметов рассказывает об основных особенностях и проблемах, связанных с использованием банковских приложений.
Основные проблемы с кибербезопасностью банковских приложений
1. Уязвимости при разработке банковских приложений: например, в 2020 году была выявлена ошибка, допущенная одним из банков при реализации функционала приема и отправки платежей через СБП, которая приводила к возможности несанкционированного списания денежных средств. Могут встречаться ошибки, связанные с недостаточной защитой банковских и аутентификационных данных при их хранении на смартфонах и передаче по сети, а также уязвимости, приводящие к некорректному использованию штатного функционала приложений, например, перебор множества телефонных номеров якобы для отправки денежного перевода, что приводит к получению персональных данных клиентов банка.
2. Вредоносное воздействие на приложение на пользовательском устройстве: сюда можно отнести разнообразное вредоносное ПО и утилиты удаленного управления, которые устанавливают сами пользователи под воздействием мошенников. Вирусы могут распространяться в сети Интернет или отправляться в фишинговых рассылках в виде APK-файлов для самостоятельной установки на ОС Android, а также размещаться в магазинах приложений под видом легитимных банковских приложений, что особенно опасно и актуально сейчас, когда софт санкционных банков удаляется из Apple App Store и Google Play Store.
Кроме того, мошенники активно используют социальную инженерию, например, для выманивания у пользователей одноразовых СМС-кодов подтверждения, которые позволяют злоумышленникам несанкционированно зайти в веб-версию банковского приложения или установить банковское приложение на своих устройствах с дальнейшим хищением средств. Разумеется, перечень мошеннических методов не ограничивается подобными техническими атаками: во многих случаях злоумышленники обманом вынуждают жертву выполнить все переводы самостоятельно, от своего лица.
Зависит ли «взлом» и кража вклада через смартфон от способа открытия
Атакующий, получивший доступ к банковскому приложению, увидит все те же вклады и счета, которые видит и клиент, вне зависимости от способа открытия. При этом накопительный счет будет более уязвим по сравнению со вкладом: счет может быть закрыт в любой момент по требованию клиента (соответственно, атакующий сможет сразу после этого вывести с него все деньги), а для закрытия вклада банк может попросить клиента подойти в отделение.
Защита пользователя банковского приложения на смартфоне
Основные усилия банков направлены на безопасную разработку мобильных приложений, что включает в себя соблюдение рекомендаций и лучших практик по безопасности от Google и Apple: защита кода приложения, контроль отсутствия Root и Jailbreak, изоляция приложения во время работы, надежная аутентификация пользователей, защита (шифрование, цифровая подпись) данных при хранении, использовании и передаче. Кроме того, некоторые финансовые организации встраивают в свои приложения антивирусы.
Можно ли подделать электронную подпись и воспользоваться ей без ведома пользователя
В соответствии со статьей 5 Федерального Закона 63-ФЗ «Об электронной подписи» от 06.04.2011, простая электронная подпись — это электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом. Таким образом, пары «логин-пароль» и одноразовые коды из СМС-сообщений являются легитимными средствами электронной подписи, которая приравнивается к собственноручной при выполнении правил электронного документооборота между сайтом (сервисом) и пользователем (клиентом), включающих в себя обязательства по сохранению пользователем конфиденциальности средств простой электронной подписи. В случае, если конфиденциальность паролей или одноразовых кодов нарушена (например, человек сообщил их мошенникам, а они зашли с ними в личный кабинет), то все дальнейшие действия, выполненные злоумышленниками от имени клиента, будут считаться легитимными.
Кадровый дефицит в ИБ: есть ли он и что с этим делать
Недостаток рабочей силы характерен сейчас для всех отраслей отечественной экономики, но в некоторых секторах дефицит ощущается особенно остро — в частности, в ИТ и ИБ направлениях. Впрочем, это характерно для всего мира — по некоторым данным, глобальный дефицит кадров в ИБ составляет 4 миллиона специалистов. Российские компании активно сотрудничают с ведущими учебными заведениями (с ВУЗами, ССУЗами, даже со школами и лицеями): организуют курсы по кибербезопасности, проводят конференции и выставки, приглашают способных ребят на оплачиваемые стажировки. Данные усилия, вместе с актуализацией учебных программ в образовательных учреждениях, позволяют хотя бы отчасти компенсировать сложившийся дефицит кадров. Кроме того, компании во всем мире активно используют средства автоматизации, системы машинного обучения и искусственного интеллекта для роботизации ручных действий сотрудников, снижения рутинной нагрузки и потребности в дефицитных ИБ-специалистах.
Разумеется, всегда есть риск того, что недавно нанятый и перспективный сотрудник окажется засланным конкурентами инсайдером, а давно работающий специалист по каким-либо причинам (финансовым или моральным) вдруг утратит лояльность к работодателю. Злоумышленники активно пытаются вербовать сотрудников различных организаций, обещая значительные денежные средства в обмен на казалось бы незначительное и простое действие — переслать несколько файлов по почте, открыть полученный файл, сделать фотографию экрана компьютера и т.д. Для предотвращения подобных ситуаций следует тщательно проводить проверку кандидатов перед приемом на работу, подписывать с новым работником юридически значимые соглашения о защите корпоративной информации (например, в соответствии с 98-ФЗ «О коммерческой тайне»), а также обеспечивать эффективный контроль за работой персонала с применением организационных и технических мер защиты, включая DLP-системы для защиты от утечки данных.