Важность кибербезопасности в банковской деятельности

Банковский сектор подвергается атакам сотни лет. Сначала была только физическая кража денег, затем появилось компьютерное мошенничество. Сегодня фрод — это не только кибермошенничество, но и взлом серверов с целью кражи персональной информации клиентов. А в ситуации, когда и частные лица, и компании большинство финансовых операций проводят онлайн, риск утечки данных растет ежедневно. Возникает необходимость уделить внимание кибербезопасности банковских процессов.

Важность кибербезопасности

Очевидная причина важности безопасности транзакций – защита активов клиента. Чем больше людей отказывается от использования наличных, тем больше транзакций проводится в Интернете и на терминалах для считывания карт. В обоих случаях персональная информация может быть переадресована и использована для мошенничества.

Это влияет не только на клиента. Под ударом находится и банк, поскольку ему приходится восстанавливать данные (восстановление информации может обойтись в сотни тысяч долларов). И что немаловажно – он теряет доверие клиентов и других банков.

К сожалению, на этом проблемы не заканчиваются. Клиент вынужден закрыть все карты и открыть новые счета, вероятно, в другом банке. И даже если средства застрахованы, это не остановит мошенников от кражи персональной информации.

Важность кибербезопасности в банковской деятельности

Три риска, связанных с онлайн-банкингом

Примеры, приведенные выше, составляют малый процент потенциальных проблем с кибербезопасностью. Вызывает беспокойство следующее:

• Риск от мобильных приложений — все больше людей получают доступ к банковским счетам из мобильных приложений. Многие используют минимум средств безопасности (или не используют их вовсе), что сильно повышает возможность фрода. Следовательно, для предотвращения вредоносной деятельности на конечной точке требуются банковские программные решения.
• Утечка данных в сторонних организациях. Поскольку банки усилили свою кибербезопасность, хакеры обратили свое внимание на банковские системы общего использования и сторонние сети. Если они не защищены так же хорошо, как банки, злоумышленники могут легко в них проникнуть.
• Повышенный риск взлома криптовалюты — в дополнение к мошенничествам с обычными денежными средствами увеличилось число взломов криптовалюты. Так как этот сектор пока не знает как внедрить банковское ПО по кибербезопасности, шансы хакеров украсть солидные суммы велики. Особенно в условиях роста курса криптовалюты.

Защита от атак с защищенным ПО

При рассмотрении текущего состояния безопасности в Интернете становится очевидна необходимость расширения или полной замены текущих приложений защиты. Вот некоторые вещи, на которые нужно обратить внимание при разработке банковского программного обеспечения.

1. Аудит безопасности:
   Необходим полный аудит перед внедрением нового ПО кибербезопасности. Аудит вскроет сильные и слабые стороны существующего решения. Более того, он поможет выработать рекомендации по необходимым инвестициям
2. Firewall:
   Кибербезопасность – это не только ПО. Для блокировки хакерских атак необходимо соответствующее оборудование. С модернизированным фаерволом банки могут блокировать подозрительную активность до того, как хакеры проникнут в другие части сети.
3. Антивирус:
   Хотя обновленный Firewall повышает защищенность, он бесполезен без нового антивируса. Старое ПО может не иметь новые правила и сигнатуры вирусов, и пропустить разрушительную атаку на систему.
4. Многофакторная аутентификация (МФА):
   Необходима для клиентов, использующих мобильные телефоны или онлайн-приложения для банкинга. Часто пользователи или в принципе никогда не меняют пароль или вносят незначительные изменения. МФА остановит атакующих от доступа в сеть, поскольку требует другого уровня защиты. Например, шестизначный код, отправленный клиенту на телефон.
5. Биометрия:
   Ещё один пример многофакторной аутентификации, более безопасный, чем смс-сообщение с кодом. Эта форма аутентификации основывается на сканировании сетчатки, отпечатка пальца или распознавания лица для подтверждения личности пользователя.
6. Автоматический выход из системы:
   Многие веб-сайты и приложения позволяют пользователю оставаться онлайн пока он этого хочет. Пользователь имеет доступ к своей информации постоянно, без ввода логина. Однако, это также облегчает доступ к данным для хакеров. Автоматический логаут препятствует этому, закрывая пользовательский доступ после нескольких минут бездействия.
7. Обучение:
   Перечисленные меры могут повысить кибербезопасность. Но они не сработают, если клиенты по-прежнему будут получать доступ к своим данным из незащищенных мест или неправильно защищать свой логин. Вот почему обучение клиентов критически важно. Когда банки сообщают о возможных проблемах в безопасности, это может заставить клиентов изменить свои привычки из-за боязни потери денег.

Методы повышения кибербезопасности

Заключение

Если вам нужно решение по повышению безопасности банковского ПО, обратитесь к профессиональным разработчикам. Вероятно, они предложат использовать SSL для стандартного TCP/IP, помогут снизить подозрительную активность применением МФА, одноразовых паролей (OTP), с помощью однократного входа (SSO) и протокола передачи файлов на основе SSH (SFTP).

Информационная безопасность

Активное внедрение современных технологий дает новые возможности как потребителям финансовых услуг, так и тем, кто их предоставляет: скорость, доступность, комфорт получения разного рода сервисов постоянно увеличиваются. Однако новые технологии несут и новые угрозы — киберриски.

К киберрискам относятся:
— хищение средств клиентов финансовых организаций,
— финансовые потери самих участников рынка,
— нарушение надежности и непрерывности предоставления финансовых услуг,
— развитие системного кризиса из-за кибератак, поразивших крупнейшие организации.

Чтобы киберриски не приводили к таким серьезным последствиям, Банк России следит за киберустойчивостью финансовых организаций, предупреждает их о возможных новых типах атак и способах реагирования на них.

Более 1000 организаций — участники информобмена с ФинЦЕРТ, в том числе все российские банки

В 2022 году 50,4% хищений со счетов граждан совершалось с использованием методов социальной инженерии

За 2022 год инициировано разделегирование 5217 фишинговых доменов, 10 716 доменов направлено в Генеральную Прокуратуру Российской Федерации для ограничения доступа, включая более 1900 страниц (групп) в социальных сетях и 23 приложения. Также направлено на блокировку более 750 тысяч мошеннических телефонных номеров

В 2023 году Банк России одобрил Основные направления развития информационной безопасности кредитно-финансовой сферы на ближайшие три года. Их цели и задачи сформулированы по результатам обсуждения с участниками рынка. Документ также учитывает результаты, достигнутые при реализации Основных направлений на , актуальные вызовы в сфере информационной безопасности и предусматривает:

• защиту прав потребителей финансовых услуг и повышение уровня доверия к цифровым технологиям,
• создание условий для безопасного внедрения цифровых и платежных технологий и обеспечения технологического суверенитета,
• обеспечение контроля рисков информационной безопасности, операционной надежности для непрерывности оказания банковских и финансовых услуг.

Кибербезопасность в финансах 2023. Что показал февраль?

Чем ознаменовался февраль 2023 года? Ответ любого российского (да и не только) специалиста в сфере информационной безопасности будет однозначным! 14–17 февраля прошел Уральский форум «Кибербезопасность в финансах».

Мероприятие — преемник знаменитой Магнитки — переехало из своей традиционной локации — Магнитогорска — в Екатеринбург. Справедливости ради отметим, что в этом году речь идет скорее даже не о переезде, а о раздвоении форума. Дело в том, что в Магнитогорске с 27 февраля по 1 марта 2023 года запланировано еще одно ИБ-мероприятие — «Цифровая устойчивость и информационная безопасность России», нацеленное преимущественно на небанковские структуры. При этом по сравнению с предыдущими годами Уральский форум заметно изменил формат — с преимущественно неофициально-кулуарного на более строгий официозный. Это было заметно как по особо представительному составу спикеров, включая команду ЦБ во главе с председателем Банка России Эльвирой Набиуллиной, так и по масштабу рассматриваемых тем, включая анонсирование стратегического документа — «Основных направлений развития информационной безопасности кредитно-финансовой сферы» на ближайшие три года. В оживленных дискуссиях (происходящих, впрочем, преимущественно в президиуме) приняли участие представители федеральных органов власти, крупнейших банков и небанковских финансовых организаций, финтех-структур и, конечно же, эксперты ведущих компаний в области защиты информации.

Семь трендов 2022–2023

Читайте также:

Итак, что показал Уральский форум 2023? Вот лишь несколько ключевых трендов: Во-первых, 2022-й — год, в который реализовались все риски, которые только могли реализоваться. Во-вторых, киберпреступники продемонстрировали в 2022 году переход от количества к качеству. Количество, впрочем, тоже не «пострадало»: за последний год количество только DDoS-атак выросло в 8 раз. В-третьих, наиболее актуальными угрозами становятся атаки через третьи стороны — т. е. атаки со стороны менее защищенных, чем банки, партнеров, а также банковский персонал. В-четвертых, среди ключевых факторов риска — массовый переход на дистанционную работу, дефицит кадров и массовый же уход вендоров решений ИБ с российского рынка. В-пятых, злоумышленники стали публично заявлять об успешных атаках, в то время как раньше начинали с приватного требования «выкупа», тем самым делая ущерб репутации бизнес-структуры неизбежным. В-шестых, такие инициативы Банка России, как проведение киберполигонов, способствуют «боевой слаженности» между участниками рынка и госструктурами при отражении различного рода кибератак. И наконец, в-седьмых: кибербезопасность бесполезна без риск-ориентированного аудита. Потому что тот самый редкий случай, когда ИБ «не нужна», — это ситуация, при которой организацией были инвестированы существенные средства в решения, позволяющие устранить лишь отдельные не слишком значительные риски, не обеспечивая информационную безопасность структуры в целом.

Киберриски. Застраховано — значит защищено?

Что касается активно обсуждаемого в ходе форума страхования киберрисков, то, как показал Уральский форум, этот рынок в России заметно отстает от реалий времени (не более 7 млн долл. США при объеме мирового от 7,5 млрд до 10 млрд долл.). Причин несколько, основная — отсутствие прозрачности самого рынка. Нет открытой статистики как по киберинцидентам, так и по страховым выплатам, мало информации по возможным комбинациям в рамках комплексных полисов и т. п., притом что цены на такого рода страховые услуги резко возросли на фоне драматического роста атак. Неудивительно, что в этих условиях киберриски страхуют только самые благополучные участники российского рынка, уже реализовавшие максимум технологических мер защиты.

Социальная инженерия. Страховать или не страховать ущерб?

Как нетрудно догадаться, одной из самых обсуждаемых тем стала социальная инженерия, в том числе в самом своем радикальном проявлении — формате телефонного мошенничества. Ущерб физлиц от этого вида преступлений продолжает расти, а у участников рынка до сих пор нет однозначного мнения, страховать его или нет. И это несмотря на то, что потеря денег с тех или иных электронных носителей остается практически единственным риском, который интересен страхователю — физическому лицу. Судя по всему, страховать потери такого рода банкам все же придется. Как отметила в ходе пленарной сессии Уральского форум глава Банка России Эльвира Набиуллина, банки должны отвечать перед клиентами за их потери от мошенничества в любом случае, потому что человек гораздо более беззащитен перед преступниками, чем банк, оснащенный всеми современными технологическими средствами противодействия. Поэтому закон о возмещении средств физлицам, ставшим жертвами мошенников, и дающий клиенту два дня на обдумывание совершенного денежного перевода, должен также предусматривать ответственность банков за перевод денежных средств клиентов на счета, контролируемые преступниками. Неслучайно уже в мае 2023-го Сбер введет услугу, с помощью которой начнет возвращать клиентам переведенные на счета предполагаемых мошенников средства.

ЦБ: киберустойчивость на трех китах?

• защита потребителей и повышение их доверия к кредитно-финансовым структурам;
• достижение технологического суверенитета;
• управление киберрисками и контроль операционной надежности.

Защита ПнД: пора выйти из тени?

На фоне происходящего особое внимание рынок уделяет сегодня вопросам защиты персональных данных клиентов. Что касается государства, то оно реализует в этом направлении целый ряд мер — как законодательного, так и инфраструктурного характера. Основной принцип здесь напоминает слоган известной рекламы налоговой службы: «Пора выйти из тени, передав данные об атаках регулятору». Так, например, недавнее внесение изменений в Закон о персональных данных обязывает операторов ПнД информировать ФОИВ обо всех случаях утечки данных. Речь идет о взаимодействии с порядка 7 млн структур, поэтому его планируется сделать максимально простым и прозрачным.

Мобильные операторы против телефонного мошенничества?

Как показал Уральский форум 2023, несмотря на привычные упреки, российские мобильные операторы (по крайней мере крупнейшие, представители которых участвовали в дискуссии) заинтересованы в противодействии телефонному мошенничеству не меньше банков. Более того, большая четверка уже создала общий верифицированный контур, с помощью которого успешно противостоит мошенникам.

При этом окончательно проблему телефонного мошенничества может решить только единая система верификации вызовов с вовлечением регуляторов и крупнейших участников рынка телекома с их технологиями и инфраструктурой. Например, система, которая начнет работать с марта 2023 года, обеспечивает контроль оператора связи за личностью абонента, способствуя созданию единой верифицированной базы абонентов.

А система «Антифрод» позволяет сделать в режиме реального времени запрос оператору, абонент которого якобы осуществляет данный вызов. В настоящее время к ней подключены четыре крупнейших российских оператора мобильной связи, между которыми осуществляется верификация вызовов. Ожидается, что до конца 2023 года к системе подключатся все российские операторы мобильной связи. Тем более что операторы, которые откажутся подключаться к системе, согласно закону просто не смогут продолжать свою деятельность на территории России.

Фишинг — только работа на опережение?

Особое внимание было уделено участниками Уральского форума борьбе с фишинговыми сайтами. С одной стороны, в настоящее время существует эффективный механизм блокировки нарушающих закон сайтов. Только в 2022 году было удалено 2300 материалов и заблокировано 8100 сайтов, что в 2,5 раза превышает результаты 2021 года. С другой –эффективность противодействия фишингу измеряется не числом заблокированных ресурсов, а объемом потерь и количеством пострадавших от этого вида преступлений. И судя по происходящему, проблема продолжает усугубляться.

Да, в 2022 году доля фишинговых ресурсов в Рунете упала до 15%, сократившись в четыре раза, поэтому определенный прогресс здесь все же наблюдается, однако процесс нужно ускорять. Например, снизив срок жизни фишингового сайта до двух дней, можно исключить выдачу ссылок на них в поисковых ресурсах. В идеале такие ссылки должны остаться исключительно в личной переписке пользователей в мессенджерах. Но к этому нам еще предстоит прийти.

Подробнее об итогах Уральского форума «Кибербезопасность в финансах» читайте в материале этого номера!

Среди ряда других актуальных тем вопросы кибербезопасности и киберустойчивости будут обсуждаться в ходе Международного ПЛАС-Форума «ПЛАС-Форум „Digital Kyrgyzstan“», который пройдет в Бишкеке уже 15 марта 2023 года. До встречи на нашем мероприятии!

При подготовке материала использовались источники:

https://cbr.ru/information_security/
https://plusworld.ru/journal/2023/plus-2-2023/kiberbezopasnost-v-finansakh-2023-chto-pokazal-fevral/