Facebook |  ВКонтакте | Город Алматы 
Выберите город
А
  • Актау
  • Актобе
  • Алматы
  • Аральск
  • Аркалык
  • Астана
  • Атбасар
  • Атырау
Б
  • Байконыр
Ж
  • Жезказган
  • Житикара
З
  • Зыряновск
К
  • Капчагай
  • Караганда
  • Кокшетау
  • Костанай
  • Кызылорда
Л
  • Лисаковск
П
  • Павлодар
  • Петропавловск
Р
  • Риддер
С
  • Семей
Т
  • Талдыкорган
  • Тараз
  • Темиртау
  • Туркестан
У
  • Урал
  • Уральск
  • Усть-Каменогорск
Ф
  • Форт Шевченко
Ч
  • Чимбулак
Ш
  • Шымкент
Щ
  • Щучинск
Э
  • Экибастуз

«В России выгодно не охранять, а воровать»

Дата: 16 марта 2011 в 13:41 Категория: Происшествия

Все уважающие себя банки, занимающиеся дистанционным обслуживанием, говорят о том, что в течение прошлого года их число онлайн-клиентов выросло в два раза. При этом все прекрасно понимают, что рынок российского дистанционного банковского обслуживания пока еще в зачаточном состоянии. Между тем, врагов, норовящих сожрать новорожденного младенца, множество. Потому что он пока беззащитен перед замечательно экипированными злодеями. Банковские ИТ-специалисты 15 марта обсудили вопросы безопасности платежных систем на второй конференции PCI DSS Russia-2011.

Мероприятие организовала компания Digital Security, специалистов которой вполне можно назвать честными хакерами. Они не только являются аудиторами программных решений банков на соответствие стандартам безопасности PCI DSS, но и все время атакуют разработчиков на предмет поиска уязвимости в их продукции.

Только, к сожалению, последняя деятельность в России может рассматриваться лишь как профессиональное хобби. В отличие от зарубежных компаний, специализирующихся на поисках брешей, потенциально позволяющих уводить со счетов деньги, в России разработчики за это не только не платят, но и даже не благодарят за найденные ошибки. Более того – вовсе не стремятся их исправлять. И этот факт ставит под большое сомнение всю безопасность интернет-банкинга, как бы удобен и высокотехнологичен он ни был.

Наказание рублем

Представители мировых платежных систем, выступавшие на конференции, были единодушны в оценках. Они не могут позволить себе репутационные риски. Само упоминание возможности совершения мошеннических действий в непосредственной близости от их брендов заставляет их нервно чесаться и бить своих, чтобы чужие боялись.

По словам представителя платежной системы Visa Павла Стромского, российским банкам уже давно был установлен дедлайн на сертификацию их систем ИТ-безопасности по стандартам PCI DSS, который благополучно истек еще в сентябре прошлого года. При этом далеко не все банки готовы отчитаться, что все необходимое ими выполнено. А некоторые даже и не думали шевелиться.

Конечно, главная проблема тут не столько в банках. К примеру, очень сложно заставить предприятия той же торговли, принимающие к оплате банковские карты, потратиться на сертификацию. Потому что они ее элементарно не пройдут без глобальной замены оборудования. Сегодня весь мир «фанатеет» от бесконтактных платежей и видит в них технологию завтрашнего дня, а в столице России хватит пальцев на одной руке, чтобы пересчитать места, где можно расплатиться подобным образом.

По мнению эксперта, банки, потратившиеся на то, чтобы при выпуске новых карт применять чиповые технологии, существенно сократили свои потери от мошенничества. Это стратегическое направление развития, которое рынку, к сожалению, только еще предстоит разжевать. Но банки будут вынуждены это делать, потому что те же мировые платежные системы будут на них давить.

Тем не менее, у Visa скоро появятся к банкам претензии, за которые будут включаться штрафные санкции. «Пока мы лишь собираем информацию, но оргвыводы несомненно последуют. Все хакерские штучки – это не проблемы Visa. Это ваши риски и ваши проблемы», — жестко заявил Павел Стромский.

Представитель MasterCard  Михаил Хрущев даже не стал растекаться мыслью по древу. Он обошелся без презентации и его доклад был самым коротким и самым прямолинейным. По его словам, штраф для кредитной организации в размере $100 тыс. за один кейс компрометации, вне зависимости от того, сколько данных попало к мошенникам, лучше всего мотивируют банки вызывать аудиторов для прохождения сертификации.

«Это не просто бумажка-сертификат с дурацкими требованиями, это ваше освобождение от финансовой ответственности перед нашей платежной системой», — заявил он. И добавил, что только благодаря такому наказанию рублем сегодня в России нет серьезных утечек по информационной безопасности.

В отношении собственных разработок по обеспечению безопасности банки не могут гордо сказать, что они и сами с усами. К примеру, те же ИТ-директоры из зала просили представителей платежных систем почаще общаться с собственниками банков и пугать штрафами непосредственно их. А то, мол, когда их убеждаешь в необходимости вложиться в укрепление «обороны», они своим сотрудникам не верят. И им приходится изобретать велосипеды, внедрять доморощенные системы, вместо того, чтобы просто купить готовый велосипед, сесть и поехать.

Говоря об основных ошибках, директор департамента консалтинга компании LETA Александр Бондаренко отметил, что главной причиной инцидентов, за которые банкам приходится краснеть, является банальное разгильдяйство. К примеру, в порядке вещей ситуации, когда не сразу блокируются учетные данные уволившихся сотрудников.

Никто, конечно, не запрещает разрабатывать компенсационные меры. Но вовсе не факт, что это экономически эффективнее, чем выполнить стандарт. Ведь компенсация не должна быть хуже стандарта.

На то и щука…

Многие разработчики систем информационной безопасности прямо заявляют: своим развитием они обязаны мошенникам. Но если за границей об этом не стесняются говорить прямо, то в России предпочитают держать головы в песке, чем рискнуть оценить масштабы проблемы.

Самая интересная часть конференции началась после того как сотрудник Digital Security Александр Поляков не только рассказал, но и наглядно показал, как элементарно просто мошенникам достаются деньги. Он на глазах у изумленной публики с обычного нетбука атаковал один из интернет-магазинов, и в течение трех минут добыл данные, необходимые для кражи денег с чужих счетов.

Занимаясь поисками уязвимости в продукции таких зубров как Oracle и SAP, эксперт пришел к выводу, что разработчикам на самом деле глубоко фиолетово, сколько дыр найдется в их решениях для безопасности.  Сами они их не ищут. В России нет подобного направления для исследований, здесь только продажи. И после того, как уязвимость обнаружена, разработчики вовсе не спешат ее штопать, потому что для этого им придется объяснять всем, у кого внедрено соответствующее решение, что возникли проблемы.

Как правило, проходит пара лет, прежде чем Digital Security публикует данные о своих «открытиях», а делают они это только после того, как проблема нашла у разработчика решение. И то не факт, что все клиенты разработчиков обеспечиваются «заплатками» в виде дополнительных патчей.

Илья Медведовский из Digital Security уверен, что банки пока расслаблены исключительно потому, что основные атаки хакеров-мошенников нацелены на клиентов, как на более слабое звено. Зачем напрягать мозги и нападать на банковский сервер, когда можно включить доильный аппарат «Елочка» и практически безнаказанно и без лишних рисков обрабатывать банковскую клиентуру?

И банк пока находится в выигрышной позиции, потому что может посмотреть на клиента свысока и сообщить ему, что он сам дурак и не соблюдает элементарной гигиены в плане информационной безопасности. Ведь до 40% мошеннических «траянов» при продуманном социальном сценарии срабатывает.

«В России нет секьюрити-сообщества. И, наверное, не будет никогда, потому что у нас выгодно не охранять, а воровать», — заметил эксперт.

При этом подобные случаи очень тяжело расследовать. А официально этим никто не хочет заниматься. Это «там у них» информационная безопасность находится в государственном приоритете и русских хакеров ловят все страны, кому не лень. А у нас силовики прямо на конференциях заявляют, мол, наловим сейчас семнадцатилетних пацанов, сработавших по заказу, а денег-то у них все равно уже нет и тюрьмы переполнены. И вообще президент сказал всех выпускать…

«Банки просто не имеют таких бюджетов, чтобы достояно защититься. А мошенники могут украсть сколько угодно денег для того, чтобы продолжать совершенствовать свое оружие», — считает Павел Крылов из Swedbank.

По его мнению, коль скоро производители систем безопасности не имеет опыта расследования печальных инцидентов, а банки не могут дорабатывать продукт самостоятельно, то для банка провести расследование – дело чести, достоинства и деловой репутации.  «Мы – слепые футболисты, в панике бегающие по полю, и не знающие, где ворота, потому что между нами совершенно не налажено взаимодействие по подобным расследованиям», — заявил эксперт, не постеснявшийся привести примеры из печального опыта своего банка.

Можно неофициально поделиться добрым советом на профессиональном форуме, но разве банки имеют привычку уведомлять друг друга о взломанных системах своих дистанционных клиентов? Страх признаться друг другу в «нехорошей болезни» приводит в том числе и к тому, что мошенники чувствуют себя совершенно безнаказанно.

А клиент-то верит, что «в Багдаде все спокойно».

По сообщению сайта Банкир.ру