Вступить в ассоциацию

Новый стандарт киберзащищённости

07.09.2017
154
Новый стандарт киберзащищённости

Банк России намерен заставить российские финансовые организации сертифицировать в Федеральной службе по техническому и экспортному контролю (ФСТЭК) электронные платёжные приложения, сообщили «Парламентской газете» в пресс-службе ведомства. Проверять их будут, в том числе, на соответствие утверждённому в августе национальному стандарту безопасности банковских и финансовых операций. Действовать он начнёт с 1 января 2018 года.

Новые нормативы на страже

Заключенные в нормативах требования к защите информации при осуществлении удалённого доступа с использованием мобильных устройств предполагают «комплексный подход к планированию, реализации, контролю и совершенствованию процесса защиты информации» в банках. В Центробанке РФ и Росстандарте считают, что переход на новые правила позволит финансовым организациям «повысить уровень защищённости от киберпреступлений, обеспечить стабильное и бесперебойное обслуживание клиентов».

Кроме того, ЦБ ожидает, что новые стандарты безопасности существенно снизят риски в сфере кибербезопасности, связанные с несанкционированными транзакциями. По данным регулятора, потери отечественных банков и их клиентов от интернет-мошенников в прошлом году составили порядка двух миллиардов рублей. При этом кражи с банковских карточек россиян в 2016 году увеличились до 650 миллионов рублей.

По мнению члена Комитета Госдумы по финансовому рынку Алексея Изотова, «ЦБ просто вынужден устанавливать новые стандарты для банков, микрофинансовых органзаций и прочих участников рынка ценных бумаг». Кроме того, объяснил парламентарий, решение ЦБ может быть связано с необходимостью усиления контроля за переводами, чтобы не допустить поддержку россиянами всевозможных экстремистских организаций. Не последнюю роль при этом играет и предотвращение кибератак со стороны других государств. Поэтому, полагает Изотов, регламентирование в данной области — дело весьма своевременное.

«С активным распространением интернет-банкинга возрастает и риск финансового мошенничества, особенно связанного с незаконным переводом денежных средств владельцев-пользователей приложений», — сказал «Парламентской газете» первый заместитель председателя Комитета Совета Федерации по бюджету и финансовым рынкам Николай Журавлев.  По его словам, речь идёт о вполне своевременных требованиях, которые объективно необходимы для дистанционного обслуживания. Это и безопасная идентификация пользователя при входе в программу, и повторная проверка личности при долгом отсутствии действий в мобильном банке, и многое другое. «Какие-то банки изначально уделяют кибербезопасности повышенное внимание, другие относятся к этому проще. При этом клиенты полностью полагаются на кредитные организации», — подчеркнул законодатель. Именно поэтому, считает сенатор, «требуется единый, одинаковый для всех участников стандарт, соответствие которому должно контролироваться мегарегулятором».

Коварство мобильных приложений

Если говорить о мобильных банковских приложениях, то понятие их «взлома» можно использовать с определённой долей условности, поскольку наибольшую опасность для пользователей представляют так называемые мобильные банковские троянцы, рассказал «Парламентской газете» аналитик «Доктор Веб» Павел Шалин. «Они способны красть учётные данные для входа в банковское приложение (в самом примитивном случае — показывая поддельную форму ввода логина и пароля поверх настоящей), а также перехватывать и пересылать злоумышленникам входящие СМС-сообщения, в том числе с одноразовыми паролями для входа в систему банк-клиент. Таким образом, киберпреступники могут воспользоваться полученной информацией для несанкционированного проведения банковских операций», — подчеркнул эксперт.

Что же касается банковских троянцев, ориентированных на корпоративные и «настольные» системы, то они устроены намного сложнее и имеют более изощрённую архитектуру. «Они способны не просто красть пароли для доступа к системам «Банк-Клиент», но также встраиваться в другие работающие программы, подменять «на лету» содержимое открываемых в браузере веб-страниц, деактивировать антивирусы», — пояснил Павел Шалин.

По словам аналитика, многие современные банковские троянцы умеют принимать команды от управляющего центра, способны служить прокси-сервером, фильтровать проходящий через зараженный компьютер трафик в поисках определённых данных, передавать злоумышленникам всю вводимую пользователем в экранных формах информацию, делать снимки экрана, подменять на компьютере цифровые сертификаты. Иными словами, киберпреступники обладают широчайшим арсеналом для хищения денег с банковских счетов частных лиц и организаций, отметил IT-специалист из компании «Доктор Веб».

Андрей Брызгин, эксперт из Group-IB, которая занимается предотвращением и расследованием киберпреступлений и мошенничества с использованием высоких технологий, рассказал «Парламентской газете», что «очень большим риском для банковского приложения является работа на рутованных мобильных устройствах (когда на андроид устройства добавляются права суперпользователя, который имеет доступ ко всему: произвольное чтение из памяти, постоянный доступ к процессам и т.д. — Прим. ред.). «Если приложение запускается в такой среде, то это существенно повышает пользовательский риск», — заявил специалист. Именно поэтому совмещать рутованные устройства с информационной безопасностью не следует, предупредил Брызгин.

По мнению эксперта по IT-безопасности, от массовых атак обычно страдают самые крупные банки, «но именно поэтому у самых крупных банков с приложениями всё достаточно неплохо. «Лично я считаю, что своими действиями ЦБ стремится повысить порог входа по безопасности на этот рынок», — отметил представитель Group-IB. В заключение эксперт подчеркнул, что уверен в правильности намерения регулятора.

Источник: Российский Микрофинансовый Центр