Google+
Журнал Плас Плас Журнал http://www.plusworld.ru/
ул. Кржижановского, д. 29, корп. 5 Москва, 117218 Россия
+7 495 961 1065 http://www.plusworld.ru/upload/templates/logo_plus_ru.png
RSS RSS RSS RSS

Group-IB: банкам необходимо создавать свои «команды быстрого реагировани»

(Нет голосов)

06.11.2012 Количество просмотров 2238 просмотров

Компьютерные преступления, связанные с хищением данных и денежных средств клиентов банков, сегодня представляют собой серьезную проблему для платежной экосистемы России. Журнал «ПЛАС» попросил поделиться экспертной оценкой ситуации с такими преступлениями в России, мнением относительно картины угроз и данными о реальном объеме потерь от компьютерных преступлений в банковском и финансовом секторе России Валерия Баулина, руководителя лаборатории компьютерной криминалистики компании Group-IB (расследование компьютерных преступлений).


ПЛАС: Как вы оцениваете уровень тех реальных финансовых потерь, которые несут сегодня предприятия и организации финансового и банковского сектора в России от ИТ-угроз и утечек данных?
В. Баулин: Общий объем потерь кредитно-финансового сектора от ИТ-угроз и утечек данных оценить сегодня достаточно сложно. Фактически все такие оценки могут строиться лишь на частичных данных внешней статистики, наиболее репрезентативными из которых является статистика компьютерных преступлений как таковых. Именно ими занимается наша лаборатория, поэтому мы можем определенным образом судить об этом на основе статистики по взломам сайтов, фактам несанкционированного списания денежных средств со счетов банковских клиентов и т. п.
При этом отмечу, что по внутриотраслевой статистике такой объем оценить гораздо сложнее, в силу того, что банки зачастую предпочитают не афишировать инциденты, чтобы не нести репутационных рисков, и даже внутренняя система обмена информацией о проблемах и инцидентах, связанных с безопасностью, в существующей платежной экосистеме не налажена должным образом. О том, что такая система была бы крайне полезна для банковского сообщества, на протяжении долгого времени говорит ряд экспертов и экспертных групп, в частности АРЧЕ (в начале 2008г. АРЧЕ был создан Форум безопасности «Межбанковский информационный обмен») и ТК122. В любом случае сегодня можно констатировать, что на настоящий момент полную картину потерь банков от информационных угроз невозможно достоверно оценить, так как ни правоохранительные органы, ни экспертные организации, ни само банковское сообщество не обладает полной статистикой по таким инцидентам.
ПЛАС: Как вы относитесь к недавно обнародованным и, на взгляд ряда экспертов, неоправданно завышенным, оценкам компании Zecurion о 20 млрд долл. ущерба от утечек данных в 2011г. на российском рынке? Не завышаются ли зачастую и оценки ущерба от компьютерных преступлений в банковской сфере, в частности от вредоносного ПО?
В. Баулин: Проблема, во-первых, в том, что существует масса способов оценить такой ущерб. Например, мы ежегодно подсчитываем ущерб от компьютерной преступности в России и даем свои экспертные оценки, в которые стараемся максимально закладывать прямые потери. Некоторые компании закладывают в свои оценки и во много раз большие и труднооцениваемые косвенные потери – вплоть до зарплат соответствующих сотрудников правоохранительных органов, налоги и прочее. Здесь, к сожалению, компания Zecurion не указала, что именно она закладывает в оценку каждого случая по утечке информации. Например, оценки компании InfoWatch дают почти в 10 раз меньшие суммы.

Во-вторых, когда речь идет о каких-то статистических подсчетах в отношении оценки финансового ущерба от троянов, очень часто в таких подсчетах явно или неявно присутствует маркетинговый фактор. Зачастую маркетологи антивирусных компаний считают, что чем выше цифру потерь они назовут, тем больше внимания СМИ и общественности привлекут к проблеме и к своим продуктам, действуя по принципу «напугать – успокоить»: «найти» супертроян, от которого «единственным лекарством» является то или иное антивирусное ПО. Таким громким заявлениям помогают два фактора. Первый, о котором мы говорили, – отсутствие официальной или даже внутриотраслевой достоверной статистики по инцидентам. Второй состоит в том, что на сегодняшний день не существует единой классификации вредоносного ПО, и каждая антивирусная компания имеет свои классификаторы. Таким образом, одно и то же вредоносное ПО может иметь разные названия.
ПЛАС: Есть ли различия в картине киберугроз между Западом и Россией?

 В. Баулин: Россия и Запад (Европа и Северная Америка) являются двумя совершенно разными рынками, и, соответственно, картины угроз для них кардинальным образом различаются. Среди киберпреступников существует четкое разделение на группы, работающие только в России, и группы, совершающие мошеннические операции только за ее рубежами. При этом, что наиболее важно, они используют совершенно разное программное обеспечение, так как в России и за ее пределами распространены разные виды информационных систем. Так, если в России и ряде стран СНГ наиболее распространенным является троян Carberp, то для Запада он совершенно «неприменим», в их информационных системах он просто не будет работать.В целом в тройку самых популярных у нас банковских троянов сегодня входят упомянутый Carberp, Shiz, и Spy Eye, а также Hodprot. При этом мы надеемся, что волна мошенничеств с использованием Carberp пойдет в самое ближайшее время на спад: благодаря нескольким успешным расследованиям, проведенным правоохранительными органами при нашем непосредственном участии, три крупные группировки, использующие данный вирус, прекратили свое существование.

 Несомненно, еще одним важным отличием российского «рынка киберпреступлений» от такового в Европе и США является его привлекательность для самих преступников в силу большей безнаказанности их деяний. Последствием такой безнаказанности (другими словами, стимулирования роста киберпреступности) являются все увеличивающиеся финансовые потери клиентов банков, причем ситуация усугубляется крайне малой развитостью рынка страхования банковских, в том числе карточных, счетов. Если в США подавляющее большинство средств на счетах (цифра, близкая к 99%) застрахованы и сам клиент банка страдает довольно редко, то в России это скорее является приятной редкостью. Необходимо понимать, что из-за наличия высокого уровня коррупции и слабого противодействия отмыванию доходов в России в целом возможны такие криминальные схемы, которые неосуществимы в западных странах. Именно поэтому при расследовании компьютерных преступлений в России необходимо учитывать нашу специфику.

ПЛАС: Насколько важным вы считаете развитие рынка страхования информационных рисков в России для эффективной борьбы с мошенничеством?

 В. Баулин: На рынке нашей страны только-только начинают появляться продукты, которые позволяли бы страховать риски, связанные с информационной безопасностью. Мы считаем, что необходимо как можно быстрее развивать этот специфический рынок страхования, ибо это действительно позволит серьезно сократить и число, и уровень опасности инцидентов, связанных с мошенническими действиями киберпреступников.

С чем это связано? Мы полагаем, что с развитием такого вида страхования должна существенно поменяться сама модель клиентского поведения, из-за которой сегодня происходит большинство инцидентов. Не секрет, что в 99% случаев, по крайней мере в части юридических лиц, так или иначе вина или ее часть лежит на клиенте, который либо недостаточно обеспечил защитой свой компьютер, рабочее место, на котором установлена система банк-клиент, либо его настройки системы безопасности находились на достаточно низком уровне, и т.п. Есть примеры, когда на компьютере бухгалтера предприятия вообще не был установлен антивирус. Все это значительно облегчает злоумышленникам возможность проводить мошеннические операции.

 При наличии договора страхования, с одной стороны, обязательства клиента по реализации защитных мер со своей стороны значительно повышаются, и он материально мотивирован обеспечивать их корректность, чтобы получить в случае инцидента страховую выплату. С другой стороны, свободнее себя чувствует и банк, который, напомню, после 1 января 2013г., согласно изменившемуся законодательству, будет нести на себе большую часть рисков. Таким образом, страхование фрод-рисков может, на наш взгляд, значительно облегчить ситуацию с мошенничеством для всех сторон – и для клиентов, и для банков, при этом обе стороны будут мотивированы в корректной защите своих информационных систем, что должно привести к повышению безопасности платежной экосистемы в целом.

Во многом задержки в этом направлении связаны с тем, что рынок независимых компьютерных экспертиз в России недостаточно зрел. Для того чтобы удостовериться в факте выполнения клиентом всех требований по компьютерной безопасности, предъявленных ему банком, для соблюдения условий получения страховой выплаты, потребуется проведение компьютерных экспертиз и исследований. Однако выполнить их на достаточно высоком уровне мало кто может. В противном случае банки и страховые компании ждет череда злоупотреблений и мошенничеств.

ПЛАС: Как можно ранжировать сегодняшнюю картину киберугроз для банковского и финансового сектора России по объему причиняемого ущерба, исходя из информации, доступной вашей компании?

 В. Баулин: Если говорить о той части картины угроз, которая доступна нам для анализа и подкреплена соответствующей статистикой обращений наших клиентов, сегодня наиболее опасными для банков в общем числе компьютерных преступлений являются инциденты в системах дистанционного банковского обслуживания, т. е. именно они приносят наибольший объем потерь. На втором месте, по нашим оценкам, стоит скимминг, и на третьем – различного рода мошеннические операции, совершаемые при помощи мобильных устройств. Именно так можно оценить сегодняшнюю иерархию угроз в разрезе объема причиняемого финансового ущерба.

 Кроме того, если касаться компьютерных преступлений, затрагивающих интересы банков и их клиентов, я бы добавил к списку наиболее актуальных современных угроз т. н. «сетевые угрозы брендам». Если достаточно схематично описывать этот вид преступлений, можно свести его к следующему. Злоумышленники, прямо или косвенно используя банковский или иной, скажем, ритейловый, бренд, создают либо фишинговые ресурсы, которые напрямую угрожают клиентам банка, либо «поддельные», «заместительные» сетевые ресурсы (например, под видом какого-либо банка или ТСП предлагают свои услуги, но при этом к самому бренду не имеют никакого отношения).

В данном случае банк или ритейлер не несет прямого финансового ущерба, но зачастую репутационные риски опаснее для бизнеса, чем прямые потери, – их нельзя выразить в деньгах и учесть в статистике, но тем не менее финансовые учреждения и ритейлеры понимают всю опасность таких угроз для себя.

Приведу инцидент с компанией ECCO, когда злоумышленники, прикрываясь их брендом, создали интернет-магазин, который предлагал посетителям web-страницы обувь ECCO. Злоумышленники получали деньги за заказанный товар, не присылая его клиентам. Естественно, обманутые и понесшие финансовый урон потребители обращались к официальным представителям компании в России. Понятно, что владелец бренда не понес никакого финансового ущерба от мошенников, но сформировавшееся у части потребителей в результате таких инцидентов негативное отношение или недоверие к сетевым ресурсам бренда могли какое-то время затруднять бизнес.

Не менее характерны подобные риски и для банковских структур. В частности, мы работаем с банком «Тинькофф Кредитные Системы» (ТКС-Банком), оказывая ему антифишинговые услуги. Не секрет, что ТКС-Банк в первую очередь специализируется на дистанционном обслуживании клиентов. Соответственно, у банка развит спектр услуг и сервисов для интернет-пользователей. Этим фактом пользуются различные злоумышленники, которые под видом ТКС-Банка создают определенные ресурсы, где-либо предлагают клиентам несуществующие услуги, либо собирают конфиденциальную информацию о клиентах ТКС для последующих мошеннических действий с ней. Для нейтрализации таких угроз нами вместе со службами информационной безопасности банка был составлен определенный список слов и вариантов их написания, которые могут быть использованы злоумышленниками для создания т. н. «доменов-нарушителей». Специалисты в автоматическом режиме осуществляют мониторинг сети по этим ключевым словам, выявляют потенциально опасные ресурсы, оповещают об этом службу информационной безопасности банка, по ее требованию проводят экспертизу ресурса. И если подтверждается вредоносность ресурса, он блокируется.

 ПЛАС: Каковы могут быть оценки реального финансового ущерба от компьютерных преступлений для российского банковского и финансового рынка, исходя из ваших данных?

В. Баулин: Говоря о реальном уровне финансовых потерь от компьютерных преступлений, связанных с банковскими троянами в финансовом секторе России, то есть о CNP-фроде, можно дать следующую экспертную оценку. За прошлый 2011г., по оценкам, определенным статистикой нашей лаборатории компьютерной криминалистики и отделов расследования и аналитики, юридические лица в РФ потеряли в результате таких мошеннических действий в совокупности более 750млн долларов США. Потери клиентовфизических лиц меньше в разы, они измеряются суммой около 75 млн долл. Однако в отношении статистики по физическим лицам не стоит обольщаться. Дело и в неполноте статистических данных, о чем мы говорили ранее, и в том, что масштабные хищения со счетов физлиц с помощью банковских троянов начались только во второй половине 2011г., соответственно, мы можем учесть меньшее число инцидентов по сравнению со статистикой относительно юридических лиц. Если говорить о наших оценках средней суммы потерь, то юридическое лицо в среднем за один успешный инцидент теряло суммы в районе 3 млн рублей, а физическое лицо – суммы порядка 250–300 тыс. рублей, но естественно, эти показатели не дают полной картины, как любое среднеарифметическое значение. Бывают и случаи, когда со счетов предприятий мошенники снимали по 5 тысяч рублей и отправляли… в налоговую в качестве пробного платежа.

Наши экспертные оценки, связанные с карточным фродом, говорят о том, что в прошлом году количество хищений по картам, связанное со скиммингом, выросло в разы по сравнению с предыдущим периодом. Это вторая волна скимминга на российском рынке, которую эксперты небезосновательно связывают с быстрым появлением очень большого числа карточных проектов, в том числе зарплатных и пенсионных, и тем фактом, что наконец-то в регионах начали относительно широко применяться средства безналичных платежей. При всем этом, к сожалению, приходится констатировать, что в вопросах, связанных с информационной безопасностью, «новые» пользователи карт порой демонстрируют элементарную неграмотность.

Если говорить о распределении потерь по видам карточного мошенничества, можно отметить, что пока скимминг еще уверенно лидирует в России по этим показателям. Однако мы полагаем, что CNP-фрод, и фишинговые схемы в частности, – это та самая «темная лошадка», которая, по нашим прогнозам, в очень скором времени даст о себе знать в России в очень серьезных масштабах. Этому способствуют не только такие факторы, как сравнительно меньшая трудоемкость мошеннических методик по сравнению с «традиционным», офлайн, карточным фродом, большая внешняя незаметность мошенников и их действий в процессе совершения преступления, сама их удаленность от «места преступления» и легкость миграции, но и динамичный рост числа и объемов карточных транзакций в каналах ДБО. Мимо всех этих преимуществ, на наш взгляд, мошенники точно не пройдут – реализация проще, рисков меньше, доказать сложнее.

 ПЛАС: Изменит ли, на ваш взгляд, ситуацию с мошенничеством вступление в силу с 1 января 2013 года положений ФЗ «О национальной платежной системе», касающихся принципа «нулевой ответственности»?

 В. Баулин: Мы обоснованно надеемся, что когда значительная часть ответственности будет перенесена на сторону банка, это заставит банковское сообщество начать какие-то активные действия по противодействию мошенничеству. На наш взгляд, сегодня, за исключением ограниченного количества банков, банковское сообщество в целом не работает с правоохранительными органами, с профильными ассоциациями, банки не обмениваются данными между собой и т.п. Как только произойдет сдвиг ответственности, тогда, на наш взгляд, со стороны банков начнется реальное и адекватное противодействие мошенникам.

Элемент панели управления бот-сетью, состоящей из полутора миллионов зараженных компьютеров

 ПЛАС: Что можно понимать под реальным и адекватным противодействием мошенничеству со стороны банковского сектора?

В. Баулин: Подход, который исповедуем мы, состоит в том, что за «щитом» всегда должен быть «меч». Что он может собой представлять? На основании мирового опыта мы полагаем, что при крупных кредитно-финансовых организациях должны развиваться собственные команды быстрого реагирования на инциденты информационной безопасности, в профессиональной среде чаще называемые CERT (Computer Emergency Response Team или CSIRT (Computer Security Incident Response Team). Первый CERT был образован в США на базе университета КарнегиМеллона (Carnegie Mellon University). Произошло это в 1988 году. На сегодняшний день по всему миру существует порядка 300 CERT/CSIRT, как правило, организованных на базе различных коммерческих, учебных, правительственных и военных организаций. По большей части они ориентированы на предоставление услуг по обнаружению, предотвращению, обработке и реагированию на инциденты ИБ. Многие из этих команд специализируются на технических аспектах инцидентов и координации межсекторальных и международных инициатив, направленных на разрешение инцидентов.

В России на данный момент работает 5таких команд. Из этих CERT-ов один заявлен как национальный – центр реагирования на компьютерные инциденты на территории всей Российской Федерации – RU-CERT, GOV-CERT.RU специализируется на защите государственных информационных ресурсов, WebPlus ISP занимается обслуживанием только собственных ресурсов. Достаточно недавно возник Центр мониторинга актуальных угроз при АРСИБ («Ассоциации руководителей служб информационной безопасности»), который пока никак себя не проявил с практической точки зрения. В прошлом году нами был открыт первый в России частный центр круглосуточного реагирования CERT-GIB, который является подразделением Group-IB и аккредитован Координационным центром доменов RU/РФ в качестве компетентной организации по противодействию вредоносной активности в Рунете, в том числе фишингу.

Но тем не менее именно собственных CERT-ов при банках или вообще крупных компаниях в России нет. Это, на наш взгляд, достаточно серьезное упущение, т. к. на Западе это достаточно распространенная практика: так, в США только в объединение First входит более 60 американских CERT-ов, многие из которых являются командами различных корпораций – Cisco, eBay и др.

Почему крупным российским организациям и банкам необходимо создавать свои CERT-ы, или же, за неимением таковых, тесно взаимодействовать с существующими? Ровно по той, впрочем, плохо понимаемой пока российским бизнесом, причине, что служба информационной безопасности организации и служба реагирования на компьютерные инциденты – это совсем не одно и то же. Маленький штрих: наши специалисты часто выезжают в различные банки и общаются с их службами информационной безопасности – так вот очень часто они говорят «на разных языках». Это специалисты разного уровня и разных сфер. Банкам, на наш взгляд, нужно иметь в штате людей, которые готовы реагировать на инцидент, и соответствующее оборудование. Это позволит не только блокировать угрозы, но и собирать данные об атаке и хакере – ведь он наиболее уязвим именно в момент атаки как таковой. Фактически работа любого CERT – это смесь информационной безопасности с компьютерной криминалистикой.

 Но это далеко не все. На наш взгляд, вендоры соответствующего ПО также должны воспринимать проактивную парадигму, реализуя программные решения, позволяющие не только блокировать угрозы, но и в максимальной степени собирать информацию о ее источнике. Например, мы ведем разработки в этом направлении согласно такой проактивной концепции. Насколько нам известно, такие разработки ведут сегодня и зарубежные производители антивирусного софта.

ПЛАС: Как можно оценить эффективность работы правоохранительной системы России по противодействию компьютерным преступлениям, связанным с хищениями денежных средств?

В. Баулин: Здесь мы наблюдаем двоякую ситуацию. С одной стороны, мы можем уверенно констатировать, что Управление экономической безопасности и управление «К» МВД РФ грамотно и результативно работают. Сотрудники, которые работают в соответствующих подразделениях полиции, обладают определенным опытом, являются профессионалами. То же самое можно сказать и о работе по линии ФСБ. Слова о том, что полиция и ФСБ бездействуют в отношении компьютерных преступлений, на мой взгляд, являются не более чем обывательским мнением, не имеющим ничего общего с реальным положением дел.

С другой стороны, нужно понимать, что в недрах правоохранительной системы как таковой существует масса подразделений и людей, от которых зависит, дойдет ли то или иное дело до своего логического завершения. Оперативные сотрудники МВД и ФСБ, которые работают в профильных подразделениях, делают свою работу очень хорошо и очень качественно. Но они не могут «сажать» преступников и выносить приговоры. На этапе прокуратуры и суда многие дела разваливаются, а приговоры выносятся неоправданно мягкие, часто условные, – просто потому что подавляющая масса сотрудников прокуратуры и судей не обладают соответствующими знаниями и не могут эффективно оперировать собранными доказательствами, им зачастую вообще не очень понятно, о чем идет в деле речь. Система во многих случаях дает сбой именно на этом звене.

 Выход из этой ситуации – изменение в подготовке этих звеньев системы в части, касающейся киберпреступности, в соответствии с мировыми практиками. В тех же США существуют специализированные суды, которые разбирают преступления в сфере информационных технологий, оснащенные определенной аппаратурой, со своей экспертизой, с судьями, которые, по сути, сами являются криминалистами.

Таким образом, на наш взгляд, исправлению существующей ситуации с эффективностью работы правоохранительной системы в целом в борьбе с киберпреступностью поможет адаптация американского опыта на российской почве и внедрение образовательных программ для рядовых сотрудников полиции, прокуратуры и судов.


Комментарии (0):

Добавлять комментарии могут только зарегистрированные Пользователи


Читайте в этом номере:
обновить

а вы знаете, что...

… первым в мире банкоматом с использованием технологии cash-ресайклинга был выпущенный на японский рынок в 1982 г. аппарат OKI AT 100?