Банковскими услугами через смартфон люди пользуются во всем мире. К примеру, согласно опросу Американской банковской ассоциации 2019 года, 73% американцев получают доступ к своим банковским счетам онлайн или через мобильные устройства. В Казахстане в одном только банкинге Kaspi в 2020 году количество ежемесячных активных пользователей составило 9,1 млн (+59% в годовом выражении), а по итогам шести месяцев этого года достигло 10,2 млн – более 50% всего населения страны.
Тренд не появился сам по себе. Онлайн- и мобильный банкинг делают управление финансами простым и удобным. Прошли те времена, когда приходилось посещать отделения для решения рутинных банковских задач. Но есть и обратная сторона – безопасность. В режиме онлайн на нее покушаются чаще, чем при физических походах в банк. Банки, в свою очередь, полагаются на различные меры безопасности, такие как, например, 128-битное или 256-битное шифрование данных. Разбираемся, что это значит, как в целом устроена защита информации в банках и какие угрозы существуют.
Нормы и нормативы
Для начала стоит разделить два вида угроз для потребителя банковских услуг. Первый – когда попытки взлома/обмана направлены на сам банк, его сотрудников или онлайн-платформы. Второй – атака направлена на потребителей, то есть физических лиц. Это самый уязвимый, и, соответственно, распространенный вид мошенничества, поскольку строится он исключительно на инструментах социальной инженерии.
Опытному мошеннику достаточно пары звонков, чтобы как минимум один из ста человек по собственной воле отдал персональные данные преступнику. В первом же случае злоумышленникам приходится сталкиваться со сложно устроенной системой банковской защиты.
По данным российского разработчика средств информационной безопасности SearchInform, в коммерческих банках построение системы информационной безопасности базируется на следующих принципах: во-первых, это безопасность узлов системы и информационных ресурсов, она должна обеспечиваться на всех этапах жизненного цикла данных, при любых внешних и внутренних обстоятельствах. Во-вторых, информация должна ранжироваться по степени важности, конфиденциальности, отнесению к защищаемым ресурсам согласно требованиям законодательства и регулятора.
В-третьих, должен создаваться механизм мониторинга и оперативного реагирования на все отклонения от стандартной работы системы, выявляющий внешние подключения, подмену кода, работу вредоносных программ.
По словам Романа Кузьменко, начальника службы информационной и внутренней безопасности Fortebank, с 2015 года число угроз в сфере информационной безопасности выросло значительно.
«В открытом доступе появилось много кибероружия. Угрозы стали эволюционировать быстрее, вместе с ними и мы», – отмечает он.
Эксперт объясняет: чтобы противостоять угрозам – в каждом банке существует такое понятие, как СУИБ.
«Это система управления информационной безопасностью. Участниками этой системы почти все – от советников директоров банка до департаментов GR или риск-менеджмента. Это огромная командная работа. Такие подразделения – это локомотив, который двигает процессы обеспечения информационной безопасности», – говорит он.
При этом, продолжает Кузьменко, сфера информационной безопасности в банках ввиду своей важности крайне зарегулирована, и принцип ее строительства основан не только на национальных, но и на международных регламентах.
«Существует огромное количество документов. Часть из них – международные, которые мы не можем игнорировать. Это группа стандартов ISO27000, стандарты ISO9000, генеральный регламент обработки персональных данных граждан ЕС GDPR. И это международный стандарт индустрии платежных карт PCI DSS – под него попадает почти все в этой индустрии: эквайеринги, а также другие специалисты, которые обрабатывают платежные и персональные данные», – подчеркивает Кузьменко.
Кроме того, есть большая линейка требований к обеспечению информационной безопасности согласно национальным стандартам.
«Основные для банков второго уровня – сорок восьмые требования об обеспечении безопасности в банках (Постановление Правления Национального банка Республики Казахстан от 27 марта 2018 года №48). Это наша настольная книга, но мы ожидаем новую редакцию», – говорит эксперт.
По его словам, есть также правила организации системы управления рисками внутреннего контроля, там тоже прописан функционал для обеспечения информационной безопасности. С 2021 года также действуют новые нормативы, которые, помимо прочего, касаются компетенции сотрудников служб безопасности, а также методики построения систем безопасности и возможных рисков.
«В общем, это широкий спектр документов, и регулятор очень сильно озабочен состоянием информационной безопасности. Наша деятельность регулируется больше, чем какая-либо другая», – говорит Кузьменко.
Социальный щит
Но кроме правил регулирования и методик, по которым действуют службы безопасности, есть также и другой уровень защиты – это механизмы, которые должны обеспечивать безопасность банковских сервисов с клиентами. Они бывают разные, но работают синхронно – данные клиентов должны быть в безопасности на каждом этапе, в том числе на самом уязвимом – социальном.
К примеру, согласно данным Tadviser, 75% банков уязвимы для атак методами социальной инженерии. Поэтому в банках налажена работа систем-скоринга. Эта система применяется для оценки платежеспособности заемщика. Клиент банка при оформлении кредита, например, проходит обязательное анкетирование. Его профессиональные, демографические и социальные характеристики имеют определенный балл. Сухие цифры и данные подтвердят личность без всяких нареканий и упростят работу сотрудников банка. Потому что первые – машины, а вторые – люди, которым свойственно ошибаться.
Также стараются обезопасить и мобильные банкинги. К примеру, казахстанские банки и их приложения работают по механизму двухфакторной аутентификации (2FA) – это частный случай многофакторной верификации доступа к конфиденциальным данным. Личность, зашедшая в банкинг, должна подтвердить право доступа не только паролем, но и SMS-кодом. Так же работают и операционные системы самих мобильных устройств. К примеру, пользователи IOS могут заходить в банкинг только при подтверждении FaceID (система распознавания лиц).
Евгений Белов, директор департамента защиты информационных ресурсов Halyk, отмечает, что чем больше и удобнее сервисов, тем больше будет попыток их использовать вне правовой схемы.
«Сервис нужно сделать настолько надежным, чтобы даже клиент не понимал, когда его защищают. Это реально. Те системы, которые работают в казахстанских банках, позволяют достаточно комплексно защищать клиента. К примеру, раньше была схема удаленного доступа, когда злоумышленники ставили программы удаленного доступа к устройству, а затем с устройства клиента проводили манипуляции без его участия. На сегодняшний день хорошо работает схема отслеживания, можно понять, что установлен сервис удаленного управления, и далее заблокировать активность», – говорит Белов.
По его словам, возможности обеспечения информационной безопасности и дальше будут развиваться. Важно защищать клиента, вне зависимости от того, насколько он подвержен схемам мошенничества, подчеркивает он. «Мы к этому стремимся – делать клиентский сервис, и при этом крайне защищенный. К примеру, тренд на суперприложения – это же выбор в пользу клиента и его потребностей. Но когда ты называешься суперприложением, то и безопасность должна быть супер», – говорит эксперт.