Все сектора экономики, так или иначе, развиваются с одинаковым темпом. Однако среди них можно выделить сектор, чей темп развития растет по экспоненте – это банковский сектор.
Банки перестали быть просто финансовыми учреждениями, теперь они становятся компаниями, которые активно внедряют финансовые технологии (финтех). В связи с трансформацией казахстанских банков из консервативных учреждений в современные финтех-компании остро встает вопрос с безопасностью данных клиентов.
С активным внедрением новых услуг, продуктов и функций возникают следующие риски:
— новые функции могут оказаться вне периметра службы мониторинга команды безопасности;
— каждой новой строчкой кода увеличивается риск появления новых уязвимостей в банковских продуктах;
— повышается риск раскрытия чувствительной информации и персональных данных граждан.
Помимо запуска собственных продуктов банки начали интегрироваться со сторонними организациями, что также способствует появлению рисков:
— сервисы сторонних организаций вне поля видимости департамента, информационной безопасности банка;
— для злоумышленников создаются новые вектора атак;
— слабый контроль за достоверностью информации.
Наша организация ежегодно публикует отчет по анализу защищенности веб-ресурсов банков второго уровня. Основная задача данной работы – проверка соответствия банков мировым практикам в области кибербезопасности и выявления явных CVE (Common Vulnerabilities and Exposures) уязвимостей в банковских внешних информационных системах. Все это позволяет сделать независимую поверхностную оценку защищенности банковского сектора, а некоторые из банков уже встроили в свою стратегию кибербезопасности соответствие данному рейтингу.
Рейтинг оценивает банк только по внешним признакам. Для более точного понимания безопасности банка в этом году в Казахстане была запущена национальная Bug Bounty-платформа (система вознаграждения независимых исследователей в области кибербезопасности за найденные уязвимости в информационных системах). В рамках меморандума все уязвимости, поступающие по БВУ, отправляются в Национальный банк, который, в свою очередь, уведомляет их через собственную платформу ЕТП.
Вот несколько примеров присланных уязвимостей банков второго уровня:
уязвимость виртуальных помощников. В трех финансовых организациях использовалось уязвимое программное обеспечение для взаимодействия с клиентами на своих сайтах. Уязвимость позволяла получать доступ к переписке между менеджером банка и клиента, которая включала в себя данные и статус карточного счета, возможность заблокировать карту и вести официальную переписку от имени банка.
Возможность захвата любого аккаунта интернет-банкинга одного из банков.
Устаревшая и уязвимая версия программного обеспечения позволяла получить доступы к исходным кодам продуктов банка.
Стандартный логин и пароль (admin:admin) на одной из внешних систем банка позволял получить администраторские привилегии, вследствие чего можно было из внешнего периметра проникнуть во внутреннюю инфраструктуру банка и продолжить дальнейшую атаку.
Была найдена уязвимость на одном из веб-ресурсов банка, где находились конфиденциальные данные (учетные данные администратора и клиентов банка в системе финансового мониторинга и борьбы с мошенничеством, список данных клиентов, исходный код программного обеспечения).
Уязвимость класса Blind SSRF на сервисе платежного процессинга при проведении онлайн-транзакции.
Программа Bug Bounty для Казахстана является новшеством, но она уже выявила критические проблемы многих банков страны. На данный момент понятие Bug Bounty и независимого исследователя по кибербезопасности вводится в законодательство Республики Казахстан. Одним из первых банков, кто официально и открыто подключился к данной инициативе, является БРК (Банк Развития Казахстана).
Кроме того, для более целостного обеспечения безопасности банкам стоит перейти от реактивной защиты (устранение уязвимостей по мере их появления) к проактивной защите – обмен инцидентами. Департаментам банков нужно задуматься о создании культуры обмена данных для создания «коллективного иммунитета» от атак.
Эта культура может работать следующим образом: когда один из банков подвергается атаке и успешно устраняет ее, банк может поделиться фидом об атаке и способах ее устранения с другими банками, чтобы они смогли внедрить метод для укрепления своих сетей. Таким образом, уязвимостей в банковском секторе может стать меньше, как и сам вред, наносимый кибератаками.
Исходя из текущей ситуации с банковским сектором и бурным ростом их цифровизации, можно только пожалеть команды кибербезопасников. По нашему опыту у них и так зачастую проблемы с бюджетами, с кадрами, с доказательством нужности их работы. Ведь информационную безопасность очень тяжело оценить в денежном эквиваленте. А теперь этим же командам нужно будет следить за внутренними командами разработчиков, девопсерами и data-аналитиками, за стартаперами, которые интегрируются с банком. Скоуп мониторинга будет только расти, а увеличить штат самих безопасников не так часто и получается.