Привет, это Kotelov digital finance. Сегодня поговорим: сколько стоит информационная защита в банке, как устроена антифрод система и как банки реагируют в случае кибератаки.
Статья написана на основе подкаста kotelov digital finance. В гостях Дмитрий Беляев - начальник службы информационной безопасности в одном из российских банков.
Во-первых, такие люди практически никогда не приходят на подкасты, а во-вторых, они очень сложно раскрывают свои секреты в силу специфики их работы.
На подкасте обсудили банковскую систему безопасности: как устроена защита, как контролируются люди и как внутри нее становятся руководителями. Полное интервью можно посмотреть на youtube:
Сколько стоит информационная защита для банка?
К примеру, построение эшелонированной защиты. Это когда ты покупаешь средства антивирусной защиты для компьютеров у одного вендора, а для защиты серверов от другого вендора. Общая защита состоит из разных систем, которые имеют в основе разный подход.
Эшелонированная защита — это стратегия использования множества мер безопасности для защиты целостности информации.
При этом, нужно учитывать, что есть банкоматы, пост-терминал и тд. Для каждого нужны отдельные средства защиты, которые заказываются от разных вендоров.
Необходимо закупать антивирусную защиту серверов, ARMов, почтовую защиту, межсетевые краны для защиты внешнего и внутреннего периметра, средства анализа защищенности, IDR, ids IPS, CRM систему.
По моей оценке, базовая система защиты по требованиям ЦБ для небольшого банка — это 50-70 млн. рублей. И это без учетов фонда оплаты труда, потому что необходимо еще создать службу информационной безопасности, укомплектовать штат качественными специалистами.
Как в банке построена работа с криптографией?
Мы используем квалифицированную электронную подпись и это сложный процесс. Так как мы работаем с различными системами, которые используют свою криптографию — там есть свои особенности. Например, при работе с ЦБ нужны хорошие хард скиллы, потому что сертификат делается от нескольких месяцев. Ошибка стоит очень дорого.
На выпуск сертификата для первого лица банка существует огромный процесс заполнения на портале Центрального банка. Каждая строчка, каждое слово в этой анкете проходит проверку нескольких специалистов из Центрального банка. Если будет даже одна лишняя точка, то придет отказ и придется заново все заполнять.
Такая тщательность обусловлена тем, что некоторые банковские системы будут подвязаны на этом сертификате, и если что-то там будет некорректно, то возможны сбои в отправке отчетности. А сбои в отправке отчетности — это многомилионные штрафы для банка.
Электронные подписи, токены и проблемы с процессами
ЦБ выдает только одну цифровую подпись на первое лицо. Дальше сами сотрудники СИБа делают сертификаты для работы с каберенами.
| Каберен — это отдельная машина для взаимодействия с банком, например, для проведения платежек. Это отдельная каста ARMов, которая нуждаются в особой защите.
Хотел бы поделиться ситуацией: к примеру, в организации нет своего удостоверяющего центра и сотрудники сами выдают электронную подпись. Организации приходится сотрудничать с посредниками, вроде СКБ Контур и тд.
Ситуация:я выдавал токен сотруднику, перед выдачей полностью его форматировал, назначал пароль пользователя, назначал пароль администратора. Токен полностью пустой: тубус, печать, все в порядке. Даю инструкцию, что нужно сходить в удостоверяющий центр по записи, там показать паспорт, отдать тубус с токеном, чтобы на него записали сертификат.
Пароль сам по себе очень сложный — легко допустить ошибку при вводе. Очень много раз сталкивался с ситуацией, когда они не могли ввести эти пароли, говорили сотрудникам организации, что пароль неправильный, хотя 146%, что пароли абсолютно точные и верные.
Большая проблема получается в том, что если они ввели неправильно — нам приходится этот процесс повторять. Сотрудники тратят свое время. Это было неэффективно и нам нужно было решить это проблему.
Вышли из положения так:
Я провел консультацию со всеми сотрудниками, которые планируют осуществить поход в удостоверяющий центр и сказал, что ни в коем случае не уходите, если будут проблемы — звоните мне.
Пароли распечатал на бумажке крупным шрифтом. Разовые пароли, где точно не промахнуться. В центре сертификат записывали, бумажку уничтожали, а я пароль менял уже. Вот и так в принципе процесс был построен. Но, я думаю, что с такими проблемами много где сталкиваются.
Пароли: как в банках работают с безалаберностью и халатностью
Вопрос: как вы работаете с тем, что сотрудники могут менять безопасные пароли на более простые, которые менее безопасны?
При выдаче токенов мы лишаем пользователя возможности менять пароль. И назначаем эту возможность только администраторам. Тогда, если пользователь потеряет пароль или что-то еще — администратор может скорректировать.
Другая проблема, что работники иногда записывают этот пароль на бумажке и оставляют на рабочем столе, где любой может им воспользоваться. Это серьезная халатность.
Проблему очень хорошо решает показательная порка.
Пример:прохожу мимо стола сотрудника, который в отпуске. На столе очень много бумажек с паролями.
Составляю служебную записку на председателя правления, минуя двух руководителей этого сотрудника. Происходит показательное наказание.
То есть, сотрудник в обход всех правил и политики информационной безопасности в том числе и парольной политики, скомпрометировал пароли к доступу в операционную систему, к информационным системам, на которых он работает. И публичная порка выдала большой резонанс в организации. Другие сотрудники стали очень сильно бояться оставлять пароли.
Несут ли рядовые сотрудники уголовную и административную ответственность в банке?
Несут и уголовную, и административную. Например, когда сотрудник получает токен с сертификатом — он получает полномочия, предоставленные этим сертификатом: подписание документов, шифрование документов. То есть, сотрудник от своего лица может производить эти действия.
Если он вдруг куда-то пошел за кофе, он должен токен изъять, в тубус спрятать и в сейф. Это проблематично для многих, потому что занимает много времени. В случае компрометации токена могут быть серьезные проблемы.
Ситуация: Работал в одном из банков, к нам обратилась компания, которая захотела открыть расчетный счет в нашем банке. Отдаем договор на ознакомление, где ясно прописано, что они обязаны обеспечивать безопасность своего персонального токена с сертификатом электронной подписи и несут за это персональную ответственность.
Спустя какое-то время звонок в банк: эта компания говорит, что с ее счета кто-то перевел 5 млн. руб. Просят вернуть деньги. Провожу расследование, выясняется, что у организации нет на постоянной основе ни айтишников, ни безопасников. Безопасник раз полгода приходил на аутсорсе, антивирусная защита протухла — рай для хакера.
Выясняется, что бухгалтер, владея персональным токеном, вставил его в системный блок и пробивал платежку контрагенту. Появляется окошко для ведения суммы и тушится экран, ни айтишника, ни безопасника нет.
Вводятся реквизиты другой организации и новая сумма — 5 млн. руб. и отправляется с комментарием: за построение дороги где-то в Сибири.
Начинаем сотрудничество с правоохранительными органами — выясняется, что деньги были переведены на компанию однодневку. Генеральным директором является 18-летняя девушка, которая ничего не понимает и, видимо, кто-то ей предложил деньги…
Антифрод: внутренности финансовой защиты
| Антифрод — система для мониторингаи предотвращения мошеннических операций. Проверяет платеж в режиме реального времени и блокируют те, которые кажутся им подозрительными
В нашей компании построена эшелонированная система, пошаговая, которая минимизирует риски проведения фрода. То есть у нас есть антифрод система и система с фидами.
| Фиды - это данные скомпрометированных кошельков, паспортов, снилсов, которые могут участвовать в транзакции
Базу фидов нам предоставляет регуляторы. Есть организации, которые собирают эту информацию и продают ее банкам.
А, чтобы понять, как карту какого-нибудь Валеры начинают относить к фидам нужно разобраться в процессе.
Есть какой-то дроп, к примеру, пользователь перевел деньги, но заподозрил, что он жертва мошенника. Написал в техподдержку банка, в который переводил деньги — фид найдут и заблокируют.
Это происходит не всегда быстро. И данные карты могут попасть в фид: СНИЛС, паспортные данные и другие реквизиты, которые могут использоваться.
Фишка в том, что информация постоянно дополняется со стороны регуляторов и со стороны вендоров. Все банки обязаны при получении какого-то инцидента передавать информацию в финцентр и НЦКИ, но далеко не все хотят раскрывать данные об этих инцидентах.
Поэтому база пополняется далеко не всеми историями — здесь нужен гибридный подход. Мы используем базы средств защиты информации, базы антифрода от вендора, чья система закуплена и фиды регуляторов. Если бюджет позволяет, то закупаем фиды и аоки у других вендеров, которые имеют в этом экспертизу.
Эти аоки собираются финцентром и НЦКИ, а потом предоставляется банкам для того, чтобы безопасники добавили эти индикаторы в свои средства защиты информации, на тот случай, если вендор не успел обновить свои базы. Так работает эшелонированная защита.
Нейросети для антифрод систем
Однажды я с командой участвовал в хакатоне ВТБ банка и там был кейс по разработке AI антифрод системы. Нужно было разработать антифрод систему за два дня, чтобы она работала.
Мы разработали крутую концепцию, в которой была построена эшелонированная защита личного кабинета пользователя. Разработали модуль, который собирал реальные данные о клиенте: IP адрес, ширина монитора, геопозиция и куча других user агентов.
Модуль эту информацию суммировал и далее собирал статистику. Если поведение по этой статистике на 70% соответствует порогу, то значит пользователь вероятнее всего легитимный, а если на 31% отклоняется, то вход в личный кабинет блокируется.
При этом был осуществлен вход по двуфакторной аутентификации с использованием капчи и даже если если злоумышленник каким-то образом обходил эти степени защиты, то включался мощный режим защиты личного кабинета.
Параноидальный режим, в котором сам пользователь мог выстроить защиту и указать конкретный IP адрес, который разрешает подключение определенной суммы ограничений на переводы.
Мы нашли датасет одного крупного испанского банка по антифроду и на его основе мы обучили нейронку с точностью до 93-98% выявлять фродовые платежи и останавливать их.
Концепция была шикарная, но за два дня мы не успели все собрать и заняли четвертое место, хотя стали суперфиналистами.
То есть, нейросети и их применение для антифрода активно изучается, но пока все проходит на уровне хакатонов.
Сценарий реагирования на случай успешной кибератаки
У каждой организации должен быть план по реагированию на инциденты. Здесь нужно понимать какие вообще есть слабые места в организации и проанализировать эти слабые места. Где-то принять риски, а где-то постараться эти риски закрыть.
| ВПО — вредоносное программное обеспечение
Должна быть система резервного копирования, у нас, например, довольно надежная и спасет от части ВПО и кибератак.
Был случай, когда меня интегратор привлек на расследование кейса, связанного с крупным азиатским автомобильным гигантом. Они закупили у нас средства защиты информации и сами хотели все интегрировать и настроить.
Но что-то у них пошло не так и сервер взломали, через него проникли на другие сервера и зашифровали их. В итоге, на несколько дней их бизнес в России встал.
Меня привлекли на расследование и я выяснил как все произошло. У них были определенные уязвимости. Когда отключили антивирус, то не поставили пароль на его отключение, что прям вызвало много вопросов: отсутствовала сетевая защита этих серверов, разграничение доступа и злоумышленники любезно после шифрования потерли логи о своих действиях.
Мы передали эту информацию заказчику и он оплатил у нас услугу по настройке средств защиты информации. И в принципе, больше бюджета стал выделять на информационную безопасность.
Какие у вас применяются превентивные меры для защиты от Ddos атак?
Все веб приложения защищены WAFом, при этом сервер, на котором они находятся, тоже комплексно защищен.
| WAF — Web Application Firewall
Важно понимать, что если сайт не работает, то банк несет убытки, поэтому нужен:
Либо WAF со стороны банка, что очень дорого стоит
Либо можно купить это как услугу. Пойти к оператору, он подключится к каналу связи и будет осуществлять фильтрацию пакетов
Очень крутой подход, когда есть и WAF, который обеспечивают защиту на L7 и mitigator, который защищает на L3 или L4 и еще хватает денег подключить провайдера, который со своей стороны производит анализ и перенаправление потоков на свои сервера.
Банки самостоятельно занимаются пентестом или у вас внешние подрядчики?
Особо не буду раскрывать детали, но мы осуществляем даже не пинтест, а грамотно выстраиваем процесс проверки безопасности разрабатываемого кода.
И на этапе этой безопасной разработки, если все нормально — проводим сканирование средствами анализа защищенности. Если тут тоже нет нареканий и уязвимостей, то после пилотного тестирования можно вводить в прод.
В целом так, но если вдруг находятся уязвимости, то необходимо отправлять разработчику на доработку. Ты указываешь ему где и что нужно доработать и он меняет алгоритмы разработки, а потом меняет процесс.
Мир Digital финансов
Если вам интересна финансовая разработка, внутрянка финтех танков и особые гости, которые редко выходят из закулисья — подписывайтесь на наш телеграм-канал Kotelov digital finance.
В канале мы постоянно анонсим новые подкасты с крутыми гостями, статьи и другие новости из мира финансовой разработки.
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.