Вышли в свет результаты исследования компании Positive Technologies, специализирующейся на борьбе с киберпреступлениями. Исследования касались уязвимости современных мобильных банковских систем. Общий вывод совершенно однозначен – имеющееся оборудование не отвечает ни задачам обслуживаемых ими учреждений, ни требованиям ближайшего будущего в целом в свете разработки программы «цифровой экономики».
Что же касается конкретных количественных выводов, сделанных PS, то они следующие: за прошлый год рост предельно опасного программного обеспечения составил 8%, а рост потенциально умеренно опасного – 18%. Самыми крупными недочётами, которые и приводят, собственно, к преступлениям, являются ошибки в идентификации и авторизации входящих пользователей систем.
Как предсказывают специалисты компании, рост всевозможных инцидентов в рассматриваемой области в 2017 году составит не менее 30%.
Вопреки общепринятому мнению, что наиболее защищёнными, с точки зрения несанкционированного доступа, являются банкоматы, специалисты PS пытаются обратить внимание на противоположное. Больше 65% всех уязвимостей банкоматов предельно опасны, некоторые потенциально могут привести к несанкционированному доступу к серверам.
Предлагается обратить особое внимание на онлайн-службы банков. Практически все они имеют недостатки, а то, что через них можно получить доступ к счетам клиентов, так это только дело времени, и не такого далёкого.
Одним из решений проблем PS видит во внедрении двухуровневой системы авторизации, когда пользователь обладает паролем, периодически модифицируемым на стороне держателя услуг.
Отдельному исследованию подверглись мобильные банки. Здесь ситуация не лучше – 32% все систем критически уязвимы. Но главная проблема – в качестве и защищённости передаваемой информации, которую перехватить современным средствам связи ничего не стоит. А перехват – это все пароли и практически все данные о клиенте и его счёте. Обращает на себя внимание факт – в комбинации клиент-сервер мобильных банков слабым звеном является именно серверная часть, которой владельцы сервиса уделяют недостаточно внимания.
«Финансовая сфера традиционно привлекательна для злоумышленников, - комментирует Леонид Делицын эксперт ГК «Финам». - Грабители банков, взломщики сейфов – по сей день традиционные герои приключенческих фильмов, которые продолжают пользоваться популярностью аудитории. А соответствующая специальность – привлекать талантливых и настойчивых людей, склонных к авантюрам.
В свою очередь, конкуренция вынуждает банки внедрять инновации, которые позволяют им расширять сферу деятельности, а любое новшество – это потенциальная уязвимость. Сейчас ситуация усугубляется вторжением на финансовый рынок многочисленных финтех-компаний, мобильных операторов и ритейлеров, открывающих свои банки, и даже социальных сетей интернета, которые осваивают индустрию денежных переводов. Обилие конкурирующих компаний как крупных, так и маленьких, и при этом не обладающих значительным опытом в сфере обеспечения и информационной безопасности, создают злоумышленникам базу для экспериментов.
Судя по отчёту экспертов Positive Technologies, число обнаруженных уязвимостей растёт умеренными темпами. Возникают, однако, два вопроса – во-первых, будут ли эти темпы выдерживаться в течение нескольких лет? Во-вторых, способны ли финансовые компании с ними справляться после выявления. В-третьих, растёт ли база заражённых “зомби”, которые могут активизироваться, скажем, через год или два, или же за этот период технологии радикально меняются, и злоумышленникам нет смысла работать на дальнюю переспективу. В промышленности и обороне скорость изменений, ниже, чем в финансах. Кроме того, в финансовой сфере выше мобильность сотрудников, здесь больше новых, неопытных, и уходящих обиженными сотрудников, а человеческий фактор играет важнейшую роль во взломе информационных систем.
Возьмём такие новые направления, как онлайн-кредитование, онлайн-скоринг заёмщиков или иных пользователей финансовых услуг. В этих направлениях работают небольшие инновационные фирмы, стремящиеся идти навстречу пользователю, максимально упростить ему работу, но при этом, во-первых, ослабляются требования к безопасности, а во-вторых, порождается некоторое число недовольных пользователей, желающих “отомстить” финансовым организациям - потенциально кадровый ресурс для эксплуатации тех уязвимостей, которые сейчас коммерчески непривлекательны для злоумышленников».
На результаты исследования обратило внимание всё заинтересованное сообщество, но отклики совершенно неоднозначные. Некоторые как в среде банкиров, так и в среде специалистов информационной безопасности, полагают, что результаты не дали ничего нового – так было и так будет всегда, считают они. Происходит обычный «круговорот уязвимостей» - одни выявляются и устраняются, появляются другие, и так постоянно. К тому же подавляющее большинство уязвимостей предельно трудно реализовать.
«Наличие уязвимостей естественно для любой информационной системы, а меры безопасности чаще всего направлены на предотвращение тех видов угроз, по которым уже накоплен минимальный опыт, - комментирует Иван Шаров, гендиректор «Финансового Агентства». - Поэтому расценивать уровень уязвимости как низкий по итогам анализа, проведенного Positive Technologies, было бы преждевременным. Интереснее отметить паттерны, отмеченные коллегами, например, недостаточность механизмов идентификации, аутентификации и авторизации. Фактически речь может идти о том, что, с одной стороны, программные комплексы создаются с целью упрощения и повышения уровня удобства для потребителя, и чем сложнее процесс авторизации, тем менее привлекательным будет сервис. С другой стороны, хранение и использование практически всей личной информации в смартфоне обязывает задумываться о более высоких уровнях защиты. Справедливым выглядит и замечание о том, что текущий уровень информационной безопасности банковской отрасли можно оценить по количеству мошеннических операций, производимых со счетами клиентов именно в следствие хакерских атак, а не в силу человеческого фактора. Данный уровень говорит о стабильном состоянии защиты банковских систем, а результаты исследования - о необходимости повышенного внимания к зонам максимального риска при разработке IT-решений».
