Целенаправленные атаки хакеров еще долго будут представлять угрозу для финансовых организаций и их клиентов

 |  

Вирус WannaCry, мощно заявивший о себе 12 мая текущего года, создал серьезные проблемы более чем 200 тысячам пользователей в 150-ти странах мира. Профессиональные борцы со зловредами заявили тогда, что вирус распространяется в первую очередь в России, на Украине и Тайване. При этом пресс-служба ЦБ РФ оперативно уведомила общественность, что были выявлены только «единичные случаи компрометации ресурсов кредитных организаций при помощи вируса-шифровальщика WannaCry, последствия которых удалось быстро устранить».

Буквально через несколько дней средства массовой информации опубликовали материалы о разоблачении группы хакеров, которые смогли похитить с банковских счетов россиян 50 млн. рублей. При этом при прочтении статей становилось понятно, что в руки российских правоохранителей кибермошенники попали еще в ноябре прошлого года. Однако у тех, кто привык читать только заголовки, могло сложиться впечатление, что арестованы именно создатели WannaCry.

Атака WannaCry в очередной раз напомнила, что целью преступников в интернете является получение максимальной выгоды при минимальном риске – как результат, почти 99 процентов всех киберпреступлений в мире так или иначе связаны с воровством денежных средств. А поскольку больше всего денег находится в банках, целевые атаки хакеров представляют для кредитных организаций наибольшую опасность. В этот раз всё обошлось, как отметил ЦБ РФ, единичными случаями без серьезных последствий. Однако в целом за 2016 год добычей хакеров стали, по приблизительным оценкам, 2.5 млрд. рублей.

Мы не в первый раз обращаемся к вопросам обеспечения кибербезопасности компаний, работающих в финансовом секторе. К примеру, три месяца назад поводом для комментария стали перспективы внедрения новой системы шифрования платежей, по поводу которой Центробанк и кредитные организации расходились во мнениях.

Система документооборота в банках складывается из двух частей - автоматизированной банковской системы (АБС) и автоматизированного рабочего места клиента Банка России (АРМ КБР). В АБС обрабатываются платежные поручения клиентов и формируются реестры платежей. В АРМ КБР поступающие реестры шифруются и отправляются в ЦБ РФ. Поскольку и АБС, и АРМ КЦБ надежно защищены (по крайней мере, в теории), единственное уязвимое место системы – это канал передачи данных между АБС и АРМ КЦБ.

По мнению банков, строгое следование инструкции (а именно использование для обмена информацией не корпоративных серверов, а защищенных съемных носителей) не оставляет хакерам лазеек для подмены настоящих данных фиктивными. Со своей стороны ЦБ РФ полагает, что при таком положении дел усилия киберпреступников будут сосредоточены на попытках взломать АБС. Если их попытки увенчаются успехом, то отследить подмену настоящих данных фиктивными на уровне АБС не представляется возможным. А шифрование банковских данных, к которым получат доступ хакеры, с помощью более совершенного аналога вируса WannaCry может полностью парализовать работу конкретной кредитной организации.

Три месяца назад ЦБ РФ заявлял о единичных попытках взлома АБС. Атака WannaCry свидетельствует, что подобные попытки (как массированные, так и нацеленные на конкретные финансовые структуры) будут продолжаться до тех пор, пока хакеры не добьются желаемого – получат доступ к системе документооборота банков. Допустить этого никак нельзя, поэтому технологии защиты информации в финансовой системе должны постоянно совершенствоваться.  

Рекомендации по обеспечению кибербезопасности новизной не отличаются, однако это не означает, что они стали менее эффективными. Регулярное обновление используемого софта, применение антивирусных решений с актуальными базами, периодический углубленный аудит системы обеспечения безопасности автоматизированной банковской системы – всё это помогает обеспечить технологическую защиту от взлома и проникновения. Однако не менее важен человеческий фактор: обучение персонала безопасному поведению при получении и обмене информацией дает дополнительную гарантию безопасной продуктивной работы.

Олег Якушев,

эксперт АО ИК «ЦЕРИХ Кэпитал Менеджмент»




Комментарии (0):

Чтобы написать комментарий, необходимо авторизоваться.


×

Политика конфиденциальности АО ИК «ЦЕРИХ Кэпитал Менеджмент»

Настоящая политика конфиденциальности АО ИК «ЦЕРИХ Кэпитал Менеджмент» (далее - Политика) разработана в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" и устанавливает правила использования АО ИК «ЦЕРИХ Кэпитал Менеджмент» (далее – Компания) персональной информации, получаемой от пользователей сайта www.zerich.com (далее - сайт), интернет-сервисов и мобильных приложений Компании.

Получение доступа к использованию сайта, интернет-сервисов и мобильных приложений Компании означает безоговорочное согласие Пользователя с положениями настоящей Политики и указанными в ней условиями обработки Компанией персональной информации пользователя.

Под интернет – сервисами и мобильными приложениями для целей применения настоящей политики подразумеваются любое программное обеспечение, позволяющее осуществлять электронное взаимодействие между пользователем и Компанией в процессе заключения/исполнения/расторжения соглашений на финансовом рынке, а также предоставления Компанией информации о своих услугах.

Компания собирает, обрабатывает и использует в определенных настоящей Политикой целях:

- персональную информацию пользователя, которую пользователь самостоятельно предоставляет Компании при переходе на сайт, создании учетной записи/регистрации/авторизации на сайте, в мобильном приложении Компании, в интернет - сервисах Компании, в том числе: фамилия, имя, отчество, пол, возраст, дата рождения, место рождения, адрес электронной почты, номер мобильного телефона, ссылки на профили в социальных сетях, реквизиты банковской карты;

- а также иные пользовательские данные, автоматически передаваемые Компании в процессе использования сайта, мобильного приложения, интернет-сервисов Компании: IP-адрес; версия ОС; версия веб-браузера; сведения об устройстве (тип, производитель, модель); разрешение экрана и количество цветов экрана; версия Flash; версия Silverlight; наличие программного обеспечения для блокирования рекламы, наличие Cookies, наличие JavaScript; язык ОС и Браузера; время, проведенное на сайте; действия пользователя на сайте), версия операционной системы мобильного устройства, с которого осуществляется доступ к мобильным приложениям Компании, данные об активности пользователя в сети Интернет, о посещенных пользователем страницах, дате и времени URL-переходов, файлы cookies.

Персональная информация пользователя обрабатывается Компанией в целях:

- установления и поддержания связи и документооборота с пользователем,

- регистрации пользователя на сайте Компании, управление учетной записью пользователя,

- предоставления пользователю доступа к мобильному приложению и иным сервисам Компании,

- принятия Компанией решения о приеме пользователя на обслуживании е в Компанию,

- исполнения Компанией обязательств перед пользователем по соглашениям между пользователем и Компанией,

- улучшения качества обслуживания пользователя,

- исполнение требований законодательства Российской Федерации,

- исполнения обязательств Компании перед контрагентами и государственными органами,

- технического управления мобильным приложением и интернет-сервисами Компании, улучшения их работы,

- выявления, пресечения недобросовестных действий третьих лиц, а также устранения технических сбоев или проблем безопасности;

- защиты прав Компании, клиентов Компании способами, соответствующими законодательству Российской Федерации,

- предоставление пользователю информации об услугах и продуктах Компании и ее партнеров,

- проведения маркетинговых мероприятий,

- статистических и иных исследований,

- в иных целях, предусмотренных заключенными между Компанией и пользователем соглашениями.

Компания вправе предоставлять информацию пользователей аффилированным лицам Компании и контрагентам Компании в вышеуказанных целях. При этом аффилированные лица Компании, а также контрагенты Компании должны соблюдать требования сохранения конфиденциальности обрабатываемой информации пользователей.

В целях исполнения требований законодательства Российской Федерации Компания вправе предоставлять информацию пользователей уполномоченным государственным органам на основании соответствующих письменных запросов.

Компания гарантирует, что персональная информация пользователей не разглашается, а также не предоставляется Компанией иным лицам, за исключением случаев, прямо предусмотренных в настоящей Политике.

Предоставление персональной информации пользователей третьим лицам, по основаниям, не указанным в настоящей Политике, допускается только при наличии дополнительного согласия пользователя, которое может отозвано пользователем в любое время.

Сайт, мобильное приложение, интернет-сервисы Компании не являются общедоступными источниками персональных данных.

Компания принимает все необходимые и достаточные правовые, организационные и технические меры для защиты информации, предоставляемой пользователями от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных видов неправомерного использования и неправомерных действий третьих лиц.

Компания ограничивает доступ сотрудников Компании, ее аффилированных лиц, а также контрагентов к персональной информации пользователей, которая не является необходимой для исполнения требований законодательства Российской Федерации либо выполнения существующих обязательств перед пользователями либо достижения иных целей, указанных в настоящей Политике.

Трудовые договоры с сотрудниками Компании, а также с контрагентами Компании предусматривают меры ответственности и штрафные санкции за нарушение конфиденциальности персональной информации пользователей.

Компания рекомендует пользователям соблюдать конфиденциальность данных учетных записей, логинов, паролей для доступа к мобильным приложениям и сервисам Компании. Пользователь обязуется незамедлительно сообщать Компании о любом случае компрометации паролей, логинов для доступа к мобильным приложениям и сервисам Компании, используемых ключей электронной подписи, а также выявленного пользователем несанкционированного использования его учетной записи. Соблюдение пользователем настоящей рекомендации позволит обеспечить максимальную сохранность предоставленной Компании информации.

Компания оставляет за собой право в любое время вносить изменения в настоящую Политику.

Новая редакция Политики вступает в силу с момента ее размещения на сайте. Продолжение пользования сайтом, мобильным приложением, интернет-сервисами Компании после публикации новой редакции Политики на сайте Компании означает безусловное согласие пользователя с новой редакцией Политики.

На пользователе лежит обязанность знакомиться с текстом Политики при каждом посещении сайта, мобильного приложения или интернет-сервисов Компании.