Основные угрозы безопасности финансовых учреждений

Введение

Для построения прочных отношений необходимо доверие. И это утверждение как никогда верно при описании взаимодействия между поставщиками финансовых услуг и их клиентами. Если клиенты не уверены, что их финансовая информация защищена, маловероятно, что они будут пользоваться онлайновыми услугами. Это напрямую отразится на инициативах банков по сокращению издержек и повышению эффективности, - ключевых факторах существования онлайновых служб. И хотя пользователи должны обращаться со своей персональной информацией осмысленно, именно поставщики финансовых услуг обязаны обеспечить безопасность среды, в которой клиенты выполняют финансовые операции.

Сегодня финансовое сообщество столкнулось с худшими экономическими условиями за последние несколько десятилетий. Сейчас как никогда важно  искать пути сокращения расходов, удерживать клиентов, повышать эффективность коммерческой деятельности и демонстрировать акционерам доходность капиталовложений. Обеспечение безопасности сетей, через которые поставляются финансовые услуги, может стать серьезной проблемой. Вопрос состоит не столько в том, чтобы выполнить основные требования бизнеса и гарантировать защищенность частной финансовой информации клиента, сколько в том, чтобы сделать это в соответствии с множеством отраслевых норм и правительственных постановлений. К примеру, Федеральным советом США по надзору за финансовыми учреждениями (FFIEC) было выпущено руководство по аутентификации для программ Интернет-банкинга: «В данном руководстве для банков, оказывающих финансовые услуги с помощью сети Интернет, описываются современные методы аутентификации, которые должны применяться при установлении права клиентов на доступ к онлайновым продуктам и службам. Инспекторы будут обращать внимание на выполнение данного руководства финансовыми учреждениями в ходе последующих проверок».[1]

Нарушение требований безопасности может серьезно ударить не только по финансам компании, но и по ее доброму имени. Компании должны доказать, что выполняют эти требования, или же их привлекут к ответственности. Каждый, кто доверяет компании важную информацию, будь то клиенты, сотрудники или партнеры – ожидает, что она будет должным образом охраняться. Финансовым организациям следует учесть все потенциальные риски для своего бизнеса в случае утери или кражи уязвимой информации: судебные иски, негативную огласку, сокращение продаж, потерю доверия клиентов и навсегда запятнанную репутацию.

Исследования показали, что сектор финансовых услуг стал основной мишенью для кибер-атак по всему миру. И это неудивительно, учитывая крайнюю важность информации, которую ежедневно получают и обрабатывают поставщики финансовых услуг. Согласно отчету Javelin Strategy & Research[2], проведенному в феврале 2010 г., общие финансовые убытки от мошеннических действий с учетными данными пользователей в 2009 г. увеличились до 54 млрд. $ по сравнению с 48 млрд. $ в 2008 г. Расширение спектра онлайновых услуг само по себе не станет панацеей от ухода клиентов: оно должно сопровождаться усиленными мерами безопасности для обеспечения конфиденциальности информации и, как следствие, роста доверия со стороны клиентов.

Таким образом, финансовым организациям необходимо действовать на опережение и самим выявлять потенциальные мишени для кибер-атак и  уязвимые места своей инфраструктуры. В данной статье описываются пять основных угроз для онлайн-банкинга и сектора финансовых услуг, а также содержатся рекомендации по выбору способов защиты, обеспечивающих безопасность клиентских операций в соответствии с отраслевыми нормами и практиками по безопасности.

Ранее многие организации, в том числе и представители сектора финансовых услуг, ограничивались защитой периметра с помощью межсетевых экранов, программ по обнаружению вторжений и антивирусных средств, которые обеспечивали как защиту от угроз, так и соответствие нормативным требованиям. Однако нет таких методов, которые могут защитить от всех существующих угроз. Поэтому рекомендуется комбинировать различные решения, исходя из соображений безопасности,  вопросов практичности и специфических требований вашего бизнеса, чтобы повысить надежность системы аутентификации и управления. Положив безопасность  средств идентификации личности и информации в основу своего бизнеса, поставщики финансовых услуг могут также существенно продвинуться по пути завоевания доверия клиентов.

Все методы аутентификации основываются на том, что законному пользователю предоставляется один или несколько механизмов для подтверждения его личности. Среди таких доказательств может быть что-то, что известно только этому пользователю, например пароль, или что-то, к чему только у него есть доступ, например физический токен или смарт-карта, которые трудно размножить. К сожалению, большая часть доказательств аутентичности не дает абсолютной гарантии – пароль пользователя  подбирается, а его личную информацию можно легко найти в таких социальных сетях, как ВКонтакте или Facebook. Аналогично, кто-то другой может временно получить доступ и к внешним средствам защиты. Таким образом, многоступенчатая система аутентификации включает в себя комбинацию двух или более методов, чтобы защитить доступ  в случае раскрытия пароля или утери токена и затруднить подмену пользователя.

В наш электронный век, когда кража средств идентификации личности и данных становится повсеместным явлением, постоянная защита цифровой личности человека является жизненно важной.  Многоступенчатая система аутентификации использует два или более фактора для доказательства идентичности пользователя. Подобные схемы, которые намного сложнее обойти, могут стать эффективным решением для сред с высокой степенью риска, таких, как Интернет-банкинг и системы удаленного доступа. Разумеется, эффективность конкретного метода аутентификации существенно зависит от качества выбранного продукта или решения, а также от его реализации и контроля.

Многие считают, что обеспечение безопасности является простым компромиссом – чем лучше безопасность, тем больше затрат и неудобств для пользователей. То есть, достаточно положить на одну чашу весов ожидаемые убытки от успешно осуществленного вторжения, а на другую – неудобства для пользователей и стоимость самого механизма безопасности. Как только вы это обдумаете и сопоставите, может показаться, что выбрать правильную систему достаточно просто. Однако в действительности все механизмы по-разному реагируют на разные угрозы. Помимо того, не все из них рассчитаны на многоцелевое использование: к примеру, не все методы аутентификации подходят для Интернет-банкинга.

Основные угрозы для финансовых служб

Поставщики финансовых услуг сталкиваются со сложными проблемами, которые непосредственно влияют на их итоговые показатели и потенциально – на само выживание в условиях нестабильного рынка. Защита уязвимой и важной информации вне зависимости от места ее нахождения, а также обеспечение доступа к ней только для лиц, имеющих на то соответствующие полномочия, должны быть ключевыми требованиями стратегии безопасности каждой компании. Учитывая рост количества угроз для чувствительной информации и повышение требований по ее защите, организации должны непосредственно сфокусироваться на своей инфраструктуре безопасности.

Согласно отчету [3] Identity Theft Resource Center, за 2006-2009 гг. частота несанкционированного доступа в деловом секторе выросла с 21% до 41%, и намного опережает все другие секторы. Отчет также показал, что впервые за последние три года количество вредоносных вторжений превзошло количество ошибок, связанных с человеческим фактором. Удивляет то, что из 498 заявленных случаев вторжения средства шифрования или другие решения для обеспечения безопасности информации, подвергшейся раскрытию, использовались только в шести.

Крупнейшие случаи вторжения в информационное пространство  финансовых служб в 2009 г.

Источник: Data Loss Open Security Foundation

Исследование [4], проведенное Verizon Business RISK Team в 2009 г., показало, что 74% всех вторжений в информационное пространство происходило из внешних источников, и 91% вторжений осуществлялся при участии организованных преступных групп. Было также установлено, что одними из основных целей кибер-преступников являются сектор финансовых услуг и кража личных идентификационных номеров (ПИН-кодов), а также сопутствующей информации по кредитным и дебетовым счетам.

Невозможно преувеличить важность, которую имеет для финансовых организаций защита финансовой информации и доступа к ней, и, как следствие, сохранение доверия клиентов, сотрудников и деловых партнеров. Приведем, к примеру, недавний случай, когда один из техасских банков [5] подал иск на своего клиента лишь для того, чтобы суд признал, что системы этого банка являются достаточно защищенными. Данный иск был ответом на требование клиента о выплате украденных средств и заявление, что кража произошла из-за неспособности банка применить соответствующие меры безопасности. Этот необычный поворот в деле о несанкционированном доступе к данным лишь подчеркивает значимость обеспечения безопасности и контроля в индустрии финансовых услуг.

Рассмотрим наиболее распространенные и опасные угрозы для сектора финансовых услуг:

«Фишинг». Хотя пароли можно заполучить и менее сложными способами (перехватить техническими средствами, подобрать, исследовать содержимое мусорных контейнеров или просто подсмотреть), фишинг является распространенным видом кибер-преступлений. Обычно он совершается через электронную почту, социальные сети или мгновенные сообщения, содержащие ссылку или инструкцию, которая перенаправляет получателя на ложный web-сайт, замаскированный под настоящий. Ничего не подозревающий пользователь вводит свою персональную информацию (имя пользователя, пароль, номер социального страхования, номера кредитных карт и счетов), которую затем получает хакер. Особенный интерес для этого вида мошенничества представляют Интернет-банкинг, системы оплаты и социальные сети. Исследование Gartner [6] выявило, что фишинговые атаки продолжают наносить убытки финансовым учреждениям и их клиентам, и прослеживается тенденция повышения массовости атак за счет сокращения значимости каждой из них. По данным Gartner, за 12 месяцев между сентябрем 2007 и 2008 гг. более пяти млн. клиентов банков потеряли деньги в результате фишинговых атак в США, что на 39,8% превышает показатели предыдущего года.

Утеря паролей в результате прохода по ссылкам с вредоносным кодом

 

Количество мошеннических сайтов, заражающих компьютеры вредоносными кодами, увеличилось на 827% с января по декабрь 2008 г. и достигло максимума в размере 31173 случаев.

Источник: Anti-phishing Working Group, март 2009.

Кража базы паролей. Учетные данные пользователей являются очень ценным товаром, и часто кибер-преступники направляют все усилия на получение этой информации и дальнейшую перепродажу более крупному покупателю либо используют ее сами для получения доступа к счетам. Хакеры также крадут логины и пароли с одного сайта, чтобы взломать другие. Поскольку многие используют одну и ту же учетную комбинацию на нескольких сайтах, хакер может взломать дополнительные счета, имеющиеся у пользователя.

Известная троянская программа Sinowal была разработана несколько лет назад, и с ее помощью уже украдено около 600000 реквизитов доступа к онлайновым счетам и кредитным картам. В конце 2009 г. фишинговым атакам подверглись такие сервисы, как Microsoft Hotmail [7], Google Gmail, Yahoo и AOL, в результате чего были украдены тысячи логинов и паролей к электронным почтовым ящикам пользователей.

Атака «человек посередине» (Man-in-the-Middle). В этом случае злоумышленник может внедрять собственные сообщения в трафик между компьютером пользователя и сервером аутентификации. Одним из видов этой атаки является так называемый «фарминг». При нем применяются  вредоносные сетевые инфраструктуры типа беспроводных точек доступа или ложных DNS-серверов, чтобы перенаправить пользователя с официального сайта, где он пытается осуществить доступ, на мошеннический, который получает его учетную информацию и совершает от лица пользователя преступные действия.

Атака «человек в браузере». Представляет собой троянскую программу (наподобие «человек посередине»), которая заражает Интернет-браузер и внедряется в пространство между пользователем и браузером, перехватывая и модифицируя отправляемую информацию до того, как она достигнет механизма безопасности браузера. Данный вид атаки дает возможность изменять Web-страницы и содержание операций так, что это не прослеживается ни пользователем, ни управляющей программой. Весь процесс проходит скрытно без каких-либо очевидных признаков. В качестве примера атаки типа «человек в браузере», нацеленной на банковские операции, можно привести известный троян Silentbanker. В нем используется троянская программа, которая перехватывает и изменяет содержание операции, а затем перенаправляет ее на банковский счет злоумышленника.

Кража личности. К этому виду атак относятся все преступления, в ходе которых кто-либо незаконно получает и использует персональную информацию других лиц, обычно с целью денежной прибыли. Обладая достаточной информацией о человеке, мошенник может использовать его личность для совершения целого ряда преступлений. Кража личности осуществляется различными способами – от простейших, таких как подделка чеков и кража почты, до самых высокотехнологичных схем с участием шпионских компьютерных программ и поиска информации в социальных сетях.

Решения для защиты личности и данных

Итак, что же работает, а что нет? Начнем этот анализ с описания условий, необходимых для предотвращения тех типов атак, которые, на наш взгляд, представляют собой наибольшую угрозу для финансового сектора.

«Фишинг». В этих атаках используются психологические приемы, чтобы вынудить пользователей выдать свою персональную информацию. Им посылаются поддельные письма, которые завлекают на фиктивные Интернет-сайты, имитирующие настоящие. Многие, не подозревая о криминальном характере таких сообщений, попадают в эту ловушку, открывают их и вводят свои данные на сайт мошенников.

Кража паролей и кража личности. Успешность этих атак зависит от того, насколько талантлив мошенник, чтобы обманом вынудить пользователей выдать свою персональную информацию и учетные данные. И поскольку обычно пользователи перед ними очень уязвимы, то любой метод защиты, основывающийся на информации, которую можно передать, не будет эффективным. Отметим, тем не менее, что это относится не к передаче физического устройства доступа: пользователей достаточно легко ввести в заблуждение по телефону или электронной почте, чтобы они озвучили свои учетные данные, однако как мало кто отдаст ключи от дома или кредитную карту, так и не доверит смарт-карту или токен кому-то, кого не знает.

Защищенные элементы хранения и смарт-карты, напротив, не подлежат передаче, не поддаются копированию, и поэтому менее подвержены утере в ходе психологических атак. Однако качество работы этих решений сильно зависит от их реализации. Многие популярные системы разрешают пользователю перенос персональной информации методом «копи-пейст», что делает ее уязвимой. Тем не менее, даже не обладая профессиональными хакерскими навыками, это действие пользователю можно запретить, и тогда такое решение действительно будет обеспечивать определенный уровень защиты.

Атака типа «человек посередине». Ее осуществление возможно, если хакер сумеет сымитировать каждую конечную точку так, что это устроит другую. Хорошей защитой от этих атак является SSL-аутентификация с использованием центра сертификации, которому доверяют обе точки. Если оценка сертификата сервера возлагается на пользователя, он может сделать это неправильно и пропустить предупреждающие сообщения. Поэтому при сертификатной аутентификации оценка правильности сертификата пользователя обычно входит в обязанности самого банка, и создание сессии не должно разрешаться, если он не соответствует тому, что заложено в системе.

Хотя SSL-аутентификация сервера и затрудняет атаки типа «человек в браузере», они все еще возможны посредством «фишинга» или других методов. Преимущество одноразовых паролей заключается в том, что их кража предоставляет хакеру лишь единовременный доступ (в отличие от кражи постоянного пароля или информации на защищенном носителе, которая открывает постоянный доступ на длительный период). Размер ущерба ограничен, но опасность все еще существует. Наиболее эффективна двухступенчатая система аутентификации, когда смарт-карты или токены используются совместно с логином и паролем пользователя.

Атака типа «человек в браузере» представляет собой надстройку или интеграцию в браузер пользователя для совершения злонамеренных действий. В сущности, как только компьютер пользователя будет заражен вредоносным оборудованием, хакер сможет осуществлять любые действия от его имени. Если пользователь зайдет с такого компьютера на свой банковский счет, хакер сможет совершить любой разрешенный этому пользователю перевод. Этот код, который браузер «ловит» в процессе навигации по сети Интернет, может брать на себя управление сессией и выполнять вредоносные операции без ведома пользователя.

Эффективной защитой от атак типа «человек в браузере» является проверка операции и личности пользователя по вспомогательному каналу, такому как телефон. Риск того, что в оба канала могло быть осуществлено вторжение, достаточно низок. В крупных финансовых организациях при совершении пользователем какой-либо операции, например, переводе средств, ее детали могут перехватываться и отсылаться пользователю для верификации через автоматический телефонный вызов или SMS-сообщение, и лишь затем она будет проведена. Ответ пользователя вводится через интерактивную систему ответа на телефонные звонки или клавиатуру. Оба варианта подразумевают, что пользователь находится в зоне действия сотовой связи во время выполнения операции.

Другое решение заключается в использовании защищенного портативного Интернет-браузера, который загружается с банковского USB-токена, когда пользователь активирует устройство и вводит пароль. Если регистрация проходит успешно, пользователь попадает непосредственно на Интернет-сайт банка, выдавшего токен. Использование чистого браузера повышает гарантию того, что в него не были внедрены вредоносные программы.

Обнаружив попытку вторжения, финансовой организации становится легче выявить типы угроз для своей инфраструктуры, а также определить риск, связанный с определенными видами операций. Однако такое обнаружение само по себе мало чего стоит без серьезной стратегии защиты. Оно должно применяться с надежными системами аутентификации пользователей, позволяющими предотвращать угрозы и обеспечивать безопасный доступ пользователей к своим аккаунтам.

Ввиду огромного количества угроз, сфокусированных на индустрии финансовых услуг, мы советуем сочетать комплекс решений для различных пользовательских сценариев в зависимости от требуемого уровня безопасности.

Многофакторная аутентификация считается наиболее безопасной системой для санкционирования доступа. Важно отметить, что вредоносное программное обеспечение, уже присутствующее на компьютере, может функционировать и после аутентификации пользователя, поскольку с этого момента считается, что все действия производит легитимный пользователь. Тем не менее, возможный ущерб будет ограничен лишь этой сессией, поскольку после ее закрытия хакер не сможет зарегистрироваться заново.

Особенно серьезную угрозу для финансовых организаций представляют собой «доверяемые инсайдеры». Упрощенный доступ к информации по счетам, недовольство сотрудников и давление со стороны теневой экономики внесли свой вклад в распространение этого типа преступлений. Сотрудники банков могут стать невольными участниками мошенничества, если киберпреступники выберут их компьютер для открытия двери в финансовый сектор. Хотя аутентификация и не может защитить от инсайдерского проникновения, она производит аудит пользовательских действий, что облегчает отслеживание вредоносного источника.

Многие организации осуществляют авторизацию и доступ к своей сети с помощью системы логинов и паролей, однако все большее распространение получают токены или смарт-карты для клиентов или партнеров, что позволяет существенно повысить уровень безопасности.

Системы аутентификации повышенной защищенности предотвращают большинство видов Интернет-преступлений, рассмотренных выше.

Заключение

Финансовым организациям необходимо проводить идентификацию сотрудников, партнеров и клиентов при предоставлении физического и логического доступа. Наибольшую популярность приобретает цифровое подтверждение идентичности пользователя при помощи защищенного устройства, такого как смарт-карта или токен. Применение этих устройств может повысить безопасность и удобство использования в организации таких широко распространенных приложений, как вход в Windows, доступ к VPN, сетевая аутентификация, шифрование файлов/начальной загрузки.

Атаки типа «человек в браузере» являются более сложными, поскольку они осуществляются изнутри самого компьютера. Единственный способ, с помощью которого банки могут защитить своих клиентов – это сочетание защищенной системы аутентификации с верификацией операции. В этом случае банк отсылает пользователю детали операции по отдельному каналу, такому как SMS. Авторизация производится только после ввода пользователем деталей операции и пароля для подтверждения.

 Другое решение, позволяющее предотвратить заражение браузера – это «доверительный браузер» для клиентов, который загружается с USB-токена или смарт-карты.  Когда пользователь подключается к защищенному банковскому порталу, он загружает чистый браузер с USB-токена и использует его для доступа к своему аккаунту.

Стандартное финансовое учреждение поддерживает множество сценариев доступа для локальных и удаленных сотрудников, продавцов, партнеров и клиентов по всему миру как посредством проводного, так и беспроводного соединения. Современные решения позволяют банкам настроить системы аутентификации с учетом конкретных рисков и сценариев: от универсальных одноразовых паролей до смарт-карт на основе цифровых сертификатов, включая зашифрованные флэш-карты и программные аутентификаторы, поддерживающие отправку SMS и одноразовых паролей на мобильный телефон.

Обязательной составляющей при внедрении каждого продукта должна быть его окупаемость. Системы безопасности должны не просто решать текущие проблемы и вопросы соответствия нормативным актам, но и быть рентабельными с точки зрения интеграции и технической поддержки.

Сейчас, когда клиенты совершают все больше электронных операций, покупок при помощи пластиковых карт, пользуются услугами Интернет-банкинга и управляют своими инвестициями в режиме онлайн, финансовым организациям все более важно строго контролировать защиту клиентской  информации в своих сетях, как во время операций, так и по их завершении.


[1]Federal Financial Institutions Examination Council. «Authentication in an Internet Banking Environment» 2006.

[2]Javelin Strategy & Research. “2010 Identity Fraud Survey Report Consumer Version: Prevent – Detect – Resolve.” February 2010.

[3]Identity Theft Resource Center.«ITRC Surveys & Studies, Breaches 2009», 8 января 2010 г.

[4]Verison Business RISK Team.“2009 Data Breach Investigations Report.”2009 MCI3626 0409.Web.

[5]http://www.computerworld.com/s/article/9149218/Bank_sues_victim_of_800_000_cybertheft

[6]Gartner Inc. “Banks Need to Strengthen User Authentication While Appeasing Consumers.” май 2008, ID G00158229

[7]http://news.cnet.com/8301-17939_109-10367348-2.html