Вячеслав Касимов: «Социальная инженерия была, есть и будет весьма успешным механизмом, используемым мошенниками»

06 Мая 17:29

Проблемы информационной безопасности в банковской сфере обсуждаются сейчас на многочисленных конференциях и форумах. И это неслучайно, злободневность и актуальность вопросов ИБ ни у кого не вызывает сомнений. Количество угроз точно не становится меньше. Компании, специализирующиеся на вопросах ИБ, предупреждают о росте числа фальшивых банковских приложений и о других опасных явлениях.

Директор департамента информационной безопасности Московского кредитного банка Вячеслав Касимов в интервью журналу «Банковские технологии» высказал свое мнение на ситуацию в сфере информационной безопасности и на актуальные тренды сегодняшнего дня.

«Банковские технологии»: По данным международной компании Group-IB, 70% хакерской активности в 2018 году пришлось на банки. Причина в халатности банковских организаций или в чем-то ином?

Вячеслав Касимов: Увеличение активности хакеров в отношении кредитных организаций вовсе не означает увеличения количества совершенных краж, речь здесь идет только о попытках. На мой взгляд, 2018 год, напротив, прошел спокойно, без жестких волн атак на кредитные организации и их клиентов.

«Б. Т.»: По данным регулятора, число несанкционированных операций по картам выросло на 44%. Это серьезный показатель, как вы думаете?

В. К.: Мы не заметили столь существенного всплеска попыток хищений, в том числе закончившихся успешно. Думаю, данная статистика может объясняться тем, что в прошлые годы не все банки корректно фиксировали инциденты, и поэтому отправляли неполную отчетность.

«Б. Т.»: В конце февраля ESET предупредила о росте числа фальшивых банковских приложений, опасность которых недооценивается из-за относительной технической простоты. Согласны ли вы с тем, что опасность действительно недооценивается? Какие наиболее эффективные способы борьбы вы могли бы назвать?

В. К.: Действительно, технически намного проще создать фальсифицированное приложение и немного поднять его в топе, чем искать и исследовать уязвимости нулевого дня, создавая трояны, эксплуатирующие их. Но нельзя говорить о том, что их опасность недооценивается. Банки тратят очень много ресурсов на антифрод, чтобы клиенты могли быть действительно защищенными. А процедуры фрод-мониторинга против таких угроз выглядят сегодня очень неплохо и на практике способны защитить клиентов.

«Б. Т.»: Развивается вымогательство программного обеспечения и растет число масштабных кибератак с использованием шифровальщиков. Не становится ли это опасным трендом?

В. К.: Этот тренд появился не вчера, и он действительно опасный: при попадании в windows-инфраструктуру масштабное заражение и недоступность windows-серверов и рабочих станций наступает очень быстро и, как правило, этот процесс необратим. Такого рода угрозы заставляют нас обращать на них повышенное внимание и затрачивать большое количество ресурсов на то, чтобы успешно им противодействовать.

«Б. Т.»: Регулятор предлагает три варианта организации процесса обеспечения ИБ при работе с ЕБС: собственное решение банка, согласованное с ФСБ и Банком России, предлагаемое интегратором по ИБ типовое решение, а в перспективе - облачное решение поставщика услуг. Какой из этих вариантов нравится вам больше и почему?

В. К.: На мой взгляд, они равнозначны. Точно не нравится в данном случае своя разработка, так как повышает стоимость владения. Остальное же примерно одинаково. Остается дождаться облачного решения, вполне возможно, что оно будет наиболее подходящим для решаемой государством задачи.

«Б. Т.»: Что для банка лучше - закрывать по мере возможности глаза на киберриски в надежде, что они не реализуются, или расходовать большие средства на противодействия им в надежде, что удастся сохранить капитал на должном уровне?

В. К.: Если мы будем закрывать глаза, то однажды эти риски точно реализуются с таким подходом. А дальше как повезет - или инвестирование повышенных денежных средств в разогретом после инцидента состоянии, или прекращение бизнеса в принципе. Мы, естественно, следуем второму подходу с небольшой корректировкой - мы сильно минимизируем расходы на технические средства защиты путем выстроенной работы с вендорами и поставщиками.

«Б. Т.»: Тема информационной безопасности и финтеха являются неразрывными, особенно когда речь идет о решениях для банковского рынка. Согласны ли вы с этим утверждением? Почему?

В. К.: Согласны. Концепция security by design (т.е. безопасность должна стать неотъемлемой частью системы, ее нужно интегрировать во все компоненты, в обязательном порядке рассматривать все потенциальные уязвимости и внедрять зарекомендовавшие себя решения -- прим. ред.) должна строго выполняться для всех продуктов и сервисов, позволяющих осуществлять или инициировать денежные переводы, заключать договоры, ведущие к движению денежных средств.

«Б. Т.»: По мнению очень многих экспертов ИБ, включая представителей регулятора, основную проблему в сфере банковского мошенничества составляет социальная инженерия. Об этом очень много говорят последние 2-3 года. Получается, что социальная инженерия - это зло, которое невозможно победить (в отличие от технических атак или вредоносного ПО)?

В. К.: Есть замечательный сериал про хакеров Mr.Robot. В первом сезоне один представитель хакерской группировки показывает другому фотографию, на которой изображено здание и 6 человек. На вопрос о том, сколько уязвимостей он видит, следует ответ: «Минимум шесть». Человек всегда является достаточно слабым звеном в системе защиты, особенно необученный человек. Именно поэтому социальная инженерия была, есть и будет весьма успешным механизмом, используемым мошенниками. И так как человека достаточно просто вывести из состояния эмоционального равновесия и вместе с этим заставить ошибаться, то да, это действительно похоже на непобедимое явление. Ведь достаточно сложно защитить что-то полностью передаваемое легальным пользователям в руки злоумышленников, как это происходит с номерами карт, CVV, паролями и т.д. в рамках успешного применения подходов социальной инженерии.

Журнал «Банковские технологии», №3, 2019.

вернуться назад

События

Новости

Корпоративные новости