Cервисы
Managed IT
Решения
Security
Импортозамещение
О компании

Информационная безопасность в цифровом банке

Банки с каждым годом сокращают количество отделений, предпочитая развивать цифровые каналы взаимодействия с клиентами. По данным «Коммерсанта», в прошлом году российские банки закрыли 10% офисов. «Тинькофф Банк», пионер цифровизации и дистанционного обслуживания в России, позиционирует себя как ИТ-компанию, «Сбербанк» — как «уже не совсем банк». И дело не только в том, что технологические компании выше котируются на бирже: границы между банками, ИТ, ритейлом и финтехом чем дальше, тем больше стираются. Это же касается и внутренних бизнес-процессов.

У банковской цифровизации два базовых преимущества — удобство (для самого банка и для клиентов) и экономия. В числе минусов — новые риски информационной безопасности, включая киберугрозы, которые сопутствуют ИТ-компаниям. В этом посте поговорим о цифровизации банков как раз в контексте обеспечения ИБ. Но для начала — о тенденциях.

Миграция в цифру

Трансформация банков — вопрос не моды, а конкурентноспособности. Когда клиенты «живут» в смартфонах, в соцсетях, странно бороться за них в офлайне. У банков, входящих Топ-50, практически все операции, за исключением разве что банковских ячеек, дублируются онлайн. Та же процедура получения кредита, даже ипотечного, донельзя упрощена и диджитализирована. Причина, конечно, не в том, что банки стремятся облегчить жизнь клиентам. Просто сейчас банкам доступно множество источников информации о них — от кредитной истории до «резюме» правоохранительных органов, а также средства аналитики с применением AI (искусственного интеллекта). Этот инструментарий упрощает и ускоряет процедуру проверки кредитоспособности клиента, а в итоге и выдачу денег.

Учитывая, что у некоторых банков доля дистанционных контактов с клиентами доходит чуть ли не до 100%, необходимость сокращения физических офисов очевидна — их содержание становится нерентабельным. Так, например, «Райффайзенбанк» в ближайшее время собирается закрыть четверть офисов, а в некоторых городах оставит только удаленный формат обслуживания. Вообще, рост количества необанков — банков без отделений, — говорит о том, куда всё движется.

Еще одна причина банковской диджитализации и финансовых вливаний в нее — необходимость создания собственных цифровых продуктов: мобильных приложений, систем дистанционного банковского обслуживания, инструментов для анализа больших данных и сбора статистики, развития веб-сайтов и т. д. Здесь, как и в ИТ, важной стала скорость вывода новых продуктов на рынок.

Потребность в быстром запуске новых финансовых сервисов вынуждает банки прибегать к стратегии ИТ-компаний, специализирующихся на разработке софта, осваивая и соответствующие методики — Agile и CI/CD. Для примера, у того же «Тинькофф Банка» есть собственная сеть центров разработки, где обучаются молодые программисты из регионов — с прицелом на будущее включение в штат. «Сбербанк» еще в 2011 году создал отдельную ИТ-компанию, «СберТех», которая занимается исключительно развитием цифровой экосистемы банка. Цифровая конкуренция между первым российским необанком и мегакорпорацией, выросшей из «Гострудсберкасс», — это то, что среди прочего двигает цифровизацию вперед. Российская банковская сфера по темпам цифровой трансформации, как отмечает аналитическое агентство McKinsey, — одна из лучших в мире.

Другой вопрос, насколько этот «цифровой тур де форс» совпадает с усилиями банков по обеспечению информационной безопасности инфраструктуры. И нет ли между ними тревожного (для клиентов) зазора.

Нерадужная статистика

По данным ФинЦЕРТ — Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере при ЦБ РФ, в прошлом году на российские банки было совершено 700 кибератак. 180 из них — нападения с целью извлечения финансовый выгоды, 100 — DDoS-атаки. Кроме этого, на банки и клиентов было направлено 70 кампаний по распространению вредоносных программ. ФинЦЕРТ зафиксировал 550 интернет-ресурсов, распространяющих вредоносное программное обеспечение, и ВПО-серверов. Ущерб российских банков от атак хакеров составил 58 млн рублей.

Главный метод киберпреступников — социальная инженерия: злоумышленники звонят клиентам как «представители банка», требуя сообщить номер карты (PAN), одноразовый пин-код (OTP) или CVV/CVC-код. Другой популярный инструмент — распространение ВПО; при этом для атак на финансовые организации и клиентов используются email-рассылки с зараженными файлами или гиперссылками на сайты с вредоносами, в том числе с программами-вымогателями.

Немалую роль в той же социальной инженерии играют утечки персональных данных клиентов (ПДн). Новости об очередном «сливе» появляются регулярно. Один из недавних произошел в конце октября 2019: по сообщению «Коммерсанта», на черном рынке выложили на продажу базу данных кредитных клиентов «Сбербанка» с подробными ПДн — паспорта, телефоны, адреса, сумма на счете, сумма остатка и даже аудиозаписи разговоров с банком; в базе содержался 1 млн записей. Годом ранее в общий доступ утекла информация о 420 тыс. записей с ФИО сотрудников «Сбербанка» и логинами для входа в операционную систему; логины, как правило, совпадали с адресами служебной электронной почты. Из других примеров — недавняя утечка данных 3,5 тысяч держателей кредиток «Альфа-банка» и еще столько же — клиентов «Альфастрахования».

В чем причины?

По данным ФинЦЕРТ, большинство случаев реального ущерба для банков — финансовых хищений, утечек клиентских данных и пр. — происходит по трем причинам:

Охотнее прочего банки нарушают Положение № 382-П (447 случаев), которое определяет правила обеспечения безопасности при денежных переводах. Нарушения 382-П разнообразны: нет разграничения прав доступа к защищаемой информации, не выявляются инциденты, не контролируются обновления ПО и актуальные уязвимости, и так далее. В числе других законов и актов, которыми пренебрегают российские банки: № 161-ФЗ, № 395-1, № 325-ФЗ, № 672-П, № 683-П и № 684-П.

В качестве примера, к чему приводят нарушения требований регулятора, ФинЦЕРТ упоминает одну неназванную кредитную организацию, на которую в конце 2018 года была совершена хакерская атака. В результате мошенники осуществили несколько несанкционированных денежных переводов на общую сумму 5,5 млн рублей и 15000 евро. На этом фоне банкам приходится думать не только о защите от прямых внешних атак, но также и над противодействием внутреннему фроду (в том числе с помощью внедрения UBA-программ — User Behavior Analytics), мошенничеству с биометрическими данными, обходу двухфакторной аутентификации и не только.

Заключение

Трансформация банков в ИТ-компании — история, которая, кроме оптимизации технологических процессов, требует и не менее активной оптимизации ИБ. Чем больше банки цифровизуются, тем более реальными для них становятся угрозы, характерные для ИТ-рынка вообще. Пренебрежение рисками информационной безопасности может повлечь для банков как финансовые, так и репутационные убытки. Кроме этого, несоблюдение нормативов, федеральных законов и стандартов ЦБ РФ грозит штрафами, что, в сочетании с уроном от злоумышленников, может поставить банк на грань банкротства.

Один из эффективных способов защитить банк от угроз — обратиться к аудиторской компании, которая может провести экспертную оценку соответствия стандартам ИБ, включая полный аудит информационной безопасности ИТ-инфраструктуры и тест на проникновение, и дать подробные рекомендации по повышению уровня защищенности.