Российские банки должны будут внедрить свыше 400 мер информбезопасности в соответствии с ГОСТом, разработанным Центробанком. Это следует из окончательной версии документа (есть в распоряжении «Известий»), который вступит в силу в 2019 году. Как пояснили в пресс-службе ЦБ, 329 банков уже добровольно начали внедрять новый ГОСТ.
По экспертным оценкам, кредитным организациям придется направить до 15% от чистой прибыли на перенастройку и усовершенствование своих систем в соответствии с требованиями документа.
Все требования к банкам в ГОСТе разделены на восемь блоков.Кредитные организации должны обеспечивать защиту информации при управлении доступом к учетным записям сотрудников, обязаны защищать свои внутренние программы и автоматизированные системы, контролировать целостность технических средств, принять меры по отражению атак с помощью вредоносных кодов, наладить управление инцидентами, связанными с киберхищениями средств. Кроме того, банки должны обеспечить защиту данных при удаленном доступе к учетным записям,
Что касается точечных мер, то банки, например, должны контролировать незаблокированные учетные записи уволенных сотрудников, работников, не появлявшихся в офисе более 90 дней, а также внештатников. Кредитные организации должны исключить бесконтрольное изменение пользователями параметров настроек средств и систем защиты информации. Контроль должен осуществляться за всеми лицами, которые пришли в офис банка, но при этом не являются его сотрудниками — в том числе с помощью систем видеонаблюдения. Архивы с видеозаписями должны храниться не менее 90 дней.
Защита от вредоносных программ должна осуществляться как на техническом уровне, так и на уровне внутренних систем кредитных организаций, межсетевого трафика, переносных устройств, банкоматов, платежных терминалов. В ГОСТе также указано, что должны регулярно проводиться проверки на уровень защиты банка от вредоносных кодов. Кроме того, банки должны ввести запрет на открытие самораспаковывающихся файлов, блокировать и анализировать не разрешенное их системами копирование данных конфиденциального характера.
— Разработка ГОСТа «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» является одной из мер, направленных на предотвращение хищений денежных средств на финансовом рынке страны, — пояснили «Известиям» в пресс-службе ЦБ. — Его основой стал отраслевой стандарт «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения». Также использовались нормативно-правовые акты Федеральной службы по техническому и экспортному контролю России.
По словам представителей ЦБ, сейчас более половины банков — 329 из около 600 действующих — добровольно начали внедрять ГОСТ в своей работе.
По оценкам гендиректора ИК «Форум» Романа Паршина, банкам придется направить до 15% от чистой прибыли на внедрение ГОСТа. По оценкам банкиров — не менее 3–5 млн рублей на каждый блок из комплекса мер. По словам Романа Паршина, средства пойдут на развитие систем безопасности банков и наем сотрудников, которые должны обладать повышенным уровнем навыков в сфере кибербезопасности.
В ЦБ не считают новый комплекс мер избыточным.
— Сокращение состава мер создаст уязвимости, которые смогут использоваться злоумышленниками для несанкционированных переводов денежных средств и иных компьютерных атак, — пояснили в пресс-службе ЦБ. — При этом цель выпуска ГОСТа не будет достигнута.
По словам начальника департамента информационной безопасности банка ТКБ Петра Курило, рынок давно ждал, что требования к банкам по кибербезопасности станут обязательными.
— Эти меры однозначно будут способствовать минимизации рисков, связанных с кибератаками, — считает Петр Курило. — Сам перечень требований довольно существенный, но излишними их назвать нельзя — в основном ГОСТ сформулирован с учетом лучших мировых практик и опыта по уже проанализированным инцидентам.
Руководитель направления аудита информбезопасности финансовых организаций компании Digital Security Андрей Гайко отметил, что многие требования ГОСТа касаются технических настроек уже существующих в банках механизмов защиты.
— Поэтому больше стоит говорить о рабочем времени сотрудников, которое будет затрачено на донастройку систем, — считает Андрей Гайко. — А это зависит от компетенции сотрудников и размера IT-инфраструктуры. У банков появятся новые пункты трат на обязательный анализ защищенности банковского программного обеспечения. Это новое требование.
Ведущий консультант по информационной безопасности «Инфосистемы Джет» Павел Новожилов добавил, чтоодной из ключевых тем нового ГОСТа является наличие сертифицированных средств защиты и прикладного программного обеспечения. Павел Новожилов уверен, что на реализацию данных требований по информбезопасности, связанных с сертификацией, банкам придется потратить значительные финансовые средства. Впрочем, по мнению эксперта, эти затраты окупятся, защитив банки от взломов.
Как ранее сообщали «Известия», объем хищений с банковских карт граждан за год упал на 55%, до 1,7 млрд рублей. По прогнозам ЦБ, в 2017 году улов мошенников будет ниже, чем в 2016-м, когда общий объем киберхищений с учетом атак на банки составил около 4 млрд рублей.
На Android появился новый банковский вредонос RedWing, который работает как готовый сервис для мошенников. Его сдают в аренду через Telegram: с тарифами, скидками за рефералов, инструкциями и обучающими видео. Даже преступнику без навыков разработки достаточно оплатить подписку и получить инструмент для кражи банковских данных.
Операцию обнаружили специалисты Zimperium zLabs. По их данным, RedWing похож на новый вариант Oblivion — вредоноса за $300 в месяц, о котором писали ранее.
Покупателю даже не нужно собирать приложение самому: телеграм-бот генерирует кастомный APK под выбранные цели.
Заражение начинается с фишинговой ссылки, которая ведёт на фейковую страницу магазина приложений. Конструктор умеет копировать Google Play, Galaxy Store, AppGallery и даже делать страницы с липовыми оценками, отзывами и счётчиком загрузок под заказ. Дальше жертву уговаривают установить приложение в обход официального магазина и выдать ему нужные разрешения.
RedWing действует аккуратно: не заваливает пользователя всем сразу, а просит доступы по одному. Сначала отключить ограничения батареи, потом сделать приложение обработчиком СМС, включить уведомления, а затем — дать доступ к Accessibility. И вот тут телефон фактически начинает работать не только на владельца.
После получения прав вредонос может показывать фейковые окна входа поверх банковских и криптоприложений, читать СМС с одноразовыми кодами, вытаскивать ПИН-коды и номера карт с экрана, вести кейлоггинг и транслировать экран оператору. Ещё хуже — RedWing умеет незаметно включать переадресацию входящих звонков через код *21*, чтобы перехватывать банковские проверки и звонки антифрода.
В арсенале также доступ к камере и микрофону, кража файлов, контактов и журналов вызовов, отслеживание геолокации и даже использование заражённых устройств для DDoS-атак.
Zimperium насчитала 82 целевые организации, причём заметный фокус сделан на российских финансовых компаниях. Один из образцов использовал фейковую страницу RuStore.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.