Киберпреступность: явная и скрытая угроза
За последние две недели рост политической напряженности в стране спровоцировал и серьезную активизацию хакерского криминала. С кибератаками столкнулись не только веб-сайты критически настроенных к власти СМИ (в том числе и ZN.UA), но и интернет-ресурсы органов власти. Процесс стал приобретать неадекватные формы. Вопрос информационной безопасности становится все более актуальным для Украины.
Под ударом разворачивающейся кибервойны оказывается и банковская система, в которой концентрируются интересы всей экономики.
Масштабы проблемы
Ограбление с помощью компьютера — уже не просто популярный сюжет голливудского фильма, а вполне реальная угроза, с которой сталкиваются финучреждения и их клиенты по всему миру.Согласно оценкам комиссии по внутренним делам британского парламента, потери мировой экономики от преступлений, совершенных с помощью Интернета, достигли 388 млрд долл. в год. Тем самым киберпреступность обошла по своему размаху мировой наркорынок, годовой оборот которого оценивается в 288 млрд долл.
Руководитель отдела финансовой стабильности Банка Англии Эндрю Хелдейн заявлял, что пять крупнейших банков Великобритании боятся киберпреступлений даже больше, чем долгового кризиса. По его словам, система защиты от хакерских атак в банковском секторе находится фактически в зачаточном состоянии: раньше финансисты больше заботились о ликвидности, чем о безопасности.
Какова ситуация в Украине? До последнего времени киберпреступность у нас ассоциировалась преимущественно с различными видами махинаций с банковскими картами клиентов-физлиц. Так, преступники с помощью специальных устройств (например, так называемых скиммеров, которые устанавливаются на банкоматах) получали данные клиентов и изготавливали дубликаты карт для дальнейшего снятия денег со счетов.
По оценкам НБУ, в прошлом году удельный вес подобных мошенничеств составил 0,002% от общего объема операций с карточками. С этим явлением банки и правоохранители, как они заверяют, в целом уже научились бороться. Об этом свидетельствует в том числе увеличение количества выявленных скиммеров (в текущем году — около 160, в прошлом — 73, в 2011-м — 45).
Но за последние год-два киберпреступники начали менять «профиль» и переходить в «высшую лигу». Они переориентировались в том числе на клиентов-юрлиц (где цена вопроса, понятно, более высокая), что предусматривает вмешательство в системы дистанционного банковского обслуживания (ДБО, например, «клиент—банк» и т.п.). К слову, если в 2010–2011 гг. преступники использовали украинские банки преимущественно как «кассы» для снятия и обналичивания средств, украденных со счетов в иностранных банках, то в 2012-м тенденция изменилась, и начались атаки на клиентские счета именно отечественных финучреждений на территории Украины.
По словам начальника управления по борьбе с киберпреступностью МВД Украины Максима Литвинова, в текущем году уже зафиксировано более 270 попыток несанкционированного списания средств со счетов клиентов банков на общую сумму более 108 млн грн. Статистика примерно такая же, как и в прошлом году. «Наши механизмы, которые мы наработали совместно с банками и Госфинмониторингом, позволяют предотвратить завладение средствами со стороны преступников в 70% случаев», — подчеркивает страж правопорядка.
Правда, следует иметь в виду, что официальные данные, безусловно, не охватывают все случаи преступлений, поскольку зачастую банки пытаются «урегулировать» проблемы на своем уровне, не предавая их огласке, чтобы избежать репутационных рисков. «Но нельзя сказать, что данные катастрофические. Если бы мы все вместе — НБУ, МВД, НАБУ не уделяли этой проблеме должного внимания, преступности было бы намного больше. Мы все-таки минимизируем это явление», — утверждает руководитель комитета НАБУ по вопросам банковской инфраструктуры и платежных систем, председатель правления банка «Старокиевский» Юрий Яременко.
Как рассказывает руководитель по безопасности технологий розничного бизнеса «Альфа-банка» (Украина) Сергей Досенко, в апреле и октябре текущего года около 30 финучреждений в Украине столкнулись с одновременными мощными DDoS-атаками, целью которых было в том числе прикрытие попыток вывода средств со счетов клиентов. «С точки зрения методов работы и масштаба их можно характеризовать не просто как киберпреступность, но и как кибертерроризм», — говорит специалист.
При этом он уточняет, что в октябре клиенты почувствовали только сложности с доступом к сервисам дистанционного обслуживания, однако финансовых потерь они не понесли (была попытка похищения средств со счета одного клиента). Такой результат удалось получить в том числе благодаря большим инвестициям (на миллионы гривен) в систему информационной безопасности финансового учреждения.
По словам специалистов, устроить DDoS-атаку на десятки банков — не такое уж дешевое «удовольствие». На это может понадобиться даже не одна сотня тысяч гривен. Понятно, что злоумышленники свои «капиталовложения» рассчитывают окупить сторицей.
Хотя иногда имеют место факты, когда продвинутые компьютерщики «просто» решают испытать на прочность IT-системы банков, не ставя себе четкую цель украсть средства с чужих счетов (такой вот профессионально-квалификационный интерес). Кроме того, рассказывают эксперты, иногда IT-шники не до конца осознают ответственность за свои действия, когда к ним обращаются люди с «деликатными» просьбами, полностью не раскрывая своих мотивов.
Кстати, по данным немецкого оператора связи Deutsche Telekom, Украина находится на четвертом месте в мире после России, Тайваня и Германии среди стран, из которых в основном идут кибератаки. Ежемесячно с украинских серверов запускается более полумиллиона вредоносных программ.
Последний яркий пример хакерского криминала — попытка вывесить на сайт НБУ нашумевшее в соцсетях «постановление» регулятора от 2 декабря 2013 г. №6565, в котором говорится в частности об ограничении валютно-обменных операций, движения денег по банковским счетам и т.д. Слово «постановление» берется в кавычки исходя из того, что в Нацбанке категорически опровергли его существование.
«Хакеры даже поставили номер на сайте НБУ, но само «постановление» разместить не смогли — сработала система защиты. Его писал человек, который явно имеет опыт работы с официальными документами. И если бы это «постановление» попало на сайт НБУ, оно произвело бы эффект разорвавшейся бомбы. Мы должны понимать, что если такие попытки делаются, то они могут быть и успешными», — подчеркивает председатель совета НАБУ Борис Тимонькин.
Слабые звенья
Чьи действия или бездействие в наибольшей степени повышают успешность хакерских атак? Банков, которые экономят на системах защиты, противодействия преступности, или клиентов, которые либо небрежно пользуются финансовыми услугами, либо применяют уязвимое нелицензионное программное обеспечение? «Не могу и не хочу давать оценок, кто виноват. Считаю, что виноваты те, кто хочет завладеть чужими деньгами. Но если говорить о банках, то не знаю примеров, чтобы они пользовались нелицензионными программами», — дипломатично убеждает Ю.Яременко.
Очевидно, что проблемы с обеспечением надлежащего уровня защиты имеют место с обеих сторон. Хотя, по словам представителей госрегулятора и участников рынка, клиентская составляющая все-таки более весомая. «Клиенты не совсем понимают те риски, которые они могут понести, и поэтому не уделяют большего внимания защите своих персональных данных», — говорит специалист департамента платежных систем НБУ Дмитрий Макаренко. «Клиент часто недооценивает, насколько важно соблюдать правила безопасности. Абсолютное большинство взломов там, где нет этой защиты вообще, где пренебрегают условиями по безопасности», — добавляет эксперт проекта НАБУ «Противодействие киберпреступности» Алена Кузьмина.
По словам же первого заместителя руководителя службы безопасности Приватбанка Михаила Фролова, финучреждениям не совсем корректно спрашивать у клиента, у которого украли деньги, — было ли лицензионным программное обеспечение, которое он применял. «Это будет проявлением предвзятого отношения банка к клиенту. Но банк должен научить клиента, как правильно действовать», — отмечает М.Фролов.
Свидетельством того, что и в банках не все так гладко с безопасностью в сфере дистанционного банковского обслуживания, может быть, в частности, недавний случай, когда сотрудники одного из финучреждений скопировали электронные ключи доступа к счетам клиентов и похитили с них несколько миллионов гривен. Правда, представители группы злоумышленников были задержаны, когда пытались с наличными средствами пересечь госграницу Украины.
Вместе с тем директор Украинской межбанковской ассоциации членов платежных систем «ЕМА» Александр Карпов обращает внимание, что сегодня на рынке достаточно лояльные условия с точки зрения возврата средств клиентов, счета которых пострадали от хакеров-грабителей. А также отмечает необходимость усиления уголовной ответственности киберпреступников за их действия. «Является ли Украина удобным местом для осуществления киберпреступлений? Да. Банальный пример. Вы в банкомате вынули 200 тыс. грн за три минуты, вас, возможно, поймали. Вы отдали 80 тыс. грн штрафа и пошли жульничать дальше. Вот так сейчас выглядит с точки зрения законодательства противодействие кибермошенничеству», — сетует эксперт.
Такое положение дел сформировалось в том числе из-за «гуманизации» статьи 200 Уголовного кодекса. В ее текущей редакции предусмотрено, что подделка документов на перевод, платежных карточек или других средств доступа к банковским счетам, неправомерный выпуск или использование электронных денег и т.д. наказывается штрафом от трех до пяти тысяч необлагаемых минимумов доходов граждан. То есть тюремные нары преступникам именно по этой статье не угрожают.
Отдельное внимание специалисты уделяют качеству работы МВД. С одной стороны, особых претензий непосредственно к профильному управлению по борьбе с киберпреступностью вроде бы и нет. С другой — существуют вопросы к другим структурным подразделениям правоохранительного министерства, которые тем или иным образом также участвуют в противодействии преступлениям (прежде всего, речь идет об органах следствия). Кроме того, в более высоком качественном уровне нуждается и работа судебных органов — их компетенция часто хромает.
Но даже при всех многочисленных нюансах система противодействия киберпреступности работает, утверждают представители правоохранительных органов. «Прошлогодние дела — на завершающей стадии в судах. Преступники получают свои заслуженные сроки лишения свободы», — констатирует М.Литвинов.
Воспитательные моменты
Для предупреждения мошенничеств в системах дистанционного банковского обслуживания специалисты советуют соблюдать, по крайней мере, несколько элементарных правил безопасности. В частности, использовать лицензионное программное обеспечение; не передавать коды доступа другим лицам (в т.ч. сотрудникам банка); не использовать компьютер системы «клиент—банк» для других целей, кроме проведения операций со счетами; не применять системы дистанционного управления компьютером; подписывать платежные документы двумя ключами электронно-цифровой подписи (например, директора и бухгалтера) и т.д.
Но без грамма преувеличения можно утверждать, что киберпреступники используют не только технические огрехи своих потенциальных жертв, но и пробелы в морали и правовой культуре всего общества. Ведь для того, например, чтобы перевести украденные с банковских счетов деньги в наличную форму, они часто обращаются к совершенно посторонним лицам за помощью. Предлагая «комиссию»/откат за их «услуги». И здесь преимущественно вопрос в цене, которая достигает обычно 20–30% суммы махинаций.
«С конца 2012 г. уже зафиксировано 500 контрагентов (из них третья часть — юрлица), которые способствовали отмыванию средств, полученных преступным путем с использованием инструментов кибермошенничества. Это довольно значимая цифра. Это и предприятия, которые ведут полноценную хозяйственную деятельность, налоговый учет. Более того, когда мы заблокировали средства, полученные преступным путем, предприниматель вступает с нами в конфликт, и на его стороне копии каких-то договоров об оказании услуг, какие-то юристы, которые должны нас вынудить разблокировать эту сумму», — рассказывает С.Досенко.
Добавить здесь, как говорится, нечего.
Автор: Андрей Алексеев, Зеракло недели – Украина
Tweet