Часто в комментариях на Хабре приходится встречать высказывания, что российские банки не умеют хранить персональные данные, да и вообще не очень-то расположены защищать клиента, например, при покупках через интернет. На самом деле система безопасности банков продумана лучше, чем может показаться. На примере Газпромбанка разбираемся в деталях защиты данных клиентов.
Миф: для сотрудника банка слив клиентской базы — простейшая операция
На практике все не так просто, как кажется. Внутренние системы банка построены с учетом защиты клиентской информации — это определяют приказы регулятора. При этом в крупнейших банках, по крайней мере в ТОП-10, используется не какой-то единственный инструмент, а всесторонний подход, сложная многоступенчатая защита. Клиентские данные защищены сразу несколькими средствами.
Доступ к данным организован по ролевой модели. То есть сотрудник не пользуется информацией, которая не связана с его текущей задачей. Например, операционист в клиентском зале не сможет запросить информацию о клиенте из другого филиала, даже получив в руки его паспорт. Ролевая модель учитывается во всех операциях, вплоть до сборки back-офисом консолидированных отчетов — сотрудники просто не видят отчеты, которые «не положены» им по должностным обязанностям.
Информацию, к которой сотрудник по должности все-таки имеет доступ, нельзя просто так скопировать.
Во-первых, о запросе информации моментально станет известно. Весь доступ к данным журналируется. Фиксируются даже запросы администраторов и суперпользователей. Кстати, рабочие места тех, кто связан с настройкой системы, контролируются еще и внешним оборудованием — так всегда можно узнать, зачем администратор заходил в систему.
Во-вторых, результаты запроса не «вынести». Все рабочие станции защищены от создания скриншотов и оборудованы системой контроля периферийных портов, которая блокирует подключение любого стороннего устройства и отслеживает копирование на незаблокированные. Данные даже на печать нельзя отправить без разрешения и внешнего контроля.
Утечки изредка все же происходят. Но события, отмеченные Центральным Банком, связаны в основном с работой подрядчиков, которые не соблюдали требования безопасности. К сожалению, их уровень зрелости защиты информации ниже. Понимая, что это дыра в системе безопасности, банки зачастую выдают подрядчикам доступ к синтетическим или обезличенным данным, нарушение конфиденциальности которых не приведет к наступлению финансовых рисков для банка.
Миф: легальные сотрудники вне игры, но есть же хакеры
Банковские системы действительно постоянно атакуют извне. В первую очередь это касается фронт-офиса, доступного через интернет: порталов, мобильных приложений, систем электронного диалога между банками и клиентами, клиентов для дистанционного обслуживания. Доля атак на внутренние системы (бэк-офис) составляет не более десятой процента.
Цель атаки — получение дохода прямым или косвенным путем (например, через продажу данных). При этом атакующий может работать не один, а в хакерской группировке, где участники подобраны по необходимым навыкам. Члены такой группы могут даже не знать друг друга лично, отыгрывая четко прописанную роль.
Банки научились сражаться и с такой организованной преступностью. Каждый из компонентов банковской инфраструктуры защищен по-своему. Применяются и антивирусы, и средства защиты от всплывающих окон или удаленного доступа на рабочих местах сотрудников, и анти-DDoS, и системы выявления инцидентов внешними путями, и масса других инструментов.
Идеальных систем не существует. Я готов спорить, что в любой лучшей системе безопасности можно найти бреши. Но сегодня инфраструктура российских банков настолько развита, что взлом их систем будет стоить дороже, чем доход от этого мероприятия
Алексей Плешков
заместитель начальника департамента защиты информации Газпромбанка
Атаки на фронт-офис всегда реализуются через клиентские профили, поэтому противодействовать преступникам помогает выявление аномалий в поведении клиентов. Так можно заметить взлом еще до того, как о нем сообщит клиент.
В бэк-офисе база данных клиентов отделена от пользователей. Вторжения или действия, которые могут к ним привести в бэк-офисе, также фиксируются в режиме реального времени. Сейчас все происходит в почти автоматическом режиме. Роботы собирают всю информацию, а операторы принимают окончательное решение, как именно трактовать сложившуюся ситуацию. При необходимости они отправляют инциденты на расследование.
В бэк-офисе база данных клиентов отделена от пользователей. Вторжения или действия, которые могут к ним привести в бэк-офисе, также фиксируются в режиме реального времени. Сейчас все происходит в почти автоматическом режиме. Роботы собирают всю информацию, а операторы принимают окончательное решение, как именно трактовать сложившуюся ситуацию. При необходимости они отправляют инциденты на расследование.
“
В нашем банке и у целого ряда крупных коллег созданы Ситуационные центры по информационной безопасности. Кстати, мы одни из первых, кто в России в 2009 году перешел на риск-ориентированный подход и внедрил выявление, анализ и противодействие инцидентам. В нашем ситуационном центре 24 часа в сутки 7 дней в неделю работает более 40 человек. Все это эксперты по безопасности с опытом в отрасли более 10 лет
Для разбора сложных ситуаций привлекаются эксперты профильных подразделений.
Миф: вы отлично рассказываете, но на черном рынке полно клиентских баз российских банков!
Наша практика показывает обратное. Большая часть «товара» — фейк. Привлекая подрядчика, который занимается киберразведкой, мы выходили на диалог со злоумышленниками, предлагавшими базы данных наших клиентов. Контрольная закупка показала, что данные там не скопированы с наших систем, а сформированы на основе информации из открытых источников. К примеру, юрлицо размещает на сайте реквизиты: номер счета, наименование банка и так далее. Используя их, злоумышленники формируют некую фальсифицированную запись. В ней клиент, счет и расчетные реквизиты — реальные, а движение средств и остатки по счетам — нет. Для физических лиц аналогичные базы можно сформировать на основе интерфейсов систем быстрых платежей. Перебирая номера телефона, можно посмотреть, является ли физическое лицо клиентом нашего банка. Это известный кейс
Алексей Плешков
заместитель начальника департамента защиты информации Газпромбанка
Ситуационный центр расследует десятки тысяч сообщений в год, и лишь несколько из них касаются утечек информации. Зачастую это ложное срабатывание — предупреждение о том, что сотрудник скопировал некую информацию. Это могут быть даже синтетические данные, подготовленные для работы подрядчиков. Однако сигнал о подозрительном поведении обрабатывается в любом случае совместно с руководителем сотрудника, который выполнил копирование. Такое расследование помогает обучать систему.
Миф: SMS-сообщения, которые банки используют для уведомлений и подтверждения операций, недостаточно защищены. Это дыра в безопасности платежей по банковским картам?
Использование SIM-карты в качестве инструмента для двухфакторной авторизации действительно открывает мошенникам возможность вывести деньги клиента без его ведома. Для этого надо заменить или копировать привязанную к счету SIM-карту, чтобы перенаправить на себя SMS с подтверждением вывода клиентских денег.
Но банки вполне успешно борются с таким мошенничеством через партнерство с крупными мобильными операторами. Крупные банки и крупные же операторы заключили соглашения, что при замене данных клиента — номера телефона, IMEI устройства, уникальных идентификаторов SIM-карты — оператор оповещает банк. Получая такое уведомление, банк связывается с клиентом, чтобы проверить, все ли хорошо. Одни банки звонят через call-центр, другие присылают push-уведомления в нативное мобильное приложение. Незаметно подменить SIM-карту не получится.
Но банки вполне успешно борются с таким мошенничеством через партнерство с крупными мобильными операторами. Крупные банки и крупные же операторы заключили соглашения, что при замене данных клиента — номера телефона, IMEI устройства, уникальных идентификаторов SIM-карты — оператор оповещает банк. Получая такое уведомление, банк связывается с клиентом, чтобы проверить, все ли хорошо. Одни банки звонят через call-центр, другие присылают push-уведомления в нативное мобильное приложение. Незаметно подменить SIM-карту не получится.
У каждого банка действуют ограничения на операции после замены SIM-карты. У одних банков это часы, у других — день-два. Так что сделать все максимально быстро у злоумышленников уже не выходит.
Замена SIM-карты не типовая операция, поэтому в целом на клиентском сервисе это отражается не сильно.
“
Инструменты защиты стоят на отдельной виртуальной машине на каждом сервере — так организован перехват угроз еще на стадии виртуальных машин. Отказоустойчивость реализована на каждой площадке, плюс катастрофоустойчивость.
В последнее время банки стараются переводить этот риск в разряд страхового. Другие же перекладывают ответственность на сторону мобильного оператора. Заключенное с ним соглашение подразумевает, что именно оператор обеспечивает проверку абонента — мошенник это или нет. Использование того или иного подхода зависит от региона работы
Миф: есть масса способов украсть данные карты, чтобы вывести деньги через покупки в интернете. Деньги потом не вернуть!
Действительно, мошенники разработали массу способов получения данных карт. Но банки пытаются защитить клиента, даже если данные карты утекли в интернет по его вине.
Все крупные банки поддерживают технологию 3D Secure. Конечно, для мошеннических операций без присутствия карты выбираются банки (и подключенные к ним магазины), которые ее не поддерживают. Но по условиям платежных систем ответственность за проведение подобных операций берут на себя именно эти банки. Это схема reliability shift, которая определяет, что деньги при этом теряет банк, не поддерживающий защиту.
Также банки развивают системы антифрода. Базовые требования к ним определяют операторы платежных систем и закон о противодействии легализации денежных средств, полученных преступным путем.
Мы подробно разбираем на составляющие каждый сценарий проведения мошеннической операции. Смотрим временные рамки, профиль клиента, который подвергся атаке, использованные магазины. Так мы формируем некоторую корреляцию для загрузки в систему мониторинга финансовых транзакций, позволяющую выявлять и блокировать аналогичные операции. Так что если сценарий один раз сработал в отношении кого-то из наших клиентов, и тот заявил о мошенничестве, к другим клиентам применить его будет сложнее. Например, если обманули пожилого человека, мы можем сузить профиль клиента (возраст 60−70 лет, подобные операции ранее не совершались), выявить метаданные транзакции и реквизиты банка мошенника, куда был совершен перевод, оценить лимиты — обычно это суммы ниже порога, определенного 115-ФЗ. Все это позволяет на потоке выявлять похожие операции: отзваниваться бабушкам и уточнять, действительно ли они хотят перевести деньги
Алексей Плешков
заместитель начальника департамента защиты информации Газпромбанка
Анализировать все транзакции в реальном времени помогают технологии big data.
Миф: о скимминге пару лет назад писали все, а теперь о проблеме молчат. Неужели банки бросили клиентов?
Скимминг — это установка дополнительных устройств на типовой банкомат, ворующих данные банковской карты. Чаще всего это считыватель магнитной полосы и накладная клавиатура или камера, помогающая злоумышленнику подсмотреть пин-код. Получив клиентские данные, злоумышленник может скопировать банковскую карту и вывести деньги клиента. С 2012 по 2016 год об этом виде мошенничества действительно писали довольно много. А банки постоянно предупреждали клиентов о том, как именно можно распознать скиммер. Чаще всего такие устройства появлялись на банкоматах Центрального, Северо-Западного и Южного федеральных округов (Москва, Санкт-Петербург, Ставрополь, Краснодар). Сегодня о проблеме замолчали, но лишь потому, что она перестала быть столь острой.
“
В свое время мы признали эту проблему критичной, и с этого момента пошли по трем основным направлениям: усовершенствовали карты клиентов, изменили конструкцию банкомата и провели инструктаж охранников допофисов и инкассаторов. Кстати, в других крупных банках (как минимум ТОП-5 по стране) действовали так же
Крупные российские банки перешли на карты, данные которых записаны на чипе. Для них стандартные скиммеры для магнитных полос бесполезны. А устройств, которые бы умели считывать данные чипа, в России пока зафиксировано не было.
“
Технически и чип скопировать можно, но это слишком дорого для злоумышленника, поэтому в эту сторону он пока не смотрит
Для защиты оставшихся карт с магнитной полосой (например, карт других банков, клиенты которых пользуются банкоматами Газпромбанка) в конструкцию устройства были внедрены антискиммеры, генерирующие электромагнитный шум за пределами считывателя магнитной полосы. На таких банкоматах скиммеры, установленные поверх корпуса, не дают ожидаемого результата — вместо данных карты они записывают белый шум. Сейчас установлено уже около 6,5 тыс. антискиммеров по всей стране.
А чтобы быстрее выявлять установленное мошенниками оборудование, в Газпромбанке прошла целая серия обучающих мероприятий.
Мы показывали, как выглядит скиммер, рассказывали, каким образом можно выявить наличие этого устройства. В качестве обучающих материалов у нас есть целая коллекция скиммеров, снятых с наших банкоматов. Конверсия получилась очень хорошая. За год после обучения мы по России собрали 6 или 7 новых устройств для коллекции, хотя до этого выявлялось 1−2 скиммера в год
Алексей Плешков
заместитель начальника департамента защиты информации Газпромбанка
В результате скимминг стал неэффективен. После 2016 года был зафиксирован только один случай установки скиммера на банкомат Газпромбанка. Произошло это сравнительно недавно — в октябре 2019 года. Мошенники установили устройство на одном из банкоматов в Центральном регионе, но его сразу же сняли в процессе инкассации.
“
Мы проанализировали свежий кейс. Скиммер был установлен выходцами из Восточной Европы, а снят он был буквально через полчаса, поскольку инкассаторы действовали по нашим инструкциям. Анализ данных со скиммера показал, что установка была обучающим мероприятием. Видимо, человек, стоявший у истоков этого вида мошенничества в России, передавал знания следующему поколению
Миф: банкомат подвержен вирусам. Злоумышленник легко может списать деньги со счета любого?
Злоумышленники, занимавшиеся до 2016 года скиммингом, действительно переключились на вирусы. В последнее время это был самый популярный способ атак на банкоматы.
У некоторых производителей банкоматов для доступа к верхнему кабинету устройства, где размещен системный блок с внешними интерфейсами, было достаточно стандартного ключа — банки просто не задумывались о том, чтобы использовать уникальные кодовые комбинации или физические замки. Нижний кабинет, где размещаются устройства для выдачи денег, всегда защищался гораздо лучше. Злоумышленник, получивший ключ от верхнего кабинета, мог получить доступ к USB-интерфейсу и через флешку запустить вредоносное ПО
Алексей Плешков
заместитель начальника департамента защиты информации Газпромбанка
Чтобы защититься от этого вида мошенничества, Газпромбанк блокирует доступ к USB-портам системного блока банкомата так же, как и к портам на рабочих местах сотрудников в офисе. А факт открытия верхнего кабинета фиксируется в системе мониторинга.
Но даже без этих мер перехватить данные о транзакции и тем более изменить ее было бы не так просто. Платежные системы — не только Visa и MasterCard, но и российская Мир — требуют защищенного VPN-соединения между банкоматом и процессингом, а обмен данными идет в шифрованном виде. Более того, пин-код и некоторые данные по транзакции дополнительно шифруются с помощью ключей, установленных в самом считывателе или POS-терминале. В итоге тому, кто попадет в недра банкомата, доступны только метаданные транзакции, но не ее суть.
Миф: банк знает все обо мне и обязан отчитываться перед государством. Значит, любого банковского клиента можно «пробить» через знакомого из спецслужб?
Когда СМИ говорят о том, что банки готовы предоставлять в следственные органы информацию о движении денег, среднестатистический обыватель представляет себе сотрудника этих самых органов перед терминалом, напрямую подключенным к «Большой Базе Данных Всех Клиентов». Но на практике все выглядит совсем иначе. Прямой доступ сотрудников спецслужб и других органов в банковские системы невозможен по закону. Данные действительно передаются, но кто, кому и что отправляет, жестко регламентировано.
“
От регулятора (из МВД, налоговой, Роскомнадзора) поступают официальные запросы. Они должны содержать юридически значимое объяснение причины запроса: расследование, решение суда, номер уголовного дела. Такой запрос проходит через наш юридический департамент и направляется в нужное подразделение, только если признается легальным
Банк не обязан давать полный доступ к «досье» клиента. В запросе всегда содержится указание на конкретные данные: реквизиты, транзакции, временные отрезки. И банк дает ответ строго на поставленный вопрос. Более того, он делает это не в режиме онлайн, поскольку при подготовке ответов задействуются разные подразделения. Ответы на многие вопросы даже с использованием внутренней системы электронного документооборота не подготовить быстрее, чем за пару дней, особенно если запрашиваются филиалы. А перед тем как покинуть банк, ответ еще раз проходит через юридический департамент.
Банки и сами запрашивают информацию о клиентах у регулятора, принимая решение, предоставлять ли клиенту ту или иную услугу. Но это ни в коем случае не «полный доступ к Госуслугам».
Получение информации осуществляется в формате запросов. Например, мы работаем с Бюро кредитных историй, запрашивая данные по старым или новым кредитам потенциального клиента. Аналогично мы проверяем действительность паспортов, уголовные дела. В каждом случае мы ограничиваем диалог минимальным набором информации — его когда-то уже определил регулятор. То есть если для ответа на наш вопрос достаточно сообщить только фамилию, имя, отчество клиента и номер его паспорта, мы не будем передавать иные данные. Ответ государственного органа также минимизирован. Например, если нас интересует, действующий ли у клиента паспорт, в ответ на запрос от миграционной службы мы получаем просто маркер: да или нет
Алексей Плешков
заместитель начальника департамента защиты информации Газпромбанка
Взаимодействие с госорганами происходит через порталы-посредники. А формат диалога жестко прописан в договорах с ними (кстати, типовых для банков).
Требования к безопасности при передаче информации для разных государственных органов отличаются. Иногда задействуется Система межведомственного электронного документооборота с ее универсальным форматом запросов и подходом к безопасности, а иногда регулятор определяет собственную схему передачи.
Уникальные средства защиты применяются, например, при работе с Бюро кредитных историй. Там свои форматы сообщений, VPN, шифрование. Каждый пользователь в этом взаимодействии использует свой набор уникальных идентификаторов.
В любом случае все сообщения, передаваемые между банком и порталами, шифруются, чтобы избежать перехвата на канале или подмены со стороны портала. Если требования регулятора, по мнению банка, недостаточны, он вносит в договор дополнительные пункты о шифровании, подписи электронного сообщения, формате шифр-контейнеров.
Миф: вся эта многоярусная защита должна блокировать мою карту по 10 раз в день из-за ложных срабатываний!
Блокировка карт — это просто защита денег на клиентском счете. Она выполняется в нескольких случаях. Карта может блокироваться либо по инициативе самого клиента через приложение или звонок в колл-центр, либо автоматически при проведении транзакций, которые соответствуют мошенническому профилю. Разновидностью блокировки также можно назвать установку лимитов, например, при пересечении границы.
Автоматические блокировки происходят довольно редко.
“
Сейчас у нас около 50 млн выпущенных пластиковых карт. За последний год блокировки по всем причинам (включая собственное желание клиента) исчисляются десятками в неделю, что дает вероятность блокировки какой-то конкретной карты в течение года около одной тысячной процента
Гораздо чаще пользователи сталкиваются с мнимыми блокировками, когда злоумышленники рассылают уведомления от имени банка о том, что необходимо позвонить по определенному номеру. С реальными блокировками эти сообщения не имеют ничего общего. И единственная рекомендация на такой случай — звонить не по телефону из сообщения, а по номеру, указанному на оборотной стороне карты. Банк никогда явным образом номер телефона в сообщении не присылает.
В целом этот миф сосредоточен вокруг блокировок по подозрению в мошенничестве. Часто банковские клиенты боятся, что их могут заблокировать из-за совершения нетипичных операций, например, сбора денег на подарок перед Восьмым марта. Но и для таких периодов у банков настроены профили, характеризующие то самое нетипичное поведение клиента. Если кто-то и сталкивался с подобным в прошлом, сейчас все покупки подарков и сборы средств коллеге уже заложены в стандартные операции в системе мониторинга финансовых транзакций. Клиент может получить разве что звонок из банка для уточнения.
Действительно нетипичными могут быть, например, операции, развязанные по геолокации. Допустим, клиент совершает покупку в Москве, а спустя полчаса — на Манхеттене в США. Такая операция потенциально является мошеннической, и если банк ее по каким-то причинам не остановил, он может заблокировать карту и связаться с клиентом, чтобы уточнить причину (или начать процедуру возврата средств). Такого подозрения не возникнет, если интервалы укладываются в логику: когда одна операция совершена в аэропорту Шереметьево, а вторая — в Доминикане, но спустя 15−18 часов.
Банковские системы пытаются понять, чем обоснованы действия клиента при совершении каждой операции. Но при этом без информации клиента никто не оставит. Кстати, у нас были ситуации, когда к счету была выпущена дополнительная карта и наш прозвон выявлял так называемый «френдли фрод» — операции, которые выполнялись по карте членами семьи без ведома основного клиента. Кому-то мы так сохранили семейный бюджет
Алексей Плешков
заместитель начальника департамента защиты информации Газпромбанка