Автор: RSBP в Центральной Азии
Дата публикации: 30-07-2020

Большинство ФУ уже несколько лет идут по пути цифровизации с целью повышения эффективности и использования преимуществ технологии для предоставления клиентам более качественных финансовых услуг. Однако с расширением пандемии COVID-19 и введением карантинных мер вопросы цифровизации еще более остро встали на повестке дня многих учреждений или были пересмотрены на фоне чрезвычайной ситуации. Появилась необходимость в переходе от предоставления услуг через филиалы к мобильным услугам и цифровым каналам связи, и эти изменения в стратегии уже породили новые риски и будут порождать и дальше, требуя внедрения новой практики на разных уровнях ФУ.

 

На протяжении уже более, чем двух десятилетий проблема кибербезопасности и связанных с киберпреступностью рисков приобретала все более актуальное значение наряду с другими приоритетными задачами финансовых учреждений (ФУ). Но кризис пандемии COVID-19 внес свои коррективы в правила игры, заставив ФУ резко изменить подходы и адаптироваться к новым методам работы и способам коммуникации.

Большинство ФУ уже несколько лет идут по пути цифровизации с целью повышения эффективности и использования преимуществ технологии для предоставления клиентам более качественных финансовых услуг. Однако с расширением пандемии COVID-19 и введением карантинных мер вопросы цифровизации еще более остро встали на повестке дня многих учреждений или были пересмотрены на фоне чрезвычайной ситуации. Появилась необходимость в переходе от предоставления услуг через филиалы к мобильным услугам и цифровым каналам связи, и эти изменения в стратегии уже породили новые риски и будут порождать и дальше, требуя внедрения новой практики на разных уровнях ФУ.

Новая реальность становится привычной и касается всех, поскольку во время пандемии люди должны соблюдать нормы домашней самоизоляции и социального дистанцирования. Сотрудники учреждений были вынуждены перейти на дистанционную работу без достаточной подготовки и знаний об ограничениях и изменениях, которыми сопровождается такая новая форма работы. Во время чрезвычайной ситуации в процессе работы с клиентами через новые цифровые каналы доступа к услугам ФУ возникают новые угрозы, и появляется необходимость внедрять новые методы. Сами учреждения также нуждаются в проведении изменений на структурном уровне, чтобы новые модели работы с вытекающими рисками не наносили ущерба безопасности ФУ.

Арсенал киберпреступников

Атаки с использованием межсайтовых сценариев — это средства эксплуатации уязвимостей, при которых злоумышленник прикрепляет код на легитимный вебсайт, который срабатывает, когда жертва вебсайт загружает. Для финансовых учреждений это может быть значительным риском, если организация в конечном итоге понесет ответственность (или, по крайней мере, будет считаться ответственной) за заражение своих клиентов.

Распределенная атака «Отказ в обслуживании» (DDOS) — это злонамеренная попытка прервать обычный трафик целевого сервера, службы или сети, подавив его или окружающую инфраструктуру потоком интернет-трафика.

Фишинг — это отправка электронных писем через фальшивый веб-сайт, якобы из доверенного учреждения, для сбора личной идентифицируемой информации, такой как пароли, банковские реквизиты, номера социального страхования, или для заражения компьютера жертвы. Некоторые фишинговые подходы специально предназначены для сотрудников ФУ с целью заставить их открыть вложение или перейти по ссылкам, которые перенаправят их на фальшивый веб-сайт, где им предлагается делиться личной идентифицируемой информацией. Как только киберпреступник получает доступ к учетной записи электронной почты сотрудника, он(а) сможет:

  • отправлять электронные письма от имени сотрудника;
  • получить доступ к финансовой информации клиента;
  • получить доступ к важной информации о компании.

Программы-вымогатели – это тип вредоносного программного обеспечения или вредоносных программ, предназначенных для блокирования доступа к компьютерной системе или данным, пока не будет выплачена сумма выкупа. Такая атака на финансовое учреждение может нанести материальный ущерб.

Киберугрозы - не новое явление. Однако в условиях глобальной пандемии COVID-19 возросшее число людей, работающих из дома и/или использующих цифровые каналы для банковских операций, создало идеальную среду для процветания киберпреступности и для более агрессивного использования киберпреступниками имеющегося в их распоряжении арсенала средств.

Работа из дома и защита сотрудников

Пандемия привела к внезапному и быстрому росту числа сотрудников, работающих из дома. Кроме того, остро встал вопрос о переводе клиентов финансовых учреждений с традиционных банковских услуг к цифровым. Хотя киберугрозы сами по себе не новы как явление, в условиях глобальной пандемии значительно возросли риски, связанные с кибербезопасностью. В частности, на передний план вышли такие ключевые проблемы, связанные с кибербезопасностью, как:

  1. подверженность кибератакам работающих из дома сотрудников;
  2. развертывание защищенных цифровых каналов для оказания банковских услуг;
  3. готовность ФУ к обнаружению и реагированию на киберугрозы.

Работая офисной среде, сотрудники обычно соблюдают политику компании, которая включает в себя определенные элементы контроля в отношении кибербезопасности, такие как правила настройки устройства, защита с помощью брандмауэра, контроль доступа к внутренней сети, регулярные антивирусные обновления и т. д. Однако, работая из дома, сотрудники находятся за пределами защищенной офисной среды и, следовательно, часто работают через менее защищенные сети Wi-Fi и с устройств, которые не настроены в соответствии с политиками компании. Это делает сотрудников более уязвимыми для кибератак. Сотрудники, работающие из дома, чаще всего сталкиваются с фишингом и информационно-психологическими атаками социальных инженеров. В обычных условиях, если сотруднику требуется удаленный доступ, с ним проводится соответствующий инструктаж и ему предоставляются защищенные устройства. Однако из-за неожиданно возросшей потребности в удаленном доступе для большого числа сотрудников, работающих из дома, адекватная защита каналов удаленного доступа не всегда бывает обеспечена.

Удаленный доступ к программному обеспечению

 Риск любого удаленного доступа должен оцениваться финансовыми учреждениями, как средний или высокий. ФУ должны придерживаться следующих правил для обеспечения безопасного удаленного доступа:

  • Многофакторная аутентификация для всех пользователей каналами удаленного доступа, поскольку пароли, как единственное средство контроля, могут быть легко скомпрометированы.

 

Новый стандарт: многофакторная аутентификация

 

Многофакторная аутентификация является одним из наиболее эффективных способов контроля, который можно реализовать для предотвращения несанкционированного доступа к компьютерам, приложениям и онлайн-службам. Использование нескольких уровней аутентификации значительно затрудняет доступ к вашим системам.

Злоумышленники могут завладеть одним способом удостоверения личности (например, вашим PIN-кодом), но им будет очень сложно украсть правильную комбинацию нескольких элементов контроля, входя в конкретный аккаунт.

Многофакторная аутентификация может использовать комбинацию следующих средств:

  • информация, известная только пользователю (контрольная фраза, PIN-код или ответ на секретный вопрос);
  • предметы, которые физически находятся у пользователя (например, карта, талон или электронный ключ безопасности);
  • биометрические данные пользователя (например, отпечаток пальца или рисунок сетчатки).

За последние 5 лет многофакторная аутентификация прошла путь от высокого до золотого стандарта безопасности для участников онлайн пространства.

  • Должна быть внедрена политика надежных паролей. Требования к паролям, предусматривающие не менее 6 символов со случайной комбинацией цифр и букв в верхнем и нижнем регистрах, обеспечивают более высокую надежность.
  • Корпоративные виртуальные защищенные сети (VPN) следует использовать вместо протоколов удаленного рабочего стола (RDP) через Интернет. Ограниченный и безопасный доступ через VPN может значительно уменьшить поверхность атаки в случае ее возникновения.
  • Частные компьютеры сотрудников, которые не предоставлялись финансовым институтом, должны быть подключены в соответствии с политикой ФУ в отношении антивирусного программного обеспечения и антишпионских решений, а также при условии применения определенных настроек безопасности в веб-браузерах.

Преимущества антивирусных решений

  1. Высокий уровень обнаружения вирусов и другого вредоносного программного обеспечения:
    • атаки нулевого дня (компьютерные угрозы, вирусы, пытающиеся воспользоваться уязвимостью некоторых программ и слабыми местами в системе безопасности до того, как они будут выявлены и исправлены);
    • вредоносные программы, шпионское ПО и вирусы;
    • троянские программы и «черви» (вирусные программы самотиражирования);
    • фишинг-мошенничество (заманивание на поддельные вебсайты), в том числе через электронную почту.
  2. Быстрый механизм сканирования, позволяющий пользователям чистить свои компьютеры в кратчайшие сроки
  3. Практически не снижает производительность компьютера
  4. Простой в использовании пользовательский интерфейс

Aнтивирусные пакеты избавят вас от проблем, предлагая автоматическую защиту от множества угроз.

  • Домашние соединения Wi-Fi должны использовать строгий протокол безопасности (например, WPA2 – защищенный доступ по Wi-Fi), а имена пользователей и пароли по умолчанию на оборудовании домашней сети, таком как, например, маршрутизатор Wi-Fi, должны быть изменены.

Практика виртуальных интернет-конференций

 В связи с переходом на удаленную работу все больше приходится пользоваться приложениями для видео- и аудиоконференций, но эти инструменты все чаще становятся мишенью киберпреступников. Финансовые учреждения должны конфигурировать эти инструменты таким образом, чтобы ограничить несанкционированный доступ, и убедиться, что сотрудники проинструктированы, как безопасно их использовать. Финансовые учреждения должны установить корпоративные политики безопасного проведения виртуальных собраний и обучить сотрудников их соблюдению, поскольку сотрудники используют эту технологию для встреч с коллегами и клиентами.

  • Для входа в любое собрание/конференцию необходимо обеспечить код доступа или пароль.
  • Не размещайте идентификаторы собраний в социальных сетях, если собрание не предназначено для широкой общественности.
  • Ограничьте повторное использование кодов доступа для предотвращения входа нежелательных участников. При повторном использовании такие коды могут оказаться в распоряжении бывших сотрудников или бывших клиентов.
  • Если собрание посвящено конфиденциальным вопросам, используйте одноразовые ПИН-коды или идентификаторы собрания и рассмотрите возможность многофакторной аутентификации для присоединения к собранию.
  • Используйте виртуальную «комнату ожидания» для участников, которые вошли в систему до начала собрания, и давайте только организатору право начинать собрание.
  • Используйте мелодию, звучащую при входе каждого очередного участника в систему, и просите новых участников представиться.
  • При наличии используйте панель мониторинга для отслеживания присоединившихся участников и идентификации всех участников по категориям.
  • Не записывайте собрание, кроме случаев, когда это необходимо.
  • Если это веб-встреча (с видео), напомните участникам о том, чтобы они не делились конфиденциальной информацией.

Меры для предотвращения потери данных

 У сотрудников могут быть личные учетные записи и приложения, которые не авторизованы организацией. Это могут быть учетные записи электронной почты и другие неавторизованные приложения. Финансовые организации должны напоминать сотрудникам о следующем:

  • Избегать отправки электронной почты с корпоративных электронных адресов на личные электронные адреса.
  • Использовать на рабочих компьютерах только утвержденные компанией USB-устройства
  • Определить, где и как должна храниться конфиденциальная информация с использованием внешних носителей, централизованного файлового сервера учреждения или облачной службы.
  • Регулярно, ежедневно делать резервные копии всей ценной информации, хранящейся на вашем устройстве. Резервное копирование данных имеет решающее значение для минимизирования последствий в случае потери, повреждения, заражения или кражи данных.
  • Попросите сотрудников использовать рабочие устройства только для профессиональных целей и блокировать их, когда они отходят от них. Невинная активность на рабочем компьютере может привести к нарушениям безопасности.

Доступ к клиентам через цифровые каналы

В связи с вызванной пандемией неопределенностью, в условиях которой вынужден действовать весь финансовый сектор, цифровые каналы и цифровые продукты стали для ФУ наиважнейшими каналами коммуникации и взаимодействия с клиентами и предложения им финансовых услуг. Наблюдается резкий скачок в развертывании финансовыми учреждениями цифровых продуктов и каналов, в основном, с использованием следующих технологий и платформ:

  • мобильные приложения;
  • чатботы;
  • Интернет-банкинг.

Это открытые каналы, доступные для широкой публики, и любой желающий может подключиться к ним. После прохождения регистрации пользователь сразу может воспользоваться сервисом для взаимодействия или транзакций. Такие банковские цифровые каналы обеспечивают удобство и контроль для клиента, но, с другой стороны, финансовые организации обязаны обеспечить защиту таких общедоступных систем от уязвимостей, которыми могу воспользоваться киберпреступники для проведения кибератак.

Скорость развертывания мобильного приложения не должна происходить в ущерб безопасности. Каждый из вышеупомянутых цифровых каналов имеет свои особенности, о чем пойдет речь ниже, и требует особого подхода с точки зрения безопасности.

Мобильные приложения

 Благодаря широкому распространению мобильных устройств, для многих пользователей мобильные банковские приложения стали цифровым каналом выбора. Мобильные приложения позволяют клиентам выполнять большинство банковских операций, не посещая филиал, включая проверку баланса счета, денежные переводы, оплату счетов, просмотр выписок, прямое управление картами и обращение в службу поддержки. За последние годы, еще до появления COVID-19, число пользователей, работающих с мобильными приложениями, росло феноменальными темпами, превысив во многих странах число пользователей, посещающих филиалы для проведения операций. В условиях пандемии COVID-19 использование мобильных приложений пережило очередной всплеск.

С ростом популярности, растет и кибер-риск. В цепочке мобильных технологий есть три области, где могут иметься уязвимости, которыми злоумышленники могут пользоваться для проведения своих кибератак. Эти области включают само устройство, сеть и центр обработки данных. Есть атаки, нацеленные на само мобильное устройство и использующие его уязвимости для организации кибератаки. Например, атака может быть инициирована с помощью фишинга, то есть загрузки вредоносного кода (drive by download) без ведома пользователя при посещении им поддельного веб-сайта. Сетевые атаки, напротив, эксплуатируют уязвимости сети, к которой подключено мобильное устройство. Например, если приложения мобильного устройства не обеспечивают шифрования при обмене данными через незащищенную сеть Wi-Fi, есть риск перехвата этих данных злоумышленником, подслушивающим сеть Wi-Fi. Объектом атак, направленных на центры обработки данных, являются веб-серверы и базы данных. При этом злоумышленник эксплуатирует уязвимости в операционных системах или модулях приложений, работающих на веб-сервере.

Чатботы

 Хотя чатботы уже довольно широко используются, для многих пользователей они все еще в новинку. Для ФУ чатботы - это очень полезная технология для ежедневного взаимодействия с клиентами, с возможностью интеграции с технологией с элементами искусственного интеллекта. Использование этой технологии в финансовом секторе должно соответствовать нормативам регулирования отрасли, защищающим данные клиентов от посягательств третьих лиц.

В настоящее время финансовые учреждения размещают чатботы в социальных сетях, таких как WhatsApp, Telegram, Viber и Facebook Messenger. Их используют для предоставления ряда банковских услуг, таких как проверка баланса счета, перевод средств, просмотр мини-выписок, сопровождение новых клиентов и оплата счетов.

Интернет-банкинг

 Интернет-банкинг существует и развивается уже на протяжении десятилетий. Интернет-банкинг предлагает клиентам простой способ контролировать свои финансы, позволяя им просматривать платежи, проверять остатки на счетах, обновлять личную информацию и получать доступ к другим банковским услугам в режиме онлайн через защищенный веб-сайт. Легкий доступ делает интернет-банкинг распространенной мишенью хакеров и других киберпреступников. Понимание проблем безопасности, связанных с интернет-банкингом, может помочь как финансовым организациям, так и клиентам обезопасить себя от вторжений. Главным фактором при устранении уязвимостей в интернет-банке является соблюдение руководящих принципов работы через цифровые каналы, которые перечислены ниже в таблице.

Безопасность цифровых каналов

  • Обеспечить обязательную проверку личности пользователя перед предоставлением любой запрашиваемой информации. Двухканальная верификация - либо посредством SMS с одноразовым паролем (OTP), либо путем авторизации через адрес электронной почты. Это один из процессов, который может быть реализован для проверки пользователя.
  • Использовать процесс аутентификации на основе биометрических данных для безопасной работы с чатботами.
  • Обеспечить сквозное шифрование канала связи между чатботами и пользователями. WhatsApp, Telegram и Facebook Messenger обладают характеристиками, обеспечивающими сквозное шифрование связи. Как только связь зашифрована, доступ третьих лиц невозможен, если только эти лица физически не присутствует на стороне пользователя во время сеанса связи.
  • Чатботы могут безвозвратно удалить содержание бесед из чата между ними и пользователями. Активируйте и установите период времени, по истечении которого беседы, содержащие конфиденциальные данные, будут удаляться из чата.
  • Разрабатываемые мобильные банковские приложения должны иметь стандарт безопасности не ниже любого другого программного обеспечения.
  • Открытый проект по безопасности приложений интернета (The Open Web Application Security Project (OWASP)) предоставляет исчерпывающее руководство по тестированию безопасности мобильных устройств. Руководство можно скачать по ссылке ниже. Руководство содержит чеклист и необходимые рекомендации, которые следует использовать при тестирования уязвимостей в мобильном приложении: https://owasp.org/www-project-mobile-security-testing-guide/#
  • Используйте только официальные приложения из магазинов приложений. Мобильные приложения из вашего магазина приложений с меньшей вероятностью будут содержать вредоносное ПО.
  • Регулярно обновляйте приложения на вашем мобильном телефоне. Если в приложении выявляется уязвимость, поставщик, как правило, присылает корректирующий файл для его устранения в форме обновления. Постоянное обновление приложений и телефона обеспечивает максимальную безопасность.

Адаптация организации к новым вызовам

В эпоху технологических преобразований, более широкого использования цифровых каналов, а также более интенсивного использования облачных хранилищ и более широких сетевых возможностей масштаб угроз нарастает, и злоумышленники всяческими изощренными способами будут пытаться одновременно атаковать операционные системы и средства резервного копирования, что потенциально может привести к разрушительным последствиям для предприятия в целом.

Финансовые организации могут усовершенствовать механизмы защиты и подготовиться к атакам, соблюдая хорошую кибер-гигиену (компьютерную гигиену), утвердив и соблюдая стратегию и архитектуру реагирования на кибер-вторжения, внедряя решения для кибер-восстановления, чтобы смягчить последствия кибератак.

Хорошая кибер-гигиена — это комплекс практических мер и шагов, предпринимаемых финансовыми учреждениями и сотрудниками для поддержания работоспособности системы и повышения сетевой безопасности. Значительно повысить безопасность любой системы может систематическое выполнение ряда базовых профилактических мер:

  • регулярная рассылка информационных и предупредительных сообщений для сотрудников, содержащих, помимо прочего, следующие базовые сведения о мерах по соблюдению кибербезопасности:
    • остерегайтесь фишинга, особенно мошеннических рекламных объявлений и подставных сайтов, якобы связанных с COVID-19;
    • знайте все «Можно» и все «Нельзя» при работе из дома;
    • убедитесь в безопасности вашей домашней сети Wi-Fi;
    • всегда используйте VPN в общедоступных сетях Wi-Fi.
  • создание общего канала под названием # phishing-attack или адреса электронной почты, на который пересылаются подозрительные электронные письма;
  • определение ключевых финансовых сотрудников, чтобы обеспечить бесперебойную доступность услуг для клиентов;
  • пересмотр планов по обеспечению бесперебойной работы в условиях пандемии COVID-19;
  • обновление «Политики допустимого использования» вашей компании в связи с переходом на дистанционную работу из дома и использованием домашних компьютеров;
  • определение функций, которые могут выполняться только в защищенной офисной среде (т.е. не удаленно);
  • пересмотр и адаптация планов аварийного восстановления применительно к текущей ситуации;
  • обеспечение защитных технологий на конечных точках (установка аппаратной защиты, антивируса, системы обнаружения угроз и реагирования на конечных точках и т. д.);
  • обеспечение принудительного обновления программного обеспечения;
  • использование менеджера паролей или проведение аудита паролей;
  • обеспечение VPN-доступа и отключение разделенного туннелирования;
  • повсеместная активация многофакторной аутентификации, особенно в учетных записях электронной почты.

Практические шаги по обеспечению безопасной среды

Основным решением для снижения угроз является обеспечение высокой степени информированности сотрудников и, по возможности, клиентов. Для этого можно использовать несколько инструментов:

Информационные семинары, на которых данный предмет обсуждается с сотрудниками или клиентами, включая обмен опытом с теми, кто подвергался кибератакам. Такие семинары должны быть направлены на обновление знаний сотрудников о минимальных требованиях к информационной безопасности.

Безопасность электронной почты. Сотрудники должны знать, как обеспечить безопасность своей электронной почты:

  • не открывать электронные письма, вложения и подозрительные ссылки, полученные из неизвестных или ненадежных источников;
  • проверять неожиданные вложения или ссылки от знакомых, связавшись с ними по другому каналу связи - по телефону или через текстовое сообщение;
  • не сообщать неизвестным источникам личную информацию, такую как пароли, даты рождения и особенно номера социального страхования;
  • соблюдать особую осторожность при получении электронных писем с плохим дизайном, грамматическими ошибками или ошибками в правописании, поскольку это может быть признаком фишинга.

Защита с помощью паролей

  • Обеспечьте использование надежных паролей для всех учетных записей корпоративных пользователей.
  • Избегайте легко угадываемых слов, таких как имена домашних животных, детей и супругов, а также общих дат, таких как дни рождения.

Сетевая безопасность

  • Чтобы обеспечить безопасность ваших данных, убедитесь, что все веб-сайты, которым требуется ввод учетных данных, таких как имена пользователей и пароли, а также сайты, которые используются для проведения финансовых операций, зашифрованы действительным цифровым сертификатом. Подобные защищенные сайты обычно имеют зеленый замок в поле URL и начинаются с «https».
  • Пока сотрудники ФУ работают удаленно, убедитесь, что они не используют общедоступные компьютеры и/или не подключаются к общедоступным соединениям Wi-Fi для входа в учетные записи и доступа к конфиденциальной информации.
  • Выходите из учетных записей и выключайте компьютеры и мобильные устройства, когда они не используются.

Рекомендации по содержанию устройств

  • Держите все аппаратное и программное обеспечение обновленным до новейшей исправленной версии.
  • Применяйте одобренные компанией антивирусные и антивредоносные ПО на всех устройствах и обновляйте их до новейшей версии.
  • Ежедневно создавайте несколько резервных копий всех важнейших и конфиденциальных данных и храните их вне сети на случай заражения данных вымогателями или другими вредоносными программами. Это позволит вам при необходимости восстановить потерянные файлы.

Моделирование ситуаций фишинга - включает в себя рассылку электронных писем, перенаправляющих получателей на страницу с объяснением проблемы и возможных последствий, как это обычно происходит в ситуации с настоящей фишинговой атакой.

Обучение технологиям – проводится при внедрении новых технологий, чтобы обеспечить хорошее понимание сотрудниками процедур, ограничений и опасностей, связанных с использованием новых технологий.

Доступ к информации и ее распространение. Централизованное хранение в одном месте всех информационных материалов, которые ФУ намерено использовать в рамках кризисного управления - отличный способ обеспечить своевременную доставку нужной информация до нужных сотрудников. Для своевременной передачи сотрудникам всей необходимой информации могут использоваться внутрикорпоративные информационные платформы (интранет), а также регулярная ежедневная рассылка электронных писем.

COVID-19 как катализатор цифровой трансформации

Кризис COVID-19 в короткие сроки привел к значительным изменениям в восприятии и применении удаленных рабочих и альтернативных каналов. Отголоски этих изменений будут сказываться на работе финансовых учреждений и формировать другую картину мира еще долгие годы: это будет цельный мир без препятствий (мир удаленной связи), в котором все типы клиентов будут использовать все типы каналов для различных целей; мир, в котором не будет различий между финансовыми услугами, получаемыми через мобильный телефон или непосредственно в филиале. Сами по себе эти технологии и подходы не появились в кризис COVID-19, но кризис явился катализатором и ускорителем их применения, породив для финансовых институтов как возможность, так и необходимость в создании цифровых практик и процедур, которые потребуются завтра.