Каталог "Системы безопасности"-2018

БЕЗОПАСНОСТЬ ИНФОРМАЦИИ И СВЯЗИ. СПЕЦТЕХНИКА 76 МЕЖОТРАСЛЕВОЙ ТЕМАТИЧЕСКИЙ КАТАЛОГ "СИСТЕМЫ БЕЗОПАСНОСТИ-2018" 7 РАЗДЕЛ К оличество случаев установки скиммин- говых устройств в России продолжает снижаться, и эта проблема практически отошла на второй план и стала незначитель- ной. Такая ситуация связана в первую оче- редь с требованием ЦБ РФ выпускать с 2015 г. исключительно микропроцессорные карты. Кроме того, крупные российские банки-эквайреры в большом количестве оснастили свои банкоматные сети устрой- ствами активного антискимминга. Напротив, серьезную проблему продолжают составлять атаки, направленные на несанк- ционированную выдачу наличных банкомата- ми: прямой диспенс – с использованием либо вредоносного программного обеспечения, либо аппаратных средств типа Black Box. Локальный и удаленный контроль над банкоматами Использование преступниками вредоносно- го программного обеспечения для выдачи наличных денежных средств несколько изменилось. Если на первоначальном этапе заражение банкоматов, как правило, осу- ществлялось локально, то в настоящий момент это делается в большинстве случаев удаленно – путем захвата контроля над ком- пьютером, с которого осуществляется штат- ный удаленный контроль над банкоматами. После такого проникновения за защищае- мый периметр злоумышленнику достаточно получить управление над компьютером, уда- ленно управляющим банкоматами, в резуль- тате возможно заражение большого количе- ства устройств и, как следствие, крупная экономическая эффективность атаки. В настоящий момент отсутствуют какие-либо требования по средствам удаленного управ- ления ATM. Инструментарий, предлагаемый производителями банкоматов для банков, все еще достаточно дорог. Поэтому многие для данной цели используют более дешевые решения типа RAdmin, Active Directory и т.д. Данные решения позволяют выполнять зада- чи по удаленному управлению банкоматами, но снижают уровень их защищенности. Веро- ятно, тенденция атак на банки и процессинго- вые центры в 2018 г. усилится, так как подоб- ные атаки становятся проще и выгоднее. Новые законодательные меры В 2017 г. произошли значимые события в области уголовного права, которые, без- условно, скажутся в 2018 г. 1 января 2018 г. вступила в силу ст. 274.1. УК РФ "Неправо- мерное воздействие на критическую инфор- мационную инфраструктуру Российской Федерации". Учитывая, что Федеральный закон от 26.07.2017 г. № 187-ФЗ "О безопас- ности критической информационной инфра- структуры Российской Федерации" относит к субъектам КИИ информационные систе- мы, информационно-телекоммуникацион- ные сети, автоматизированные системы управления, функционирующие в том числе в банковской сфере и иных сферах финан- сового рынка, данная статья, безусловно, коснется противоправных действий в обла- сти платежных технологий и кибератак на банковские системы. Очень важным является Постановление Пленума Верховного Суда Российской Федерации от 30 ноября 2017 г. № 48 "О судебной практике по делам о мошенни- честве, присвоении и растрате". Из положи- тельного можно отметить решение считать момент изъятия денежных средств с банков- ского счета их владельца моментом оконча- ния преступления. Это будет способствовать возбуждению уголовных дел по месту хище- ния безналичных денежных средств. Есть и решение, которое, напротив, может существенно затруднить процесс возбужде- ния уголовных дел. Речь идет о решении квалифицировать хищение в зависимости от способа его подготовки: l конфиденциальная информация передана злоумышленнику самим держателем пла- тежной карты; l создание поддельных сайтов, использова- ние электронной почты; l использование чужих учетных данных без вмешательства в штатный процесс либо с вмешательством, которое нарушает штат- ный процесс. Дело в том, что для этого необходимо будет предварительно установить, каким образом осуществлялась подготовка к хищению. А сделать это без возбужденного уголовного дела будет значительно труднее. В банковской сфере необходимо обратить внимание на указы Президента Российской Федерации "О защите информационно-теле- коммуникационных систем и баз данных от утечки конфиденциальной информации по техническим каналам" от 08.05.1993 г. № 644, "О мерах по соблюдению законности в обла- сти разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации" от 03.04.1995 г. № 334, "О создании Государственной техни- ческой комиссии при Президенте Российской Федерации" от 05.01.1992 г. № 9, Положение о государственной системе защиты информа- ции от ИТР и от утечки по техническим кана- лам, утвержденное постановлением Прави- тельства РФ от 15.09.1993 г. № 912-51. Защита конфиденциальной информации Автоматизированные системы банка (АС) являются основой обеспечения практически любых бизнес-процессов. Вместе с тем повсеместное использование АС для хране- ния, обработки и передачи информации при- водит к обострению проблем, связанных с их защитой. Однако не во всех банках уде- ляется должное внимание специалистам данного направления. Подтверждением этому служит тот факт, что за последние несколько лет как в России, так и в ведущих зарубежных странах имеет место тенденция увеличения числа информационных атак, приводящих к значительным финансовым и материальным потерям. В связи с этим руководителям подразделе- ний безопасности банка необходимо направ- лять все усилия на организацию и матери- альное обеспечение защиты коммерческой тайны. Задача специалистов данного направления – противодействовать утечке конфиденциальной информации по техниче- ским каналам. Кроме того, необходимо соз- дание системы защиты информации ограни- ченного доступа, циркулирующей в техниче- ских средствах и помещениях банка, от утечки и умышленного перехвата с противо- правными целями. Такая система должна состоять из двух блоков: технического и функционального. В рамках первого ведется разработка и внедрение техниче- ских средств защиты информации, циркули- рующей в средствах техники и связи. Решение данных технических задач, как правило, возлагается на подразделения без- опасности банка (либо отдельных специали- стов) по защите информации. n Безопасность банковской сферы: технологии защиты от целевых атак 2017 год был очень насыщенным в плане событий в сфере безопасности платежных техно- логий, в том числе со стороны законодательства. А поскольку на него пришелся памятный юбилей – с момента установки первого в мире банкомата прошло 50 лет – в данной статье рассмотрим тенденции, связанные с атаками на эти устройства самообслуживания Николай Изумрудский ЦМР Банк