Банки vs киберпреступники: пять причин задуматься о ситуации с мошенничеством

- kbrbank

Банки vs киберпреступники: пять причин задуматься о ситуации с мошенничеством

Вот уже много лет идет противостояние банков и киберпреступников. Не обращая внимания на то, что технологии защиты непрерывно постоянно совершенствуются, общее количество и объёмы атак похищенных средств увеличиваются.

Причем это относится практически любого сегмента банковской отрасли. Вопреки большому вниманию к проблеме, появившемуся в связи с атаками на АРМ КБР в конце 2015 — начале 2016 года, рост утрат от мошенничества того же ДБО заставляет банковское и ИБ-сообщество опять возвращаться к вопросу: каковы обстоятельства, не разрешающие поменять обстановку в лучшую сторону?

Первая обстоятельство в том, что банк, защищая конечного клиента от стабильно применяемой схемы атаки, приобретает новую либо прекрасно забытую ветхую схему. Тенденция защиты ДБО подтверждает данный тезис: кражи ключей предотвращены вводом неизвлекаемых носителей главной информации; атаки вредоносного ПО подробно контролируются ответами по «невидимой» для клиента разработки анализа среды совершения операций, фактически, как и попытки удаленного управления рабочими станциями клиентов.

Однако такие случаи происходят . Преступники адаптируются под фактически каждые защитные компоненты либо находят (увидим, легко!) новую жертву.

Инвестиционная привлекательность атаки — это десятки тысяч процентов если сравнивать с затратами

И вот, фактически, вторая обстоятельство — сегодняшние разработки контроля и защиты отстают от атакующей стороны. Тут возможно высказать в некоей степени спорный тезис, но имеющий право на судьбу. Создание схемы атаки — относительно недорогое занятие: обнаружение уязвимости во многих случаях есть случайной и безвозмездной инициативой продвинутого ИT-эксперта либо программиста, а хакеры уже этим пользуются.

Иначе говоря инвестиционная привлекательность атаки — это десятки тысяч процентов если сравнивать с затратами. А с позиций безопасности это бюджеты, окупаемость которых не всегда прозрачна: создание защиты от условно произвольного риска атаки на банковский канал (пускай и ДБО) требует создания сложного и дорогого продукта и его последующей продажи в заинтересованную структуру. Другими словами это инвестиция намного более страшная как со стороны разработки продукта, так и со стороны конечного потребителя — в нашем случае банка.

Сейчас еще не придумано действенных инструментов защиты от социальной инженерии

Помимо этого, в случае если в цепочке атаки присутствует всего пара человек, приобретающих прямой доход, то в цепочке защиты их в много раза больше, связанных договорными и денежными взаимоотношениями, временным промежутком на принятия и разработку ответов, оценивающих необходимость антифрода не с позиций количества похищенных средств, а с позиций того, сколько было нужно вернуть клиентам.

Кроме всего другого, сейчас еще не придумано действенных инструментов защиты от социальной инженерии. Не считая, пожалуй, тотального контроля событий, что, фактически, есть не мерой защиты от определенного типа атаки, а только единственно стабильным механизмом обнаружения последствий зафиксированной атаки.

Быть может, сотрудничество по другим каналам между клиентом и банком со временем и начнёт обладать разработками аутентификации звонящего по некоему критерию, сравнимому с PKI-инфраструктурой. Быть может, подмена SIM и будет нейтрализована более крупномасштабным применением средств проверки SIM. Но поменяет ли это положение глобально?

Опасаюсь, в случае если удастся запрятать от волка овцу, хищник не станет вегетарианцем, а отыщет менее защищенную добычу.

Ко второй причине кроме этого возможно отнести еще да и то, что внедряемые и применяемые в банках разработки не довольно часто проходят важную экспертизу на возможность реализации атаки. Хороший и еще незавершенный спор в вопросе «кто виноват» о доставке SMS-кодов через возможность перерегистрации и сотовую связь номера телефона есть хорошим примером того, что оценка риска на такую атаку была не хватает верна, и в действительности критичные банковские сведения стали рассылаться абонентам без трансформации разработки либо процессов доставки.

Большая часть банков пробуют лишь защищаться, но не бороться с мошенниками

Отсюда вытекает третья обстоятельство, пожалуй, самая ответственная из всех перечисленных выше: большая часть банков пробуют сейчас лишь защищаться, но не бороться с мошенниками. Но сколь высоки ни были бы защитные элементы, подобные меры смогут только снизить последствия атак, но не избавить от их наличия вовсе.

Сталкиваясь с адекватным отпором, преступники никуда не исчезают. Легко атака на банк отнимает у них чуть больше времени. И что совсем не хорошо, так это то, что число желающих присвоить чужое растет с каждым днем.

Стать хакером сейчас не сложно и не требует больших познаний в ИT. Отсутствие весомых рисков на законодательном уровне (сроки за такие правонарушения условные в любых ситуациях правоприменительной практики) и низкие требования к «старту» приманивает в данный бизнес много новых лиц и снабжает хорошим доходом настоящих хакеров. Последние сейчас смогут не проворачивать схему полностью, рискуя быть пойманными на последней стадии кражи либо при обналичивании средств.

А смогут довольно безопасно получать на разработке вредоностного софта. В случае если имеется спрос, то в обязательном порядке показаться и предложение. Так, эта обстоятельство лежит не только на стороне банка, но и в плоскости наказания и расследований за противозаконные действия.

Оставаться на плаву и сохранять высокие шансы на успешную реализацию атаки преступникам кроме этого оказывает помощь отсутствие со стороны банковского сообщества консолидированных упрочнений по борьбе со преступниками.

И это четвертая потенциальная обстоятельство успеха атак. Любой банк старается обезопасисть только себя, тем самым побуждая атакующего проверить силы на соседе по рынку. Как показывает опыт, атака наверняка будет успешна, но кто утратит сейчас, решает уже чуть ли не жребий. Все это напоминает обстановку игры в стулья — не забывайте, в то время, когда все бегают около, собираясь сесть на один из стульев по сигналу, но стульев неизменно на один меньше, и на каждом раунде количество участников уменьшается

Русская ментальность говорит о том, что защиту от мошенничества начинают снабжать либо наращивать лишь тогда, в то время, когда случился инцидент

Наконец, пятая обстоятельство, не разрешающая поменять обстановку столь продолжительного противостояния, косвенно связана с четвертой. И содержится в отсутствии риск-ориентированности в рынка. Русская ментальность, в том числе и в коммерческих структурах, говорит о том, что защиту от мошенничества начинают снабжать либо наращивать лишь тогда, в то время, когда случился инцидент.

Я бы заявил, что только в 20%, максимум 30% компаний оценивают риски, и уже исходя из них принимают решения о внедрении. В остальных случаях побуждающим причиной делается один либо серия больших инцидентов.

Но возможно ли организовать «качественную» оценку риска для среднего либо маленького игрока? Возможно ли осознать долю атак на 1000 операций любого канала обслуживания клиентов, в то время, когда фактически каждая подобная статистика прячется пострадавшей стороной? Тем более еще посильнее прячутся векторы атаки на клиента, на разработку, на бизнес-процесс обслуживания клиента либо совершение операции.

Это очень сложно. А ведь открытость аналогичных сведений повысила бы прозрачность количества рисков в отрасли в целом, дало бы возможность оценить их в разрезе разработок, банковских продуктов и другого, что разрешило бы заметить и осознать по настоящему большой риск для отрасли и обосновывать внедрение процессов и технологий борьбы с мошенниками.

Андрей Звягинцев 5 Взглядов на человека и время. Ответ на вопросы

Интересные записи

Похожие статьи, которые вам, наверника будут интересны: