Противостояние банков и киберпреступников

На протяжении многих лет не заканчивается противостояние между банками и киберпреступниками. Несмотря постоянное улучшение технологий защиты, это не снижает ни объемов атак, ни общих сумм похищенных денег. Причем это относится к почти любому сегменту банковской сферы. Несмотря на колоссальное внимание к проблеме, возникшее по причине мощных атак на АРМ КБР в конце прошлого — начале текущего года, потери от мошенничеств того же ДБО вынуждают банковское и ИБ-сообщество вновь и вновь задаваться одним и тем же вопросом: в чем заключаются причины, мешающие изменению ситуации к лучшему?

Итак, причины.

1. Дело в том, что банк, стремясь защитить конечного клиента от стабильно работающей схемы атаки, сталкивается с новой или хорошо забытой старой схемой. Принцип защиты ДБО подтверждает тезис: кражи ключей предотвращает ввод носителей ключевой информации, которые невозможно извлечь; любая атака вредоносного ПО детально контролируется решениями по «невидимой» для клиентов технологии, анализирующей среду совершения операций. Но эти случаи по-прежнему происходят. Мошенникам несложно адаптироваться под практически любые компоненты защиты или без проблем найти все новые и новые жертвы. Суть инвестиционной привлекательности атаки заключается в десятках тысяч процентов (если сравнить с затратами).

2. Современным технологиям защиты и контроля никак не догнать атакующую сторону. Здесь можно озвучить в какой-то степени спорную мысль, но она имеет право на жизнь. Создать схему атаки — сравнительно не затратно: уязвимости в некоторых случаях выявляются случайно и это безвозмездная инициатива продвинутого айтишника. Создать защиту от условно произвольного риска атаки на канал банка (пусть и ДБО) - это все равно что создать сложный и дорогой продукт и его продать заинтересованной структуре. Такая инвестиция куда более опасна как с позиции разработки продукта, так и с позиции конечного потребителя — в данной ситуации банка.

Пока еще не придуманы эффективные инструменты защиты от социальной инженерии.

К тому же, если в цепочке атаки задействовано несколько человек, имеющих прямой доход, то в цепочке защиты этих людей в сотни раз больше, их всех связывают договорные и финансовые взаимоотношения, временной интервал на разработку и принятие решений, способных оценить важность антифрода, отталкиваясь не от объема похищенных средств, а от того, сколько придется вернуть клиентам.

Вторая причина - это еще и то, что технологии, которые внедряются и используются в банках не всегда удостаиваются прохождения серьезной экспертизы на возможность реализовать атаку. Можно назвать классикой еще незавершенный спор в духе «кто виноват» о доставке SMS-кодов посредством сотовой связи и возможность перерегистрировать номер телефона - это хороший пример того, что оценка риска на такую атаку была неверна, и в действительности критичные сведения банка абоненты получали в виде рассылки без изменения технологии или процесса доставки.

Что характерно, в большинстве банков пытаются только защититься, но не вступать в борьбу с мошенниками.

3. Пожалуй, эта причина, вытекающая из написанного выше, является  самой важной: сегодня многие банки делают ставку только на защиту, а не на борьбу с мошенниками. Но какими бы высокими не были элементы защиты, эти меры работают только в сторону снижения последствий атак, но не избавляют от них.

Видя адекватный отпор, злоумышленник никуда не исчезает. Просто на атаку на банк уходить немного больше времени. Кстати, сегодня несложно освоить азы хакерства, это не требует больших познаний в ИT. А так как в законодательстве нет весомых рисков (сроки за преступления такого рода условны), а требования к «старту» весьма низки, этот бизнес манит многих новых участников, обеспечивая им неплохой заработок.

4. В каждом банке стараются защитить только себя, тем самым побуждая атакующих проверить силы на другом игроке рынка. и, судя по практике, атака будет успешна, но кто столкнется с потерями в этот раз, решается уже чуть ли не по жребию. Все смахивает на игру в стулья — когда все бегают вокруг, а потом по сигналу садится на стул, но кто-то один не успевает и на каждом этапе количество участников уменьшается.

Менталка русского человека такова, что защита от мошенничества начинает обеспечиваться или наращиваться только после серьезного инцидента.

5. Пятая причина в определенной степени связана с предыдущей и состоит в том, что внутри самого рынка нет риск-ориентированности. Как уже было сказано, причина - ментальность. Всего в 20%, самое большее - в 30% компаний дается оценка рискам, и уже с учетом её принимаются решения о внедрении защитного механизма. Во всех остальных случаях про защиту вспоминают после серии инцидентов.

Но возможно ли формирование «качественной» оценки риска применительно к среднему или небольшому игроку? Можно ли точно определиться с долей атак на 1 тыс. операций любого канала клиентского обслуживания, если практически любую подобную статистику пострадавшая сторона скрывает? А ведь если бы эти сведения носили открытый характер, это повысило бы прозрачность объема рисков во всей отрасли, их можно было бы оценить сквозь призму технологий, продуктов, предлагаемых банками и прочего, что помогло бы не только увидеть, но и по-настоящему понять масштабы риска для всей отрасли.