Как уничтожить банковскую систему
Как это работает. Что может обрушить банковскую систему?
Те, кто хоть немного интересовался финансами, знают зачем банки привлекают деньги клиентов во вклады. Myfin.by предлагает глубже разобраться в вопросе, посмотреть, что конкретно происходит с деньгами клиентов в отечественной банковской системе. А также выяснить, что случится, если мы понесем все свободные средства в банки, и к чему привело бы массовое снятие средств с депозитов.
Самое простое описание работы банков
В нескольких словах это можно описать так:
Банк предлагает физическим и юридическим лицам хранить у себя их деньги. Гарантирует сохранность этих денег и некоторую плату, как правило – в процентном выражении, т.е. доход клиента прямо зависит от суммы и срока вложения.
Полученные от клиентов деньги банк выдает в качестве кредитов. Теперь плату взимает уже банк. Эта плата тоже в процентах, тоже пропорциональна сумме и сроку. Но ставка выше, чем по вкладу.
Разница между этими ставками – доход банка. На который он существует, строит офисы, хранилища, платит персоналу, покупает рекламу, занимается благотворительностью и т.д.
По сути все это верно. Теперь посмотрим, как выглядит реальный оборот денег в банковской системе. Рассмотри некоторые моменты подробнее.
Прием средств на депозит
Приняв от клиента деньги на вклад, банк проводит эти средства по своим счетам. Способ приема денег (наличными или безналичным переводом) принципиального значения не имеет.
Однако в Беларуси (как и в других странах) банки обязаны передавать часть привлеченных активов на хранение в Национальный банк. Так создается резерв для выплат денег клиентам в случае проблем у конкретного банка, повышается общая устойчивость системы. В данный момент норма обязательных резервов для средств рублях – 4%, для валюты – 17%. Так, получив на депозит 1 000 руб., коммерческий банк переведет в Национальный банк 40 руб.
Будем считать, что банк обещал клиенту 20% годовых и обязан вернуть деньги через год. Так у банка появляется обязательство на 1 200 руб. с исполнением через год и свободные 960 руб. Для простоты расчета будем предполагать, что проценты по депозиту будут выплачены вместе с его основной суммой в конце года.
Выдача потребительского кредита
Следующим этапом движения средств может стать выдача кредита физическому или юридическому лицу.
В нашем расчете банк располагает свободными 960 руб. на 1 год. Эти деньги он может выдать в качестве кредита. Пусть это будет потребительский кредит на 1 год под 35% с перечислением на карту клиента. По такой ставке через год клиент вернет уже не 960 руб., а 1296 руб. (для простоты считаем, что вся сумма и проценты возвращаются в конце срока).
Доход банка на разнице между ставками составит 96 руб.
Возврат денег в банк из торговой сети
Как правило кредитные средства недолго остаются в руках заемщика, а идут на какие-то покупки или платежи.
Пусть заемщик купит на кредитные 960 руб. смартфон (или другой товар) у продавца, который обслуживается в этом же банке. И рассчитается банковской картой.
Банк взимает с продавца плату за эквайринг, т.е. за перевод и зачисление средств. Тариф за эквайринг колеблется от 0,85% до 3%. Пусть в нашем случае это будет 19,2 руб. (2%).
Итого заработок банка уже:
96 руб. + 19,2 руб. = 115,2 руб.
Размещение денег на расчетном счете
Торговая организация является клиентом этого же банка и оставляет деньги на расчетном счете. За вычетом оплаты эквайринга это 940,80 руб.
У банка опять появляется обязательство создать резерв в Национальном банке. 4% от 940,80 руб. это 37,63 руб.
Торговая организация оставляет деньги на своем расчетном счете в банке на 1 месяц. Но банк не держит их там, а выдает краткосрочный кредит под 36% годовых (2% в месяц).
За вычетом обязательного резерва банк может кредитовать 903,17 руб. 2% от этой суммы – 18,06 руб.
Доход банка растет:
96 руб. + 19,2 руб. + 18,06 руб. = 133,26 руб.
Если до конца года эта же сумма вернется на банковский счет еще дважды на такой же срок, а банк повторит ту же кредитную операцию на тех же условиях, то общий доход вырастет до 169,38 руб. Если 960 руб. пройдут через карточный платеж еще 2 раза, то доход банка вырастет до 205,50 руб.
Валютно-обменные операции
Теперь представим, что банк пустил привлеченные средства не на кредитование, а на покупку и продажу валюты. Разница между курсами покупки и продажи валюты в разных банках колеблется от 0,2% до 1,5%.
Если сумма в 960 руб. будет проходить через обмен валют хотя бы 2 раза в неделю с разницей курсов всего 0,5%, то банк заработает на этом 404,63 руб. (это уже с вычетом 20% вкладчику).
Размещение средств на текущих счетах
Представим, что 1 000 руб. досталась банку не в качестве безотзывного вклада на 1 год. Пусть в банке обслуживается два клиента, каждый с зарплатой 1 000 руб. Они хранят деньги на картах, постепенно тратят их, но среднемесячный остаток на каждой карте 500 руб., т.е. суммарно на двух картах – 1 000 руб.
Банк не может изъять эти деньги надолго, но может выдавать краткосрочные кредиты под 36% годовых на сумму текущего остатка. Деньги клиентов размещены на условиях вклада до востребования, т.е. по ставке в доли процента (в данном случае этим можно пренебречь). Доход банка составит 345,60 руб. (не забываем про 4% резерва в Нацбанке).
И не забываем, что владельцы зарплатных карт тратят деньги. Если они снимают всю зарплату наличными, а банк назначает комиссию в 1%, то в конце года он получает 12%, т.е. 120 руб. с каждой тысячи, если клиенты рассчитываются картой, то при цене эквайринга в 2% банк зарабатывает на тысяче уже 240 руб. в год.
Реальность сложнее
Эти расчеты условны и сделаны только для иллюстрации того факта что, получив деньги клиента, банк может последовательно совершить с одной и той же суммой множество операций и заработать на каждой из них.
Больше половины доходов банков Беларуси – это процентные доходы, еще около четверти – комиссионные доходы: плата за обслуживание счетов и карт, за переводы и прочие операции с деньгами клиентов. Кстати, у самых эффективных банков доля комиссионных доходов особенно высока.
В примерах мы учли только одну из категорий расходов – отчисления в резервы, на их долю приходится примерно 1/3 совокупных затрат банков Республики, но есть еще операционные расходы – более половины всего объема: текущие траты – от выплат персоналу до проблемных кредитов.
По отчетам последних лет капитал банков действительно более чем на 60% складывался из средств клиентов, и почти такую же сумму банки выдавали в качестве кредитов.
Рентабельность капитала (своего и заемного) всех банковских учреждений Беларуси в прошлые годы была в среднем меньше 10%.
Что в итоге?
Подтверждается что банки прямо зависят от денег клиентов и существовать без них не могут. По данным Нацбанка на 1 января 2020 на вклады физлиц приходилось 47,4% от всех обязательств банков. Сейчас их значительно меньше из-за оттока в августе-сентябре.
Что будет если снимут все вклады?
Некоторые говорят, что банки обанкротятся, если одномоментно вернут все вклады. Это не так! Они перестанут работать гораздо раньше, а всю сумму вкладов невозможно вернуть сразу даже с господдержкой. Только если не выдать их свеженапечатанными деньгами, что приведет к гиперинфляции.
Мировой опыт показывает, что на спасение банковской системы нужны суммы, сравнимые с ВВП страны. Например, Испания потратила с 2009 года более 51 млрд евро на спасение банков после ипотечного кризиса. Из них в казну вернулось менее 5% средств.
Что случится, если в банки принесут все свободные средства?
Если вдруг население Беларуси перестало бы покупать валюту, импортные товары, но стало сберегать на рублевых депозитах, то поведение банков, вероятно, стало бы совсем «европейским».
Речь о том, что при избытке предложения денег банки снижают проценты по вкладам практически до нуля, а в некоторых случаях даже вводят отрицательные ставки, т.е. берут плату за хранение денег.
Однако это возможно только в устойчивых финансовых и общественно-политических системах, что Беларуси в ближайшее время не грозит. За последние месяцы отток вкладов, особенно валютных, не останавливается.
Но! Банковская система большей частью принадлежит и контролируется государством. А государство склонно решать проблемы печатанием новых денег. Курс падает в разы и убытки системы распределяются между всеми, кто пользуется рублями.
Кибератаки на банковские счета: виды и способы борьбы с ними
 |
| focuspocusltd / Depositphotos.com |
Сегодня злоумышленники используют различные способы хищения денежных средств со счетов юрлиц и кредитных организаций. Некоторые из них были представлены экспертами на кейс-форуме, посвященному вопросам мошенничества в финансовой сфере, организатором которого выступила компания Business Summit of Future. Специалисты объяснили, что сложно отследить кибератаки из-за отсутствия соответствующих программ. Однако, они дали рекомендации, с помощью которых можно минимизировать риски и потенциальный ущерб. Какие виды существующих кибератак сегодня наиболее популярны и проблемы доказывания их применения в суде – в материале.
Виды атак, которым может подвергнуться компания
Директор по методологии и стандартизации компании «Позитив Текнолоджиз» Дмитрий Кузнецов отметил, что в большинстве случае злоумышленники стремятся технически закрепиться в структуре организации для получения информации и доступа к управлению компьютером для проведения финансовых операций. Он выделил следующие возможные способы:
По словам эксперта, злоумышленники проводят предварительную разведку и подготовку атаки, собирая сведения об организации или банке: используемое ПО, сведения о сотрудниках, партнерах, контрагентах и бизнес-процессах. После того как атака подготовлена и осуществлена, они организовывают инфраструктуру для обналичивания денежных средств. Дмитрий Кузнецов отметил, что не всегда получается вычислить злоумышленников, так как они нередко подделывают адрес электронной почты отправителя, указывая, например, адрес контрагента или партнера. Он сообщил, что заражение компьютера вирусом происходит на стадии просмотра вложенного файла к письму. При этом визуально никакого сбоя в работе не произойдет, однако злоумышленник получит контроль над машиной конкретного сотрудника и вирус установит соединение с другими компьютерами, которые с ним связаны. «Если есть доступ к информационной системе, то дальше можно попытаться использовать уязвимость рабочего места руководителя или бухгалтера, слабые пароли, уставленные на рабочей почте, для расширения своего присутствия в инфраструктуре», – отметил Дмитрий Кузнецов. Он подчеркнул, что злоумышленник, получая управление над доменом и сервером, может использовать информацию в своих интересах, а также установить связь с платежной системой и осуществить попытки списания денег со счетов. По оценке эксперта, отслеживать информацию злоумышленники могут на протяжении года, а вот выявить их самих без специальных программ, как правило, не представляется возможным.
К каналам проникновения в систему компании независимый эксперт Николай Пятиизбянцев относит также установление съемных носителей информации, с помощью которых вредоносное программное обеспечение может попасть в систему компьютера (например, найденные специально «потерянные» или подаренные флеш-накопители).
При этом на практике нередко встречаются схемы хищения денежных средств удаленно. Так, организация-истец обратилась в суд с иском о взыскании суммы ущерба в размере больше 469 млн руб. к компании-ответчика, осуществляющей функции оператора услуг платежной инфраструктуры (решение Арбитражного суда города Москвы от 30 мая 2016 г. по делу № А40-209112/15-3-519).
Из материалов дела следует, что истец привлек ответчика в качестве оператора по информационно-технологическому обслуживанию платежной системы. В его обязанности также входило осуществление контроля за выполнением участниками своих обязательств по переводу денежных средств в режиме реального времени, пользовавшимися данной системой. А также ответчик должен был следить, что совершенные операции по картам производились только в пределах расходных лимитов и отклонять запросы на транзакции по операциям с картами в случае их превышения.
Несмотря на то, что истец своевременно уведомил ответчика об установлении лимита в пределах 3 млн руб. на период проведения всех операций, граждане получили в банкоматах наличные денежные средства на сумму превышающую 469 млн руб. Истец как расчетный центр платежной системы не мог отказаться от проведения операций, тем самым понеся убытки в размере завершенных за счет собственных денежных средств расчетов.
При рассмотрении дела в суде ответчик предоставил документы, подтверждающие совершение около 3 тыс. операций по снятию наличных денежных средств по картам, из которых сразу были отменены больше половины операций. По словам ответчика, все действия по списанию денежных средств и подтверждению операций были выполнены уполномоченными на их совершение представителями банка через систему удаленного доступа, однако в суде он не смог это доказать.
Арбитражный суд отметил, что ответчик не предпринял меры контроля за операциями, совершенными в платежной системе по банковским картам, несмотря на имеющееся программное обеспечение. По мнению суда, им также не были выполнены действия для урегулирования нестандартной ситуации, возникшей в связи с большим количество отмен операций по картам банка. При этом операционный центр несет ответственность за реальный ущерб, причиненный участникам платежной системы, вследствие ненадлежащего оказания операционных услуг (ст. 17 Федерального закона от 27 июня 2011 г. № 161-ФЗ «О национальной платежной системе»). В связи с тем, что ответчик нарушил расходный лимит и не проконтролировал операции по банковским картам, арбитражный суд взыскал в пользу истца сумму более 469 млн руб., с чем согласился суд апелляционной инстанции (постановление Девятого арбитражного апелляционного суда от 31 августа 2016 года по делу № А40-209112/15-3-519).
Если с расчетного счета организации похищены деньги через систему «Банк-Клиент», то как отразить кражу в бухгалтерском учете? Ответ на этот и другие практические вопросы – в «Базе знаний службы Правового консалтинга» в интернет-версии системы ГАРАНТ. Получите полный доступ на 3 дня бесплатно!
По другому делу, судья Московского городского суда оставила в силе приговор нижестоящих судов о привлечении граждан к уголовной ответственности за мошенничество в сфере компьютерной информации (ч. 4 ст. 159.6 Уголовного кодекса, постановление Московского городского суда от 16 марта 2018 г. по делу № 4у-1053/2018). Суть дела заключалась в том, что сотрудники организации получили письмо, содержащее вредоносное программное обеспечение, при прочтении которого вирусная программа активировалась и распространилась по всей внутренней сети компании. Далее злоумышленники получили доступ к серверам и программному обеспечению, которое отвечает за формирование платежных сообщений. Согласно материалам дела, на лицевые счета, указанные в сфальсифицированных платежных сообщениях, были переведены денежные средства, которые осужденные обналичивали через банкоматы. В качестве доказательств виновности злоумышленников суд учел свидетельские показания, изъятые документы, предметы, в том числе жесткий диск с данными о вредоносном программном обеспечении.
Существенная разница между двумя рассмотренными делами заключается в том, что в первом случае не удалось доказать факт внедрения в систему организации вредоносного программного обеспечения, с помощью которого злоумышленники смогли получить доступ к денежных средствам и обналичить их через банкоматы.
Мошенничество по телефону
Директор департамента информационной безопасности Московского кредитного банка Вячеслав Касимов отметил, что одним из наиболее часто встречающихся способов мошенничества сегодня является телефонное, несмотря на постоянные предупреждения государственных органов о подобных случаях. «В 2018 году зафиксировано 417 тыс. несанкционированных операций по картам на сумму 1,4 млрд руб., причем в России более 90% хищений с банковских счетов совершаются психологами, способными уговорить клиента совершить платеж в своих корыстных интересах», – добавил заместитель председателя Комиссии по цифровым финансовым технологиям Совета по финансово-промышленной и инвестиционной политике ТПП РФ Тимур Аитов. При этом эксперт подчеркнул, что банки снимают с себя ответственность в случае, если гражданин сообщил сам злоумышленнику номер карты, персональные данные и кодовое слово. По его словам, нередко сотрудники банка работают с злоумышленниками в сговоре, например, изучают базу данных клиентов, переписывают их номера телефонов в обеденный перерыв. А после они передают данные злоумышленнику, который звонит клиенту или направляет СМС-сообщение на абонентский номер либо на электронную почту.
Так, гражданке на мобильный номер пришло СМС-сообщение с информацией о блокировке ее личной банковской карты с указанием номера телефона, по которому она может обратиться для получения дополнительной информации (решение Кетовского районного суда Курганской области от 3 октября 2017 г. по делу № 2-1330/2017). На звонок ответил мужчина, представившийся сотрудником отдела контроля. Женщина попросила объяснить причину блокировки банковской карты и в процессе общения сообщила свои ФИО, номер банковской карты и кодовое слово. Сотрудник, с которым она общалась, пояснил, что проведет операции по зачислению и списанию денежных средств для разблокировки счета. В связи с чем гражданке поступили два СМС-сообщения: о зачислении денежных средств и списании 500 тыс. руб., причем без ее согласия. В отделении банка, куда она обратилась после списания денег, ей сообщили, что злоумышленник, используя ее личные данные, осуществил перевод денежных средств с ее банковского счета на счет другого лица, с которого деньги дальше были перечислены с помощью мобильного банка на карты третьим лицам.
В ходе расследования правоохранительные органы установили, какому лицу поступили денежные средства гражданки, а также установили лиц, которые в последующем обналичили денежные средства через банкомат. Гражданка обратилась в суд с иском к женщине, которой первоначально поступили денежные средства, с требованием их возврата. Однако ответчица отрицала получение денег, ссылаясь на то, что банковская карта была заблокирована в связи с утратой.
Суд первой инстанций отказал истице в удовлетворении заявленных требований, указав на то, что при осуществлении операций по переводу денежных средств, были верно введены в онлайн-системе идентификатор, логин и пароли. В связи с чем лицо, осуществившее вход в систему, было определено как клиент банка в соответствии с условиями договора банковского счета. Суд апелляционной инстанции также встал на сторону ответчицы, отметив, что истицей не представлено доказательств, подтверждающих увеличение стоимости имущества ответчицы за счет поступивших с банковского счета истицы денежных средств (апелляционное определение СК по гражданским делам Курганского областного суда от 16 января 2018 г. по делу № 33-180/2018). Кроме того, по мнению суда, отсутствует причинно-следственная связь между перечислением денежных средств ответчице и их последующим поступлением на банковские карты третьих лиц. Суды обеих инстанций отметили, что в связи с утратой банковской карты, ответчица не имела возможности распоряжаться денежными средствами, поступившими на счет этой карты.
Однако Верховный Суд Российской Федерации нашел основания для удовлетворения жалобы истицы (Определение ВС РФ от 30 октября 2018 г. № 82-КГ18-2). По его мнению, суды не дали оценку такому обстоятельству, что осуществлять какие-либо операции с банковской картой ответчицы могло только лицо, обладающее сведениями о пароле и ПИН-коде. В связи с этим ВС РФ пришел к выводу, что утрата банковской карты сама по себе не лишает клиента прав в отношении денежных средств, находящихся на банковском счете, и возможности распоряжаться ими. Кроме того, Суд обратил внимание на то, что из перечисленных на банковский счет ответчицы 500 тыс. руб. на счете осталось 87 тыс. руб., которыми она вправе распоряжаться, а значит вернуть истице, так как не было оснований для их получения. ВС РФ также подчеркнул, что при передаче персональных данных – логина и пароля посторонним лицам ответчица несет риск наступления негативных последствий по операциям, проведенным по ее банковской карте, в том числе за неосновательное обогащение. Однако Суд не установил наличие согласованности действий между злоумышленником, ответчицей и третьими лицами. В связи с этим ВС РФ отменил решения нижестоящих судов и направил дело на новое рассмотрение.
Тимур Аитов сообщил, что правоохранительные органы и банки не заинтересованы противодействовать телефонным мошенничествам. По его словам, это объясняется тем, что правоохранительным органам сложно обнаружить злоумышленников из-за отсутствия доступа к инфраструктуре банковских сетей. Эксперт отметил, что на сегодняшний день ему неизвестны судебные решения о возврате клиентам средств, которые были получены вследствие использования уговоров по телефону. «Если же банк захочет противодействовать мошенничеству и усложнит доступ к счету многочисленными проверками, то он сам же может пострадать: клиенты будут уходить из банка из-за сложных процедур при проведении платежей», – добавил Тимур Аитов. В качестве метода борьбы с подобными правонарушениями он предложил банкам усложнить процедуры перевода денежных средств только при возрастании их сумм, например, на сумму до 100 тыс. руб. порядок подтверждения операции будет заключаться только в предоставлении пароля из СМС-сообщения, от 100 тыс. руб. до 1 млн руб. – не только пароль, но и подтверждение кодовым словом, а свыше 1 млн руб. еще и отпечатком пальца;
«Станет ли биометрия заменой пароля?», – задается вопросом Николай Пятиизбянцев. По его мнению, нет, во-первых, потому что не на всех устройствах это возможно реализовать, а, во-вторых, устанавливать специальный считыватель дорого. Кроме того, эксперт отметил отсутствие инфраструктуры для хранения биометрических данных и их защиты. Николай Пятиизбянцев не видит и выгоды в применении биометрии, так как если пароль будет скомпрометирован, то его можно изменить, а физические возможности человека ограничены. «Биометрия, как возможность опознать человека по лицу, работает великолепно, проблема возникает на стыке биометрии с операционной системой: если злоумышленник контролирует операционную систему, то вы один раз делаете селфи, а он это селфи многократно использует для подтверждения различных операций», – добавил Дмитрий Кузнецов. По его мнению, биометрия может быть использована в качестве подтверждения операций, при условии, что защищена операционная система.
Рекомендации экспертов по борьбе с кибератаками
Эксперты отметили, что в компаниях должна быть выстроена процедура реагирования на кибератаки: от профилактики предотвращения взломов серверов до оперативного обращения в банк для приостановления операций по счету и дальнейшего расследования при неправомерном списании денежных средств. В качестве дополнительных рекомендаций они предложили следующее:
Финансовая сфера
Как защитить банковские системы от хакеров
На что обратить внимание при обеспечении кибербезопасности банка в 2021 году
Глава Varonis в России
Среди обывателей бытует мнение, что кредитные организации перекладывают все риски на клиентов, но это далеко не так. Банки вынуждены отвечать за инциденты со счетами. Иначе они безнадежно испортят свою репутацию и потеряют самое важное, что сегодня определяет их позиции в конкурентном поле, — доверие клиентов. К тому же нарушение законодательных норм, требований регулятора и правил международных платежных систем чревато серьезными последствиями, вплоть до крупных штрафов, проблем с прохождением аудита и даже отзыва лицензии.
Как обстоят дела с кибербезопасностью в банках?
К концу 2020 года банковская индустрия стала одной из наиболее защищенных отраслей мировой экономики. Банковские IT-инфраструктуры имеют высокий уровень зрелости. Кроме того, именно финансовые организации быстро реагируют на инциденты ИБ.
В то же время складывается парадоксальная ситуация: несмотря на относительно сильную защиту информационных систем, в «обороне» банков образуются трещины. В частности, почти во всех банках есть «фантомные пользователи» — бывшие сотрудники или подрядчики, учетные записи которых по каким-то причинам не деактивировали.
Серьезную проблему составляет и доступ к конфиденциальной информации. Глобальное исследование Varonis, проведенное в конце 2020 года, показало: в каждом банке в среднем есть около 1 тыс. конфиденциальных документов, доступных любому сотруднику. При этом учетные записи также недостаточно защищены: у более чем 60% финансовых организаций эксперты Varonis обнаружили минимум 500 паролей без истечения срока действия, т.е. один и тот же пароль может использоваться десятилетиями. В небольших банках уровень кибергигиены еще ниже.
При этом именно в банковской отрасли особенно высоки риски кражи данных: по оценкам экспертов, в среднем одна утечка стоит финансовой организации около 5,85 млн долларов. Поэтому банки так привлекательны для злоумышленников.
Действия хакеров часто нарушают работу информационных систем и непрерывность бизнес-процессов в организации. Финансовый ущерб из-за простоя оказывается огромным, страдает репутация банка. Это неизбежно сказывается на стоимости его акций, приводит к оттоку клиентов и в итоге — к новым финансовым потерям.
Сюда же добавляются утечки конфиденциальных данных, используемые мошенниками, например, для звонков от имени службы безопасности, — это тоже ведет к репутационным потерям и измеримому в деньгах ущербу.
Угрозы и уязвимости
Опасность для банковского бизнеса исходит от внешних злоумышленников и инсайдеров, которые могут действовать в сговоре с ними. Вне зависимости от того, кто является атакующей стороной, работают хакеры всегда одинаково. Они незаметно проникают в информационные системы, берут их под контроль, а потом быстро проводят массированную акцию, пока служба безопасности не успела опомниться. Часто для этого используется продвинутое вредоносное ПО, вроде трояна Qbot.
Нацеленные на финансовые данные вирусы-шифровальщики и прочие зловреды давно стали для отрасли угрозой первого порядка. Реализовать ее хакерам помогают угрозы второго порядка — уязвимости в информационных системах, а также избыточные права доступа.
По нашим данным, среднестатистический сотрудник финансовых служб имеет доступ к почти 11 млн файлов, а для крупных компаний этот показатель удваивается. Любому внутреннему пользователю открыто 20% всех папок в локальной сети, а около 39% организаций имеют более 10 тыс. устаревших, но активных учетных записей. Добавьте сюда множество доступных всем сотрудникам конфиденциальных файлов (их счет может идти на тысячи), а также сотни и тысячи паролей, срок действия которых никогда не истекает.
Антифрода недостаточно
На первый взгляд, ситуация с безопасностью не так плоха. В банках внедрены чрезвычайно развитые системы фрод-мониторинга, покрывающие существенную часть рисков. Проходит постоянное обучение сотрудников, чтобы те не кликали по подозрительным ссылкам и не вставляли найденные возле офиса флешки в рабочие компьютеры. Внедряются продвинутые технические решения, вроде тех же ханипотов — привлекательных для злодеев ловушек-имитаторов. Однако приводящие к финансовым потерям косвенные риски остаются незакрытыми.
Служба безопасности сосредоточена в основном на защите АБС (CBS или core banking system) и уделяет мало внимания окружающей их оболочке — тут и возникают уязвимости, а также присутствуют данные, позволяющие спланировать успешную атаку.
Логика безопасников понятна: если вся ценная информация хранится в базах данных, их и нужно защищать. Тем временем в файловые хранилища регулярно делаются выгрузки, получить доступ к которым могут многие пользователи локальной сети или скомпрометировавший их учетные записи хакер. В среднем банке установлены сотни взаимосвязанных систем, обменивающихся в том числе конфиденциальной информацией.
Эти взаимосвязи — самые уязвимые с точки зрения защищенности места. В банках часто отсутствует мониторинг межсистемного обмена и не внедряется поведенческий анализ для выявления аномальных действий пользователей. Практика показывает, что злоумышленники успешно проникают в сети, обходя все существующие системы защиты, включая продвинутый антифрод. Итог — крупные утечки конфиденциальных данных и даже вывод средств со счетов клиентов.
Методы защиты
Чтобы топ-менеджерам не пришлось объяснять акционерам причины резкого падения рыночной капитализации банка, необходимо построить комплексную систему безопасности. Она должна организационными и техническими методами защищать не только отдельные системы, но и всевозможные их взаимосвязи с учетом существующих сценариев перемещения данных.
Продвинутый фрод-мониторинг есть у всех, но комплексный подход не используется практически ни в одном банке. Главная его часть — мониторинг обращений к конфиденциальным данным, вне зависимости от места их хранения и путей перемещения. Для этого придется отслеживать аномалии: попытки доступа к большому количеству данных или авторизации на сервисах, к которым пользователь раньше не обращался. Средства для реализации поведенческого анализа созданы уже давно, остается только дополнить ими существующие системы безопасности. Если это сделать, любую атаку можно будет остановить еще на стадии разведки, предотвратив серьезный ущерб.