Краткая история мошенничества: от атак на ДБО до внутреннего мошенничества Обзор: ИТ-безопасность, сентябрь 2015 Автор: Алексей Сизов 28.09.2015 В XIII веке войско монголов осадило Самарканд — крупный по тем временам среднеазиатский город. Крепость была сильна и стены ее высоки, но ни защитные сооружения, ни многотысячный гарнизон обороны города не смогли обеспечить защиту правителей. Жители сами впустили войско Чингисхана, открыв ворота... Становление и развитие банковской информационной безопасности во многом напоминает историю укрепления древних городов. С развитием технологий появляются новые средства нападения, а в ответ совершенствуются средства защиты — чем более разрушительными становились орудия для осады древних стен, тем выше и толще становились последние. Почти то же самое сегодня происходит и в ИБ. Хотя, конечно, есть и отличия: приближается тот момент, когда цена атаки станет эквивалентна потенциальной наживе. Да и определить ценность того, что спрятано за рубежами защиты, не всегда легко. «Осада» ДБО — вчерашний день В области информационной безопасности банковским сообществом сделано многое, и в результате атаки на сиситемы дистанционного банковского обслуживания (ДБО) уже не столь сокрушительны, а потоки скомпрометированных карт не столь масштабны. В самое ближайшее время уровень мошенничества со стороны третьих лиц должен прийти в некоторое установившееся соответствие объему банковских операций. Намного острее стоит проблема внутреннего мошенничества. Если внешний фрод опирается на неграмотность конечного клиента, то фрод внутренний — на уязвимости бизнес-процессов и банковских технологий (а внутренние процессы намного менее совершенны, чем сервисы, обращенные к клиенту), а также человеческий фактор. Внутреннее мошенничество всегда будет оставаться частично в тени, потому как мало кто из банкиров захочет открыто говорить о проблемах в своем «хозяйстве». При этом следует понимать, что банк — единоличный владелец своих ресурсов. Значит, в случае внутреннего мошенничества конечный уровень потенциальной его защищенности от действий собственных сотрудников ограничен только желанием руководства банка усилить защиту. Сами схемы мошенничества, к слову, довольно регулярно описываются в СМИ, поэтому многие знают и о махинациях со «спящими» счетами, и о мошенничестве с курсами валют, и об операциях по кредитным продуктам и отмене комиссий. И многие российские банки остро заинтересованы в решении подобных проблем. Однако методология контроля сотрудников при совершении ими внутренних операций довольно сложна. Банк не всегда располагает достаточными сведениями о текущих операциях и обо всей цепочке их проведения с участием разных сотрудников. Иногда следы мошенничества сохраняются не столько в «платежных» операциях по счетам, сколько в истории поиска данных соответствующих клиентов и пр. Здесь можно сказать о трех общих сложностях. Первая заключается в нетривиальности определения единого клиента в различных банковских системах. То есть установление факта, что операции по депозиту и операции по счету, к которому привязана кредитная карта, совершаются одним лицом, самому банку иногда стоит серьезных усилий и требует усложнения соответствующих процедур контроля клиентских операций. Очевидно, это влияет на желание банка контролировать операции клиента. Вторая сложность состоит в том, что далеко не каждая банковская система хранит историю обращений к карточке клиентов, информацию о просмотре состояния счета и пр. То есть уровень логирования операций в бэк-офисных системах порой недостаточен для контроля действий сотрудников. Третья схожа с первой: зачастую банку сложно определить, что две учетные записи в двух различных информационных системах являются учетными данными одного пользователя. Найти предателя внутри цитадели С точки зрения реализации схемы мошенничества становятся весьма сложными, однако пути для обхода внешних периметров защиты, как всегда, находятся. Наша статистика показывает, что число хищений (например, в рамках ДБО), которые осуществляются с участием сотрудников банка, сегодня неуклонно растет. Если еще не так давно такие случаи были редкостью, то сегодня как минимум каждый пятый инцидент реализуется с участием сотрудника. Роль сотрудников бывает разной. Иногда она сводится к передаче третьим лицам информации о счете, клиенте, его текущих операциях или, к примеру, о предполагаемой поездке (многие банки сегодня просят клиентов уведомлять о возможных поездках). В других случаях выполняется корректировка учетных данных клиента (например, изменение через бэк-офисное приложение номера для smsинформирования, контактного телефона и пр.), осуществляется просмотр сумм, блокированных на карте, как дополнительная аутентификация владельца. Все это ощутимо снижает скорость реагирования клиента на противоправные действия. Случается, что сотрудник банка, может активировать для клиента новую услугу или продукт (например, карту или доступ к ДБО), с помощью которых можно управлять средствами, находящимися на других счетах клиента. Каждое из этих действий влечет за собой различные риски, но все они создают широкое противоправных действий. поле для Много данных не бывает К сожалению, сегодня при организации onlineмониторинга операций с применением соответствующих систем такие действия сотрудников, как, скажем, активация дополнительных услуг или внесение изменений в личные карточки сотрудников, редко рассматриваются как подлежащие обязательному контролю. Да и самих прецедентов создания комплексных систем противодействия мошенничеству крайне мало. На практике, такие системы не только черпают сведения из бизнес-систем (АБС, back-office, CRM, ДБО и процессинговых центров), но и эффективно используют данные систем контроля СУБД (DAM), web-каналов (WAF), утечек информации (DLP). Наш опыт показывает, что наиболее эффективными являются системы комплексного анализа событий в банковских системах (через разные каналы обслуживания клиентов или операций), то есть системы, анализирующие весь объем операций клиента, осуществляемых как через ДБО и карточные продукты, так и при его операционном обслуживании. Они позволяют осуществить полноценное профилирование действий клиента и действий сотрудников при его обслуживании, обеспечить контроль корректности проведения бизнес-процессов. Работа подобных систем предполагает активное взаимодействие с уже существующими средствами защиты каналов (ДБО или процессинговых центров) как с источниками данных для анализа, а также обогащение данных этих систем, когда в результате выявленного (например, по совокупным действиям сотрудника в системе back-office) риска инициируется обращение к канальной системе для повышения соответствующих параметров всех операций по конкретному клиенту и, соответственно, повышения уровня контроля за любыми расходными операциями. Автор статьи — руководитель направления противодействия мошенничеству Центра информационной безопасности компании «Инфосистемы Джет»