Хищение средств с банковских счетов
 посредством систем дистанционного обслуживания (ДБО)

Ниже приведен анализ конкретного случая по одному из инцидентов, типичному для различных систем ДБО и разных банков с небольшими исключениями и обобщениями.

Анализ обстоятельств ошеломляет - ограблены компании, сотрудники которых педантично соблюдают требования договора с банком по использованию ПО ДБО и обращению с носителями ЭЦП. Условие, достаточное для совершения хищений - сам факт применения системы ДБО, функционирующей в среде штатных уязвимостей операционной системы (ОС) Windows! Декларированный договором и противоречащий требованию обеспечения безопасности запрет на внесение изменений в  конфигурацию программного обеспечения лишь повышает мотивацию злоумышленников - договоры и инструкции к ним (если они вообще существуют), как правило, выложены на сайтах банков. И даже нарушение этого запрета при установке обновлений ОС и приложений не обеспечивает безопасности ДБО, т.к. в подавляющем большинстве системные администраторы не являются специалистами в сфере информационной безопасности и не способны обеспечить полноценную защиту программных средств ДБО от взлома.

Успех "операции" определен с момента внедрения вредоносного ПО, оснащенного всеми необходимыми функциями: перехват нажатия клавиш, предоставление административных, организация удаленного управления системой и некоторых вспомогательных. Приведенное подробное описание действий этого ПО  не оставляет сомнений в беззащитности практически каждого рабочего места со штатной настройкой системы безопасности ОС Windows.

Следует заметить, что эта технология совершения хищений полностью соответствует технологии ДБО и была неоднократно реализована в различных вариантах вредоносного ПО фактически с момента появления систем ДБО. Наиболее эффективный тип такого ПО в виде "червяка" (трояна) был обнаружен несколько лет назад и, изначально удачно написанный, он и по сей день находится на "вооружении" у злоумышленников с постоянными усовершенствованиями и по-прежнему эксплуатирует "человеческий" фактор, что позволяет внедрять его и во вполне правильно администрируемые системы.

Изучение организационной стороны обеспечения технологии удаленного управления счетом также вызывает сожаление - при подключении к системе ДБО клиентам предоставляется лишь тщательно проработанные требования по обращению с ключевым носителем ЭЦП (транслируемые от разработчика ЭЦП), а организация защищенного рабочего места клиента остается вне зоны внимания участников банковского процесса. К сожалению, пренебрежительное отношение банков и их служб ИБ к проблеме явно просвечивает при обсуждении инициированной темы по обоюдной защите сторон ДБО на специализированном банковском форуме, поэтому на практике по условиям договора юридическая ответственность за происшествия возлагается на клиента, остающегося без реальной помощи по организации защищенности рабочего места ДБО, изложенных в виде подробных инструкций по необходимой конфигурации системного ПО.

Детальный анализ обстоятельств кражи удручает перспективой - большинство пользователей систем удаленного управления своим банковским счетом, независимо от банка и включая физические лица, не застрахованы от хищений средств с банковских счетов с применением информационных технологий. Заметим, не вдаваясь в детали, что и банки также оказываются заложником этих отношений(!) в случае некоторых развитых финансовых отношениях с клиентом. Эти выводы находят понимание в Ассоциации российских банков, один из комитетов которой занимается разработкой и развитием стандарта СТО БР ИББС и методик его  обеспечения.

Избежать этого технологического грабежа клиент может только при прямом отступлении от требований договора по ДБО - при нарушении запрета на внесение изменений в настройки системы со стороны банка и при детальной настройке операционной системы, включая недокументированные функции, что выходит за пределы "традиционных" требований по обеспечению защищенности системы в целом, что не является компетенцией системного администратора и выполняется специалистами по ИБ. Не следует забывать и про организационные меры обеспечения рабочего места клиента, сформулированные в виде конкретных правил и/или инструкций по работе с системой ДБО, разграничением доступа и организацией квалифицированного администрирования таких ответственных систем.

Наиболее эффективное решение проблемы возможно при желании и активном участии банков в решении проблемы защиты собственных клиентов - достаточно использовать рекомендации ЦБ РФ по обеспечению информационной безопасности стандартов СТО БР ИББС и рекомендации, изложенными в письме Т-36 ЦБ РФ по предупреждению инцидентов именно такого рода. Для реализация необходимых мер по обеспечению защиты системы ДБО, которая является банковским(!) активом, достаточно разработать подробные инструкции по настройкам ОС и "озадачить" ими клиента, либо решить проблему "под ключ", загружая предварительно созданный профиль безопасности системы при установке ПО ДБО на компьютер.

Несколько советов клиентам (пользователям) систем ДБО:

• тщательно изучите пункты договора и уясните собственную  ответственность за действия или бездействия свои и банка в рамках взаимодействия при использовании ДБО;
• выясните техническую сторону обеспечения безопасности ДБО, в т.ч. кто и как обязан заниматься ее реализацией в рамках договора;
• соблюдайте все условия договора - любое отступление будет истолковано в пользу банка;
• используйте лицензионное ПО и своевременно устанавливайте обновления;
• определите для себя и сотрудников раз и навсегда принцип - рабочее место не является местом для развлечений;
• обращайтесь к специалистам по информационной безопасности.

Основные рекомендации банкам, предоставляющим услуги по ДБО и являющимися фактическими владельцами ПО ДБО, уже изложены в отраслевых стандартах и различных инструкциях ЦБ РФ, но стоит отметить, что даже их неукоснительное исполнение не закрывает частные уязвимости СУИБ банков, а их публикация может привести к обратному результату.

В.Б.

© Центр Сетевой Безопасности Арнис, 2010