Эффект дежавю

14.03.2012

(Оригинал на bankir.ru)

Автор: Инна Рукосуева

Профессиональная дискуссия, разгоревшаяся на международной конференции по безопасности платежных систем PCI DSS Russia, организованная компанией Digital Security, в очередной раз подтвердила народную мудрость: без бумажки ты – букашка, а с бумажкой – приличный банк и лидер рынка. Именно так большинство банкиров относятся к сертификации по стандартам безопасности. Не потому, что надо, а потому, что заставляют, и не для собственной репутации, а чтоб под раздачу штрафов не попасть.

Все вопросы к представителю платежной системы VISA Олегу Скородумову крутились вокруг да около: как бы так половчей сертифицироваться, чтобы много не тратить? И напрасно он призывал банковское сообщество перестать об этом думать и доказывал, что нужно не просто заказать аудитора и получить очередной сертификат и прибить его на стенку, а реально соответствовать стандартам безопасности. Все последние сроки у банков по этому поводу давным-давно истекли, а у мёрчантов дедлайн наступает 1 июля.

К сожалению, представитель второй глобальной платежной системы – MasterCard – в этом году на конференцию не пришел, так что увещевания дуэтом на этот раз не вышло.

Факт, что российские банки предпочитают соответствовать лишь букве, но не духу стандартов безопасности, подтвердил и представитель компании-аудитора Digital Security Павел Федоров. По его мнению, в банках совершенно нет понимания, зачем это нужно, а следовательно, и никакого энтузиазма по исполнению. По его статистике, ни одна компания, допустившая компрометацию данных, на момент инцидента не соответствовала стандартам PCI DSS. «За платежными данными стоят ваши живые клиенты, думайте о пользователях, это же ваша репутация», – взывал к аудитории эксперт.

234.jpg

Представители банков роптали в ответ: ага, чем больше уделять внимания безопасности, тем неудобнее клиенту, и у бизнеса денег не выпросишь, и вообще все работает гораздо медленней. И кому это надо?

«Если у вас нет тормозов и подушек безопасности, вы и разогнаться-то не успеете», – заметил Федоров и продолжил вбивать в непокорные головы нехитрую мысль, что сертификация – вовсе не итоговый результат аудита.

Банкиры вообще заняли странную позицию. К примеру, они не поняли или сделали вид, что не поняли, зачем нужен фрод-мониторинг. Мол, в любом суде мы обоснуем, что деньги у клиента увели, потому что он – сам дурак, и неважно, сколько миллионов ушло в неизвестном направлении. А вот как обосновать руководству необходимость вложить деньги, чтобы мониторить всякий фрод?

Представитель компании «Инфосекьюрити Сервис» Вячеслав Касимов, ратовавший за фрод-мониторинг, даже слегка растерялся: ну как так? Как можно позволить себе такие репутационные риски?! И зачем вообще надо обосновывать такую элементарную необходимость, как ежедневная чистка зубов? Эксперт пришел к выводу, что вся проблема в том, что даже пуганные инцидентами клиенты не уходят из банка после того, как у них украли деньги, а банк обвинил в этом их самих. Отсюда и эта позиция, от которой веет махровым эгоизмом.

По традиции конференции «честные хакеры» из Digital Security Алексей Синцов и Дмитрий Евдокимовустроили «ломастер»-класс. В этот раз решили показательно взламывать именно серверную сторону банков, чтобы наглядно продемонстрировать, что далеко не всегда бедный клиент – сам дурак, как бы ни развивали в нем этот комплекс неполноценности господа банкиры.

Мощная, почти убойная презентация продемонстрировала, что в 90% ходовых и очень популярных товаров от ведущих вендоров, специализирующихся на поставках в банки программного обеспечения для дистанционного обслуживания, до сих пор есть уязвимости, ставшие классикой еще десять лет назад. «Вендоры не информируют банки об этих дырах, которые может обнаружить даже моя бабушка, она программистом до выхода на пенсию была», – заявил Алексей Синцов, периодически срывающий денежные призы за найденные уязвимости в программах мировых вендоров, которые те специально запускают перед официальным релизом своих приложений. Но так работают только глобальные гиганты, а российские разработчики не только спасибо не скажут, но еще и годами не латают дыры, на которые им любезно указывают. А если и заштопают, то так, что рядом возникает уже другая дыра.

«Читайте доклады с хакерских конференций!», – призвал банковское IT-сообщество Дмитрий Евдокимов, говоря о том, что новейшим полем битвы становится мобильный банкинг, где еще даже не существует стандартов безопасности, а уязвимостям уже несть числа.

Вывод прост: если сейчас атаки на клиентов лишают банкиров спокойного сна, то что же будет, когда хакерские бомбы полетят на серверную сторону банков, где можно поживиться суммами с гораздо большим количеством нулей? Придется ликвидировать дистанционные услуги и откатиться назад?

235.jpg

Заместитель начальника управления департамента безопасности Россельхозбанка Александр Беликов вызвал уважение смелостью своего выступления. Он не стал замалчивать проблему и открыто признал, что в его банке средняя сумма покушения составляет 400 тыс. рублей, «стартовый капитал» для воровайки – 30 тыс. рублей, а средний успешный «улов» преступника – 20–40 тысяч клиентских аккаунтов за одну атаку. При этом возбудить уголовное дело удается всего лишь в 11% инцидентов, а в 10% случаев краж от правоохранительных органов приходят… отказы в возбуждении уголовных дел! И это в банке со стопроцентным государственным капиталом.

По словам Беликова, Россельхозбанку надоело действовать «в режиме ошпаренной кошки», и он стал организатором сообщества по составлению «черных списков» мошенников, куда вошли 165 банков. Однако анекдот из жизни, случившийся в этом банке, перекрыл весь позитив презентации. Как известно, основные клиенты Россельхозбанка – сельскохозяйственные предприятия и крестьянские фермерские хозяйства. И когда в результате успешной атаки злоумышленников были украдены деньги клиента, он подал в суд на банк. Банк говорил клиенту: «Поставь на компьютер антивирус». Клиент купил «коробку» Касперского и… водрузил ее на системный блок. Суд обязал банк вернуть клиенту деньги, потому что банкиры не объяснили крестьянину, как именно он должен обеспечить безопасность обслуживания на своей стороне.