Как устроена информационная безопасность в банке?
Привет, это Kotelov digital finance. Сегодня поговорим: сколько стоит информационная защита в банке, как устроена антифрод система и как банки реагируют в случае кибератаки.
В гостях Дмитрий Беляев, начальник службы информационной безопасности в одном из российских банков. Во-первых, такие люди практически никогда не приходят на подкасты, а во-вторых, они очень сложно раскрывают свои секреты в силу специфики их работы.
На подкасте мы обсуждали всю банковскую систему безопасности: как устроена защита и как контролируются люди внутри нее. Получился большой материал, из которого мы вытащили самое важное, а потом разделили на две статьи:
- Как банки следят за сотрудниками? Секс-календарь, воровство и миф о двух компьютерах — почитать можно тут
- Как устроена информационная безопасность в банке? — Вы здесь
Сколько стоит информационная защита для банка?
К примеру, построение эшелонированной защиты. Это когда ты покупаешь средства антивирусной защиты для компьютеров у одного вендора, а для защиты серверов от другого вендора. Общая защита состоит из разных систем, которые имеют в основе разный подход.
| Эшелонированная защита — это стратегия использования множества мер безопасности для защиты целостности информации.
При этом, нужно учитывать, что есть банкоматы, пост-терминал и тд. Для каждого нужны отдельные средства защиты, которые заказываются от разных вендоров.
Необходимо закупать антивирусную защиту серверов, ARMов, почтовую защиту, межсетевые краны для защиты внешнего и внутреннего периметра, средства анализа защищенности, IDR, ids IPS, CRM систему.
По моей оценке, базовая система защиты по требованиям ЦБ для небольшого банка — это 50-70 млн. рублей. И это без учетов фонда оплаты труда, потому что необходимо еще создать службу информационной безопасности, укомплектовать штат качественными специалистами.
Как в банке построена работа с криптографией?
Мы используем квалифицированную электронную подпись и это сложный процесс. Так как мы работаем с различными системами, которые используют свою криптографию — там есть свои особенности. Например, при работе с ЦБ нужны хорошие хард скиллы, потому что сертификат делается от нескольких месяцев. Ошибка стоит очень дорого.
Такая тщательность обусловлена тем, что некоторые банковские системы будут подвязаны на этом сертификате, и если что-то там будет некорректно, то возможны сбои в отправке отчетности. А сбои в отправке отчетности — это многомилионные штрафы для банка.
Электронные подписи, токены и проблемы с процессами
ЦБ выдает только одну цифровую подпись на первое лицо. Дальше сами сотрудники СИБа делают сертификаты для работы с каберенами.
| Каберен — это отдельная машина для взаимодействия с банком, например, для проведения платежек. Это отдельная каста ARMов, которая нуждаются в особой защите.
Хотел бы поделиться ситуацией: к примеру, в организации нет своего удостоверяющего центра и сотрудники сами выдают электронную подпись. Организации приходится сотрудничать с посредниками, вроде СКБ Контур и тд.
Большая проблема получается в том, что если они ввели неправильно — нам приходится этот процесс повторять. Сотрудники тратят свое время. Это было неэффективно и нам нужно было решить это проблему.
Вышли из положения так:
Я провел консультацию со всеми сотрудниками, которые планируют осуществить поход в удостоверяющий центр и сказал, что ни в коем случае не уходите, если будут проблемы — звоните мне.
Пароли распечатал на бумажке крупным шрифтом. Разовые пароли, где точно не промахнуться. В центре сертификат записывали, бумажку уничтожали, а я пароль менял уже. Вот и так в принципе процесс был построен. Но, я думаю, что с такими проблемами много где сталкиваются.
Пароли: как в банках работают с безалаберностью и халатностью
Вопрос: как вы работаете с тем, что сотрудники могут менять безопасные пароли на более простые, которые менее безопасны?
При выдаче токенов мы лишаем пользователя возможности менять пароль. И назначаем эту возможность только администраторам. Тогда, если пользователь потеряет пароль или что-то еще — администратор может скорректировать.
Другая проблема, что работники иногда записывают этот пароль на бумажке и оставляют на рабочем столе, где любой может им воспользоваться. Это серьезная халатность.
Проблему очень хорошо решает показательная порка.
То есть, сотрудник в обход всех правил и политики информационной безопасности в том числе и парольной политики, скомпрометировал пароли к доступу в операционную систему, к информационным системам, на которых он работает. И публичная порка выдала большой резонанс в организации. Другие сотрудники стали очень сильно бояться оставлять пароли.
Несут ли рядовые сотрудники уголовную и административную ответственность в банке?
Несут и уголовную, и административную. Например, когда сотрудник получает токен с сертификатом — он получает полномочия, предоставленные этим сертификатом: подписание документов, шифрование документов. То есть, сотрудник от своего лица может производить эти действия.
Если он вдруг куда-то пошел за кофе, он должен токен изъять, в тубус спрятать и в сейф. Это проблематично для многих, потому что занимает много времени. В случае компрометации токена могут быть серьезные проблемы.
Антифрод: внутренности финансовой защиты
| Антифрод — система для мониторингаи предотвращения мошеннических операций. Проверяет платеж в режиме реального времени и блокируют те, которые кажутся им подозрительными
В нашей компании построена эшелонированная система, пошаговая, которая минимизирует риски проведения фрода. То есть у нас есть антифрод система и система с фидами.
| Фиды - это данные скомпрометированных кошельков, паспортов, снилсов, которые могут участвовать в транзакции
Базу фидов нам предоставляет регуляторы. Есть организации, которые собирают эту информацию и продают ее банкам.
А, чтобы понять, как карту какого-нибудь Валеры начинают относить к фидам нужно разобраться в процессе.
| Мамонты - это жертвы мошенников, которых обманывают
Фишка в том, что информация постоянно дополняется со стороны регуляторов и со стороны вендоров. Все банки обязаны при получении какого-то инцидента передавать информацию в финцентр и НЦКИ, но далеко не все хотят раскрывать данные об этих инцидентах.
Поэтому база пополняется далеко не всеми историями — здесь нужен гибридный подход. Мы используем базы средств защиты информации, базы антифрода от вендора, чья система закуплена и фиды регуляторов. Если бюджет позволяет, то закупаем фиды и аоки у других вендеров, которые имеют в этом экспертизу.
| Аоки — индикаторы компроментации. Грубо говоря, это IP-адрес атакующего сервера, фишинговые ссылки, хеш суммы новейшего ВПО
Эти аоки собираются финцентром и НЦКИ, а потом предоставляется банкам для того, чтобы безопасники добавили эти индикаторы в свои средства защиты информации, на тот случай, если вендор не успел обновить свои базы. Так работает эшелонированная защита.
Нейросети для антифрод систем
Однажды я с командой участвовал в хакатоне ВТБ банка и там был кейс по разработке AI антифрод системы. Нужно было разработать антифрод систему за два дня, чтобы она работала.
Мы разработали крутую концепцию, в которой была построена эшелонированная защита личного кабинета пользователя. Разработали модуль, который собирал реальные данные о клиенте: IP адрес, ширина монитора, геопозиция и куча других user агентов.
Модуль эту информацию суммировал и далее собирал статистику. Если поведение по этой статистике на 70% соответствует порогу, то значит пользователь вероятнее всего легитимный, а если на 31% отклоняется, то вход в личный кабинет блокируется.
При этом был осуществлен вход по двуфакторной аутентификации с использованием капчи и даже если если злоумышленник каким-то образом обходил эти степени защиты, то включался мощный режим защиты личного кабинета.
Параноидальный режим, в котором сам пользователь мог выстроить защиту и указать конкретный IP адрес, который разрешает подключение определенной суммы ограничений на переводы.
Мы нашли датасет одного крупного испанского банка по антифроду и на его основе мы обучили нейронку с точностью до 93-98% выявлять фродовые платежи и останавливать их.
Концепция была шикарная, но за два дня мы не успели все собрать и заняли четвертое место, хотя стали суперфиналистами.
То есть, нейросети и их применение для антифрода активно изучается, но пока все проходит на уровне хакатонов.
Сценарий реагирования на случай успешной кибератаки
У каждой организации должен быть план по реагированию на инциденты. Здесь нужно понимать какие вообще есть слабые места в организации и проанализировать эти слабые места. Где-то принять риски, а где-то постараться эти риски закрыть.
| ВПО — вредоносное программное обеспечение
Должна быть система резервного копирования, у нас, например, довольно надежная и спасет от части ВПО и кибератак.
Какие у вас применяются превентивные меры для защиты от Ddos атак?
Все веб приложения защищены WAFом, при этом сервер, на котором они находятся, тоже комплексно защищен.
| WAF — Web Application Firewall
Важно понимать, что если сайт не работает, то банк несет убытки, поэтому нужен:
1. Либо WAF со стороны банка, что очень дорого стоит
2. Либо можно купить это как услугу. Пойти к оператору, он подключится к каналу связи и будет осуществлять фильтрацию пакетов
Очень крутой подход, когда есть и WAF, который обеспечивают защиту на L7 и mitigator, который защищает на L3 или L4 и еще хватает денег подключить провайдера, который со своей стороны производит анализ и перенаправление потоков на свои сервера.
Это очень такой крутой метод, который позволял крупному банку, в котором я работал, работать и выживать.
Банки самостоятельно занимаются пентестом или у вас внешние подрядчики?
Особо не буду раскрывать детали, но мы осуществляем даже не пинтест, а грамотно выстраиваем процесс проверки безопасности разрабатываемого кода.
И на этапе этой безопасной разработки, если все нормально — проводим сканирование средствами анализа защищенности. Если тут тоже нет нареканий и уязвимостей, то после пилотного тестирования можно вводить в прод.
В целом так, но если вдруг находятся уязвимости, то необходимо отправлять разработчику на доработку. Ты указываешь ему где и что нужно доработать и он меняет алгоритмы разработки, а потом меняет процесс.
Все это обсуждали на подкасте Kotelov digital finance. Полную версию выпуска можно посмотреть здесь
Мир Digital финансов
Если вам интересна финансовая разработка, внутрянка финтех танков и особые гости, которые редко выходят из закулисья — подписывайтесь на наш телеграм-канал Kotelov digital finance.
В канале мы постоянно анонсим новые подкасты с крутыми гостями, статьи и другие новости из мира финансовой разработки. А еще Валера KOTELOV рассказывает про особенности финтех рынка с точки зрения диджитальщика.
Ещё у нас есть основной тг-канал, где мы рассказываем о себе и размещаем наши новости о работе и стажировках: @kotelov_love