В «Лаборатории Касперского» заявляют, что в банки страны являются основной мишенью хакерских атак.
Иллюстративное фото
Фото: CABAR.asia
Сегодня практически каждый знает, что такое виртуальные банковские услуги. Они существует наряду со стандартными услугами в банках, к которым все так привыкли. Виртуальные услуги, а вернее, интернет-банкинг, не отстает от стандартных в плане функционала.
Но несмотря на интенсивный рост интернет-банкинга в Таджикистане и кажущуюся стабильность, есть вопросы к уровню безопасности виртуальных банковских услуг. Есть вероятность, что клиенты банка могут столкнуться с определёнными проблемами, считает выпускник школы аналитики CABAR.asia Ширин Атласова.
Нормативных актов по ИБ попросту нет
В законодательстве Республики Таджикистан нет таких нормативных актов, которые каким-либо образом контролировали процесс безопасности хранения и передачи на электронных активах данных банков и его клиентов.
Это подтверждается отсутствием требований по данным направлениям на официальном сайте Нацбанка. Лидирующие банки страны также фактически не применяют пользовательскую политику конфиденциальности и безопасности, которую приняли многие страны как обязательный стандарт, подтверждающий прозрачность действий организаций, в рамках закона о персональных данных.
Вместо публичной политики конфиденциальности и безопасности предоставляется оферта (договор между юридическим лицом и клиентом), в котором отсутствуют положения о ключевых факторах сетевой безопасности пользователей электронного банкинга. Только некоторые банки говорят о гарантиях информационной безопасности клиентов.
Между тем, в исследовании «Лаборатории Касперского» (требуется авторизация 2021), заявляется, что в Центральной Азии банки являются основной мишенью хакерских атак в финансовом секторе.
Об этом эксперты лаборатории заявляли как в исследовании за 2021 год так и за 2022 год. Например, по их данным, банки региона находятся в первой десятке рейтинга самых уязвимых по атакам Malware (программа для несанкционированного доступа к ресурсам или к хранящимся данным).
Comparitech, цитируя лабораторию, приводит более детальные данные по уязвимости Таджикистана в секторе кибербезопасности.
Таджикистан лидирует в рейтинге самых подверженных атакам вредоносным ПО и фишингами среди 75 стран.
DoS, DDoS или по другому атака ботнетами являются типами атак, которые вызывают «отказ в обслуживании». По сути, это попытка причинить вред, сделав недоступной целевую систему посредством перегрузки работы системы для обычных конечных пользователей. Например, мишенями могут быть веб-сайт или приложение. Как правило такие атаки совершаются с целью вымогательства, или могут быть ширмой для более крупной атаки важных серверов. Причинами также могут быть нездоровая конкуренция или баловство начинающих хакеров. Атаку используют также и в политических вопросах. Прецедентами могут служить хакерские атаки во время конфликта России и Украины. Инструментами DoS и DDoS атаки являются компьютеры заражённые вирусами, например, посредством пиратского ПО Windows
Причиной уязвимостей на (D)DoS атаки со стороны банков может быть слабая конструкция самих реквизитов, уязвимый firewall и/ или фильтрация трафика электронных площадок.
При этом, Национальный банк Таджикистана старается контролировать данные процессы опираясь на международные протоколы безопасности, такие как ISO/IEC 27001 и COBIT.
Еще одним инструментом контролирующим систему безопасности электронного банкинга, являются и стандарты AppStore и Playmarket для приложений, которые выдвигают свои требования и которые включают в себя протоколы обработки данных пользователей и их безопасность.
Таджикские банки завершили 2022 год с высокой прибылью. Кто отличился больше всех?
Согласно их стандартам, политика безопасности и конфиденциальности должна быть обязательной для всех приложений размещающихся на этих площадках и доступны пользователям для ознакомления. Но зачастую они замещаются на входной странице пользовательской офертой.
Казалось бы данные требования должны обеспечивать безопасность, в случае возникновения инцидентов, и если все-таки утечка произойдет, сложно сказать, что банк с юридической точки зрения обеспечит безопасность своим пользователям.
Специалисты по ИБ утверждают, что в Таджикистане организации экономят на ресурсах для отделов ИБ, которым необходимы финансы для приобретения лицензий разных видов ПО.
В этой связи, по их мнению, сейчас полноценная система управления ИБ отсутствует во многих банках страны. Например, автору известен один популярный банк в Таджикистане, который вообще не имеет никаких средств защиты информации, кроме антивируса.
Дополнительной проблемой является и неосведомленность сотрудников по вопросам ИБ – по данным исследования Касперского, большинство (80%) успешных фишинговых и хакерских атак происходит в результате утечки данных внутри компании.
Информационная неграмотность потребителей банков
На низком уровне находится информационная грамотность потребителей банковских услуг. Подтверждением могут служить инциденты с держателями электронных реквизитов Dushanbe City. За последнее время в социальных сетях пользователи не раз жаловались на попытки фишинга.
Были случаи подделки кассы электронной оплаты "Спитаментбанка" и российской логистической системы СДЭК. Жертвами данных махинаций были владельцы домов, машин и других вещей на продажу, которые выставлялись на площадке somon.tj. Об объемах потерянных средств и жертвах хакеров не известно.
Ситуацию с клиентами DC, которые "теряли" деньги на своих картах и кошельках, сотрудники банка прокомментировали как:
«Деньги крадут с карты/кошелька по невнимательности самого клиента. Клиент сообщает мошенникам либо CVV код, либо отправляет код для входа в приложение. Очень часто родные и близкие самих клиентов пользуются невнимательностью держателя карты и также крадут деньги с карты».
Как можно урегулировать данную ситуацию?
Для того чтобы защитить сайты и приложения от атак, которые пытаются использовать уязвимость или подделать трафик межсайтовых запросов, можно улучшить качество фильтрации файрволла, настроив вход в систему под зону обслуживания конкретного банка.
Это как минимум сократит зараженный трафик, исходящий от неожиданных IP-адресов, то есть из регионов и стран откуда совершается вход. Но для этого необходимо получить поддержку непосредственных специалистов для изучения характеристик трафика и создания индивидуальной защиты.
Необходим протоколизированный контроль процессов банковских учреждений со стороны правительства и Нацбанка. На данный момент есть позитивные примеры контроля со стороны упомянутых учреждений в странах Центральной Азии. В Узбекистане ввели такую систему еще в 2006 году. Аналогичные документ были изданы правительствами Казахстана и Кыргызстана.
Заметим, что в частных беседах сотрудники Министерства промышленности Таджикистана рассказали автору, что работают над разработкой документа, который мог бы контролировать процесс обеспечения безопасности информации, как органов власти и учреждений, так и физических лиц.
Разработать положение Нацбанка для обеспечения информационной безопасности, в котором будут установлены минимальные требования для операторов платежных систем и поставщиков платежных услуг в платежных системах. Этот документ должен преследовать следующие цели:
– определение необходимых задач по обеспечению информационной безопасности информационных систем;
Доверие таджикистанцев к банкам хотят вернуть исламским банкингом
– разъяснение требований к операторам, необходимых для обеспечения информационной безопасности при вводе, обмене, обработке и хранении платежной информации в платежных системах;
– предотвращение несанкционированных изменений, утечек информации и других отрицательных воздействий на операторов платежных систем и поставщиков платежных услуг;
Данный документ может служить для разработки внутренних правил по обеспечению информационной безопасности.
В банках есть определенные структуры, которые являются наиболее критичными в плане обеспечения информационной безопасности. Можно сделать сегментации сети и применять наиболее жесткие меры ИБ именно для таких структур.
Также нужно работать над повышением уровня компетентности сотрудников банков. Одновременно нужно запускать долгосрочные компании по повышению информационной грамотности потребителей банковских услуг.
Этой весной оставайтесь с нами в Telegram, Facebook, Instagram, Яндекс.Дзен, OK и ВК
