28 ноября в Москве прошла IV Международная конференция AntiFraud Russia 2013, посвященная борьбе с мошенничеством в сфере высоких технологий. Портал Банки.ру узнал, какие настроения царят в международных кругах борцов с технологичным фродом.
Как оказалось, степень «международности» мероприятия сильно преувеличена: единственный заявленный заграничный участник — глава европейского отделения PCI Council Джереми Кинг — приехать не смог. Впрочем, состав участников и без него был очень представителен: видные эксперты в области информационной безопасности, представители Банка России, разработчики разного рода банковского программного обеспечения и несколько сотрудников управления «К» МВД, занимающегося борьбой с преступлениями в Сети, во главе с начальником, генералом-майором полиции Алексеем Мошковым.
Конференцию открыл как раз генерал-майор Мошков. Он привел статистические данные, касающиеся отношения наших соотечественников к информационной безопасности. В частности, генерал-майор полиции поведал о том, что половина владельцев мобильных устройств напрочь игнорируют все ее базовые принципы. Многие легкомысленно относятся и к безопасности своих компьютеров: 28% пользователей не устанавливают никаких защитных программ. Это не стало сюрпризом для участников конференции — многие из них сталкиваются с последствиями такого отношения чуть ли не ежедневно.
Следом выступил начальник управления департамента национальной платежной системы Банка России Вадим Кузнецов. Озвученные им цифры не сколько пугали, сколько успокаивали: по его данным, из операций по пластиковым картам отечественных банков, выполненных на территории России, лишь 0,003% являются несанкционированными (фродовыми). За границей процент фрода чуть больше — 0,06% от операций с картами наших банков. По всей видимости, это обусловлено обналичиванием средств с карт, подвергшихся скиммингу в России, — по неписаному закону кардеров, дамп карты (содержимое ее магнитной ленты) перед снятием средств должен пересечь границу.
Кузнецов указал на несколько ключевых направлений борьбы Центробанка с технологичными мошенничествами. Это анализ угроз на основе изучения отчетности по инцидентам, повышение безопасности банкоматов и интернет-платежей с помощью современных средств защиты. Кузнецов также сообщил, что регулятор готовит предложения по изменению уголовного законодательства касательно фрода. Помимо этого, Центробанк планирует создать специальную систему по обмену данными о фродах и их исполнителях.
Последняя идея выглядит весьма перспективно — как правило, методики выполнения фродов повторяются из раза в раз. И в них нередко задействуются одни и те же люди. На профильных конференциях банкиры неоднократно жаловались на отсутствие подобной системы, но воз пока и ныне там. Отчасти ее появлению препятствует закон 152-ФЗ «О персональных данных», и если кто и сможет решить эту проблему, то именно Центробанк.
Президент некоммерческого партнерства «Национальный платежный совет» Алексей Саватюгин отметил, что главным препятствием на пути перехода к безналичным платежам является их незащищенность. По его словам, совет надеется на принятие в ходе весенней сессии Госдумы предложенных им поправок в 161-ФЗ. Эти поправки, по замыслу НПС, должны будут усилить контроль за недобросовестными пользователями платежных систем.
Отвлекшись от темы, Саватюгин попенял организаторам конференции за проверку документов — два дюжих охранника на входе пускали участников строго по списку и с предъявлением документа, удостоверяющего личность. «Спасибо за то, что мы чувствуем себя здесь защищенными, но необязательно пускать по паспорту на конференцию, направленную на защиту интересов миллионов людей», — заявил оратор, чем вызвал оживление в зале и натянутые улыбки у организаторов.
Генеральный директор Group IB Илья Сачков пришел на конференцию с крайне содержательным отчетом о деятельности компании на поприще информзащиты. Собравшиеся узнали, что 80% экспертиз для управления «К» МВД проводит именно Group IB, что определенно придает компании авторитета в отрасли. С ее помощью впервые в истории российского правосудия был осужден организатор DDoS-атаки Павел Врублевский, получивший за свое преступление 2,5 года колонии-поселения.
По словам Сачкова, Group IB наблюдает нисходящий тренд потерь от фрода: число зафиксированных мошенничеств с 2011 по 2012 год упало вдвое (данные за этот год пока не подсчитаны), потери от мошенничеств с интернет-банкингом снизились на 10%, а от прочих видов интернет-мошенничества — на 12%. В 2013 году появилась новая волна атак. Все чаще целью злоумышленников становятся брокерские системы, POS-терминалы, сайты банков. Даже рабочие компьютеры банковских операционистов подвергаются заражению, в 2013 году Group IB зафиксировала 23 таких случая. Это приносит мошенникам несравнимо больше денег, чем кражи со счетов физических лиц. Но и выполнить такую операцию сложнее, поэтому, по словам Ильи Сачкова, «все новые технологии, внедряющиеся в банкинге, крайне внимательно изучаются киберпреступниками».
Вместо не приехавшего Джереми Кинга выступил ассоциированный вице-президент MasterCard в России Евгений Болезин. Начав свой доклад с оправданий, что к нему не готовился и выступает лишь по просьбе организаторов, докладчик взял резкий старт и предъявил участникам кое-какую статистику. Из его презентации мы узнали, что наиболее часто атакуемыми элементами платежной инфраструктуры являются отнюдь не банкоматы (1%), а интернет-магазины (25%) и POS-терминалы (24%). Последние чаще не заражаются, что технически достаточно сложно выполнить, а просто подменяются — например, специально внедренным сотрудником. Когда вы платите в ресторане пластиковой картой, стоит учитывать, что принесенный официантом POS-терминал может быть фальшивым, деньги уйдут не ресторану и в объеме, изрядно превышающем сумму счета.
По данным MasterCard, в 67% случаев фрода причиной является отказ от двухфакторной аутентификации при удаленном доступе к системе, а еще 27% — различные программные уязвимости веб-приложений. «При этом общее количество мошенничеств в России с использованием платежной системы относительно невелико и в два-три раза ниже, чем в Европе, не говоря уже о США. Как шутим мы в MasterCard, «в России фрода нет», — добавил Евгений Болезин.
Сменивший его на сцене директор центра информационной безопасности «Инфосистемы Джет» Игорь Ляпунов сходу ошарашил публику неожиданным выбором темы своего доклада. Решив, видимо, что на конференции по борьбе с высокотехнологичными мошенничествами выступлением об информационной безопасности никого не удивишь, он рассказал о самых обычных внутренних мошенничествах — то есть о банальном воровстве сотрудников у собственной компании.
По всей видимости, для Ляпунова эта тема была наболевшей: с горечью он поведал, что за последние годы не потерял ни рубля с пластиковой карты, а вот двух сотрудников, пытавшихся обокрасть компанию, выгнать пришлось. За этим признанием последовал увлекательный рассказ о закупке полуторагодичного запаса моцареллы для казахстанской торговой сети и методах кражи топлива с нефтеперерабатывающего завода. Основная мысль доклада была проста: не столь важно, какими средствами защищается компания от воровства, главное — отсутствие «дырок» в бизнес-процессе, в которые могут бесконтрольно утекать финансовые потоки.
Следующий докладчик, руководитель отдела расследований компьютерных инцидентов «Лаборатории Касперского» Руслан Стоянов вернул конференцию в «высокотехнологичное» русло. По его оценкам, лицо киберпреступного бизнеса последние десять лет стремительно менялось. Если на заре цифрового бандитизма этим ремеслом занимались высококвалифицированные элитные хакеры, то в наше время возрастной порог вхождения в электронную мафию снизился до предела: «Неофиты киберкрайма начинают приобщаться к преступной деятельности с 12—13 лет. Начинается все с посещения форумов, где подробно описано, что, где и как надо использовать для получения криминального дохода. Дальше они скачивают публичный криминальный софт, начинают пользоваться криминальными сервисами и гарантами, а полученный доход вкладывается в платные инструменты, за счет чего преступные доходы растут».
В отличие от большинства других докладчиков, Стоянов не ограничился статистикой и выводами, высказав несколько предложений по борьбе с киберпреступностью. По его мнению, закрытие доступа к хакерским форумам поднимет ценз вхождения в эту среду, а перенос фокуса борьбы на хакерскую инфраструктуру и сервисы также затруднит деятельность неквалифицированных мошенников. «Хакерство должно вновь стать элитарным. Элите — большие сроки!» — призвал Стоянов. Для исполнения последнего пункта докладчик предложил модернизировать законодательство в сторону ужесточения.
После пленарного заседания пришло время круглого стола по теме «Как защитить интересы банков и клиентов в рамках законодательства о национальной платежной системе?». Вел его вице-президент НП «Национальный платежный совет» Тимур Аитов. Обсуждение вылилось в полуторачасовой «плач Ярославны» по девятой статье 161-ФЗ. Долгое время участники круглого стола (почти все — банкиры и руководители банковских служб безопасности) вспоминали, каким хорошим был 161-ФЗ когда-то, сетовали, как испортили его своими правками неустановленные группы лоббистов, и ругали Государственную думу за неумение принимать специальные законы. В итоге сошлись на том, что девятая статья закона полностью дефектная, но поделать с ней уже ничего нельзя, по крайней мере до весны.
Вскоре фокус обсуждения сместился с защиты интересов банков и клиентов на защиту интересов банков от клиентов. С большим вниманием был выслушан рассказ представителя PayPal в России Михаила Якушева о том, как платежная система защищается от фрода со стороны собственных клиентов. Утешить собравшихся ему было нечем — по его словам, все трансакции тщательно исследуются на предмет аномалий штатом из тысяч сотрудников, что обходится компании крайне недешево, но в конечном итоге окупается.
В завершение конференции одновременно в разных залах прошло несколько секций и круглых столов. Наиболее многообещающим показался круглый стол по теме «Безопасная разработка банковского ПО: есть ли панацея от мошенников?». Судя по составу участников, организаторы явно рассчитывали на более чем оживленную дискуссию: за одним столом собрались представители компаний — разработчиков банковского ПО, банкиры и эксперты по информационной безопасности. Вел круглый стол заместитель начальника Главного управления безопасности и защиты информации (ГУБЗИ) Банка России Артем Сычев.
С учетом того, что вступать в дискуссию могли не только непосредственные участники круглого стола, но и банкиры из зрительного зала, обстановка неизбежно должна была накалиться. Так и случилось. В свете ожидаемого радикального роста потерь от разного рода высокотехнологичных мошенничеств банкиры всерьез ополчились на разработчиков программного обеспечения. Суть обвинений состояла в том, что разработчики представляют заказчику «дырявый» софт, не заботясь о поиске и искоренении уязвимостей в продукте. А заказчик в дальнейшем вынужден дорабатывать уже внедренную и запущенную систему, подвергаясь риску финансовых потерь.
Обстановка стремительно накалялась, и круглый стол быстро превратился в подобие товарищеского суда. В роли главного обвинителя выступал генеральный директор компании Digital Security Илья Медведовский, «подсудимыми» стали Рустэм Хайретдинов — генеральный директор Appercut, Станислав Шилов — директор по продажам компании «Бифит» и Андрей Бешков — руководитель программы информационной безопасности Microsoft Russia.
Прозвучали резкие высказывания. В ходе дискуссии Илья Медведовский заявил: «Мы с разработчиками на разных планетах. Разработчики могут говорить что угодно, но ситуация катастрофическая — безопасности просто нет. Очень много дыр». По его мнению, единственным выходом из ситуации для банкиров является самостоятельное тестирование продуктов с помощью наемных тестировщиков с последующей доработкой за счет разработчика. Правда, как отметил Медведовский, это не системное решение: поскольку банковское ПО зачастую индивидуально подгоняется под конкретного заказчика, патчи (информация для автоматизированного внесения определенных изменений в компьютерные файлы. — Прим. ред.) от одной версии не подойдут к другой.
Станислав Шилов парировал нападки стройными цифрами. По его данным, на 300 клиентов, закупивших комплекс ДБО, выпускаемый его компанией, зафиксировано лишь семь обращений с проблемами, выявленными при тестировании. При этом все обнаруженные уязвимости, при ближайшем рассмотрении, заключались в неверной конфигурации инфраструктуры — сети и серверов клиента.
Представитель Microsoft внезапно также обрушился на разработчиков с резкой критикой. По словам Андрея Бешкова, «софт пишут люди, и как все другие люди, они делают ошибки и не хотят их признавать. Разработчикам не интересно искать дыры, им интересно сделать быстро, у них нет мотивации делать защищенный продукт». На это ему заметили, что родоначальником традиции поставлять программный продукт As Is («как есть») является именно Microsoft и именно эта компания приучила всех, что разработчик за качество продукта не отвечает.
В этот момент ведущий снизил градус дискуссии, подняв тему дефицита в России грамотных специалистов — программистов и аудиторов ПО. Эта тема была близка всем. Дмитрий Левиев, эксперт Академии информационных систем, отметил, что сейчас «идет хорошая волна талантливой молодежи». Да вот беда — они все хотят быстро увидеть результат своей работы (и быстро получить деньги), а для разработки ПО это нехарактерно, зато очень характерно для работы хакера. Получается, что в настоящее время вузы куют кадры скорее для хакерских объединений, чем для компаний — разработчиков программного обеспечения. Шутка Шилова о том, что Министерство обороны поможет решить проблему волны молодых потенциальных хакеров, разрядила обстановку, и дискуссия перешла к завершающему вопросу — кто же все-таки должен отвечать за качество выпускаемого банковского ПО.
Мнения всех высказывавшихся по этому вопросу сводились к одному: аудит стоит денег, никто добровольно его делать не захочет, и потому отрасль нуждается в традиционном стимуле со стороны регулятора — Банка России. В своем завершающем слове представитель регулятора отверг эти предложения, заявив, что «Центробанк не может, не должен и не является регулятором разработчиков ПО. Введение обязательной сертификации банковского ПО очень плохо скажется на бизнесе, так как сроки, в которые государственные структуры, такие как ФСБ и Федеральная служба по техническому и экспортному контролю, выполняют такого рода сертификацию, крайне продолжительны». По его мнению, оказывать давление на разработчиков должны банки, причем не сами по себе, а их объединения. А дело регулятора — только давать рекомендации.
Михаил ДЬЯКОВ,
Лучшие новости сегодня
Вы искали сегодня
Другие новости сегодня
В России существует два вида медицинского страхования — обязательное (ОМС) и добровольное (ДМС). В публикации Банки эксперты рассказали об особенностях каждого из полисов. «Полис ОМС может получить каждый...
Российская валюта резко подешевела. Официальный курс доллара, установленный Центробанком на 23 ноября 2024 года, составляет 102,5761 рубля (прежнее значение — 100,6798 рубля), официальный курс евро — 107,4252...
Российская валюта резко подешевела. Официальный курс доллара, установленный Центробанком на 24 ноября 2024 года, составляет 102,5761 рубля (прежнее значение — 100,6798 рубля), официальный курс евро — 107,4252...
Модульбанк расширил список маркетплейсов, партнеры которых имеют возможность подключить специальные условия обслуживания и выводить выручку без комиссии и лимитов. Теперь в этом списке значатся Wildberries, Ozon,...
Девальвация рубля в октябре оказалась значительнее, чем ожидалось: российская валюта ослабла к доллару еще на 4%, а к юаню — на 3%. По мнению аналитиков инвестиционного Банка Синара, к началу 2025 года ожидается...
Российский рубль опустился к доллару США и укрепился к евро. Официальный курс доллара, установленный Центробанком на 8 ноября 2024 года, составляет 98,0726 рубля (прежнее значение — 98,2236 рубля), официальный...
«Наши задачи» - предоставлять самую оперативную, достоверную и подробную информацию по банковскому рынку; - помогать клиентам в выборе самых выгодных банковских продуктов; - способствовать банкам в поиске качественных клиентов; - налаживать общение между банками и их клиентами.
В России существует два вида медицинского страхования — обязательное (ОМС) и
Подробнее Российская валюта резко подешевела. Официальный курс доллара, установленный
Подробнее Российская валюта резко подешевела. Официальный курс доллара, установленный
ПодробнееУправление напомнило, какие граждане имеют право на льготы на всей территории
ПодробнееДепутаты Госдумы рассмотрят предложение о снижении срока владения недвижимостью
ПодробнееЦентробанк установил курс доллара к рублю, который вступит в силу с 20 ноября,
ПодробнееЭкономика сегодня
В России существует два вида медицинского страхования — обязательное (ОМС) и добровольное (ДМС). В публикации Банки эксперты рассказали об особенностях каждого из полисов. «Полис ОМС может получить каждый...
Подробнее Российская валюта резко подешевела. Официальный курс доллара, установленный Центробанком на 23 ноября 2024 года, составляет 102,5761 рубля (прежнее значение — 100,6798 рубля), официальный курс евро — 107,4252...
Подробнее Российская валюта резко подешевела. Официальный курс доллара, установленный Центробанком на 24 ноября 2024 года, составляет 102,5761 рубля (прежнее значение — 100,6798 рубля), официальный курс евро — 107,4252...
Подробнее Модульбанк расширил список маркетплейсов, партнеры которых имеют возможность подключить специальные условия обслуживания и выводить выручку без комиссии и лимитов. Теперь в этом списке значатся Wildberries, Ozon,...
Подробнее Девальвация рубля в октябре оказалась значительнее, чем ожидалось: российская валюта ослабла к доллару еще на 4%, а к юаню — на 3%. По мнению аналитиков инвестиционного Банка Синара, к началу 2025 года ожидается...
Подробнее Российский рубль опустился к доллару США и укрепился к евро. Официальный курс доллара, установленный Центробанком на 8 ноября 2024 года, составляет 98,0726 рубля (прежнее значение — 98,2236 рубля), официальный...
Подробнее
Комментарии (0)