Расчет рисков кибербезопасности в банках

Размещено на http://www.allbest.ru/

Введение

В последние несколько десятилетий новые технологии кардинально изменили мир вокруг нас, все больше цифровой мир поглощает материальный: документооборот стал безбумажным, билеты на транспорт сменили карточки, так и деньги - тоже становятся электронными. Сейчас кажется довольно странным получить зарплату или пенсию в наличном виде, POS-терминалы встречаются даже на рынках, а банкоматы всегда на расстоянии вытянутой руки.

Актуальность данной работы сложно недооценить, ведь сохранность банковских сбережений давно ушла от тех реалий, когда деньги находились в банковских ячейках или сберегательных книжках. Каждый владелец банковских карт так или иначе задумывается о безопасности своих средств и на это есть причина: с каждым днем злоумышленник придумывают все более изощренные способы заполучить секретные данные, которые дадут доступ к банковскому счету.

Данная работа будет рассматриваться с точки зрения внутреннего аудита банка и влияния контрольных процедур на информационную безопасность банка.

Цель данной работы - исследовать современные системы дистанционного банковского обслуживания с точки зрения угроз их безопасности и выработать мероприятия по снижению влияния данных угроз. дистанционный банковский безопасность угроза

Задачи данного исследования:

Описать основные банковские процессы;

Составить модель угроз и модель нарушителя информационной безопасности банка;

Выявить наиболее критичные угрозы;

Описать способы снижения влияния данных угроз.



Глава 1. Варианты дистанционного банковского обслуживания и риски, связанные с ними

В данной главе будут рассмотрены основные направления обслуживания банковских клиентов, а также виды угроз, с которыми они могут столкнуться.

1.1 Понятие дистанционного банковского обслуживания и проблем с ним связанных

Дистанционное банковское обслуживание (ДБО) представляет собой комплекс услуг, с помощью которых клиент, находясь вне пределов кредитной организации, обладает возможностью получать всю информацию о своих банковских счетах и совершать банковские операции.

Данное определение дает понимание, что грань между клиентами и банком фактически стирается, что создает простор для действий злоумышленников.

Классификация технологий дистанционного банковского обслуживания

Классификация по потребителю

Основные потребители услуг, обеспечиваемых ДБО - клиенты, разделенные на 2 части: розничные и корпоративные. Розничные клиенты - физические лица, корпоративные клиенты - юридические.

Соответственно, классифицировать технологии ДБО можно исходя из конечного потребителя:

1. розничный дистанционный банкинг (consumer-banking), ориентированный на обслуживание физических лиц;

2. корпоративный дистанционный банкинг (business-banking), ориентированный на обслуживание корпоративных клиентов (юридических лиц). [2]

Классификация по оператору предоставления услуг ДБО

Услуги дистанционного банкинга как в России, так и в остальном мире предоставляются не только банковскими организациями. Более того, мировой опыт показывает, что лидерами большинства проектов мобильного банкинга являются операторы сотовой связи, а не финансовые учреждения. В свою очередь это подтверждает и российский опыт в сфере так называемых «электронных денег» [3], а также в развитии сетей платежных терминалов, где лидерами выступают организации, не являющиеся банками. Хотя при этом и электронные деньги, и получение возможности проводить платежи через терминалы можно отнести к услугам дистанционного банкинга.

В этой связи дистанционное банковское обслуживание можно разделить по оператору предоставления услуг:

банковский дистанционный банкинг;

небанковский дистанционный банкинг;

классификация по характеру предоставления услуг.

В данной классификации выделяют 2 составляющие:

транзакционную;

информационную.

Первая возникает в том случае, когда услуга ведет к выполнению банковской транзакции. Полная схема транзакционного банкинга представлена на Рисунке 1.



Рисунок 1 - Транзакционный банкинг

Выделяют 4 способа предоставления транзакционного банкинга:

Телефонный банкинг - предоставление услуг банковским клиентам посредством телефонного звонка. Включает, как общение с оператором, так и получение услуг посредством, например, тонового набора, ведущего к выполнению транзакции.

Терминальный банкинг - один из самых популярных видов на сегодняшний день. На сегодняшний день сеть терминальных устройств самообслуживания в России перешагнула порог в 500 тыс. устройств, что позволило получать услуги даже там, где отсутствуют банковские отделения.

Удобство состоит в том, что идентификация клиента не является критерием предоставления услуги, а лишь сокращает количество доступных. Например, без идентификации по карте и PIN-коду возможно пополнение счета мобильного телефона или оплата квартиры по QR-коду.

Интернет-банкинг - это эволюция устаревшей системы банк-клиент, когда на компьютер клиента ставилось программное обеспечение, затем инициировалось соединение с банком и совершались операции, правда такая услуга была доступна только корпоративным клиентам.

В наше время интернет-банкинг работает на основе технологии тонкого клиента, т.е. любой человек может из любой точки мира, имея установленное приложение для связи с банком, получить услугу.

Мобильный банкинг - получение банковских услуг посредством технологий сотовой связи. Примером может служить информирование клиента посредством SMS-сообщения о состоянии расчетного счета.

Информационный дистанционный банкинг предоставляет клиентам финансовую информацию: выписки, последние операции, подключение услуг. Данный вид банкинга подразделяется по способам получения банковской услуги (Рисунок 2).

Рисунок 2 - Информационный банкинг

SMS - технология, позволяющая клиентам получать мгновенное информирование о совершенных операциях, а также возможно получение других информационных услуг, предусматривающих небольшой набор символов в сообщении.

E-mail. Посредством электронной почты стало возможным получать любые банковские информационные услуги, в том числе банковские выписки.

Интернет позволил наладить взаимодействие между банком и клиентом, не приходя в отделение. Стало возможно получать банковскую информацию посредством идентификации клиента с помощью логина и пароля.

Телефонный информационный банкинг также все еще очень популярен в силу его понятности и доступности для широких групп населения. С помощью звонка в колл-центр клиенты могут получить как общедоступную информацию об банке и банковских продуктах, так и персональную.

Бумажный документооборот между банком и клиент все еще остается очень востребованным в силу того, что многие учреждения требуют подтверждение банковской информации на бумажном носителе.

Наличие такого широкого спектра вариантов ДБО приводит к множеству проблем. Их можно в совокупности разделить между теми, что открыто влияют на кредитную организацию и теми, что оказывают негативное влияние на клиента.

Основными проблемами для банка в условиях ДБО:

снижение уровня надежности функционирования организации из-за неполного осознания существования новых источников и факторов угроз;

сложность реализации контроля над процессами ДБО при фактическом отсутствии методологии, описывающей их.

В свою очередь клиенты могут столкнуться с возможным ущербом, нанесенным со стороны как злоумышленника, так и со стороны банка или самого клиента при реализации неизвестных или не до конца изученных факторов банковских рисков, а также в силу незнания особенностей компьютерной защиты и отсутствия специальной квалификации.

В итоге, становится очевидным, что угрозы могут исходить от любой из сторон, участвующих в банковских процессах.

1.2 Информационный контур банковской деятельности. Группы источников рисков

В ходе эволюции банковского дела появились кардинальные изменения в самом предоставлении банковских услуг кредитных организаций клиентам: роли субъектов процесса сохраняются - отличие возникает лишь в том, что большая часть банковских услуг перешла в виртуальное пространство.

Данные изменения в достаточной мере расширили количество видов угроз и, как следствие, тот периметр, который необходимо защищать.

В целях недопущения реализации рисков кредитные организации вынуждены своевременно реагировать на изменяющуюся ситуацию и на постоянной основе инициировать процесс пересмотра подходов к управлению банковскими рисками из-за появления неизвестных угроз.

На Рисунке 3 отображена обобщенная схема, дающая представление об основных группах источников банковских рисков [4].

Рисунок 3 - Информационный контур банковской деятельности и факторы, влияющие на профили банковских рисков

Клиенты. Данная группа стала таковой лишь тогда, когда пользователь стал заниматься операционной деятельностью, тем самым, не имея должной квалификации, подвергает риску банк [5]. Именно поэтому многие организации страхуют себя от данного вида риска, прописывая отдельные пункты в договорах и вводя проверки на корректность данных. [6]

Сторонние организации. Представители данной группы находятся «в середине» вышеуказанной схемы и занимаются обслуживанием и поддержкой банковской деятельности в тех местах, где банку приходится пользоваться ресурсами третьих лиц. Сюда входят: провайдеры, операторы связи и другие организации, занимающиеся обеспечением информационной деятельности.

Банк - это много компонентная система, где связаны воедино разноплановые сферы деятельности, которые обслуживаются разными обеспечивающими предприятиями. Данный подход может вызывать серьезные риски для банка, например, риск простоя оборудования в случае прорыва магистрального кабеля провайдера или операционный риск, связанный с невыдачей клиенту чека банкоматом. Именно поэтому банки стараются заключать генеральные соглашения и крупные контракты с большими провайдерами, которые разделяют риски банка и дорожат репутацией.

Злоумышленники. В условиях развития систем ДБО становится все сложнее локализовать периметр, в котором можно ждать опасность извне и внутри банка.

Во-первых, это связано с тем, что внешние злоумышленники в условиях работы в открытых информационных системах, как показано на Рисунке 1 по универсальным протоколам, злоумышленники могут заранее подготовиться к своем деянию и не быть пойманными.

Во-вторых, существует внутренний риск - риск раскрытия инсайдерской информации. На сегодняшний день право на обладание информацией стало во многих случаях выше в цене, чем многие материальные вещи, ведь владение критичной информацией может принести как доходы одной организации, так и убытки другой.

1.3 Факторы, повышающие уровни банковских рисков в условиях ДБО

Данные факторы являются теми недостатками, с которыми приходится считаться банкам для успешной работы и минимизации потерь.

Виртуальный характер операций. Как уже говорилось, операции проводятся без участия операционного работника по каналам в сети Интернет;

Открытость телекоммуникационных систем. Данные проходят по открытым сетям, в большей степени в открытом виде, что создает риск перехвата «посередине» [7];

Высокая скорость выполнения транзакций. Данный фактор важен тем, что системы мониторинга в банках не успевают «вылавливать» подозрительные транзакции в силу огромного их количества.

Глобальный характер операционного взаимодействия. В силу распределённости банковских систем в географически, возникла возможность трансграничной передачи денежных средств, а значит и всей сопутствующей информации.

Участие сторонних компаний в банковском обслуживании. Данный фактор несет в себе во много большинство операционных рисков банка, связанных с приостановлением деятельности ввиду неполадок на стороне обслуживающих предприятий.

Возможность использования ДБО для противоправной деятельности. Создает репутационные риски и риски, связанные с привлечением к судебным тяжбам в случае выявления случаев противоправных действий со стороны клиентов.

Однако основным фактором, усугубляющим состояние безопасности электронных платежей, является в той информация, которую мы передаем при совершении транзакции. Если раньше, при проведении операций «оффлайн» от клиента просили только необходимые документы, то сейчас все данные передаются в едином пакете и, риск потери чувствительной информации многократно возрос.

Очевидно, что в условиях ДБО кредитным учреждениям необходимо внедрять системы, способные распознать личность клиента (идентифицировать), а также необходимо установить контроль над действиями, которые они совершают, таким образом снизив операционный риск на стороне клиента.

В свою очередь возможность обезопасить личные считать посредством аутентификации позволяет митигировать риск потери денежных средств клиентов, работающих по удаленному каналу.

Единственным способом снизить риск при передаче - устанавливать набор минимально необходимых данных под каждый из видов операций.



Глава 2. Процессы, обеспечивающие информационную безопасность банка

Цель системы обеспечения информационной безопасности - создание и постоянное соблюдение условий, при которых риски, связанные с нарушением безопасности информационных активов банка, постоянно контролируются и исключаются, либо находятся на допустимом уровне остаточного риска.

Процессы обеспечения информационной безопасности банка являются составной и неотъемлемой частью процессов управления информационными технологиями и сопутствующими операционными рисками и осуществляются на основе циклической модели PDCA (планирование - реализация - проверка - совершенствование). [8]

В данной главе будут описаны процессы, внедряемые банками для покрытия максимально возможного количества рисков. Каждый процесс будет представлен в виде SIPOC-диаграммы SIPOC [9] (акроним от англ. supplier, input, process, output, customer - поставщик, вход, процесс, выход, заказчик) - один из подходов, применяемых в целях управления производством и совершенствования бизнес-процессов. В этом подходе предполагается составить диаграмму бизнес-процесса, на которой указать связи от поставщиков (тех, кто предоставляет основные материалы, информацию или другие ресурсы для процесса), входы (то, что поставляется для процесса), собственно процессы (наборы операций, трансформирующих и добавляющих ценность ко входам), выходы (результаты процесса или продукт), заказчиков (тех, кто получает результат процесса или продукт).

2.1 Менеджмент информационной безопасности

Менеджмент информационной безопасности - непрерывный процесс сбора, мониторинга и анализа данных систем, обеспечивающих информационную безопасность. [10]

Система менеджмента информационной безопасности (Information security management system; ISMS) - часть общей системы менеджмента, основанная на использовании методов оценки бизнес-рисков для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения информационной безопасности. [10]

Организация должна разработать, внедрить, обеспечить функционирование, вести мониторинг, анализировать, поддерживать и непрерывно улучшать документированную СМИБ применительно ко всей деловой деятельности организации и рискам, с которыми она сталкивается. С учетом целей настоящего стандарта используемый процесс основан на применении модели PDCA, приведенной на Рисунке 4 [10]

Рисунок 4 -Модель PDCA для СМИБ

Данный процесс обеспечивается не только службой безопасности банка, но и работой руководства, службы внутреннего контроля, а также внешних контролирующих органов (Таблица 1).



Таблица 1 - Основные работы, проводимые в рамках процесса «Менеджмент информационной безопасности»

Поставщики	Входы	Выходы	Клиенты
Руководство банка, служба безопасности.	План мониторинга, Запланированные проверки по результатам мониторинга.	Документы, направленные руководству банка о предложениях в улучшении процессов ИБ; Внесение изменение в существующую нормативную документацию/написание новых документов; Реализованные компенсационные меры.	Руководство банка; Служба безопасности банка; Другие подразделения банка.
Руководство банка, служба внутреннего контроля.	План проверок деятельности банка.
Внешние контролирующие органы.	Акты проверок внешних контролирующих органов, службы внутреннего контроля, материалы внутренних проверок.

2.2 Взаимодействие с госорганами и регуляторами

Данный процесс связан с работой с государством и внешними контролирующими органами, осуществляющими лицензирование, аттестацию, аккредитацию банка для дальнейшей деятельности в установленном настоящим законодательством порядке.

Таблица 2 - Основные работы, проводимые в рамках процесса «Взаимодействие с госорганами и регуляторами»

Поставщики	Входы	Выходы	Клиенты
Минкомсвязи, Роскомнадзор, ФСБ России, ФСТЭК России, Прокуратура, Банк России, ФСО России, Руководство банка, Подразделения банка	Лицензионные требования	Лицензия ФСБ	Банк России; Национальный плтаженый совет; Руководство банка; Подразделения банка.
	Аккредитационные требования	Аттестат аккредитации УЦ
	Результаты проверок Роскомнадзора, службы внутреннего контроля, внутренних расследований	Предложения о проведении мероприятий, направленных на устранение нарушений, выявленных в ходе проверки Роскомнадзора
	Запрос на рассмотрение проектов законов	Заключение о предложении доработки нормативно-правовых документов
	Запрос на предоставление услуг Правительственной связи	Получение услуг Правительственной связи
	Запрос на вывоз криптосредств за рубеж	Разрешение ФСБ России и ФСТЭК России на вывоз СКЗИ за рубеж

2.3 Сопровождение криптоключей

Процесс сопровождения криптоключей осуществляется службой информационной безопасности банка и ставит перед собой задачи работы с криптоключами с целью поддержки банковских операций, а также операционной работы сотрудников банка.

Таблица 3 - Основные работы, проводимые в рамках процесса «Сопровождение криптоключей»

Поставщики	Входы	Выходы	Клиенты
Подразделения банка; Сотрудники банка	Заявка на регистрацию ключей	Зарегистрированные ключи
	Заявка на генерацию ключей	Сгенерированный ключ
	Наступление срока перегенерации таблиц ключевания	Обновленная ключевая таблица
	Заявка на подключение/отключение устройства самообслуживания или POS-терминала	Загрузка/блокировка ключей на устройстве самообслуживания или POS-терминале

2.4 Обеспечение антивирусной защиты

Процесс обеспечения антивирусной защиты представляет собой обширный спектр подпроцессов, в которых задействованы все без исключения сотрудники банка, а также вендоры.

Таблица 4 Основные работы, проводимые в рамках процесса «Обеспечение антивирусной защиты»

Поставщики	Входы	Выходы	Клиенты
Служба безопасности; Служба внутреннего контроля, другие подразделения банка; сотрудники банка	Материалы проверок, отчеты мониторинга автоматизированных систем,	Внутренние нормативные документы, схемы, указания по антивирусной безопасности,	Все подразделения банка
Поставщики антвирусного ПО	Информация от поставщика АВПО	Указание в подразделение Блока ИТ на загрузку, тестирование и тиражирование обновлений новых версий антивирусных баз	Подразделения Блока ИТ
Поставщики антвирусного ПО	Обновления антивирусного ПО	Установленное на рабочие станции сотрудников актуальное антивирусное программное обеспечение	Сотрудники банка
	Факты заражения неизвестным вирусом, информация о появлении нового вируса	Устраненный инцидент	Сотрудники банка



2.5 Обеспечение безопасности сети и информационных ресурсов банка

Организация регулярного автоматизированного контроля защищенности средств вычислительной техники, подключенных к сети банка, является обязательной составной частью процесса обеспечения защиты информационных ресурсов и автоматизированных систем банка от несанкционированного доступа. Результаты контроля позволяют объективно оценить имеющийся уровень защищенности этих объектов и принять необходимые меры для его приведения в соответствие с установленными требованиями. Однако использование инструментальных средств контроля предполагает их информационное взаимодействие с проверяемыми объектами, что создает риски появления нарушений или отклонений от режима штатного функционирования этих объектов.

Таблица 5 - Основные работы, проводимые в рамках процесса «Обеспечение безопасности сети и информационных ресурсов банка»

Поставщики	Входы	Выходы	Клиенты
Служба безопасности, служба внутреннего контроля, другие подразделения банка	Материалы проверок, служебных расследований, отчеты мониторинга автоматизированных систем	Внутренние нормативные документы, схемы, указания по безопасности сети	Подразделения банка-владельцы информационных ресурсов
Подразделения банка-владельцы информационных ресурсов	Информационные ресурсы	Отчет по результатам сканирования, выявленная уязвимость разработанные меры	Подразделения банка-владельцы информационных ресурсов Подразделения Блока ИТ
Сотрудники банка	Зарегистрированный запрос в системе регистрации заявок на обслуживание	Устраненный инцидент	Подразделения Блока ИТ



2.6 Противодействие мошенничеству в каналах обслуживания клиентов

Данный процесс описывает порядок взаимодействия подразделений банка при проведении мероприятий по противодействию хищениям денежных средств со счетов клиентов путем несанкционированного доступа к банковской информации.

Таблица 6 - Основные работы, проводимые в рамках процесса «Противодействие мошенничеству в каналах обслуживания клиентов»

Поставщики	Входы	Выходы	Клиенты
Служба безопасности, служба внутреннего контроля	Материалы проверок, служебных расследований	Внутренние нормативные документы, Распоряжения, Приказы и т.п.	Заинтересованные подразделения банка
Заинтересованные подразделения банка	Запрос экспертного заключения подозрительным операциям	Экспертное заключение по операциям, подозрительным на мошенничество	Заинтересованные подразделения банка
Подразделения-участники бизнес- процессов по предоставлению клиентам услуг через УКО	Транзакции по операциям клиентов (платежные, сессионные, справочные и т.д.)	Выявленные и отклоненные подозрительные транзакции	Заинтересованные подразделения банка
Заинтересованные подразделения банка	Выявленные подозрительные или мошеннические операции	Заблокированные скомпрометированные карты, счета, профили, идентификаторы	Правоохранительные органы



Глава 3. Расчет рисков кибербезопасности в банках

Модель угроз информационной безопасности применяется службой безопасности банка в целях:

проведения оценки и управления рисками информационной безопасности;

формирования необходимых и достаточных требований по безопасному применению информационных ресурсов, каналов, продуктов, услуг и сервисов, приложений и систем с учетом их функционала и особенностей;

разработки частных моделей угроз;

принятия решений по совершенствованию системы обеспечения информационной безопасности в банке;

формирования предложений для руководства банка по совершенствованию системы управления информационной безопасностью.

Модель угроз информационной безопасности:

представляет собой методику определения нарушителей и угроз, имеющих максимальный приоритет для обеспечения информационной безопасности;

включает в себя общий перечень нарушителей и угроз активам банка в киберпространстве;

определяет итоговый список максимально критичных угроз информационной безопасности для банка в защищаемом периметре и для клиентов банка;

Под нарушителем понимается источник угроз информационной безопасности - лицо или явление, в результате воздействия которого возможно нарушение конфиденциальности, целостности или доступности информации, и возникновение негативных последствий (ущерба).

Под угрозой в данной работе понимается совокупность условий и факторов, создающих опасность нарушения режима защищенности актива банка в киберпространстве.

Цели определения угроз информационной безопасности:

установление факта существования возможности нарушения конфиденциальности, целостности или доступности информации;

выявление методов и технологий, с помощью которых может быть реализована возможность нарушения состояния защищенности киберпространства;

определение конкретных требований к защите информации и создание адекватной системы защиты информации, обеспечивающей эффективное и своевременное выявление и нейтрализацию угроз безопасности информации, в результате реализации которых возможно наступление неприемлемых негативных последствий (ущерба).

Идентифицированные угрозы подлежат отнесению к одной из степеней критичности.

Угрозы информационной безопасности характеризуются:

источниками угроз;

факторами, обуславливающими возможность реализации угроз;

способами (методами) реализации угроз;

последствиями от реализации угроз.

Одной из составляющих процесса определения угроз является идентификация лиц или событий (явлений), в результате воздействия (наступления, возникновения) которых возможно нарушение состояния защищенности киберпространства, а также определение их потенциала.

Источники угроз могут быть следующих типов:

антропогенные источники (антропогенные угрозы, связанные с непосредственной деятельностью человека);

техногенные источники (техногенные угрозы, связанные с функционированием техники и технологий);

обстоятельства непреодолимой силы (стихийные бедствия и иные природные явления, изменения законодательства).

В качестве источников антропогенных угроз могут выступать:

лица, осуществляющие преднамеренные действия с целью доступа к информации (воздействия на информацию) или нарушения функционирования системы или обслуживающей инфраструктуры (преднамеренные угрозы);

лица, имеющие легальный доступ к системе, непреднамеренные действия которых приводят к нарушению безопасности информации (непреднамеренные угрозы).

При определении угроз информационной безопасности и степени их критичности, оценке подлежат угрозы, связанные со всеми типами источников. Однако в первую очередь следует уделять внимание оценке антропогенных угроз, связанных с несанкционированными (неправомерными) действиями по нарушению безопасности информации.

При определении угроз наряду с угрозами, реализация которых может привести непосредственно к нарушению безопасности информации (прямыми угрозами), необходимо выявлять и оценивать угрозы, создающие условия для реализации прямых угроз (косвенные угрозы).

Для идентификации угроз информационной безопасности определяются:

уязвимости, которые могут использоваться при реализации угроз безопасности информации (при этом для реализации одной угрозы может использоваться несколько уязвимостей);

способы (методы) реализации угроз;

объекты, на которые направлены угрозы;

возможности (потенциал), необходимые нарушителям для реализации угроз;

результат и последствия от реализации угроз безопасности.

Пересмотр общего перечня угроз, приведенного в Приложении 3 и переоценка их степени критичности осуществляется подразделениями безопасности на регулярной основе; внеплановый пересмотр возможен также в следующих случаях:

изменение требований законодательства Российской Федерации о защите информации, нормативных правовых актов и методических документов, регламентирующих защиту информации;

изменение конфигурации и особенностей функционирования автоматизированной системы, следствием которых стало возникновение новых угроз;

выявление уязвимостей, приводящих к возникновению новых угроз безопасности или повышению реализации существующих;

разработка новых и изменение существующих каналов, продуктов, услуг, сервисов;

появление сведений и фактов о новых возможностях нарушителей.

3.1 Модель нарушителя информационной безопасности

Составной частью Модели угроз является модель нарушителя, в которой содержится перечень нарушителей и оценка их потенциала.

Для формирования Общего перечня угроз (Приложение 3) сделаны следующие предположения (Таблица 7) о возможных целях (мотивации) реализации угроз:

Таблица 7 - Возможные цели нарушителей

Цель (мотивация) возможных нарушителей
Реализация угроз безопасности информации по идеологическим или политическим мотивам
Хищение денежных средств
Причинение имущественного ущерба путем мошенничества или иным преступным путем
Получение конкурентных преимуществ
Дискредитация или дестабилизация деятельности органов государственной власти, организаций
Любопытство или желание самореализации
Выявление уязвимостей с целью их дальнейшей продажи и получения финансовой выгоды
Реализация угроз безопасности информации из мести
Реализация угроз безопасности информации непреднамеренно из-за неосторожности или неквалифицированных действий

С учетом предположений о целях (мотивации) нарушителя по реализации угроз (Приложение 1), а также общего перечня нарушителей (Приложение 3), список характерных нарушителей следующий (Таблица 8):

Таблица 8 - Список характерных нарушителей

№	Характерные нарушители
Внешние нарушители
1.	Специальные службы иностранных государств (блоков государств)
2.	Террористические, экстремистские группировки
3.	Преступные группы (криминальные структуры, включая хакеров)
4.	Внешние субъекты (физические лица, включая хакеров)
5.	Конкурирующие организации
6.	Разработчики, производители, поставщики программных, технических и программно-технических средств
7.	Бывшие работники (пользователи)
8.	Аутсорсинговые компании, подрядчики и их сотрудники
Внутренние нарушители
8.	Лица, обеспечивающие функционирование информационных систем или обслуживающие инфраструктуру оператора (администрация, охрана, уборщики и т.д.)
9.	Пользователи
1	Администраторы систем и администраторы безопасности

Оценка потенциала характерных нарушителей (Таблица 9) определяется на основании указаний в Приложении 1:

Таблица 9 - Итоговая оценка потенциала характерных нарушителей

№	Потенциал	Вид нарушителей
1.	Высокий	Специальные службы иностранных государств (блоков государств); Террористические, экстремистские группировки; Преступные группы (криминальные структуры, включая хакеров); Администраторы систем и администраторы безопасности; Пользователи систем;
2.	Средний	Конкурирующие организации; Разработчики, производители, поставщики программных, технических и программно-технических средств; Администраторы систем и администраторы безопасности;
3.	Низкий	Внешние субъекты (физические лица, включая хакеров); Бывшие работники (пользователи); Лица, обеспечивающие функционирование информационных систем или обслуживающие инфраструктуру оператора (администрация, охрана, уборщики и т.д.); Лица, привлекаемые для установки, наладки, монтажа, пусконаладочных и иных видов работ.

3.2 Модель угроз кибербезопасности

Методика формирования Модели угроз информационной безопасности приведена в Приложении 2.

Для оценки степени критичности угрозы необходимо оценить:

вероятность ее реализации,

потенциал нарушителя, реализующего угрозу.

Решение о степени критичности угрозы безопасности информации принимается в соответствии с Приложением 2:

По каждой из идентифицированных угроз оценивается ее вероятность, потенциал нарушителя, реализующего угрозу, и как итог - степень критичности угрозы. Оценка критичности угроз из общего перечня Приложения 3, приведена в Приложении 4 настоящей работы.

3.3 Перечень критичных угроз

Из общего перечня угроз формируется перечень критичных угроз, которые должны быть блокированы в первую очередь при разработке (доработке) автоматизированных систем (угрозы, находящиеся в красной зоне - имеющие 4-5 баллов).

Для Общего перечня, приведенного в Приложении 3 сформирован следующий перечень критичных угроз:

Угрозы при обслуживании, хищение у клиентов (физических лиц):

Заражение вредоносным ПО (клиент);

Халатность клиента (социальная инженерия, разглашение или потеря аутентификационных данных);

Халатность сотрудников банка (некомпетентность в обслуживании);

Умышленные действия сотрудника банка;

Фишинг;

Угрозы при обслуживании, хищение у клиентов (юридических лиц):

Заражение вредоносным ПО (клиент);

Халатность сотрудника банка (некомпетентность в обслуживании);

Умышленные действия сотрудника банка;

Фишинг;

Подделка POS/E-POS терминалов;

Угрозы потери контроля над объектами сети (в т.ч. образование бот-сети):

Использование мощностей банка для атаки на клиентов;

Использование мощностей банка с целью получения доступов к информации внутри сети;

Угрозы полной/частичной потери или недоступности активов:

Заражение вредоносным ПО (инфраструктуры, АРМ, УС);

DoS/DDoS атаки;

APT атака;

Угрозы потери/недоступности данных банка при использовании облачных технологий:

DoS/DDoS атаки на провайдера;

Утечка конфиденциальной информации из-за некомпетентности (халатности) сотрудников:

Отправка по открытым каналам связи;

Компрометация учетных записей администраторов АС.

Влияние критичных угроз на аудит ИБ в банке

В широком смысле слова, аудит - это проверка организации на соответствие определенным критериям.

В случае, применимом к данной работе, будет рассматриваться влияние на аудит, который выступает 3-ей линией риск-менеджмента в области информационной безопасности:

1-ая линия: операционные работники банка;

2-ая линия: служба безопасности, в чьи задачи входит митигация уровня риска до приемлемого;

3-я линия: внутренний аудит, проверяющий деятельность 1-ой и 2-ой линии.

Учитывая, что что служба внутреннего аудита, как любая система, имеет свои ограничения в виде штатного количества сотрудников, внеплановых мероприятий, требуется разработка комплекса мероприятий, позволяющих осуществлять контроль независимо от внешних факторов.

Одним из таких методов контроля является автоматизированный метод контроля (далее - АМК), позволяющий на базе уже описанных в банке выявлять узкие места или нарушения установленных схем.

Разработка АМК для противодействия утечке конфиденциальной информации

Автоматизация процесса вынесения наказаний за отравку конфиденциальной информации за периметр банка

Процесс, описанный в п. 2.5 «Обеспечение безопасности сети и информационных ресурсов банка» предусматривает установку DLP систем для постоянного мониторинга за действиями пользователей при пересылке информации за внешний периметр.

Служба безопасности банка, в соответствии с цикло PDCA, описанном в Главе 2, постоянно обновляет правила, на основании которых ценные документы не могут уйти за периметр, однако злоумышленники всегда находят способ найти брешь в правилах DLP системы.

На сегодняшний день службы внутреннего аудита внедряют собственные методы постэмпирического анализа данных логов DLP систем.

Одним из примеров может служить использование данных о нарушивших сотрудниках для построения собственного регистратора нарушений.

Суть работы: каждый сотрудник имеет табельный номер, который также находится в базе данных логов DLP системы. В случае положительного срабатывания, сотрудник автоматически попадает в базу внутреннего аудита, где, в соответствии с утверждённой в банке матрицей кадровых решений, ему присваивается рекомендуемая мера взыскания. Далее информация направляется в отдел кадров, который оповещает руководителя подразделения нарушившего о факте совершения.

Такой процесс позволяет автоматизировать процесс вынесения наказаний и снизить временные и трудозатраты.

Автоматизация процесса вынесения наказаний за некорректное грифование документов

В настоящий момент в банках вместо устаревшего, материалоемкого бумажного документооборота повсеместно внедряется электронный.

Во внутренних нормативных документах банка, в соответствии с законодательством РФ [11], [12], [13], должен быть прописан порядок грифования документов с целью ограничения лиц, имеющий доступ к данному файлу.

Учитывая, что современное программное обеспечение не позволяет внедрять превентивные меры, способные остановить отправку документа с неверно поставленным грифом, обязанность за соблюдение правил грифования возлагается на инициатора отправки документа, а также на лицо, его утверждающее перед отправкой.

Современные достижения в области анализа текстов позволяют строить модели, способные с высокой точностью определить гриф документа на основании отличительных особенностях, находящихся в документе: сам гриф, текст.

Используя данные модели стало возможным сравнить выгрузку аз автоматизированной системы электронного документооборота, содержащую проставленные грифы с документами в них вложенными.

При несовпадении грифов информация о сотруднике попадает в базу данных внутреннего аудита внутреннего аудита, где, в соответствии с утверждённой в банке матрицей кадровых решений, ему присваивается рекомендуемая мера взыскания. Далее информация направляется в отдел кадров, который оповещает руководителя подразделения нарушившего о факте совершения.

Разработка АМК для противодействия компрометации учетных записей

Процесс, описанный в п. 2.5 «Обеспечение безопасности сети и информационных ресурсов банка» предусматривает возложить на службу безопасности и службу ИТ функционал по администрированию доступов к автоматизированным системам банка.

Учитывая рост количества различных автоматизированных систем, обеспечивающих различные области банковского бизнеса, становится все труднее отследить корректность выданных доступов, особенно в больших компаниях.

Одним из способов снизить количество несанкционированных доступов является внедрение групповых политик, описывающих каким группам сотрудников выдавать доступ к определенной системе. Однако халатность сотрудников, упомянутая в модели угроз (п. 3.3) позволяет злоумышленникам получать доступы к автоматизированным системам в обход групповых политик.

В целях снижения количества подобных нарушений, службами внутреннего аудита внедряются автоматизированные методы выявления отклонений в выдаче доступов (или незакрытии).

Суть работы: сотрудниками службы внутреннего аудита проводятся мероприятия по переведению ролевых моделей сотрудников различных подразделений из нормативных документов в вид, дающий возможность сравнить их с выгрузками из автоматизированной системе управления доступом.

При проведении контрольных мероприятий, у сотрудников ИТ-службы запрашивается выгрузка текущих доступов и сравнивается с «оцифрованной» ролевой моделью.

При несовпадении имеющегося доступа с прописанным в документах банка, сотруднику, выдавшему доступ, присваивается рекомендуемая мера взыскания. Далее информация направляется в отдел кадров, который оповещает руководителя подразделения нарушившего о факте совершения.

Практика использования фишинга для повышения уровня киберкультуры сотрудников банка

Фишинг - вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей -- логинам и паролям. [14]

В настоящее время фишинг подразумевает не только способ мошенничества, но и способ пентест-аудита, направленный на проверку собственных сотрудников готовности противостоять угрозам извне.

Одной из простейших форм реализации пентест-фишинга является письмо-рассылка, содержащая информацию, которая релевантна для всех сотрудников банка. В адресатах упомянута администрация банка, однако адрес подменен. Например, поздравление с новым годом, содержащее заманчивые ссылки, обещающее подарки и вознаграждения за проделанную в прошедшем году работу. При переходе по ссылке открывается окно авторизации, идентичное тому, в конторе сотрудник входит каждый день. В случае ввода сотрудником своего логина и пароля, данные передаются на сервер.

Сотрудники, которые не смогли успешно идентифицировать фишинговое письмо, получают ссылку на повторное обучение правилам кибербезопасности.

Разработка АМК для выявления излишнего ПО на рабочих местах и банкоматах

Данный метод позволяет снизить риск реализации большинства угроз, упомянутых в п. 3.3.

В настоящее время в банках внедряются специализированные реестры программного обеспечения, разрешенного к использованию. Однако существуют сотрудники с расширенными правами, имеющими возможность установки любых продуктов на свой компьютер, а также на банкомат, который по сути является тем же компьютером.

При наличии в банке продуктов для управления ИТ-инфраструктурой, например, Microsoft SCCM, становится возможно инвентаризировать файлы, находящиеся на устройствах.

Наличие этих двух факторов позволяет получить решение, способное выявлять запрещенные файлы.

Сформированный список данных файлов направляется в службу ИТ для дальнейшего удаления.



Заключение

Подводя итоги работы можно сформулировать следующие выводы:

В первой главе были введены основные теоретические аспекты дистанционного банковского обслуживание, а также рассмотрены факторы, приводящие к возникновению рисков для банка.

Вторая глава содержит основные процессы, обеспечивающие информационную безопасность банка на примере SIPOC-диаграмм.

В третьей главе и в приложениях произведена идентификация основных нарушителей и угроз в работе ДБО банка. Был проведена оценка угроз с целью выявления наиболее критичных.

В конце третьей главы были предложены предложения, направленные на совершенствование работы системы внутреннего контроля банка.

Цель данной выпускной квалификационной работы - исследовать современные системы дистанционного банковского обслуживания с точки зрения угроз их безопасности и выработать мероприятия по снижению влияния данных угроз - достигнута за счет предложенных методов.



Приложение 1

Общий перечень угроз для модели угроз ИБ

Угрозы при обслуживании, хищение у клиентов (физических лиц):

1. Заражение вредоносным ПО (клиент);

2. Заражение вредоносным ПО (банк);

3. Умышленные действия третьих лиц;

4. Халатность клиента (социальная инженерия, разглашение или потеря аутентификационных данных);

5. Халатность сотрудников банка (некомпетентность в обслуживании);

6. Умышленные действия сотрудника банка;

7. Фишинг;

8. Сбой в ПО на стороне банка;

9. Скимминг;

10. Замена (перевыпуск) SIM-карты;

11. Подбор кодового слова клиента (при подтверждении операций, замене SIM-карты и пр.);

Угрозы при обслуживании, хищение у клиентов (юридических лиц):

12. Заражение вредоносным ПО (клиент);

13. Заражение вредоносным ПО (банк);

14. Халатность сотрудника банка (некомпетентность в обслуживании);

15. Умышленные действия сотрудника банка;

16. Халатность сотрудника клиента-юридического лица (социальная инженерия, разглашение или потеря аутентификационных данных);

17. Умышленные действия на стороне клиента;

18. Фишинг;

19. Технологический сбой, простой на стороне клиента;

20. Сбой в ПО на стороне банка;

21. Скимминг;

22. Замена (перевыпуск) SIM-карты;

23. Подделка POS/E-POS терминалов;

24. Подбор кодового слова клиента (при подтверждении операций, замене SIM-карты и пр.);

Угрозы при использовании АС банка:

25. Заражение вредоносным ПО (банк);

26. Халатность сотрудника банка (нарушения требований ИБ);

27. Умышленные действия сотрудника банка;

28. Сбой в ПО на стороне банка;

29. Злонамеренные действия персонала с использованием избыточных полномочий (излишние операции, права свыше необходимых);

Угрозы потери контроля над объектами сети (в т.ч. образование бот-сети):

30. Использование мощностей банка для участия в спам-рассылке;

31. Использование мощностей банка для участия в DDoS-атаках;

32. Использование мощностей банка в качестве лаборатории;

33. Использование мощностей банка для атаки на клиентов;

34. Использование мощностей банка в качестве производственных мощностей;

35. Использование мощностей банка с целью получения доступов к информации внутри сети;

36. Использование мощностей банка для генерации крипто-валют;

Угрозы полной/частичной потери или недоступности активов

37. Заражение вредоносным ПО (инфраструктуры, АРМ, УС);

38. DoS/DDoS атаки;

39. APT атака;

40. Ошибки дежурных SOC при эксплуатации системы;

41. Ошибки ИТ и ИБ администраторов банка;

42. Умышленные действия сотрудников банка;

43. Ошибки в разработке ПО;

44. Ошибки ИТ-специалистов, привлеченных на договорной основе (аутсорсинг и т.п.);

45. Умышленные действия ИТ-специалистов, привлеченных на договорной основе (аутсорсинг и т.п.);

Угрозы потери/недоступности данных банка при использовании облачных технологий:

46. Заражение вредоносным ПО провайдера;

47. APT атака на провайдера;

48. DoS/DDoS атаки на провайдера;

49. Халатность сотрудников провайдера;

50. Умышленные действия сотрудников провайдера;

Угрозы утечки конфиденциальной информации из-за некомпетентности (халатности) сотрудников:

51. Отправка по открытым каналам связи;

52. Запись на материальный носитель;

53. Потеря носителя (флеш-карта, МУ, ноутбук и т.д.);

54. Некорректная установка грифа на документе;

55. Компрометация учетных записей администраторов АС;

Угрозы распространения конфиденциальной информации в Интернете:

56. Халатность сотрудников;

57. Умышленные действия сотрудников;

58. Умышленные действия 3-х лиц, имеющих доступ в сеть банка (аудиторы, ИТ-специалисты и т.п.);

59. Умышленные действия аутсорсеров и подрядчиков, получивших доступ к конфиденциальной информации;

Угрозы хищениия/модификациии конфиденциальной информации сотрудниками банка и третьими лицами:

60. Отправка по открытым каналам связи;

61. Запись на материальный носитель;

62. Некорректная установка грифа на документе (сотрудником банка);

63. Компрометация ЭП сотрудника;

Угрозы нанесения финансового ущерба вследствие скомпрометированной ЭП:

64. Халатность сотрудника банка (нарушения требований ИБ);

65. Умышленные действия сотрудника банка;

Угрозы несоблюдения регуляторных требований:

66. Несоответствие требованиям ЦБ;

67. Несоответствие требованиям PCI DSS;

68. Несоответствие требованиям законодательства в области защиты персональных данных;

69. Несоответствие требованиям регулятора при работе с СКЗИ;

70. Несоответствие требованиям регулятора при работе с ЭП и УЦ;

71. Некорректное предоставление отчетности;

72. Несоответствие правилам и программам соответствия платежных систем;

73. Штрафные санкции.



Приложение 2

Оценка критичности угроз, приведенных в общем перечне угроз для модели угроз ИБ

Угрозы при обслуживании, хищение у клиентов (физических лиц)

1. Заражение вредоносным ПО (клиент);

Вероятность реализации: 3 (очень высокая)

Потенциал нарушителя: 2 (высокий) Зона критичности: 5 (красная)

2. Заражение вредоносным ПО (банк);

Вероятность реализации: 1 (средняя)

Потенциал нарушителя: 2 (высокий) Зона критичности: 3 (желтая)

3. Умышленные действия третьих лиц;

Вероятность реализации: 3 (очень высокая)

Потенциал нарушителя: 0 (низкий) Зона критичности: 3 (желтая)

4. Халатность клиента (социальная инженерия, разглашение или потеря аутентификационных данных);

Вероятность реализации: 3 (очень высокая)

Потенциал нарушителя: 2 (высокий) Зона критичности: 5 (красная)

5. Халатность сотрудников банка (некомпетентность в обслуживании);

Вероятность реализации: 2 (высокая)

Потенциал нарушителя: 2 (высокий) Зона критичности: 4 (красная)

6. Умышленные действия сотрудника банка;

Вероятность реализации: 2 (высокая)

Потенциал нарушителя: 2 (средний) Зона критичности: 4 (красная)

7. Фишинг;

Вероятность реализации: 2 (высокая)

Потенциал нарушителя: 2 (высокий) Зона критичности: 4 (красная)

8. Сбой в ПО на стороне банка;

Вероятность реализации: 1 (средняя)

Потенциал нарушителя: 1 (средний) Зона критичности: 2 (желтая)

9. Скимминг;

Вероятность реализации: 1 (средняя)

Потенциал нарушителя: 2 (высокий) Зона критичности: 3 (желтая)

10. Замена (перевыпуск) SIM-карты;

Вероятность реализации: 1 (средняя)

Потенциал нарушителя: 2 (высокий) Зона критичности: 3 (желтая)

11. Подбор кодового слова клиента (при подтверждении операций, замене SIM-карты и пр.);

Вероятность реализации: 2 (высокая)

Потенциал нарушителя: 1 (средний) Зона критичности: 3 (желтая)

Угрозы при обслуживании, хищение у клиентов (юридических лиц);

12. Заражение вредоносным ПО (клиент);

Вероятность реализации: 3 (очень высокая)

Потенциал нарушителя: 2 (высокий) Зона критичности: 5 (красная)

13. Заражение вредоносным ПО (банк);

Вероятность реализации: 1 (средняя)

Потенциал нарушителя: 2 (высокий) Зона критичности: 3 (желтая)

14. Халатность сотрудника банка (некомпетентность в обслуживании);

Вероятность реализации: 2 (высокая)

Потенциал нарушителя: 2 (низкий) Зона критичности: 4 (красная)

15. Умышленные действия сотрудника банка;

Вероятность реализации: 2 (высокая)

Потенциал нарушителя: 2 (низкий) Зона критичности: 4 (красная)

16. Халатность сотрудника клиента-юридического лица (социальная инженерия, разглашение или потеря аутентификационных данных);

Вероятность реализации: 3 (очень высокая)

Потенциал нарушителя: 0 (низкий) Зона критичности: 3 (желтая)

17. Умышленные действия на стороне клиента;

Вероятность реализации: 1 (средняя)

Потенциал нарушителя: 0 (низкий) Зона критичности: 1 (зеленая)

18. Фишинг;

Вероятность реализации: 2 (высокая)

Потенциал нарушителя: 2 (высокий) Зона критичности: 4 (красная)

19. Технологический сбой, простой на стороне клиента;

Вероятность реализации: 1 (средняя)

Потенциал нарушителя: 1 (средний) Зона критичности: 2 (желтая)

20. Сбой в ПО на стороне банка;

Вероятность реализации: 1 (средняя)

Потенциал нарушителя: 1 (средний) Зона критичности: 2 (желтая)

21. Скимминг;

Вероятность реализации: 1 (средняя)

Потенциал нарушителя: 2 (высокий) Зона критичности: 3 (желтая)

22. Замена (перевыпуск) SIM-карты;

Вероятность реализации: 1 (средняя)

Потенциал нарушителя: 2 (высокий) Зона критичности: 3 (желтая)

23. Подделка POS/E-POS терминалов;

Вероятность реализации: 3 (очень высокая)

Потенциал нарушителя: 2 (высокий) Зона критичности: 5 (красная)

24. Подбор кодового слова клиента (при подтверждении операций, замене SIM-карты и пр.);

Вероятность реализации: 2 (высокая)

Потенциал нарушителя: 1 (средний) Зона критичности: 3 (желтая)

Угрозы при использовании АС банка

25. Заражение вредоносным ПО (банк);

Вероятность реализации: 1 (средняя)

Потенциал нарушителя: 2 (высокий) Зона критичности: 3 (желтая)

26. Халатность сотрудника банка (нарушения требований ИБ);

Вероятность реализации: 1 (средняя)

Потенциал нарушителя: 2 (высокий) Зона критичности: 3 (желтая)

27. Умышленные действия сотрудника банка;

Вероятность реализации: 1 (средняя)

Потенциал нарушителя: 2 (высокий) Зона критичности: 3 (желтая)

28. Сбой в ПО на стороне банка;

Вероятность реализации: 1 (средняя)

Потенциал нарушителя: 1 (средний) Зона критичности: 2 (желтая)

29. Злонамеренные действия персонала с использованием избыточных полномочий (излишние операции, права свыше необходимых);

Вероятность реализации: 1 (средняя)

Потенциал нарушителя: 2 (высокий) Зона критичности: 3 (желтая)

Угрозы потери контроля над объектами сети (в т.ч. образование бот-сети)

30. Использование мощностей банка для участия в спам-рассылке;

Вероятность реализации: 1 (средняя)

Потенциал нарушителя: 2 (высокий) Зона критичности: 3 (желтая)

31. Использование мощностей банка для участия в DDoS-атаках;

Вероятность реализации: 1 (средняя)

Потенциал нарушителя: 2 (высокий) Зона критичности: 3 (желтая)

32. Использование мощностей банка в качестве лаборатории;

Вероятность реализации: 0 (низкая)

Потенциал нарушителя: 2 (высокий) Зона критичности: 2 (желтая)

33. Использование мощностей банка для атаки на клиентов;

Вероятность реализации: 2 (высокая)

Потенциал нарушителя: 2 (высокий) Зона критичности: 4 (красная)

34. Использование мощностей банка в качестве производственных мощностей;

Вероятность реализации: 1 (средняя)

Потенциал нарушителя: 2 (высокий) Зона критичности: 3 (желтая)

35. Использование мощностей банка с целью получения доступов к информации внутри сети;

...