Zip File, мамкины хаЦкеры. В прошлом видео мы говорили про особенности инфраструктуры с открытым ключом (PKI), а также коснулись вопросов нормативного регулирования криптографии. Сегодня, мне бы хотелось рассказать вам про реальные инфраструктурные объекты, где вся эта криптографическая история действительно применяется и работает. Как вы уже поняли из названия ролика, речь пойдёт о финансовых организациях и информационной безопасности внутри них. Поговорим о разнице наличных и безналичных расчётов. Рассмотрим существующие платёжные операции и основные угрозы при их совершении, а также познакомимся с тем, как технически устроены банковские системы. Если вам, как и мне, интересна данная тема, учитывая, что финансовые организации это одни из самых крупных потребителей специалистов по информационной безопасности, тогда устраивайтесь по удобней и будем начинать.

Согласно 86-ФЗ РФ, финансовыми организациями являются организации, подотчетные Центральному Банку России. И такие организации традиционно представляют собой лакомый кусочек для злоумышленников.

К таким организациям относятся не только привычные банки, но и инвестиционные фонды, страховые компании, биржи, частные пенсионные фонды другие микро-шараги, так или иначе связанные с деньгами.

Благо в нашей стране данная отрасль является одной из самых зарегулированных и ЦБ очень строго следит за работой своих подопечных периодически отзывая лицензии у наиболее слабых игроков рынка.

При этом государство параллельно стремится сократить количество наличных денег, потому что они не подконтрольные для фискальных органов. А большой брат хочет контролировать все транзакции между батарейками системы.

Ладно. Эт всё лирика. Нам же на начальном этапе важно разобраться, как работает финансовая система в банках и страховых компаниях. Передача платежей между банками происходят следующим образом.

Есть первый клиент с расчётным счётом в определённом банке. И у этого банка есть БИК. Это, по сути, айдишник, по которому его идентифицирует центробанк. Последний хранит базу кореспонденстких счетов разных банков.

Да, конечно, второй банк может хостить у себя и счёт первого для прямой передачи, но в общей схеме первый отправляет платёжное поручение в центр, а из него в свою очередь платёж по цепочке уходит к клиенту.

По данным исследования Positive Technologies. Надеюсь, вы в курсе за этих ребят. Хакерам требуется от 2 до 5 дней на проникновение во внутреннюю сеть российского банка, чтобы получить контроль над инфраструктурой.

А способствуют этому простые пароли у сотрудников в стиле 123456, различные уязвимости в мобильных и веб-приложений, фишинг, ну и в редких случаях атаки через клиентов.

Тем не менее, банки в России - одни из самых надежных и прогрессивных. В том числе благодаря своей мощной IT-составляющей, состоящей из опытных программистов, которые пишут код на самых современных языках. Таких как C#, Ява и Python.

Последний входит в число самых популярных языков программирования в мире. Его часто выбирают первым для обучения из-за простоты синтаксиса и широты применения.

Python используется в Дата сайнс, встроенных системах, создании десктопных программ и мобильной разработке. Но, конечно, одно из главных его применений — это веб.

За счет своей гибкости и простоты, это идеальный язык для работы с бэкендом веб-приложений: от сырёхоньких прототипов до масштабируемых проектов – порталов, веб-сервисов и целых интернет-магазинов.

Если вы хотите научиться не просто писать простенькие скрипты, а постичь все премудрости веб-программирования на Питоне, рекомендую профессию “Python-разработчик” в Хéкслете.

С самого начала вы будете учиться правильным инженерным практикам. Изучите Python в связке с Django, HTML и CSS. Разберётесь с алгоритмами и структурами данных, освоите сопутствующие инструменты.  а также принцип работы с архитектурой и базами данных.

Здесь вас ждет очень много практики: несколько сотен заданий в онлайн-тренажере, проекты для портфолио на GitHub, собственные Open Source проекты Хекслета, где можно получить ценный продакшен-опыт, а также тестовые задания от партнёров, чтобы подготовиться к собеседованиям после обучения.

Работодатели, знакомые с уровнем подготовки здешних выпускников, указывают курсы Хéкслета, как преимущество при найме. А самые успешные из студентов получают козырный оффер еще во время учёбы.

В общем, если вы всё ещё думаете, с чего стартовать в разработке и где учиться, welcome в Хекслет. Ссылка на профессию “Python-разработчик” в описании или переходите по QR коду на экране. 

Кстати, начать обучение можно прямо сейчас! После регистрации на платформе вам откроются 5 бесплатных уроков профессии - изучайте, тестируйте, пробуйте писать код. Если понравится, оплачивайте обучение в группе или персонально.

Переходите, записывайтесь и когда отучитесь, обязательно напишите в комментах под этим видео, понравился вам процесс или нет.

Платёжные операции и основные угрозы

Типичный банкомат – это устройство, подключенное к интернету. С сетью банка он соединяется через защищённый канал. Т.к., по сути, это обычный комп – его можно случайно или намеренно вывести из режима киоска.

Подключиться к жёсткому диски и загрузиться в нештатном режиме. Раньше была ещё актуально тема с картридерами. Но её со временем победили. Физический взлом банкомата. Тут думаю понятно.

Как говорится, против лома нет приёма. Во всяком случае пока не придумали. Ну и моё любимое. Интеллектуальные атаки посредством воздействия на сетевые устройства и трафик. Последний само-собой следует шифровать. Если, конечно, хотите сберечь денежки ваших клиентов.

Которые находятся на картах, выпущенных ваших банком-эмитентом. На этой же карте клиенты видят название платёжной системы. В РФ на сегодняшний день актуален конечно же МИР.

К слову, акционером этой истории по большей части является государство. Что, впрочем, неудивительно. В случае, если вы используете банкомат не своего банка, вас обслужит не эмитент, а эквайер, который с большой долей вероятности может содрать с вас процент за использование его ресурсами.

Если, конечно, это не POS-терминал, которым вы пользуетесь в близжайшей пятёрочке. POS процент не возьмёт. Но и денежку кэшем вам выдать не сможет. Только забрать то, что уже есть на вашем несчастном пластике. Схематически эта история выглядит как-то так.

Основные угрозы при оплате оффлайн это в первую очередь кража данных. Сейчас уже преимущественно посредством бесконтактного способа. Также бывает ещё встречаются фейковые и заражённые POS-терминалы.

Ну и конечно никто не застрахован от серии одинаковых транзакций со стороны хитропопых официантов, которые просто проводят вашей картой не один, а несколько раз, когда вы пьянющий в щщи расплачиваетесь в клубешнике за вискарь.

Хотя, даже платя в онлайне, можно нарваться на мошенников. Тут вам и фейковые сайты, где мошенники подставляют свой счёт, на который осуществляется перевод или просто введённые вами данные улетают в базу лохов.

И редиректы на левые платёжные системы на коленке написанные. И так называемый «Обратный перевод», когда вам якобы прилетает смс с зачислением, а затем мошенник просит вернуть ему деньги обратно.

Хотя и ежу понятно, что на самом деле денежки вам просто так по ошибке никто не зачислит. Короче способов облапошить злоумышленники придумали немало. Однако ж банки тоже не промах.

Создали ассоциацию рынка платёжных карт и ввели обязательные стандарты, базируясь на которых банки проходят обязательную процедуру сертификации и получают оценку на соответствие стандарту PСI DSS.

Всё это вы можете наблюдать ежедневно, в момент пользованием приложения своего банка. Тут вам и регистрация, и авторизация и подтверждение каждой транзакции.

Само собой весь обмен происходит через зашифрованный канал, а само приложение перед запуском тщательно проверяется в рамках дистанционного банковского обслуживания.

Качественное ДБО позволяет защитить вас различного рода атак на мобильный банкинг. В том числе от фишинга, хакинга, взломов шифрования и прочих мало приятных вещей.

Техническое устройство банковских систем

Схематически любой банк, а вернее его айтишная составляющая работает следующим образом. Схема, конечно, очень упрощена, но для общего понимания ситуации подходит вполне.

Самое основное, что есть внутри банка это секция, отвечающая за обеспечение платежей. Про ДБО (дистанционное банковское обслуживание) я уже рассказывал ранее. АБС – это автоматизированная банковская система.

По сути, это сердце нашего банка, состоящее из множества подсистем. Учётного ядра, схемы обслуживания клиентов, расчётной деятельности, различной отчётности и межбанковского кредитования вкупе с депозитами.

На слайде представлена схема работы одной из наиболее популярных АБС-систем. Видим, что тут помимо того, что всё максимально функционально, так ещё и надёжно защищено, как внутри системы, так и снаружи.

Помимо АБСки, есть ещё такая история, как процессинг платёжных карт. Применяется, когда банк работает напрямую с платёжными системами и ему требуется запрашивать информацию о шлюзах платёжных карт.

Ну и если говорить о российском банковском секторе, нельзя не упомянуть, так называемое Автоматизированное рабочее место клиента банка россии. С АРМом, к слову, она сходство имеет разве что номинальное.

В реальной же жизни эта система нужна для того, чтобы забирать из АБСки данные о платежах и осуществлять обмен с центробанком через универсальный транспортный адаптер.

Кстати, для взаимодействия с последним, банки, до сих пор применяют минимум 3 резервных способа связи. Курьерский, посредством модема и через специальную выделенную связь.

Ладненько. Давайте переходить к синему столбцу, в котором у нас перечислены шлюзы доступа. Таковые нужны, как минимум, для офисов и банкоматов.

Если банк прогрессивный, то у него обязательно есть официальный сайт и приложение, а значит не обойтись без шлюза ДБО. Помимо этого, есть ещё специальный шлюз сервисов ЦБ РФ.

Он используется для синхронизации БИКов, различных справочников, курсов валют и другой инфы, которая актуализируется на стороне центробанка. Про шлюзы платёжных систем, я уже говорил.

А шлюза партнёров и экосистемы могут позволить себе разве что очень крупные банки. Я вообще адекватной экухи ни от кого, кроме как от Сбера на память даже не вспомню.

Ладненько. Про АБС вроде всё что знал рассказал. Теперь давайте поговорим про единую биометрическую систему. Такая система собирает с вас данные голоса, фото, отпечатки и затем позволяет подтверждать удалённо определённые юридически значимые операции.

Лично я сдавал биометрию, когда брал первую ипотеку и в те времена особо про желания клиента речь как-то не шла. Достают вебку, фоткают, просят сказать цифры от одного до девяти и всё. Ты, что называется прочипирован.

Начиная с 21 года ЕБС получила статус государственной и постепенно активно выходит за пределы банковского сектора. Авторизация по FaceID в метро, FanID у футбольных фанатов и прочие популярные истории яркий тому пример.

В данный момент многие вопросы безопасности биометрии остаются открытыми. Во-первых, во всех соглашениях чётко прописан полный отказ от ответственности за принятие решений, принятых на основе БД.

Во-вторых, очень часто эти данные плохо охраняются и с завидной периодичностью утекают в руки нехороших людей. А биометрия это сами понимаете, не пароль. Сетчатку глаза или голос вы быстро не поменяете.

Третья проблема заключается в том, что никаких научно-обоснованных тестов, по крайней мере открытых, на тему погрешности биометрии пока не представлено.

Соответственно раз тестов и законодательной базы особо нет, то направление создания дипфейков на этой почве процветает весьма плодотворно. И оспорить в суде это дело на практике практически нереально, даже если у вас будут свидетели того, что в день Х вы даже телефон в руки не брали.

ЦБ каждые 3 года публикует стратегии развития. И в принципе по части ИБ в этой стратегии всегда прослеживаются весьма путные нововведения. Так в 19м году они топили за то, чтобы повсеместно внедрили облачные квалифицированные подписи.

Социальную инженерию правда не победили. Но это скорее заслуга хаЦкеров, и наивного населения с терпильным менталитетом, нежели недоработка со стороны банков.

Ну и самое классное, что финансовые экосистемы стали приоритетным направлением. Появилось подобие общей технической базы для всех продуктов, единая идентификация для клиента, бесшовный обмен и принцип «одного окна», которые впоследствии стал стандартом дефакто.

Основные векторы атак на банки

Из года в год наиболее существенные потери в финансовом секторе это финансовые. Периодически хаЦкеры даже воруют деньги напрямую с кор.счетов в центробанке.

Так что если вы задействуя связи мамы и папы попадёте в службу ИБ популярного банка, будьте готовы столкнуться с атаками на клиентов, внешними атаками на банкоматы.

С внутренними злоумышленниками, устроившимися под видом добросовестных сотрудников. С отмыванием доходов и даже с финансированием терроризма.

Защититься от всего этого мракобесия можно только грамотно выстроив систему защиты. А она зиждется на трёх базовых элементах: описании рисков и моделировании угроз.

Экспертном видении и лучших практиках. Ну и, конечно же, беспрекословном выполнении требований текущего законодательства. Если пренебречь хотя бы одним из пунктов, можно попасть в ситуацию, когда последствия от реализованной угрозы будут фатальны.

Операционная деятельность полностью остановится. Или капитал будет потерян и банк останется по итогу банкротом. А могут и вовсе лицензию с аккредитацией отозвать.

И самое грустно, что какого-то типового решения, подходящего всем финансовым учреждениям в секторе пока не придумали. Ибо всё очень тесно завязано на специфике и объёме обрабатываемых операций.

Особенности законодательства в банковской ИБ

Процесс построения защиты в банках во многом схож по составу мер с ГИС и  ИСПДн. И не соблюдать требования по построению процессов и соблюдения защитных мер из списка банкам ЦБ не позволит ни при каких обстоятельствах.

Помимо основных федеральных законов для ИБ, таких как 149, 152, 187 ФЗ для банков есть ещё ряд своих узкоспециализированных законов. О банке, о НПФ, ПДн, БКИИ, ЭП и т.д.

Из этих законов ещё вытекают определённые постановления. А ведь есть ещё и нормативка центрального банка, которую хочешь не хочешь, а выполнять тоже надо.

В случае если банк не под санкциями и при этом хочет принимать участие в международных операциях, вот вам ещё ворох дополнительных требований. И до кучи НПА со стороны ФСТЭКа и ФСБ, чтобы не расслаблялись.

ГОСТ 57580.1 17го года на сегодняшний день является по сути настольной книгой для банковских безопасников, т.к. на него ссылаются и в 683, и в 719 положении.

Структурно эта история похожа на 17 и 21 приказ ФСТЭКа. Про них я кстати тоже делал отдельный выпуск, так что если ещё не смотрели – то обязательно ознакомьтесь.

К крупным банкам приходят практически все возможные регуляторы, но основным всё-таки остаётся ЦБ за счёт монополии на выдачу лицензии. Именно ЦБ в теории отвечает за согласование требований по информационной безопасности со ФСТЭКом и ФСБ.

Это конечно не всегда так. Вернее, практически никогда не так, но тем не менее. Помимо прочего палки в колёса банкам регулярно вставляет роскомнадзор, финмониторинг, минэкономразвитие и прочие окологосударственные товарищи.

Также отдельно нельзя не упомянуть ФинЦЕРТ. Это отдельная структура в ЦБ, которая уполномочена помогать в области информационной безопасности и антифрода.

Все банки в добровольно-принудительном порядке обязаны подключаться к ФинЦЕРТу, чтобы вовремя сообщать о мошенниках, получать полезную рассылку и иметь возможность привлечь службу ФинЦЕРТа в качестве помощника при решении инцидентов.

В целом, если подытожить, в части ИБ ЦБ смотрит на любые операции проводимые без согласия, на фишинговые активности, подключение к антифро-системам и ФинЦЕРТу, киберриски, организацию СОИБ и огромную кучу отчётности.

Страховые компании

Согласно 32 статье закона об организации страхования, к последнему в России относится: страхование жизни, пенсионное страхование, страховка от несчастных случаев и болезней, медицинское обслуживание, а также страхование транспорта, грузов и вообще всего до чего может дотронуться рука человека.

Сам процесс страхования выглядит следующим образом. Вы приходите в страховую компанию и выбираете объект для страховки. Данный объект оценивается и выставляется сумма страховой премии и условия выплаты.

На основании этой истории выписывается полис и при наступлении страхового случая, после расследования принимается решение о выплате или что бывает гораздо чаще, не выплате, возмещения по страховке.

Страховые компании, как и банки, периодически сталкиваются с атаками на клиентов, внешними и внутренними угрозами, клиентским фродом, манипуляциями системами и прочими не очень приятными штуками.

Именно из-за различных внутренних головняков, деятельность страховых компаний гораздо конфликтнее банковской сферы. Но на законодательном уровне технически требования к обеим сферам очень похожи.

Можете сами ознакомиться с 757 положением Банка России. Оно практически слово в слово повторяет банковский 683 приказ. Схематически работа инстраструктуры страховой выглядит примерно следующим образом.

Окей, друзья. Как вы поняли из сегодняшнего сюжета, построение ИБ финансовых систем основано на общих фундаментальных принципах. У каждой финансовой организации есть своя специфика.

И нет и не будет двух полностью одинаковых банков. Финансовые организации подчиняются довольно четким правилам, но количество таких правил очень большое и все учесть можно только с помощью огромного штата бумажных специалистов.

Реальное же обеспечение ИБ тесно переплетается с «традиционными» видами

мошенничества, поэтому зоны ответственности службы ИБ в банках и страховых из года в год только расширяются и растут.

Ну это так. Лирика. Сегодня мы узнали, как работают банки и обзорно познакомились с тем, что находится у них “под капотом”. Помимо это разобрались, как совершаются банковские операции и какие при этом возможны угрозы.

Также рассмотрели особенности законодательства, выяснили отношения регуляторов и поняли для чего нужна служба ФинЦЕРТ. Короче говоря, нехило так поработали.

Но расслабляться пока рановато. Нужно ещё выполнить практическое домашнее задание к сюжету на сайте академии матёрых ИТ-спецов, выполнение которого проверяю я лично.

Ну и конечно поставить лайк и оформить подписку, если по каким-то религиозным причинам ещё не сделали этого ранее. Сейчас, что называется, самое время.

Ну а с вами, как обычно, был Денчик. До новых встреч, мои кайфные друже. Всем пока.