Это интересно

Биометрия на каникулах. Крупнейшие банки не успели обеспечить сбор данных

К 31 декабря 2018 года, по требованию Банка России, все кредитные организации должны были обеспечить сбор биометрических данных в 20% своих отделений. Однако, по оценке “Ъ”, к этому времени даже среди банков из первой двадцатки это удалось далеко не всем. Таким образом, у ЦБ есть основание выписывать предписания. Однако эксперты уверены, что санкции окажутся «точечными», причем к банкам, имеющим и другие претензии от регулятора.

Фото: Александр Миридонов / Коммерсантъ

По информации «Ростелекома» и Банка России, по состоянию на 31 декабря 2018 года не все банки обеспечили сбор биометрических данных клиентов в 20% отделений. В частности, данные, размещенные на сайте ЦБ, свидетельствуют, что лишь четыре кредитные организации (Сбербанк, Газпромбанк, Совкомбанк и Росбанк) из топ-20 по активам выполнили требование. Сбербанк, согласно информации на сайте самого банка, собирает биометрию в 2,7 тыс. из более 13 тыс. отделений. Остальные либо собирают биометрию в меньшем количестве отделений, либо не приступили к этому.


Сбор биометрических данных стартовал в банках в июле 2018 года. Исходно это происходило в 400 отделениях в 140 городах, к концу года банки должны были обеспечить сбор биометрических данных в 20% своих отделений, по оценкам первого зампреда ЦБ Ольги Скоробогатовой, по состоянию на 1 января по планам ЦБ биометрию должны были собирать в 4 тыс. отделений банков.


Впрочем, как сообщил “Ъ” собеседник в «Ростелекоме», знакомый с ситуацией, многие банки массово подключались к сбору биометрии лишь в последние дни 2018 года, поэтому информацию по ним физически не успели обновить. Например, Альфа-банк о запуске сбора биометрии в 99 отделениях сообщил лишь 28 декабря. Райффайзенбанк, по которому на сайте ЦБ указано одно отделение, сообщил в ответ на запрос “Ъ” о сборе информации в 49 отделениях. В банке «Уралсиб» заверили, что сбор биометрии стартует 9 января в 58 отделениях.

Остальные игроки из топ-20 собираются достигнуть требуемых показателей значительно позже. В частности, в Промсвязьбанке заявили, что сбор биометрии в 70 офисах (что обеспечит требуемые 20%) начнут к концу января. В ВТБ сбор пока идет лишь в двух отделениях, «20% отделений будут оборудованы данной технологией в ближайшее время». О запуске в нужном количестве отделений в «ближайшее время» или в январе также сообщили “Ъ” в МКБ, «ФК Открытие», Юникредит-банке. В остальных крупных банках не уточнили срок выполнения требований об обеспечении сбора биометрии в 20% отделений или не ответили на запрос “Ъ”.

"Понятно, что банки свою инфраструктуру будут готовить какое-то время, и мы предусмотрели эту возможность". - Ольга Скоробогатова, первый зампред Банка России, 29 июня 2018 года.
Банкиры неоднократно предупреждали регулятора о сложностях внедрения биометрии. Проблемой была чрезвычайная дороговизна оборудования (от 4 млн руб. за подключение к системе одного отделения плюс минимум 130 тыс. руб. за каждое дополнительное отделение). Кроме того, еще в конце осени не были до конца определены требования обеспечения информационной безопасности при сборе биометрии (см. “Ъ” от 29 ноября 2018 года). Банки не успевали и по срокам с госзакупками (см. “Ъ” от 10 октября 2018 года). Участники рынка, в том числе и банковские ассоциации, в официальных обращениях к регулятору предлагали различные решения, в том числе сделать сбор биометрических данных добровольным. Банк России отслеживал готовность рынка к выполнению требований по сбору биометрии (см. “Ъ” от 12 ноября), однако решения об отсрочке не принял. На запрос “Ъ” о возможных санкциях для нарушителей в ЦБ не ответили.
Вместе с тем массовых санкций на рынке не ждут. «Сам по себе процесс подключения отделений банков к Единой биометрической системе достаточно длительный, и те, кто достаточно поздно подключился к проекту, могут не успевать по объективным причинам,— отмечает руководитель дирекции биометрических технологий Почта-банка Андрей Шурыгин.— Не думаю, что им стоит опасаться серьезных санкций со стороны регулятора, особенно если речь идет о крупнейших игроках».
В то же время эксперты не исключают, что при выборе мер воздействия к игрокам, которые не обеспечили сбор биометрии, ЦБ будет исходить из ситуации в каждом конкретном банке, тем более что сбор биометрии описан в законе о противодействии легализации преступных доходов и финансировании терроризма. «Если ЦБ будет рассматривать отсутствие сбора биометрии как нарушение антиотмывочного законодательства, то для отдельных игроков, к которым у регулятора есть и другие претензии, данное нарушение может стоить лицензии»,— отмечает глава АБ «Корчаго и партнеры» Евгений Корчаго.

 

Вероника Горячева

Опубликовано 9 января 2019 года в газете "Коммерсантъ" №1
Подробнее...
Источник: www.kommersant.ru/doc/3849612

Хакеры из RTM атаковали банки и другие организации от лица госучреждений

Group-IB, международная компания, специализирующаяся на предотвращении кибератак, зафиксировала массовую вредоносную рассылку по финансовым учреждениям и предприятиям. Злоумышленники отправили более 11 000 писем с фейковых почтовых адресов российских госучреждений — все они содержали троян RTM, предназначенный для кражи денег из сервисов дистанционного банковского обслуживания (ДБО) и платежных систем. В среднем, одно успешное хищение такого типа приносит злоумышленникам около 1,1 млн рублей. В настоящее время вредоносные рассылки продолжаются.

Начиная с 11 сентября система Group-IB Threat Intelligence (киберразведка) фиксировала массовые рассылки по российским банкам, промышленным и транспортным компаниям: 3210 писем было отправлено в сентябре, 2311 — в октябре, в 4768 — в ноябре и 784 — в декабре. Рассылки шли «волнами», пик пришелся на 24 и 27 сентября — 729 и 620 писем соответственно. В общей сложности с сентября до начала декабря хакеры отправили 11 073 писем с 2 900 различных электронных адресов, подделанных под госучреждения. Среди «отправителей»: региональные управления Роспотребнадзора, Россельхознадзора, Ростехнадзора, Росприроднадзора, Министерства труда и соцразвития, УФСИН, прокуратуры, судов и другие. . Фальшивые письма, не имеющие к деятельности реальных государственных и муниципальных организаций никакого отношения, были замаскированы под служебные документы, например, «Оплата август-сентябрь», «Копии документов», «Служебная записка», «Отправка на четверг», и др. В Group-IB подчеркивают, что темы писем, равно как и адрес отправителя, постоянно меняются.

Каждое такое письмо содержит вредоносное вложение, представляющее собой архив с исполняемым файлом. Распакованные файлы имеют фейковые иконки «PDF», что дополнительно вводит пользователя в заблуждение. После запуска извлеченного из архива файла происходит заражение компьютера. Банковский троян RTM с 2016 года стоящий «на вооружении» у одноименной хакерской группы, ориентирован на корпоративных пользователей, его цель — бухгалтерские программы для работы с системами дистанционного банковского обслуживания (ДБО).

Троян имеет классическую «модульную» структуру, в которой каждый элемент «отвечает» за отдельные функции, этапы заражения, хищения и вывода денег. Так, модули трояна собирают информацию о компьютере, об установленных банковских и бухгалтерских приложениях, считывают нажатия клавиатуры, делают снимки экрана, подменяют платёжные реквизиты, записи базы доменных имён и сертификаты безопасности.

Схема хищения классическая: RTM при помощи скриншотов и кейлоггера узнает логин и пароль пользователя, скачивает и запускает средства удалённого управления компьютером, после чего либо создаётся платёжное поручение и отправляется в систему ДБО через удаленное управление на заражённом компьютере, либо похищаются аутентификационные данные и секретный ключ, используемые в системе ДБО, а отправка поручения происходит с компьютера злоумышленника. По данным Group-IB, в случае успешного хищения, в среднем, хакеры «зарабатывают» на таких атаках около 1 100 000 рублей с одного юрлица.

В целом, за осень — с сентября по ноябрь — преступная группа RTM предприняла несколько масштабных атак на крупные российские банки и предприятия. Вредоносная активность была обнаружена и блокирована с помощью системы раннего предупреждения кибератак Threat Detection System Polygon (TDS), позволяющей в безопасной, изолированной от основной сети банка среде «распаковывать» подозрительные письма, проверять их на наличие вредоносных вложений и выносить вердикт о степени опасности обнаруженного объекта.


"Среди потенциальных жертв RTM — банки, до сих пор игнорирующие установку средств защиты от целевых атак хакерских групп, а также те, кто редко проверяет текущее состояние инфраструктуры на предмет обнаружения подозрительной активности внутри периметра банка. Ключевую роль в выявлении угроз, относящихся к категории «нулевого дня» играют продукты класса Anti-APT, позволяющие проводить многосторонний анализ вредоносных файлов в «песочнице». Причем, используемое в компании решение должно учитывать специфику угроз, характерных для страны-источника. В данном случае, речь идет о трояне RTM, принадлежащей одноименной русскоязычной хакерской группе, которая использует его уже долгие годы для организации таргетированных атак на различные организации и банки".

Никита Кислицин, руководитель Департамента сетевой безопасности Group-IB


Эксперты компании также подчеркивают, что опасность подобных атак еще и в том, что они могут быть «долгоиграющими», так как зачастую финансовые учреждения не проводят качественного реагирования на произошедший инцидент, считая его единичным. Это позволяет трояну «работать» на своего создателя продолжительное время. Случалось, что вредоносная программа эксплуатировалась злоумышленниками до полугода, оставаясь незамеченной для банка.

 

Опубликовано 6 декабря 2018 года на сайте компании Group-IB

Подробнее...

Источник: https://www.group-ib.ru/media/rtm-bank-attack/

Биометрия покрылась гостайной. Технологии банков не соответствуют требованиям ФСБ

ЦБ указал ФСБ на невозможность в полном объеме выполнить требования службы по защите собираемых банками биометрических персональных данных граждан. Речь идет о криптографической защите на уровне гостайны, а необходимого российского оборудования для этого нет. Банкиры подтверждают наличие проблем, но в ФСБ смягчать требования не планируют. Впрочем, санкции от силовиков участникам рынка не грозят – согласовывать все вопросы с ФСБ придется регулятору, иначе сбор данных просто остановится.

Фото: Василий Дерюгин / Коммерсантъ

На прошедшем 27–28 ноября SOC-форуме первый заместитель главы департамента информационной безопасности ЦБ Артем Сычев отметил, что сейчас нет необходимого рынку отечественного криптографического оборудования, которое может обеспечить защиту собранных у граждан биометрических данных по классу КВ. Именно такой класс защиты — на уровне гостайны — определен приказом ФСБ №378. Заместитель начальника восьмого центра ФСБ России при этом Игорь Качалин высказал надежду, что ЦБ «займет жесткую позицию» по всем средствам защиты при работе с биометрическими данными граждан.

Но банкиры подтверждают, что выполнить требования ФСБ не могут. «Чтобы шифровать направляемые в единую биометрическую систему (ЕБС) собранные образы, необходимо интегрировать в системы специальное оборудование (HSM-модуль), а после этого получить ключи сертификатов электронной подписи класса КВ»,— отметил собеседник “Ъ” в крупном банке. Ключи класса КВ выпускает только ФГУП НИИ «Восход», а порядок выдачи ключей утвердили лишь в середине октября. Как сообщили “Ъ” в «Ростелекоме», «Восход» обладает нужным количеством ключей. «Однако методики корректного встраивания HSM нет, после интеграции модуля нужно получить заключение ФСБ,— отмечает собеседник “Ъ” в другом крупном банке.— Но без методики получить заключение ФСБ нереально». По данным «Ростелекома», внедрение HSM идет в 26 банках, но нигде не закончено.

ЦБ готов предложить банкам несколько вариантов решений по информбезопасности при сборе биометрии. Как пояснил “Ъ” Артем Сычев, в настоящее время есть стандартизированное решение, которое отвечает требованиям информационной безопасности для подключения к ЕБС. «Часть кредитных организаций уже его внедрила, а часть находится в процессе,— отметил он.— Банк России совместно с ФСБ также проработал вариант облачного решения и типового решения по подключению банков к ЕБС с выполнением всех необходимых требований». По его словам, вариант облачного и типового решения по подключению банков к ЕБС является дополнительным и разрабатывается в целях снижения издержек банков. Выполнить требования по информационной безопасности банки должны к концу 2019 года, отметил господин Сычев.

Впрочем, с предлагаемыми ЦБ решениями все непросто, отмечают эксперты. По словам собеседников “Ъ” в банках, уже работающих по стандартному решению, шифрования по классу КВ нет — биометрия отправляется по шифрованному каналу, но без дополнительного шифрования на уровне КВ. Типовое решение «Ростелекома», по которому коммерческое предложение было направлено банкам несколько дней назад, еще не сертифицировано. В «Ростелекоме» “Ъ” сообщили, что их типовое решение согласовано с ФСБ и предусматривает наличие шифрования класса КВ. Облачное решение и вовсе находится на стадии проработки. «Будет несколько поставщиков облачного решения,— отмечают в "Ростелекоме".— Мы уже согласовали с ЦБ и ФСБ архитектуру облачного решения и дорожную карту по его реализации».

Банки готовы выполнить требования ФСБ, когда появится хоть одно полноценное решение. В Тинькофф-банке отмечают, что активно занимаются интеграцией HSM в процесс сбора и передачи биометрических данных клиентов в ЕБС и до 2020 года банку нужно построить процессы сбора и передачи биометрии от представителя до центрального офиса по каналам с ГОСТовой криптографией. По словам члена правления Почта-банка Святослава Емельянова, сейчас направляемые в ЕБС данные и так серьезно защищены. «Но мы готовы внедрить дополнительные механизмы и приобрести необходимое оборудование после получения требований и разъяснений со стороны соответствующих органов,— отметил он.— Сейчас важно получить единое интеграционное решение, которое позволит корректно встроить HSM в инфраструктуру банка».

Впрочем, санкций со стороны ФСБ банкам опасаться не стоит. «ФСБ, являясь одним из двух регуляторов по защите персональных данных, не имеет полномочий для проверок финансовых организаций в этой сфере. Его сотрудники не могут выйти в банк с проверкой,— отмечает консультант по интернет-безопасности Cisco Алесей Лукацкий.— Тут важна позиция ЦБ, который обещает не применять к кредитным организациям мер». Банкам остается работать и надеяться, что ЦБ с ФСБ урегулируют вопрос с информационной защитой передаваемой биометрии, иначе сбор биометрических данных придется просто остановить, заключают эксперты.

 

Вероника Горячева

Опубликовано 29 ноября 2018 года в газете "Коммерсантъ" №220
Подробнее...
Источник: https://www.kommersant.ru/doc/3813818

 

 

 

 

ЦБ берет пробу биометрии. Регулятор проверит готовность банков к внедрению новой технологии

Банк России начал проверку готовности банков к снятию биометрических данных граждан. Территориальные подразделения ЦБ запрашивают банки и их филиалы о реальном положении дел. Судя по данным «Ростелекома», готовность пока крайне низкая, и ЦБ придется либо массово штрафовать кредитные организации, либо подумать об отсрочке.

Фото: Глеб Щелкунов / Коммерсантъ

Об опросах ЦБ относительно готовности к сбору биометрических данных “Ъ” рассказали участники рынка. «В пятницу мы получили от ГУ ЦБ письмо с требованием доложить о состоянии дел»,— рассказал “Ъ” топ-менеджер регионального банка. Собеседник “Ъ” в банке топ-20 сообщил, что руководителей филиалов их банка приглашали в управления для доклада о процессе внедрения сбора биометрии. «На встрече с регулятором были представители сразу нескольких кредитных организаций, работающих в регионе,— рассказывает он.— И всем задавали одни и те же вопросы: ведется ли сбор, и если нет, то когда начнется и какова готовность».

Сбор биометрических данных стартовал в банках в июле 2018 года. Как ранее сообщал ЦБ, на старте биометрия собиралась в 400 отделениях в 140 городах. К концу года кредитные организации обязаны обеспечить сбор биометрических данных в 20% своих отделений (4 тыс. к 1 января 2019 года).

Однако, согласно «Карте точек банковского обслуживания, где можно сдать биометрию», пока принимают биометрию всего 355 банковских отделений. То есть даже меньше, чем анонсировалось при старте программы. И даже если добавить Тинькофф-банк, который собирает данные путем выезда к клиенту в 80 регионах РФ (именно такую цифру назвали в пресс-службе банка), то 4 тыс. отделений все равно не выходит. Темпы сдачи биометрии также оставляют желать лучшего. По словам зампреда правления Совкомбанка Алексея Панферова, за первые четыре месяца сбора биометрии в целом по всей стране удалось собрать менее 3 тыс. биометрических шаблонов.

По мнению заместителя главы ФБК Алексея Терехова, письма и встречи на уровне территориальных подразделений ЦБ — попытка оценить реальную ситуацию в банках по внедрению биометрии и понять, насколько она далека от анонсированных планов.

При этом у Банка России совсем скоро появится реальный инструмент для борьбы с банками, затягивающими внедрение биометрии. На прошлой неделе руководитель отдела методологии департамента информационной безопасности ЦБ Виктор Лебедев на встрече с банками отмечал, что необходимый нормативный документ для проверок соблюдения требований по сбору биометрии готов и находится на регистрации в Минюсте. Обязанность банка снять биометрические данные у обратившегося клиента прямо указана в антиотмывочном законе(115-ФЗ), а также в нормативных актах ЦБ. В отношении нарушителей могут быть применены санкции: штраф в размере до 0,1% минимального уставного капитала, ограничения на проведение кредитной организацией отдельных операций и т. д.

"Мы удовлетворены тем темпом, которым происходит внедрение системы удаленной идентификации". - Эльвира Набиуллина, глава Банка России, 18 октября.

Впрочем, эксперты не ожидают от регулятора жестких решений. «ЦБ не обязан применять санкции к банкам, так как их бездействие не несет рисков устойчивости банковской системы и сопряжено в том числе с техническими проблемами»,— отмечает партнер юридической фирмы «Рустам Курмаев и партнеры» Дмитрий Горбунов. Проблемы действительно есть и лежат они в сфере информационной безопасности (см. “Ъ” от 10 октября).

Обе банковские ассоциации — Ассоциация банков России (АБР) и Ассоциация российских банков (АРБ) — уже обращались к ЦБ с предложением смягчить требования к сбору биометрии. АБР просила сделать сбор биометрии добровольным, однако получила отказ: по мнению ЦБ, добровольный порядок «негативно отразится на уровне доступности финансовых услуг для граждан, проживающих в отдаленных и (или) малонаселенных районах». АРБ предложила освободить от сбора малые банки. Ранее глава ЦБ Эльвира Набиуллина отмечала, что такой вариант возможен (см. “Ъ” от 19 октября), однако никаких решений пока не принято.

Учитывая, что в реальности уровень готовности к сбору биометрических данных низкий, эксперты не исключают сдвига сроков. «Это наиболее очевидный выход,— уверен Дмитрий Горбунов.— При этом отсрочка может сопровождаться предупреждениями в отношении банков, не обеспечивших сбор биометрии в 20% отделений к 1 января». По мнению заместителя главы «Финэкспертизы» Натальи Борзовой, это оптимальный выход в ситуации, когда банки говорят о невозможности выполнения требований по объективным причинам, а гражданам биометрия не слишком нужна. В ЦБ отказались от комментариев.

 

Вероника Горячева

Опубликовано 12 ноября 2018 года в газете "Коммерсантъ" №207
Подробнее...
Источник: https://www.kommersant.ru/doc/3797168

Биометрии не хватает мобильности. Криптографическая защита не помещается в смартфоны

Банки уже три месяца собирают биометрические данные граждан. Но, как выяснил “Ъ”, предоставление на их основе услуг с помощью мобильных устройств до сих пор невозможно. Проблема во многом заключается в действующих требованиях к уровню криптографической защиты. В ряде случаев их выполнить настолько трудно, что приходится искать компромисс в ущерб информбезопасности.

Как стало известно “Ъ”, серьезной проблемой предоставления услуг гражданам на основании ранее сданных биометрических данных стала ограниченная возможность использования мобильных устройств для верификации клиента. В первую очередь — из-за необходимости применения средств криптографической защиты.

Фото: Reuters

Сбор биометрических данных населения стартовал в банках в начале июля (см. “Ъ” от 2 июля). Сданные биометрические данные (образ лица и голос) направляются в единую биометрическую систему. В дальнейшем для получения банковской услуги человеку достаточно пройти авторизацию в единой системе идентификации и аутентификации и подтвердить свои данные с помощью смартфона, планшета, ноутбука или компьютера с камерой и микрофоном.

Мобильное приложение, которое будет устанавливать клиент на своих гаджетах для верификации и получения дистанционных банковских услуг, сейчас разрабатывает «Ростелеком». Его представление предварительно планируется на середину октября. Однако с размещением этого приложения в PlayMarket и AppStore возникли проблемы.

«Приложение защищено криптографией, то есть Apple и Google должны дать согласие на внедрение черного ящика в свои магазины приложений,— поясняет “Ъ” эксперт, близкий к "Ростелекому".— И если от Google такое согласие получено, то с Apple переговоры все еще ведутся».

Факт переговоров подтвердил “Ъ” и заместитель главы департамента информационной безопасности ЦБ Артем Сычев.

В Apple не ответили на запрос “Ъ”. В «Ростелекоме» от комментариев отказались. Но если переговоры с Apple не увенчаются успехом, то счастливые обладатели айфонов не смогут пройти верификацию через мобильные устройства и будут вынуждены при обращении в банки делать это только с компьютера или планшета через веб-приложение.

Впрочем, остаются и другие сложности с использованием биометрии. По словам консультанта по интернет-безопасности компании Cisco Алексея Лукацкого, срок сертификации средств шифрования в ФСБ обычно длиннее времени жизни пользовательского и банковского ПО. Такое несовпадение по времени приводит либо к использованию несертифицированной, но самой последней версии ПО, либо к работе с устаревшим, но обладающим сертификатом программным обеспечением. В данном случае обновление версий операционных систем потребует оперативной пересертификации программы в ФСБ. Артем Сычев заверил “Ъ”, что проблемы не возникнет. Однако сейчас сертификация занимает не менее года.

Проблемы порождают и разночтения в нормативных документах. По словам Алексея Лукацкого, есть установленные нормативными документами требования ФСБ для средств криптографической защиты (СКЗИ), которые непросто выполнить на платформах Macbook, iOS и т. п. «В соответствии с действующими документами ФСБ при наличии доступа нарушителя к исходным кодам операционной системы (а такая возможность есть для Linux и Android), на которой будет запускаться биометрическое ПО, сертификация возможно только по классу КА, что невозможно выполнить»,— отмечает господин Лукацкий. Однако Банк России в указании 4859-У, определяя перечень угроз при работе с биометрическими данными, счел достаточным более низкий уровень защищенности — КС1. Еще один нормативный документ ФСБ, по словам экспертов, требует поэкземплярного учета СКЗИ. «Однако при скачивании приложения для верификации с мобильных телефонов обеспечить поэкземплярный учет невозможно, как и невозможно обеспечить СКЗИ класса выше КС1 на мобильном устройстве»,— отметил директор по управлению рисками Почта-банка Святослав Емельянов.

По словам правозащитников, подобный подход явно ущемляет права банковских клиентов. «Когда человек сдает биометрию, он рассчитывает с ее помощью оперативно получать доступ к банковским услугам,— рассуждает руководитель проекта ОНФ "За права заемщиков" Виктор Климов.— И о том, что приложение не будет функционировать на его телефоне, он должен быть проинформирован в момент сдачи биометрии, а не постфактум». Так же как он должен быть заранее и подробно проинформирован о рисках, в том числе — получения доступа злоумышленников к его биометрическим данным, резюмировал он.

 

Вероника Горячева

Опубликовано 28 сентября 2018 года в газете "Коммерсантъ" №177
Подробнее...
Источник: https://www.kommersant.ru/doc/3753577

Страницы