В Москве прошел форум по практической безопасности Positive Hack Days III. Это ежегодное мероприятие, где собираются лучшие в мире специалисты по защите информации. Тема информационной безопасности банков традиционно стала здесь одной из ключевых. В рамках форума прошли дискуссии, соревнования и мастер-классы, посвященные банковской тематике.

В частности устроители форума – компания Positive Technologies – организовали конкурс «Большой ку$h», где свое мастерство продемонстрировали кибер-взломщики. Специально для этого конкурса специалисты разработали систему ДБО PHDays iBank, содержащая уязвимости, которые встречаются в банковских системах в реальной жизни. За один час десять участников должны были воспользоваться проблемами безопасности, обнаруженными на первом этапе соревнования, и перевести деньги с чужих счетов на свой. Всего система содержала 20 000 рублей.

Насколько уязвимы нынешние банковские системы доказал студент пятого курса СамГАУ Анатолий Катюшин. Молодому хакеру под ником heartless потребовалось всего несколько часов, чтобы взломать систему дистанционного банковского обслуживания (ДБО) и «похитить» 4995 рублей. Выигрыш победителя был удвоен интеллектуальным партнером форума PHDays – компанией «Астерос». «Обнаружение проблем безопасности в образе системы заняло где-то четыре часа, затем нужно было лишь написать скрипт для автоматизации эксплуатирования уязвимости», – сказал Анатолий Катюшин после финала конкурса. Второе место в соревновании занял студент факультета математики НИУ ВШЭ Омар Ганиев (beched), который смог «похитить» 3277 рублей. Остальным восьми участникам конкурса не удалось вывести из PHDays iBank ни одного рубля.

По словам старшего вице-президента ОАО КБ «Солидарность» Сергея Харского, порой люди с подозрением относятся к любым интернет-сервисам, опасаясь возможности взлома и мошенничества. «Отмечу, что в своей практике с подобными случаями мы не сталкивались и защиту систем ДБО я оцениваю на высоком уровне. Основная обязанность клиента – не разглашать свои персональные данные. Впрочем, хочу сказать, что наши клиенты ответственно относятся к конфиденциальной информации, бережно храня сведения для входа в системы. Бывают случаи, когда клиент, используя систему дистанционного обслуживания, становится жертвой злоумышленника, например, переведя средства на счет фиктивного интернет-магазина. Нужно понимать, что банк за это ответственности не несет, он предоставляет лишь канал взаимодействия. Что касается конкурса: ребята, безусловно, молодцы. Особенно порадовало, что победителем стал наш земляк», - отметил господин Харский.
Комментировать результаты конкурса, по словам господина Харского несколько затруднительно, т.к. нет подробной информации обо всех условиях конкурса и алгоритмах «взлома».
«Отмечу только, что это в первую очередь конкурс. Участники оперировали не реально существующей системой ДБО, а специально созданной для данного конкурса. Логично предположить, что разработчики PHDays iBank заранее делали «дыры» в системе, на которые и предполагалось нанести атаку. Без этого конкурс было бы невозможно провести. Считаю, что по результатам конкурса нельзя оценивать реальную ситуацию с системами дистанционного банковского обслуживания», - отметил он.

Впрочем, по оценкам экспертов, проблема ненадежности банковских систем все же присутствует.

«На данный момент в РФ не существует какого-либо нормативного или отраслевого документа, устанавливающего требования к системам ДБО. При формировании требований к обеспечению информационной безопасности систем ДБО требуется учитывать положения Стандарта Банка России СТО БР ИББС-1.0-2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения», тем не менее они не затрагивают процесс разработки данных систем, сами системы не подвергаются прохождению процедуры исследования на предмет отсутствия НДВ либо обязательному анализу защищенности, почему при написании собственных систем многие разработчики банков допускают грубые ошибки, приводящие к эксплуатации уязвимостей, которые наблюдаются и в вендорских решениях, что объясняет проблему», – говорит директор департамента международных проектов, аудита и консалтинга компании Group-IB Андрей Комаров.

По его словам, при детальном рассмотрении современного состояния дистанционных финансовых инструментов стоит не согласиться с их абсолютной незащищенностью, хотя бы потому что многие из банков практикуют систематический анализ защищенности как собственных решений, так и вендорских. «Приложения, обрабатывающие и хранящие данные о кредитных картах, проходят процедуру сертификации по стандарту PA-DSS, что предполагает выявление возможных уязвимостей, тем не менее данный стандарт не уживается с действительностью, так как существует множество приложений, которые не обрабатывают подобные потоки, пример – толстые клиенты для юридических лиц. Тем не менее при оценке защищенности, пожалуй, топ-3 российских систем ДБО, даже невооруженным взглядом, можно найти уязвимости разной критичности, в основном, направленные на безопасность клиентов, а не серверной стороны», – говорит эксперт.