Государство проигрывает войну за кибербезопасность
165 0

Государство проигрывает войну за кибербезопасность

Несмотря на ужесточающийся контроль, правоохранительные органы и финансовые структуры пока не способны эффективно защитить предпринимателей и частных лиц от киберпреступлений.

Потери экономики России от киберпреступности в 2018 году составят не меньше 1 триллиона рублей. Эти цифры озвучил заместитель председателя правления Сбербанка Станислав Кузнецов на Петербургском экономической форуме. Они же приводятся в докладе, который Сбербанк готовит к Международному конгрессу по кибербезопасности, который откроется 5 июля в Москве.

Мошенники всех сортов и калибров давно уже освоили цифровую экономику и в первую очередь мобильный банкинг. Государство и финансовые структуры за ними явно не успевают. Лакуны видны невооруженным глазом – как в законодательной базе, так и в системе безопасности банков и работающих с ними мобильных сетей. Ярчайшее тому свидетельство – история предпринимателя Даниила Бондаря, в апреле этого года в одночасье лишившегося всех денег, которые были на счету его ИП — 26 млн рублей (!).

Надо признать, что общий объем несанкционированных мероприятий со счетами юридических лиц последние годы неуклонно падает, — по крайней мере, по официальным данным ЦБ. Цифры показывают, что в 2017 году он составил 1,57 млрд рублей, причем похищена была примерно половина этой суммы. В свою очередь в 2016 году было похищено порядка 1,9 млрд руб, в 2015 – м – 3,8 млрд руб. Однако масштабы преступлений ясно указывают, что в этой области еще далеко до какой-либо стабилизации.

И самое опасное, что жертвой киберпреступников может стать каждый из нас, как бы мы ни соблюдали правила цифровой безопасности. Об этом более чем красноречиво свидетельствует случай с предпринимателем Даниилом Бондарем, о котором узнало «Совершенно секретно».

Казус Бондаря

В начале апреля Даниил Бондарь выехал за границу, в Латвию. 5 числа он неожиданно обнаружил, что его сим-карта, с которой был связан интернет-банкинг его ИП, заблокирована. Однако предприниматель не придал этому большого значения. По его словам, такое с ним уже случалось, и не раз. В конце концов, существуют другие средства связи, да и доступ к счету ИП не так уж и необходим. Деньги целее будут.

Каков же был шок, когда, явившись 11 апреля в отделение Альфа-банка, г-н Бондарь выяснил, что с его счета списаны все средства – те самые 26 млн. Деньги ушли какой-то кемеровской компании, якобы в оплату за рекламу. Понятно, что никаких поручений такого рода Даниил своей бухгалтерии не давал, рекламу на 20 с лишним миллионов разом никогда не думал покупать, да и в Кемерово в жизни своей не был.

Постепенно стала восстанавливаться вся картина. 5 апреля, в тот самый день, когда была заблокирована сим-карта предпринимателя, где-то в районе Текстильщиков в офис МТС якобы пришел человек с паспортом на его собственное имя. Воспользовавшись «документом» (если документ действительно имел место быть, — мы это не скоро узнаем) он получил новую симку и зашел в интернет-банкинг. Дальше – сплошные загадки. Либо этот персонаж заранее знал, какие цифры он увидит, либо был приятно поражен масштабом своей махинации, но в любом случае ему удалось осуществить проводку.

Для того, чтобы это стало возможным, преступник должен был знать личные данные жертвы, номер паспорта (и даже предъявить сам паспорт), адрес и, возможно, ключевое слово. Хотя, по свидетельству Бондаря, не раз осуществлявшего подобные операции, в Альфа-банке ключевого слова почему-то не спрашивают. Требуют только личные данные.

Симптоматично, что мошенничество удалось преступнику только со второй попытки. Сначала, — как рассказывает потерпевший, — фигурант пытался осуществить срочный платеж, но это операция не прошла. Тогда он сделал обычный платеж, и всё удалось – деньги ушли. Как такое могло произойти? – остаётся только развести руками.

Анализируя ситуацию, экономист Никита Кричевский полагает, что вина за происшедшее лежит скорее не на банке, а на сотовой компании. По масштабам Альфа-банка, 26 млн – не слишком большие средства. К тому же это был внутрироссийский платеж, и перевод осуществлялся на счет Сбербанка. Сбербанк же у нас обычно – вне подозрений.

Однако настораживает, что, по инсайдерской информации, для Альфа-банка это был уже шестой аналогичный случай с начала 2018 года.

В свою очередь, разумеется, к менеджеру, выдавшему симку в офисе МТС должно быть куда больше вопросов.

Немного иначе смотрят на дело эксперты в области компьютерной безопасности.

Соблюдайте кибергигиену

Вот комментарий эксперта по кибербезопасности Георгия Цедилкина, сотрудника фонда Сколково, генерального директора компании «АНП Технологии»:

«Как ни больно это говорить, но сложившаяся ситуация вполне ожидаема, и цифры выглядят впечатляющими: в 2016 с карт было похищено 650 млн руб., а в 2018 ЦБ прогнозирует потери от киберпреступности в размере 1 трлн руб., т.е. порядка 1% ВВП.

Причин этому много. Начнем с того, что мировая телефонная система одна сплошная дыра с точки зрения информационной безопасности. Когда разрабатывалась её архитектура никто не планировал, с одной стороны, её использование для подтверждения банковских транзакций, и с другой, такое снижение стоимости всех технических решений, что становятся экономически выгодными атаки на счета от 5 млн руб.

Эту ситуацию понимают как операторы связи, так и производители оборудования: Apple, Google и Microsoft прямо запрещают использование PUSH-уведомлений для передачи конфиденциальной информации, а возможность переоформления SIM-карты на мошенника по поддельной доверенности давно известна.

Более того, Верховный суд Российской Федерации от 10 января 2017 года вынес Определение по делу 4-КГ16-66, в котором прямо сказано: «банк несет риск ответственности за последствия исполнения поручений, выданных неуполномоченными лицами». И далее уточнено: «операция по введению направленного банком одноразового неперсонифицированного пароля доступна любому лицу, использующему в данный момент абонентское устройство подвижной телефонной сети».

То есть и банки осознают недопустимость использования SMS. Именно поэтому для подтверждения платежей юридических лиц чаще всего используют дополнительное оборудование – токены и электронную подпись. Но частное лицо не станет покупать у банка электронную подпись, ставить на свой компьютер специальное ПО. Частному клиенту удобно пользоваться мобильными приложениями. Хотя сейчас уже российские компании разработали технологии, позволяющие обеспечивать безопасное подписание платежных поручений с мобильных устройств, и сделать бесполезным кражу SIM-карты, но банки внедряют их только для юридических лиц. Обычные клиенты не готовы больше платить за обслуживание, только по тому, что у банка более надежные технологии защиты. И никто не будет переходить в другой банк потому, что в нем внедрили систему защиты от утечки конфиденциальной информации, провели глубокий анализ кода системы дистанционного банковского обслуживания и почистили все уязвимости, ведут мониторинг внутреннего мошенничества и т.д.

При выполнении работ я собственными глазами видел, как сотрудник банка спокойно в Скайпе сообщал своему знакомому состояния интересующих того счетов — «просто служба безопасности одной компании пробивала счета другой».

Я видел, как на «закрытых форумах» ищут «человека в крупном банке, который может предоставлять информацию». И служба безопасности банка ничего не может сделать – проведение следственно-розыскных мероприятий банком незаконно. А повода для заведения уголовного дела нет – преступление то еще не совершилось.

Я знаю много уникальных решений, способных обеспечить безопасность мобильных платежей, которые существуют в лабораторных вариантах, потому что мало кто из частных пользователей готов платить 5-6 тысяч рублей за надежную защиту банковского счета.

Более того, многие рекомендации по обеспечению безопасности считают паранойей: так соблюдение написанного на каждом банкомате правила «прикрывать рукой набираемый PIN» многие считают глупостью.

Что делать? Начинать соблюдать «кибергигиену». Другого выбора нет – технологии мошенничества развиваются гигантскими темпами. Нужно стимулировать банки на внедрение более надежных технологий защиты, но при этом быть готовыми за них платить. А пока эти технологии не внедрены, необходимо заниматься гигиеной самостоятельно.

Если на счету есть хотя бы 20 млн руб., то есть смысл потратить 5-10% на проведение аудита (нет ли уже на ваших устройствах следов преступников), и все ли оборудование готово к оперативному проведению расследования и получению юридических значимых доказательств в случае совершения кибремошеннических действий.

Относительно конкретного примера – существует большое число вариантов, как именно была проведена атака. Это может быть «слив» информации из банка. Причем, передать информацию мошеннику мог сотрудник даже не из московского офиса. Мошенник мог получить данные непосредственно с компьютера пользователя, заразив тот специальным программным обеспечением и получив от туда и фотографию паспорта и pdf-файлы билетов.

Так же информация могла быть получена при помощи бесплатного WiFi, установленного в общественном месте. Пострадавшему достаточно было зайти в банковское приложение через такую точку доступа, чтобы у преступника оказались все необходимые данные.

Подделать же доверенность на получение SIM-карты или найти «немного похожего» на фотографию в паспорте человека – просто. Чаще всего сотрудник оператора не может точно идентифицировать фотографию и лицо живого человека, а специального ПО, которое это может делать, в салонах связи не установлено».

Равнодушие и безответственность

…Показательно, что и в МТС, и в Альфа-банке не хотят признавать даже доли ответственности. В сотовой компании потерпевшему заявили, что замена симки при предъявлении паспорта – обыденная операция, и никаких дополнительных проверок она не требует. Служба безопасности банка также полагает, что действовала в соответствии с принятыми правилами, и заявка на транзакцию, осуществленная с мобильного г-на Бондаря, не вызвала у нее особых подозрений.

В целом вырисовывается картина полной безответственности и тотального равнодушия, в которую, как ни прискорбно, оказываются идеально вписаны и правоохранительные органы.

В чем-то господину Бондарю повезло. Благодаря бдительности одного из сотрудников регионального ПО Сбербанка, часть средств почти тут же была найдена и арестована. Однако на этом расследование и застопорилось. Менялся следователь, производились какие-то разрозненные следственные действия, но воз и поныне там.

Сейчас Даниил больше всего опасается, что срок ареста средств закончится, а вместе с ним завершится и следствие. Деньги уйдут, а преступники окончательно спрячут концы в воду.

Адвокат потерпевшего, кандидат юридических наук Януара Вольвач убеждена, что правоохранительная система в данном случае не соответствует своему назначению и не способна «восстановить права и защитить законные интересы гражданина, пострадавшего от преступления».  

По словам Вольвач, следователь 4 отдела СЧ СУ УВД по САО г.Москвы Снежана Маркина «тормозит расследование, не делает естественных выводов из всесторонне доказанной версии событий, отказывает в мотивированных ходатайствах и ставит под угрозу интересы потерпевшего» тогда, когда ее единственная обязанность – их защитить.

В этих обстоятельствах Георгий Цедилкин предлагает решительно привлекать к расследованию специалистов в области компьютерной безопасности:

«Что делать? Сейчас привлекать профессионалов в области противодействия киберпреступлениям. Благо, закон на стороне потерпевшего – и Определение Верховного Суда РФ, и 9 статья 161-ФЗ. Только эксперты помогут выявить следы преступлений, сформировать доказательную базу и потребовать вернуть деньги.

В дальнейшем для хранения таких сумм использовать счета, транзакции по которым возможны только с электронной подписью: или на базе мобильного устройства, или с помощью токенов.

К сожалению, нам всем нужно привыкать к «кибергигиене» и начинать выбирать банки не только по удобству обслуживания, но и по их безопасности».

…Как известно, в России провозглашен курс на максимальное внедрение новых технологий и строительство «цифровой экономики». Однако, — как показывает дело Даниила Бондаря, — пока мало кто готов отвечать на вызовы, которые несет с собой «цифра». И тем более печально, что в порочный круг безответственности и равнодушия идеально вписывается и правоохранительная система, от которой  требуется совсем немного – просто добросовестно выполнить свою работу. 

Источник