03 Июня 2015    12

Светозар Яхонтов, директор по развитию бизнеса компании SafenSoft, выступил с лекцией «Реализация безопасного режима эксплуатации ПО банкомата» на учебно-практическом семинаре НОУ Академии Информационных Систем и НП АБИСС «Комплексная защита банкоматов и платежных терминалов».

В докладе было рассказано о наблюдениях за тем, как рекомендации профессиональных сообществ в области защиты банкоматов и данных платежных карт (ATMIA и PCI SSC) приживаются в реалиях специфичного ИТ-ландшафта сетей устройств самообслуживания банков в России и за рубежом. Был сделан акцент на том какие препятствия и организационно-технические противоречия удалось решить «первопроходцам» и что еще предстоит преодолеть.

Было особо отмечено, что в более чем 90% случаев тестового развёртывания системы защиты на действующих банкоматах специалистами компании SafenSoft обнаруживались вирусы, программный «мусор» или ненамеренно созданные сотрудниками организации уязвимости, упрощающие доступ злоумышленникам к управлению устройством.

Однако даже на новых устройствах, информационная защита на которых разворачивается с нуля, возникают определённые вопросы. В частности, антивирусные решения, основанные на принципах «черных списков», не способны обеспечить должный уровень защиты, зловреды для банкоматов пишут на заказ и они не попадают в антивирусные базы.

Средства защиты основанные на принципе «белых списков» требуют один или два года на имплементацию практик безопасной эксплуатации ПО и тонкую настройку, обеспечивающую многоуровневую защиту, позволяющую противостоять хорошо подготовленным целевым атакам. В течение этого времени необходимо иметь возможность использования «простой защиты» - «установил и работает» которая, в свою очередь, отсутствует на многих специализированных решениях.

«Сложные практики техобслуживания и защиты не приживаются. Упрощайте!» - сказал Светозар Яхонтов.

Среди киберугроз, нацеленных на банковские устройства самообслуживания, были выделены следующие тенденции:

  • повышение опасности кибератак на региональные банки России вследствие некоторой организационной неготовности к реализации адекватных мероприятий по защите от целевых атак;
  • растущее число прецедентов таких видов атак, как «виртуальные купюроприёмики» на устройствах приема платежей. Особенности распределения ответственности в системе «платежная система-диллер» не стимулирует сильную сторону к реализации контрмер, а слабая сторона беззащитна по определению;
  • повышение актуальности угроз кибератак на конечные точки инфраструктуры торгового эквайринга, которые сегодня широко распространены в США и Европе.О необходимости реализации контрмер своевременно отреагировал Банк России, дополнив требования по защите платежных терминалов.

Начальник отдела ГУБЗИ Банка России Андрей Выборнов в своем вступительном докладе подробно изложил суть новых законодательных инициатив Центробанка в области кибербезопасности и принципах реализации механизмов контроля за их исполнением.

В семинаре приняли участие представители служб безопасности более 30 банков и платежных систем, отвечающие за безопасную эксплуатацию банкоматов и платежных терминалов. Всем слушателям были вручены сертификаты Академии Информационных Систем.