Інформаційна безпека банкомату найкращі світові практики
Вчимося запобігати зламам інформаційної безпеки банкомату.
Написати цю статтю мене спонукали кілька причин, головна з яких – інформаційний вакуум навколо теми електронних злочинів, пов'язаних із незаконним доступом до інформаційних ресурсів банкоматів та банківських мереж через банкомати. Для багатьох кіберкримінал та способи боротьби з ним залишаються чимось далеким, майже голлівудським. Проте загроза кібератак цілком реальна, вона помітна не лише на міжнародному рівні, а й в Україні. Злочинні махінації з пластиковими картками, що стали, на жаль, набувають нових рис, що виходять далеко за межі використання звичних скіммерів і мікрокамер для зйомки введення клієнтом PIN-коду. Разом з тим активно розвиваються нові методи незаконного отримання персональних даних клієнтів (зрозуміло, разом з грошима на їх рахунках). Це планомірно розроблені та чудово організовані атаки, спрямовані на численні проломи в системах безпеки програмного забезпечення банкоматів. Такі «тихі» злочини є значно безпечнішими для зловмисників – їх важко виявити, важко довести, важко вистежити самого злочинця. Міжнародна асоціація індустрії банкоматів ATMIA забила на сполох ще в 2009 році, коли повідомлення про злами інформаційної безпеки ATM-систем набули масового характеру. Зовсім недавно, восени 2011 року, було випущено вже другу редакцію спеціального керівництва ATMIA щодо забезпечення захисту програмного забезпечення банкоматів та вибудовування нових безпекових політик для протидії новим загрозам. Тезами цього посібника я хочу поділитися з вами.
УУ випадках із банками найчастішою жертвою хакерських атак стає саме банкомат. Недосконалість операційної системи Windows, вразливість додатків, порівняльна легкість маскування шкідливого коду під невинне оновлення або патч - так банкомат стає привабливим видобутком для електронного злочинця. Служби безпеки банку, здатні ефективно запобігти загрозам фізичного злому, часом абсолютно безсилі проти кіберзлочинів, оскільки належним чином не оцінюють ймовірність і потенціал такої загрози, а отже, і не озброюються ефективними практиками протидії їм.
Фахівці асоціації ATMIA виробили список рекомендацій щодо забезпечення інформаційної безпеки банкоматів (докладніше з текстом рекомендацій можна ознайомитись тут), з основними положеннями якого я пропоную ознайомитися нижче.
Забезпечення багаторівневої інформаційної безпеки з використанням рішень різних вендорів - головна рекомендація в контексті захисту від складних загроз, особливо для банків.
Основна філософія керівництва ATMIA – комплексний підхід до забезпечення інформаційної безпеки, що гарантує захист від зовнішніх загроз, так і від зловмисних дій інсайдерів. Рекомендується введення кількох ліній оборони ПЗ, які позбавляють шахрая найменшого шансу успіху. Інформаційна безпека банкомату має бути прив'язана до життєвого циклу встановлюваного на банкоматі ПЗ з урахуванням потреби у оновленні та обслуговуванні ПЗ, а також самого пристрою.
Комплексна система інформаційного захисту банкомату включає комбінацію таких засобів, як брандмауери, засоби захисту від шкідливого ПЗ та кібератак, засоби контролю пристроїв та цілісності системи, а також інструменти для оновлення ПЗта управління змінами.
Брандмауер
Локальний брандмауер необхідний банкоматам, які взаємодіють через спільну чи зовнішню мережу. Налаштування належних правил автономного/термінального брандмауера дозволить запобігти доступу шкідливих програм до банкоматів. Брандмауери можуть впроваджуватися у вигляді ПЗ як частина операційного середовища банкомату, або на апаратному пристрої, вбудованому в банкомат або поруч із ним. Найбільш безпечні програмні рішення, оскільки для їхнього злому недостатньо фізичного доступу.
Захист портів/ Контроль зовнішніх пристроїв, що підключаються
Банкомати функціонують як звичайні комп'ютери та мають інтерфейсні порти. У разі потреби у доступі до банкомату (наприклад, під час обслуговування апаратних засобів підрядником), людина отримує доступ і портам, отже, може встановити шкідливе ПЗ чи отримати несанкціонований доступом до системі. Інструменти контролю портів можуть запобігти подібному доступу або обмежити його певним колом користувачів за допомогою автентифікації. Функція захисту портів або обмеження підключення зовнішніх пристроїв (наприклад, USB) можуть мати інструменти захисту терміналу (брандмауери) та засоби протидії шкідливому ПЗ.
Політика оновлень ПЗ банкомату
Суворий та методичний контроль змін – секрет грамотної установки виправлень та оновлень у середовищах, де таке значення мають недоторканність даних, доступність сервісу та конфіденційність. Чим більше програмного забезпечення встановлено на пристрої, тим більше виправлень потрібно.
p align="justify"> Особливе значення має процес прийняття рішень про вибір необхідних виправлень та визначення важливості їх впровадження. В організації має бути чіткий набір критеріїв для прийняття рішень провиправлення, особливо у частині визначення «виправлень, що мають критичне значення для безпеки», за стандартом PCI DSS.
Рекомендується визначити стандартний цикл встановлення виправлень. Оптимальним зараз вважається щомісячна установка, хоча деякі оператори банкоматів використовують і жорсткіші графіки. Цикл довше кварталу прийнято вважати занадто довгим на тлі загроз, що постійно змінюються.
Захист від шкідливого ПЗ, кібератак та витоків даних
Доповнити брандмауер можуть засоби захисту від шкідливого ПЗ, що включають системи запобігання вторгненням, рішення на основі чорних/білих списків (blacklisting/whitelisting), інструменти для контролю цілісності ПЗ та операційної системи.
Рішення на основі чорних або білих списків (blacklisting/whitelisting)
Типові рішення, які використовуються для захисту від інфікування вірусами, запобігання цільовим атакам та впровадженню шкідливого коду, можуть функціонувати на основі парадигми «чорного списку» (заборонний принцип), або «білого списку».
Blacklisting
Квінтесенцією цього принципу є твердження «все, що не заборонено – дозволено». Типові рішення на основі чорних списків – це антивіруси, що забороняють виконання коду, який є у базі даних вірусних сигнатур. Нерідко антивіруси вибираються як найзвичніший засіб, без урахування можливих недоліків та ризиків. Як причини такого вибору часто називають їх низьку вартість, згадування конкретного продукту в стандартах PCI DSS та задоволеність роботою версій даного продукту для персональних ПК або корпоративних мереж.
Контраргументи цілком очевидні: має сенс врахувати не лише вартість ліцензій, а й операційнівитрати та ресурси, які потрібні на оновлення сигнатур, а також незахищеність банкомату від так званих загроз «нульового дня» (відсутніх у сигнатурних базах даного вендора). Крім того, стандарти безпеки PCI DSS також згадують інші можливі варіанти, наприклад, засновані на білих списках. Якщо вибір засоби захисту робиться на користь традиційного антивірусу, слід обов'язково провести ретельне тестування на його сумісність з ПЗ, встановленим на банкоматі, а також переконатися в мінімальному впливі на продуктивність операційної системи банкомату.
Whitelisting
Рішення, засновані на принципі білих списків, допускають виконання лише тих додатків, які в явному вигляді внесені до списку дозволених. Такі рішення є оптимальними для систем, не схильних до частих змін, а це якраз і є типовим випадком інформаційного середовища банкомату. У банкоматах конфігурація як апаратної, так і програмної частини є типовою, набір програмного забезпечення відомий заздалегідь, оновлення та зміни вносяться рідко, відповідно до затверджених політиків.
Якщо нешкідлива програма не внесена до білого списку, вона буде заблокована поряд з небезпечними. У порівнянні з антивірусами, рішення на основі «білих списків» значно компактніші і не потребують частих оновлень, тобто споживають менше системних ресурсів і менше впливають на продуктивність системи. Головною їх перевагою є захист від нових загроз, зокрема цільових.
Рішення на основі білих списків допоможуть:
- забезпечити додатковий рівень захисту, закривши ті вразливі місця, проти яких безсилий мережевий екран,
- забезпечити відповідність стандартам регулюючих органів,
- запобігти ризикам, пов'язаним із зараженням через те, що шкідливий код міститься у програмних оновленнях/патчах встановленого на банкоматі ПЗ, або замаскований у завантажуваному контенті.
Системизапобіганнявторгнень(HIPS - Host Intrusion Prevention system)
Системи запобігання вторгненням на рівні хоста (HIPS - Host Intrusion Prevention system) є гарною альтернативою антивірусам, оскільки дозволяють запуск лише довірених додатків та процесів, та виключають ймовірність помилкових спрацьовувань.
Контроль цілісності
Також слід звернути увагу на інструменти, які дозволяють здійснювати контроль цілісності операційної системи, файлів, бібліотек і драйверів, що виконуються. Вони допоможуть посилити систему безпеки, блокуючи виконання недовіреного програмного забезпечення, та допускаючи роботу лише додатків, яких мають сертифікат довіреного видавця ПЗ. Таким чином, шкідливе програмне забезпечення не може бути запущене.
Отже, ми розглянули типові компоненти комплексної системи інформаційної безпеки банкомату.
Додаткова цінність такої системи в тому, що вона не тільки дозволить виявити та припинити атаки ззовні, а й допоможе відстежити неакуратні чи зловмисні дії з боку адміністраторів, що особливо важливо в умовах можливої нескоординованості дій персоналу у віддалених територіальних філіях банку, а також неможливості контролювати працівників. сторонніх обслуговуючих організацій.
На сьогоднішній день існує низка рішень, що поєднують вищеописаний функціонал. Автори рекомендацій ATMIA зазначають, що для зменшення ризиків інформаційного злому пристрою самообслуговування найбільш правильним будевикористання рішень кількох вендорів.
Насамкінець, ще одна порада. Вибираючи рішення для інформаційного захисту банкомату, не забувайте про головний принцип побудови будь-якої системи безпеки: складність – ворог безпеки.
Збільшення кількості захисних заходів або ускладнення їхніх налаштувань не гарантує реальний захист. Роблячи вибір між простою чи складною технологією чи системою, пам'ятайте, що у далекій перспективі простий варіант може бути надійнішим.