ВИРТУАЛЬНОЕ ОГРАБЛЕНИЕ

Некоторое время назад в СМИ промелькнула информация о том, что иранская группировка White Hat Hackers намерена совершить крупную хакерскую атаку на банковскую систему Азербайджана. Будто бы ее члены "обнаружили в действиях Центрального банка Азербайджана мошенничество против иранского народа в деле с деньгами Royal Bank". Более того, White Hat Hackers утверждает, что она уже взломала системы 8 банков Азербайджана и получила доступ к счетам 53 634 их клиентов на сумму 25 млн. манатов и что эти средства будут переведены на другие счета - иранских вкладчиков Royal Bank.

Оставив в стороне необоснованные претензии иранских хакеров относительно обанкротившегося пару месяцев назад азербайджанского Royal Bank, отметим, что сделанное ими заявление все же заставило призадуматься определенную часть клиентской базы местных банков: защищены ли информационные системы наших банков от подобных угроз?

Психологический прессинг

Иранских киберпреступников недооценивать все-таки не стоит: еще год назад были совершены хакерские атаки на 25 официальных сайтов ряда государственных учреждений и прочих организаций Азербайджана. Как выяснилось в результате расследования Министерства связи и информационных технологий, киберпреступники действовали с территории Ирана и Нидерландов. Так, 24 хакерские атаки на азербайджанские интернет-сайты были совершены из Ирана, а одна - из Нидерландов. 

Между тем эксперты признают, что финансовый сектор страны наиболее подвержен риску в киберпространстве. Главный эксперт Центра судебной экспертизы Министерства юстиции Азербайджана Натиг Панахов считает, что проблемы, в основном, касаются безналичных платежей, операций, проводимых с использованием пластиковых карт. Вместе с тем особую актуальность приобретает кража информации. "В 2012 году были внесены дополнения в Уголовный кодекс Азербайджана, что способствовало усилению борьбы с киберпреступностью. Известно, что киберпреступность обрела большую актуальность в мире, и, соответственно, это не обходит стороной также Азербайджан. Конечно же, по сравнению с другими странами число преступлений в киберпространстве Азербайджана не столь велико. Тем не менее по мере интеграции страны в мировое сообщество эта проблема обострится", - сказал Н.Панахов.

Однако в самих банковских кругах и регулирующей их структуре уверяют, что ситуация находится под контролем. "После того как было сделано это заявление со стороны White Hat Hackers, мы дали указание всем банкам, чтобы они на всякий случай проверили, была ли угроза или факты подобных атак. Пока что ни одной информации о каких-либо попытках что-либо взламывать не поступало", - заявил R+ генеральный директор Центрального банка Азербайджана Рашад Оруджев. По его словам, есть определенные требования к банкам в сфере информационной безопасности, эти вопросы регулируются, и банковский сектор страны устойчив к хакерским атакам.

По мнению одного из ведущих экспертов банковской сферы страны, директора Азербайджанского банковского учебного центра (АБУЦ) Джаваншира Абдуллаева, угроза иранских хакеров - это больше психологическая атака, нежели реальная. "Все банки информированы о ней. Но я считаю, что поскольку услуги интернет-банкинга у нас развиты не сильно, войти в закрытые системы и украсть оттуда деньги - вещь практически невозможная. Банков, которые начали предлагать реальные услуги Интернета или мобильного банкинга, что создает больше возможностей для подобного рода незаконных операций, не много, и они применяют самые современные технологии безопасности, вкладывая в них немалые финансовые ресурсы", - отметил Дж.Абдуллаев. По его утверждению, целью заявления White Hat Hackers было лишь нанести ущерб имиджу азербайджанских банков, заставить поволноваться их клиентов.

В банках все спокойно

Конечно, теоретическая оценка хакерской атаки необходима, чтобы построить правильную стратегию на опережение и предотвращение угроз в информационном пространстве - игнорировать или недооценивать такие угрозы нельзя. Вместе с тем в самих азербайджанских банках заверяют, что клиентам беспокоиться не о чем, поскольку информационная безопасность - это вопрос, которому уделяется самое пристальное внимание.   

Так, в Международном банке Азербайджана сообщили, что фактически основная банковская система МБА неуязвима для внешних атак чисто физически. "Максимум, на что могут претендовать хакеры, группировки и пр., - это тот или иной уровень воздействия на сайт МБА, что никак не влияет на работоспособность банка и сохранность конфиденциальной информации", - заявили в МБА.

А в одном из ведущих банков страны Pasha Bank заметили, что, как известно, схемы мошенничества меняются очень быстро, и мошенники всегда стараются приспособиться к новым проверкам и обмануть банковские системы выявления таких атак. "Наш банк использует специальную программу для того, чтобы можно было быстро внедрить новые или изменить существующие правила предотвращения последующих попыток мошенничества. Автоматизированный мониторинг позволяет выявить мошеннические действия на ранних этапах, используя правила, установленные риск-аналитиком", - заявили в Pasha Bank. Кроме того, в 2013 году банк планирует пройти сертификацию по 3D Secure - это передовая технология, разработанная платежными системами Visa (Verified by Visa) и MasterCard (Secure Code), позволяющая  произвести дополнительную идентификацию владельца карточки путем ввода 3D Secure пароля. Данная технология обеспечивает карту дополнительным секретным кодом (точно так же, как PIN-код в банкомате), защищающим ее от несанкционированного использования, когда клиент совершает покупку через интернет-магазин.

Так как пластиковые карты являются наиболее используемым и доступным банковским продуктом, мошенники зачастую выбирают именно их в качестве объектов атак. Поэтому в Pasha Bank посоветовали самим держателям пластиковых карт также проявлять разумную осторожность при их использовании (см. рекомендации). 

"Почти ежедневно из новостных сводок мы узнаем, что предприняты хакерские атаки на сети таких ведущих компаний мира, как Apple, Microsoft, Facebook, Twitter и так далее. Возможность таких атак не исключена и на азербайджанский банковский сектор. Успешность же их зависит от систем безопасности отдельного банка", - считают, в свою очередь, в AccessBank. Для снижения рисков в этом банке используется методология defence-in-depth, которая подразумевает защиту каждого объекта информационной системы. "Безусловно, разного уровня хакерские атаки были и на наши системы. Например, сборка сведений и целенаправленные атаки. Данного типа атаки фиксируются средствами защиты, и наши специалисты предпринимают соответствующие меры безопасности. Кроме того, как известно, в нашем банке внедряется система Temenos, которая способствует большей защищенности банковских операций", - отметили в банке.

"Как и в другие серьезные организации, на нашу почту тоже иногда поступают угрозы хакерской атаки. Подход к оценке такого рода  угроз у нас серьезный. Но чаще всего это оказывается просто угрозой, без серьезных оснований. Вопросы информационной безопасности для нашего банка всегда  являются приоритетом, и техническим обеспечением этой сферы у нас занимаются профессионалы", - заявили нам в ОАО "Муганбанк". 

Как видим, банки страны предпринимают все необходимые меры, чтобы противостоять кибератакам. Тем не менее возможности противной стороны не следует сбрасывать со счетов, учитывая, что от такого рода преступлений ежегодно страдают финансовые институты даже в странах с самой развитой банковской системой. Да и ресурсы одного банка, каким бы он крупным ни был, не могут позволить создать супернадежную систему безопасности. В этой связи у нас в стране необходима и помощь со стороны госструктур. Учитывая, что текущий год объявлен президентом страны Ильхамом Алиевым Годом ИКТ, эта проблема может найти свое решение. Тем более что совсем недавно министр связи и информационных технологий Азербайджана Али Аббасов заявил, что в Азербайджане будет создан региональный центр по информационной безопасности. "Проект, который предусматривает обеспечение информационной безопасности не только Азербайджана, но и всего региона, планируется реализовать совместно с американской компанией Symantec, с которой сегодня ведутся переговоры", - сказал министр. Несомненно, этот проект станет хорошей опорой и для банковских систем безопасности, будет способствовать улучшению их имиджа и росту доверия к ним потенциальной клиентской базы.