На чте­ние: 0.16 mintue

В крайне уяз­ви­мом поло­же­нии могут ока­зать­ся бан­ко­ма­ты круп­ных бело­рус­ских бан­ков после окон­ча­тель­но­го пре­кра­ще­ния тех­ни­че­ской под­держ­ки Windows XP Embedded – опе­ра­ци­он­ной систе­мы, раз­ра­бо­тан­ной для бан­ков­ской тех­ни­ки. Полное отсут­ствие тех­со­про­вож­де­ния не толь­ко откры­ва­ет две­ри пре­ступ­ни­кам, но и угро­жа­ет круп­ны­ми санк­ци­я­ми со сто­ро­ны пла­теж­ных систем Visa и MasterCard

Нужно ждать беды?

Корпорация Microsoft уже дав­но пре­ду­пре­ди­ла финан­со­вые учре­жде­ния об опас­но­сти исполь­зо­ва­ния уста­рев­шей ОС, кото­рая офи­ци­аль­но счи­та­ет­ся «умер­шей» еще в янва­ре 2016 года. При этом бело­рус­ские бан­ки про­дол­жа­ют ее при­ме­нять. Как рас­ска­зал Digital.Report тех­ни­че­ский дирек­тор одно­го из ком­мер­че­ских бан­ков, в Беларуси доста­точ­но боль­шой парк бан­ко­ма­тов на Windows XP Embedded. Причина – высо­кая сто­и­мость обнов­ле­ния опе­ра­ци­он­ных систем (ОС) бан­ко­ма­тов до акту­аль­ных про­грамм­ных вер­сий. «Недостаточно про­сто уста­но­вить новую опе­ра­ци­он­ную систе­му, нуж­но для нача­ла поме­нять аппа­рат­ную часть. Стоимость обнов­ле­ния толь­ко одно­го бан­ко­ма­та состав­ля­ет $2–2,5 тыс., вклю­чая сто­и­мость обо­ру­до­ва­ния, про­грамм­ную лицен­зию и рабо­ты по уста­нов­ке и налад­ке. Если у бан­ка несколь­ко сотен или тысяч бан­ко­ма­тов по всей рес­пуб­ли­ке – это огром­ные день­ги», – ска­зал экс­перт, поже­лав­ший остать­ся неизвестным.

Стоимость обнов­ле­ния одно­го бан­ко­ма­та – $2–2,5 тыс.

Если ниче­го не менять, то мож­но ждать беды. Без тех­ни­че­ской под­держ­ки бан­ко­ма­ты на уста­рев­шей ОС хоть и будут рабо­тать, выда­вать день­ги, но будут крайне уяз­ви­мы. Хакеры смо­гут исполь­зо­вать про­грамм­ные лазей­ки, кото­рые не были выяв­ле­ны Microsoft. Кроме того, мето­ди­ки кибе­р­атак посто­ян­но совер­шен­ству­ют­ся, и если в новых вер­си­ях ОС их эво­лю­ция учи­ты­ва­ет­ся, то в уста­рев­ших – нет. Как резуль­тат – взло­мы, поте­ря денег, репу­та­ции, дове­рия клиентов.

Зима – близко…

Белорусские бан­ки уже нахо­дят­ся под при­це­лом киберз­ло­умыш­лен­ни­ков, целью кото­рых явля­ет­ся бан­ков­ское обо­ру­до­ва­ние. Недавно пра­во­охра­ни­тель­ные орга­ны Беларуси, Молдовы и евро­пей­ская поли­ция задер­жа­ли пре­ступ­ную груп­пу, кото­рая укра­ла из бан­ко­ма­тов стран Европы и Азии боль­ше 3 млн евро. Об этом Digital.Report рас­ска­зал про­ку­рор Генеральной про­ку­ра­ту­ры Молдовы Вячеслав Солтан: «Работала меж­ду­на­род­ная пре­ступ­ная груп­па, в кото­рую вхо­ди­ли граж­дане Молдовы».

Факт под­твер­ди­ли и в Следственном коми­те­те Беларуси. Не исклю­че­но, что задер­жан­ные участ­ни­ки груп­пы сто­я­ли и за недав­ним взло­мом бан­ко­ма­тов «Альфа-​Банка» в Беларуси. «Деятельность орга­ни­зо­ван­ной пре­ступ­ной груп­пы заклю­ча­лась в про­ве­де­нии тща­тель­но спла­ни­ро­ван­ных атак на бан­ко­ма­ты, в резуль­та­те кото­рых участ­ни­ки полу­ча­ли все содер­жав­ши­е­ся в них день­ги», – сооб­щи­ли в ведомстве.

Представитель ген­про­ку­ра­ту­ры Молдовы под­черк­нул, что хаке­ры, как и в слу­чае с недав­ним задер­жа­ни­ем, все чаще фоку­си­ру­ют­ся на бан­ков­ской сфе­ре, а защи­щен­ность бан­ков­ско­го обо­ру­до­ва­ния – одна из теку­щих про­блем, с кото­рой нуж­но бороться.

Неравная борь­ба

По сло­вам Солтана, в Молдове пра­ви­тель­ство и бан­ки при­кла­ды­ва­ют серьез­ные уси­лия, что­бы закрыть бре­ши в финан­со­вой сфе­ре. Со сто­ро­ны чинов­ни­ков идет раз­ра­бот­ка зако­нов, кото­рые запре­тят исполь­зо­ва­ние уста­рев­ше­го обо­ру­до­ва­ния и ПО, финан­со­вые учре­жде­ния же инве­сти­ру­ют сред­ства, что­бы уже сей­час соот­вет­ство­вать буду­щим требованиям.

Дыра в защи­те ока­за­лась настоль­ко серьез­ной, что бан­ков­ские систе­мы без­опас­но­сти не смог­ли опе­ра­тив­но обна­ру­жить утеч­ку средств.

Аналогичная рабо­та ведет­ся и в Беларуси. Важный шаг в этой обла­сти – зако­но­да­тель­ное регу­ли­ро­ва­ние бан­ков­ских обя­за­тельств. В рес­пуб­ли­ке дей­ству­ет прин­цип нуле­вой ответ­ствен­но­сти кли­ен­та, кро­ме это­го Visa и MasterCard экс­тра­по­ли­ру­ют нуле­вую ответ­ствен­ность и на бан­ки с совре­мен­ным обо­ру­до­ва­ни­ем. Экс-​руководитель карт-​центра «Белинвестбанка», а ныне вице-​президент MasterCard в Беларуси Вадим Головчиц в интер­вью кор­ре­спон­ден­ту Digital.Report рас­ска­зы­вал, что в стране рабо­та­ет прин­цип «пере­но­са ответ­ствен­но­сти», регла­мен­ти­ро­ван­ный меж­ду­на­род­ны­ми пла­теж­ны­ми систе­ма­ми. Например, если банк не под­дер­жи­ва­ет совре­мен­ные сред­ства защи­ты от мошен­ни­че­ских опе­ра­ций, то на него будет воз­ло­же­на ответ­ствен­ность за дей­ствия зло­умыш­лен­ни­ков с исполь­зо­ва­ни­ем этой бре­ши в защите.

Как ста­ло извест­но Digital.Report, хаке­рам, взло­мав­шим в Беларуси бан­ко­ма­ты «Альфа-​Банка», уда­лось вос­поль­зо­вать­ся лазей­кой в досту­пе к ком­пью­те­ру адми­ни­стра­то­ра, с кото­ро­го они впо­след­ствии разо­сла­ли на бан­ко­ма­ты коман­ду выдать налич­ные сред­ства. Эксперты гово­рят, что дыра в защи­те ока­за­лась настоль­ко серьез­ной, что бан­ков­ские систе­мы без­опас­но­сти не смог­ли опе­ра­тив­но обна­ру­жить утеч­ку средств. О про­па­же денег узна­ли толь­ко после инкас­са­ции бан­ко­ма­тов. Банку при­шлось отклю­чать все банкоматы.

Как пря­тать деньги?

Ситуация с про­пав­ши­ми день­га­ми может повто­рить­ся, тем более, что бан­ко­ма­ты оста­ют­ся уяз­ви­мы­ми, несмот­ря на пре­ду­пре­жде­ния и даже про­вер­ки со сто­ро­ны пла­теж­ных систем. Технический экс­перт бан­ка в раз­го­во­ре с Digital.Report при­знал­ся, что про­вер­ки на без­опас­ность бан­ко­ма­тов про­во­дят­ся не все­гда тща­тель­но. Дело в том, что сто­и­мость тако­го тех­ни­че­ско­го ауди­та высо­ка, а штраф­ные санк­ции за его непро­хож­де­ние еще боль­ше. «Аудит по стан­дар­ту без­опас­но­сти PCI DSS (стан­дарт без­опас­но­сти дан­ных инду­стрии пла­теж­ных карт, утвер­жден­ный меж­ду­на­род­ны­ми пла­теж­ны­ми систе­ма­ми Visa, MasterCard, American Express, JCB и Discover – прим. DR) обхо­дит­ся бан­ку в сум­му око­ло $0,5 млн. При этом штраф­ные санк­ции за про­вал ауди­та – око­ло $1 млн. Все это застав­ля­ет бан­ки искать воз­мож­но­сти дого­во­рить­ся с ауди­то­ра­ми, кото­ры­ми высту­па­ют ком­мер­че­ские ком­па­нии», – ска­зал он.

Мы обра­ти­лись в рос­сий­скую ком­па­нию Deiteriy, кото­рая про­во­дит подоб­ный аудит, где под­твер­ди­ли поря­док цен и спи­сок дей­ствий, кото­рые вклю­ча­ет в себя про­вер­ка соблю­де­ния стан­дар­та без­опас­но­сти. А это: сбор сви­де­тельств ауди­та и доку­мен­ти­ро­ва­ние наблю­де­ний, под­го­тов­ка отче­та, оформ­ле­ние сви­де­тель­ства выпол­не­ния стан­дар­та и отправ­ка его пла­теж­ным систе­мам. При этом «соглас­но тре­бо­ва­ни­ям меж­ду­на­род­ных пла­теж­ных систем, аудит явля­ет­ся еже­год­ной про­це­ду­рой». Получается, с одной сто­ро­ны, бан­ки долж­ны обес­пе­чить высо­кий уро­вень без­опас­но­сти рас­че­тов, а с дру­гой – без­опас­ность очень доро­го сто­ит. В резуль­та­те финан­со­вые струк­ту­ры ищут хруп­кий баланс меж­ду ценой и надеж­но­стью, наде­ясь, что его никто не нарушит.

Источник: Digital.Report

Share the post «Подарок для хаке­ров: доро­го­виз­на меша­ет обно­вить ОС в банкоматах»

  • Facebook
  • Twitter
  • VKontakte
  • WhatsApp
  • Email
  • Bluesky
Televid
Author: Televid