2019/10/24 11:21:33

Сбербанк (информационная безопасность)

Статья посвящена борьбе Сбербанка с мошенниками и кибер-преступниками.

Содержание

Сбербанк

Компании в России

За рубежом

Информационные технологии



2019

На продажу выставлены данные клиентов Сбербанка. База содержит миллион строк

23 октября 2019 года стало известно об утечке данных клиентов Сбербанка. На одном из теневых ресурсов продавец предлагает базу данных о заемщиках на миллион строк, накопленных с 2015 года. Помимо стандартной информации, покупателям предлагают запись последнего разговора с колл-центром.

Как пишет «Коммерсантъ», в объявлении о продаже говорится, что база содержит около миллиона строк с личной информацией (паспорт, прописка, адреса проживания, телефоны, счета, сумма остатка или задолженности) клиентов Сбербанка, имеющих кредиты или кредитные карты.

Новая порция данных клиентов Сбербанка попала на черный рынок
Новая порция данных клиентов Сбербанка попала на черный рынок

Выгрузка аудиозаписей разговоров с колл-центром, по словам продавца, производится «с рабочего места», то есть в дневное время. Однако продавец признался, что выступает перекупщиком и продает одну строку за 30 рублей. В базе содержатся данные из 10 территориальных отделений Сбербанка (всего их 11), выяснили журналисты «Коммерсанта».

Отмечалось, что информация продается в любом объеме, а покупатель может даже назвать интересующие его критерии, по которым будет сделана выборка. В то же время продавец в беседе с газетой пояснил, что эта база формируется с 2015 года и обновляется еженедельно.

База данных может быть реальной, а информация выглядит относительно свежей, указывает основатель и технический директор DeviceLock Ашот Оганесян.

«
С учетом того что продавец сообщил о возможности получить аудиозаписи разговоров, данные, возможно, утекли из внешнего колл-центра, обеспечивающего работу с должниками, — считает Оганесян. [1]
»

Близкий к Сбербанку источник уточнил РБК, что речь идет о данных из старой базы, а на сам банк неизвестные ведут информационную атаку.

В пресс-службе Сбербанка опровергли информация о новой утечке данных клиентов, передает ТАСС.

«
Мы не комментируем информацию, которая относится к категории слухов и домыслов, — сказали в пресс-службе.
»

Сбербанк нашел виновного в утечке данных клиентов

5 октября 2019 года Сбербанк опубликовал на своем сайте сообщение о завершении внутреннего расследования по выявлению канала утечки данных учетных записей по кредитным картам клиентов, в результате которого удалось выявить похитителя данных. Им оказался сотрудник банка 1991 года рождения, руководитель сектора в одном из бизнес-подразделений Сбербанка, который имел доступ к базам данных в силу выполнения служебных обязанностей. Хищение учетных записей он попытался осуществить в корыстных целях, выяснили в Сбербанке.

Сбербанк выявил сотрудника, который украл учетные записи кредиток 200 клиентов. Фото: esquire.ru

Ранее сообщалось о том, что преступник якобы располагал базой в 60 млн учетных записей. Злоумышленник даже продемонстрировал фрагмент базы, содержащий данные о 200 клиентах Уральского территориального банка Сбербанка. Как результат, в интернете оказалась такая персональная информация держателей карт, как лимиты по выпущенным кредиткам, дата предстоящего платежа и так далее.

Сбербанк признает утечку данных по крайней мере 200 своих клиентов. В своем заявлении от 5 октября президент и председатель Правления Сбербанка Герман Греф назвал информацию о 60 млн учетных записей "информационным шумом", уточнив при этом, что всего на октябрь 2019 года в Сбербанке насчитывается 18 млн клиентов, имеющих кредитные карты.

Согласно опубликованной информации, внутреннее расследование Служба безопасности банка проводила при взаимодействии с правоохранительными органами. Финорганизация отрабатывала несколько версий произошедшего. Доступ к базе мог получить сотрудник, имеющий особые права администратора. Также не исключалось, что компьютер мог быть физически разобран, а жесткий диск с данными изъят. Кроме того, служба безопасности допускала, что сотрудник мог просто сфотографировать экран монитора, где была указана нужная ему информация.[2]

В итоге были собраны и задокументированы необходимые улики для доказательства совершенного преступления. Совершивший преступление сотрудник при этом уже дал признательные показания, и представители правоохранительных органов осуществляют с ним процессуальные действия.

В целом по состоянию на 5 октября угроза утечки клиентских данных (помимо данных о кредитных картах 200 клиентов банка, о чем было сообщено в пресс-релизе банка от 3 октября) отсутствует, заверили в Сбербанке. При этом в кредитной организации подчеркнули, что во всех случаях угрозы для сохранности средств клиентов банка не было.

«
От себя лично и всей команды Сбербанка хочу еще раз принести глубокие извинения 200 нашим клиентам за произошедшее и всем нашим клиентам за доставленные переживания. Мы сделали серьезные выводы и кардинально усиливаем контроль доступа к работе наших систем сотрудников банка, чтобы минимизировать влияние человеческого фактора. Хочу поблагодарить всех наших клиентов за веру в нас и доверие, а также сотрудников Службы безопасности банка, нашего дочернего предприятия "Бизон" и правоохранительных органов за четкую и слаженную работу, которая позволила в течение считанных часов раскрыть преступление, – заявил Герман Греф, президент, председатель Правления Сбербанка.
»

В интернет утекла база данных клиентов Сбербанка

3 октября 2019 года стало известно, что в интернет утекла база данных клиентов Сбербанка, содержащая информацию о нескольких десятках миллионов владельцев кредитных карт. Объявление о продаже базы данных появилось в Рунете в последних числах сентября 2019 года и было обнаружено основателем компании DeviceLock по вопросам защиты информации Ашотом Оганесяном. По мнению экспертов, ознакомившихся с данными, утечка стала самой крупной в российском банковском секторе.

Как пишет «Коммерсант», кража информации могла произойти в конце августа 2019 года. Объявление было размещено на одном из русскоязычных форумов, заблокированных «Роскомнадзором». По утверждению человека, опубликовавшего его, в предлагаемой им базе содержатся сведения о 60 млн клиентов. В качестве пробной партии злоумышленник предлагает небольшой фрагмент этой базы – подробности о 200 клиентах банка из разных городов, которые обслуживает Уральский территориальный банк Сбербанка.

Выставленная на продажу база содержит подробные персональные данные владельцев кредитных карт, включая ФИО, паспортные данные, а также всю информацию о кредитных картах клиента и операциях по ним, включая кредитный лимит и неиспользованный лимит. Продавец утверждает, что вся БД состоит из 11 частей, по количеству территориальных банков Сбербанка. Стоимость информации – 5 руб. за каждую строку.

Скомпрометированная личная информация миллионов держателей карт Сбербанка. Источник: Telegram-канал «Банкста»
Скомпрометированная личная информация миллионов держателей карт Сбербанка. Источник: Telegram-канал «Банкста»

«Коммерсант» убедился в подлинности информации – корреспонденты попросили продавца найти в БД свои данные, и тот предоставил им нужные сведения, совпавшие с реальными данными.

Сбербанк сообщил, что получил информацию о возможной крупной утечке информации вечером 2 октября 2019 года. Он инициировал служебное расследование, итоги которого будут раскрыты дополнительно.

Специалисты финансового ведомства выдвинули основную версию инцидента – они предполагают, что кража информации о клиентах стала результатом умышленного преступления, совершенного одним или несколькими сотрудниками банка. Представители Сбербанка утверждают, что проникновение в базу данных извне попросту невозможно по причине ее «изолированности от внешней сети».

Также в банке заверили, что украденная неизвестными информация не угрожает сохранности средств клиентов, потому что не содержит коды CVV. К тому же для выполнения транзакции без предъявления самой карты в Сбербанке необходимо подтверждение в виде одноразового СМС-пароля, высылаемого на телефон владельца карты.

По словам главы DeviceLock Ашота Оганесяна, специалисты его компании проанализировали около 240 записей из базы данных и пришли к выводу об их подлинности. Эксперты отметили, что выставленный на продажу массив информации может оказаться сохраненной частичной или полной копией базы данных Way4процессинговой платформы, используемой Сбербанком на протяжении практически 10 лет.

В подлинности БД уверен и неназванный источник «Коммерсанта», приближенный к Центробанку. Он назвал предложенный продавцом файл с 200 строками данных «выгрузкой базы» Сбербанка. «Данные могут быть из хранилища данных всех систем, там лежит вся информация о клиентах. Утечка базы данных от кого-либо из партнеров видится маловероятной, судя по набору и объему данных», – отметил источник издания.

Ашот Оганесян сказал, что столь крупная утечка отразится на всей банковской отрасли. Расследованием произошедшего, по его мнению, займутся ЦБ России и Роскомнадзор и, возможно, правоохранительные органы. Не исключено и подключение иностранных регуляторов: к примеру, в случае, если украденная БД содержит сведения о гражданах ЕС, то Сбербанк должен будет уведомить об инциденте Еврокомиссию, в соответствии с «Общим регламентом по защите данных» (GDPR) – постановлению ЕС, вступившему в силу в мае 2018 года.

Роскомнадзор проверит информацию о возможном нарушении российского закона о персональных данных «в рамках своей компетенции». «Меры реагирования будут приниматься после установления признаков нарушений», – сообщили в ведомстве.

По данным CNews на октябрь 2019 года достоверность сведений в утекшей базе уже подтвердили некоторые сотрудники банка, чьи адреса почты и имена были в этом списке. Подтверждение также поступило от представителя одной из сторонних организаций, связанной с информационной безопасностью банка.[3]

Запрет на фотографирование экранов компьютеров сотрудниками

24 июня 2019 года стало известно о том, что крупные банки в России запретили своим сотрудникам фотографировать экраны компьютеров с помощью личных мобильных телефонов. Как пишет РБК, ограничения введены в Сбербанке, «ЮниКредите», банке «Открытие» и ВТБ. Подробнее здесь.

2018

Отражение 90 DDoS-атак за год

В 2018 году Сбербанк отразил 90 DDoS-атак, из которых 25 кибернападений имели высокую мощность. Об этом 25 декабря сообщила сама кредитная организация в своем отчете «Банковские тренды — 2018».

Из него следует, что показатели DDoS-атак на системы Сбербанка выросли в полтора раза по сравнению с 2017 годом. Каждую неделю банк получает в среднем 14,5 тыс. писем с вредоносными вложениями и разделегирует (блокирует) пять фишинговых сайтов. На протяжении 2018 года Сбербанк фиксировал в среднем одну-две DDoS-атаки в неделю. Такие атаки представляют собой внешние воздействия на системы организаций, приводящие к перегрузке. В конечном счете они могут привести к остановке работы ИТ-инфраструктуры организации.

Данные о кибератаках на Сбербанк
Данные о кибератаках на Сбербанк
«
Несмотря на такую интенсивность возникновения угроз банковские системы и сервисы Сбербанка ни разу не были выведены из строя злоумышленниками, — говорится в докладе.
»

Также сообщается, что около 5% всех кибератак в России нацелены на системы Сбербанка. К таким выводам банк пришел на основании данных за первый квартал 2018 года.

По данным компании Qrator Labs (специализируется на противодействии DDoS-атакам и обеспечении доступности интернет-ресурсов), количество DDoS-атак на банки по всему миру в 2018 году по сравнению с предыдущим годом выросло в 1,9 раза.

Кибератаки на банки учащаются на фоне растущей популярности мобильного банкинга. К декабрю 2018 года активная аудитория пользователей мобильного приложения «Сбербанк Онлайн» превысила 40 млн человек. За год (с октября 2017 года по октябрь 2018-го) прирост составил 47%. Эти цифры соответствуют высоким показателям для иностранных крупных розничных банков, отмечают в Сбербанке.

Более 60% активных пользователей цифровых каналов (SMS, сайт, приложение) – почти 25 млн человек – в основном используют только программу для смартфонов и уже даже практически не заходят в традиционную веб-версию.

6 крупных кибератак за 2 дня

По сообщению от 30 ноября 2018 года "Сбербанк" за последние два дня подвергся серии из шести хакерских атак. DDoS-атаки производились через спуфинг с не менее 100 серверов из шести стран. При этом системы банка не пострадали.

«
То, что происходит последние несколько дней, вызвало у нас определенное беспокойство. Вчера и позавчера ресурсы Сбербанка были атакованы не менее шести раз. Общая длительность этих DDoS-атак была не менее 1,5 часа. Одна из атак длилась около 27 минут. Это беспрецедентная по длительности атака, которая осуществлялась с помощью последних технологий с применением технологии спутника и сокрытия адресов отправителя. По нашим оценкам, она осуществлялась весьма профессионально, в рамках этой атаки атакующий активно исследовал уровень нашей защиты. На ресурсы банка эти атаки не повлияли. С большой вероятностью они были осуществлены из-за рубежа. И из тех материалов, которые у нас есть, видно, что атаки были с более чем 100 серверов, размещенных в шести странах мира. Защита и технологии Сбербанка позволяет успешно отражать подобного рода атаки. Если бы такие атаки были осуществлены на серверы другой компании, последствия могли бы быть значительными».
Станислав Кузнецов, зампредправления Сбербанка[4]
»

Сбербанк спас от кибермошенников 32 млрд рублей средств клиентов

29 ноября 2018 года стало известно, что Сбербанка подвел предварительные итоги 2018 года в сфере кибербезопасности. По информации компании, Сбербанк спас от кибермошенников 32 млрд рублей средств клиентов. На ноябрь 2018 года самым распространенным видом кибермошенничества стала социальная инженерия  — более 80% случаев, зафиксированных Сбербанком, в 2018 году пришлось на этот метод получения несанкционированного доступа к информации, основанный на использовании слабостей человека. При этом на ноябрь 2018 года 86% из всех случаев социальной инженерии составили «самопереводы» денежных средств под влиянием мошенников.

Самый типичный на ноябрь 2018 года кейс «самопереводов» — обман на сайтах бесплатных объявлений. Клиент размещает объявление на сайте, от потенциального «покупателя» совершается звонок, в ходе которого клиент сам сообщает ему реквизиты своей банковской карты, зачастую даже предоставляя SMS-пароли для того, чтобы злоумышленник мог совершить все операции от имени клиента.

С начала 2018 года Сбербанк спас от кибермошенников 32 млрд рублей средств клиентов с помощью системы фрод-мониторинга, основанной на искусственном интеллекте. На ноябрь 2018 года система фрод-мониторинга анализирует более 150 млн операций в сутки и блокирует подозрительные транзакции.

Центр киберзащиты Сбербанка ежедневно обрабатывает более 3 млрд событий, при этом несколько тысяч из них связаны с вредоносным ПО. В среднем в 2018 году Сбербанк фиксировал 1-2 DDoS-атаки на свои системы каждую неделю. Всего с начала 2018 года банк отразил 62 DDoS-атаки, 25 из них — это атаки высокой мощности, их количество в 1,5 раза превышает этот показатель 2017 года. Результатом работы Центра киберзащиты стала бесперебойная работа банковских систем и сервисов от DDoS-атак и бесперебойное обслуживание клиентов.

В среднем, на ноябрь 2018 года за неделю Сбербанк разделегирует примерно 5 фишинговых сайтов, а за квартал системы безопасности банка фиксируют около 190 тыс. попыток направления писем, содержащих вредоносные вложения и фишинг, сотрудникам банка.[5]

«
Киберпреступники чаще взламывают не ИТ-систему, а человека, поэтому людям необходимо знать правила кибербезопасности и следовать им на уровне привычки.

Станислав Кузнецов, заместитель Председателя Правления Сбербанка
»

Данные 420 тыс. сотрудников Сбербанка оказались в открытом доступе

29 октября 2018 года стало известно об утечке данных 421 тыс. сотрудников Сбербанка. Текстовый файл размером 47 Мбайт, в котором находятся ФИО работников и их логины для входа в операционную систему (зачастую совпадают с их адресами электронной почты), появился на специализированном форуме phreaker.pro.

База данных, которую выложил неизвестный пользователь, доступна бесплатно, сообщает «Коммерсантъ». Один из сотрудников Сбербанка и представитель сторонней организации, которая связана с информационной безопасностью банка, подтвердили изданию подлинность базы.

Адресную книгу сотрудников Сбербанка выложили в интернет
Адресную книгу сотрудников Сбербанка выложили в интернет

В базе содержатся данные и о сотрудниках дочерних организаций Сбербанка, в том числе зарубежных, а также о некоторых уже уволенных сотрудниках. Издание сравнило адреса электронной почты некоторых непубличных менеджеров Сбербанка с собственной базой для подтверждения подлинности данных. Есть в базе и три e-mail президента банка Германа Грефа. Отмечается, что база данных актуальна на 1 августа 2018 года.

В Сбербанке заверили, что утечка данных не представляет никакой угрозы клиентам и автоматизированным системам, а адресная книга доступна всем сотрудникам. Причину утечки в пресс-службе не прокомментировали. По словам источников газеты, «наиболее вероятны злонамеренные действия кого-то из действующих или бывших сотрудников».

О проблеме знает и Герман Греф, сказал источник «Коммерсанта» в банке. По его словам, президент Сбербанка уже выразил свое недовольство. Источники газеты утверждают, что скорее всего этот документ опубликовал кто-то из сотрудников Сбербанка — действующий или бывший.[6]

Утечки происходят часто: им подвержены как компании, так и целые ведомства, говорит веб-аналитик «Лаборатории Касперского» Владислав Тушканов. 

«
Для самого предприятия это может быть чревато репутационными потерями, также утечки несут угрозу непосредственно тем, чьи данные попадают в открытый доступ, — сказал он в разговоре с РИА Новости.[7]
»

«Доктор Веб»: Более 78 миллионов руб. клиентов Сбербанка под угрозой

Аналитики компании «Доктор Веб» зафиксировали в апреле 2018 года распространение троянца Android.BankBot.358.origin, который нацелен на клиентов Сбербанка. Эта вредоносная программа крадет информацию о банковских картах, выводит деньги со счетов, а также блокирует зараженные устройства и требует выкуп. Ущерб, который может нанести Android.BankBot.358.origin, превышает 78 млн руб[8].

Android.BankBot.358.origin известен компании «Доктор Веб» с конца 2015 г. Вирусные аналитики установили, что новые модификации троянца Android.BankBot.358.origin предназначены для атаки на российских клиентов Сбербанка и заразили уже более 60 тыс. мобильных устройств. Однако, поскольку вирусописатели распространяют множество различных версий этого вредоносного приложения, число пострадавших может значительно увеличиться. Суммарный объем средств, которые злоумышленники способны украсть с банковских счетов владельцев зараженных устройств, превышает 78 млн руб. Кроме того, киберпреступники могут похитить более 2,7 млн. руб. со счетов мобильных телефонов.

Этот банковский троянец распространяется при помощи мошеннических СМС, которые могут рассылать как киберпреступники, так и сама вредоносная программа. Чаще всего сообщения отправляются от имени пользователей сервиса Avito.ru. В таких СМС потенциальной жертве предлагается перейти по ссылке – якобы чтобы ознакомиться с ответом на объявление. Например, популярен текст: «Добрый день, обмен интересен?». Кроме того, иногда владельцы мобильных устройств получают поддельные уведомления о кредитах, мобильных переводах и зачислениях денег на счет в банке.

При переходе по ссылке из такого сообщения жертва попадает на принадлежащий злоумышленникам сайт, откуда на мобильное устройство скачивается apk-файл вредоносного приложения. Для большей убедительности вирусописатели используют в Android.BankBot.358.origin значок настоящей программы Avito, поэтому вероятность успешной установки троянца после его загрузки увеличивается. Некоторые модификации банкера могут распространяться под видом других программ – например, ПО для работы с платежными системами Visa и Western Union.

Пресс-служба Сбербанка оперативно отреагировала на сообщение компании «Доктор Веб» и разослала в редакции СМИ сообщение о том, что специалистам банка уже давно известно о существовании описанной вредоносной программы, а приложение «Сбербанк Онлайн» со встроенными антивирусом способно защитить мобильные устройства от подобных атак.

2017

Центр управления кибербезопасностью Сбербанка получил сертификат соответствия международному стандарту

13 декабря 2017 года Сбербанк стал первым банком в России, чей центр управления кибербезопасностью сертифицирован Британским институтом стандартов (BSI) на соответствие международному стандарту ISO/IEC 27001:2013.

Центр управления кибербезопасностью Сбербанка (2017)
Центр управления кибербезопасностью Сбербанка (2017)

Стандарт [9] определяет требования к созданию, внедрению, обслуживанию и постоянному совершенствованию системы управления информационной безопасностью организации. Он также включает требования к оценке и обработке рисков информационной безопасности, адаптированных к потребностям организации. Разработчиком стандарта является Международная организация по стандартизации (ISO), одним из аккредитованных органов по сертификации выступает Британский институт стандартов (BSI).

Подробнее о проекте смотрите IBM создаст для Сбербанка центр информационной безопасности.

Сбербанк собрал тысячную армию специалистов по ИБ и продолжает «пылесосить» рынок

В 2017 году Сбербанк существенно увеличил численность специалистов по информационной безопасности (ИБ), и по состоянию на ноябрь в банке работает порядка 1200 таких сотрудников, рассказал TAdviser руководитель службы кибербезопасности Сбербанка Сергей Лебедь. Помимо Москвы служба кибербезопасности банка представлена еще в пяти городах.

По словам Сергея Лебедя, службу планируется расширять и дальше. Точные цифры по имевшемуся и планируемому росту сотрудников в области ИБ он предпочел не называть, но обозначил, что их ротация в Сбербанке - примерно на уровне 100 специалистов в год. Часть людей «растет» и уходит в другие подразделения, отмечает Лебедь.

Сергей Лебедь отмечает наличие дефицита кадров на рынке ИБ
Сергей Лебедь отмечает наличие дефицита кадров на рынке ИБ

Руководитель службы кибербезопасности Сбербанка отметил, что на рынке ИБ имеется серьезная кадровая проблема - дефицит специалистов в области кибербезопасности. Корни этого он видит в низком уровне профессиональной подготовки в российских вузах: «безопасников не учат ИТ, а ИТшников не учат безопасности».

«
В нашем понимании специалист в области ИБ - это эксперт в ИТ. И мало того, что экспертов нет на выходе из вуза, так еще и специалист по безопасности очень далек от информационных технологий. И эта проблема - общая, и Сбербанка, и других компаний. Это проблема страны, и с этим надо что-то делать, менять систему образования, - заявил Лебедь.
»

Он добавил, что в ходе недавней встречи с коллегами из Иннополиса, которые тоже занимаются подготовкой кадров в области ИБ, выяснилось, что те купили за «очень большие деньги» программы в международных вузах.

«
Это правильный коммерческий ход с точки зрения быстрого эффекта, но неужели мы не можем разработать эти курсы, неужели не хватает компетенций для этого в стране, где по оценке мира лучшие хакеры?, - задается вопросом представитель Сбербанка.
»

Одним из факторов сложившейся ситуации Сергей Лебедь обозначил тот факт, что хорошие специалисты в области ИБ редко задерживаются в вузах в качестве преподавателей из-за низких зарплат.

Гендиректор Solar Security Игорь Ляпунов считает, что Сбербанк является «пылесосом» кадров в области кибербезопасности: в Solar Security многие сотрудники регулярно получают приглашения с кратно увеличенными зарплатами. При имеющемся на рынке дефиците кадров в области ИБ и большом числе открытых вакансий Сбербанка такой хантинг может усугубить проблему для других компаний на рынке.

Сергей Лебедь объясняет, что Сбербанк работает с вузами по направлению подготовки кадров в области ИБ: по состоянию на осень 2017 года у него есть партнерские отношения с 7 вузами. Но если в вузах кадров не хватает, то решает проблему «коммерческим путем». Сбербанку нужны готовые кадры, которые готовы решать задачи, говорит представитель банка. При этом Сбербанк готов их учить и инвестировать в них, но не на протяжении пяти лет, отметил Лебедь.

Искусственный интеллект помог Сбербанку РФ выявить схему хищения денег из банкоматов

Специалисты Сбербанка РФ с помощью применения в системе фрод-мониторинга искусственного интеллекта сумели определить метод злоумышленников, направленный на взлом банкоматов, и выстроить защиту против действий хакеров. Сообщил об этом в июне 2017 года заместитель председателя правления финансового учреждения Станислав Кузнецов.

«
Мы зафиксировали это впервые с применением технологии искусственного интеллекта. Мошенник вставляет карточку, запрашивает определенную сумму, банкомат начинает считать деньги. В тот момент, когда он подает деньги в приемник внутри, банкомат должен выдать карточку обратно. Мошенник придерживает карточку, она застревает в приемнике. А деньги уже находятся уже в устройстве выдачи, и можно было раньше в наших банкоматах эту сумму достать. В результате преступник имел деньги, карточка тоже была у него в руках, - пояснил Кузнецов.
»

По факту, выдача денег банкоматом не была зафиксирована и списание со счета их не происходило.

Следы злоумышленников, проводящих подобные хищения, которые были зафиксированы в Москве и Санкт-Петербурге, практически было невозможно обнаружить. Как пояснил Кузнецов, увидеть «отклонения между объемом загрузки и инкассированной выручки на банкомате и сопоставить разницу и совершенные на устройстве операции» позволило ПО системы фрод-мониторинга. По его словам, благодаря использованию в этой системе технологии искусственного интеллекта, которая максимально эффективно позволяет провести анализ поведения держателей карт, позволило уже в марте этого года определить методику хищений и разработать меры противодействия. Исходя из данных, специалистам стала доступна «информация о том, где, когда этими карточками пользовались, по каким адресам и так далее»[10].</blockquote>

В июле Сбербанк планирует запустить систему фрод-мониторинга на всех устройствах самообслуживания.

Зампред Сбербанка: Государство не заинтересовало наше оружие против WannaCry, а за рубежом нам аплодировали

Зампред правления Сбербанка Станислав Кузнецов, представляющий команду кибербезопасности, на Петербургском международном экономическом форуме (ПМЭФ) в мае 2017 года раскритиковал реакцию государства на атаку российских организаций вирусом-вымогателем WannaCry и отношение чиновников к теме кибербезопасности в целом.

Масштабная кибератака с использованием вируса WannaCry имела место ранее в мае и затронула более 70 стран, в ряде них атаке подверглись компьютеры государственных ведомств и крупных компаний. Россия, по данным «Лаборатории Касперского», подверглась заражению в наибольшей степени. В числе организаций, чьи компьютеры попали под удар, оказались Сбербанк, «Мегафон», МВД, Минздрав, РЖД, МЧС.

Станислав Кузнецов считает, что государство не уделило достаточно внимания проблеме с атакой WannaCry
Станислав Кузнецов считает, что государство не уделило достаточно внимания проблеме с атакой WannaCry

Станислав Кузнецов заявил, что Сбербанк в числе первых, буквально через минуты, увидел эту ситуацию, и специалисты банка мгновенно поняли, в чем проблема. По его словам, уже через несколько часов они создали утилиту, которая позволяет определить дистанционно в любой компании наличие этого вируса и остановить его распространение.

«
Мы предложили помощь всем, кого таргетировали, и безвозмездно помогали организациям. Однако у государственных институтов эта утилита интереса не вызвала, хотя за рубежом нам аплодировали, потому что мы это сделали и достаточно быстро, - сказал зампред правления Сбербанка.
»

Кузнецов задается вопросом, почему в России не произошло дискуссии о том, какие серьезные выводы необходимо сделать из этой атаки.

«
Никто из государственных чиновников не собрал нас, не обсудил эту проблему, не понял, какие причины к этому привели, и не желает искать пути выхода из этой ситуации, - посетовал он.
»

По мнению Кузнецова, в России имеет место в целом недооценка рисков кибербезопасности при том, что Россия – «мишень номер один для всех хакеров».

Российское законодательство в области кибербезопасности должно быть видоизменено, считает зампред правления Сбербанка. Он отметил, что год назад на ПМЭВ велось обсуждение, что нужно срочно принимать пакет законодательных инициатив в этой области, но с тех пор есть лишь небольшие попытки что-то видоизменить, а законы не принимаются. Законопроекты, которые вносят ФСБ и другие ведомства – это крохи на фоне того, что нужно стране.

По мнению Станислава Кузнецова, государственные институты сегодня неспособны управлять миллиардами кибер рисков самостоятельно, и для эффективной защиты необходимо привлекать все крупные корпорации из всех отраслей.

2016

Сбербанк отразил 74 DDoS-атаки атаки в 2016 году

Сбербанк зафиксировал 74 DDoS-атаки на свои системы в 2016 г. Об этом рассказал в конце года зампред правления Сбербанка Станислав Кузнецов.

По словам Кузнецова, крупные атаки на банк совершаются с периодичностью раз в неделю или раз в 10 дней. В декабре хакеры атаковали Сбербанк 6 раз. Кредитной организации удается предотвращать практически 100% попыток скимминга (кража данных карты при помощи специального считывающего устройства).

При этом Кузнецов подчеркнул, что скимминг в настоящее время стал редко использоваться киберпреступниками.

«
Новых элементов фрод нет, продолжаем фиксировать особые риски для компаний, которые не занимаются кибербезопасностью. Попытки вывести несколько миллионов рублей мы фиксируем примерно раз в неделю, - сказал он.
»

Однако в декабре банк не зафиксировал крупных потерь российских компаний. В том числе, снижение ущерба происходит в результате более слаженной работы правоохранительных структур с кредитными организациями.

Сбербанк пресек попытки кибермошенничества на сумму свыше 8,6 млрд рублей

За 9 месяцев 2016 года Сбербанк предотвратил мошенничество против своих клиентов  - физических и юридических лиц в каналах дистанционного банковского обслуживания  и торговых точках на сумму более 8,6 млрд руб., отчитался банк в октябре. В 2015 году за аналогичный период было предотвращено мошенничество на сумму 4,8 млрд рублей.

Ущерб от мошенничества в мобильном приложении «Сбербанк Онлайн» снижен более чем в семь раз, в системе «Мобильный банк» — в два раза, говорят в Сбербанке.

В Сбербанке не уточнили TAdviser, сколько денег со счетов клиентов кибермошенникам удалось похитить в 2015 году и за 9 месяцев 2016 года.

Заместитель председателя правления Сбербанка Станислав Кузнецов отмечает, что сумма предотвращенного ущерба увеличилась в 1,8 по сравнению с аналогичным периодом 2015 года, несмотря на возросшую активность преступников. По его словам, это стало возможно благодаря внедрению в этом году «новейших технологий безопасности», позволяющих Сбербанку более эффективно предотвращать кибермошенничество.

В апреле 2016 года Сбербанк докладывал о завершении первого этапа строительства центра информационной безопасности (Security Operational Center, SoC), в рамках которого была внедрена централизованная SIEM-система для сбора и корреляции событий безопасности. Это позволило рассматривать до 1 млн подозрительных событий в работе систем организации в сутки. До создания SoC банку удавалось изучить лишь 100-200 инцидентов в день.

По состоянию на середину 2016 года, по данным Станислава Кузнецова, в обеспечении ИБ в Сбербанке задействованы «несколько сотен» сотрудников.

Создание центра киберзащиты, выход на рынок ИБ-услуг

13 октября 2016 года Сбербанк и российское представительство Microsoft объявили о соглашении по созданию центра киберзащиты, с помощью которого банк намерен оказывать бизнесу спектр услуг в области информационной безопасности (подробнее).

Соглашение о партнерстве в сфере информационной безопасности с ведущими вузами страны

15 июля 2016 года Сбербанк заключил соглашение о стратегическом партнерстве в сфере информационной безопасности с МГУ, МГТУ им. Баумана, НИУ ВШЭ, МФТИ, МИФИ и Московским университетом МВД.

Соглашение предусматривает специализированную подготовку специалистов для последующей работы в Сбербанке, а также совместные исследования, образовательные и научно-исследовательские проекты.

«Развитие систем информационной безопасности – одно из важнейших направлений работы Сбербанка, – подчеркнул заместитель Председателя Правления Сбербанка Станислав Кузнецов. – Стратегическое партнерство с ведущими российскими вузами дополнительно усилит наши позиции в этой области. Кроме того, мы поможем вузам создавать актуальные учебные программы по информационной безопасности, а студентам – работать над прикладными востребованными темами».

Сбербанк создал специальную «дочку» и лабораторию для усиления кибербезопасности

В июне 2016 года Сбербанк рассказал о текущих итогах деятельности по повышению уровня информационной безопасности (ИБ) в своей организации. Зампредседателя правления Сбербанка Станислав Кузнецов отметил, что число кибератак и объемы ущерба от них растут в России и в мире. В 2015 году Сбербанк провел глубокий анализ ситуации в области ИБ, показавший, что банку необходимо полностью менять свой ландшафт, конфигурацию своих сил и средств для того, чтобы противодействовать существующим объемам угроз, отметил он.

По словам Кузнецова, на основе этой аналитики и прогнозов Сбербанк в прошлом году разработал и утвердил концепцию кибербезопасности. В 2015 году банк также реализовал первый этап по созданию единого операционного центра информационной безопасности (Security Operation Center, SOC). В его рамках была развернута система управления всеми инцидентами ИБ (SIEM). В сутки Сбербанк фиксирует до 1 млн событий, которые могут нести риски ИБ. В SOC все риски оперативно анализируются и предотвращаются.

В диспетчерском центре <!--LINK 0:196--> Сбербанка Станислав Кузнецов продемонстрировал работу некоторых систем единого SOC банка в режиме реального времени. Где находится сам SOC, в Сбербанке предпочитают не говорить
В диспетчерском центре МегаЦОДа Сбербанка Станислав Кузнецов продемонстрировал работу некоторых систем единого SOC банка в режиме реального времени. Где находится сам SOC, в Сбербанке предпочитают не говорить
ИБ-система Сбербанка в режиме реального времени подсчитывает размер предотвращенных хищений средств со счетов клиентов за день. 10 мая к 13:00, например, могло быть, но не было украдено более 27 млн рублей
ИБ-система Сбербанка в режиме реального времени подсчитывает размер предотвращенных хищений средств со счетов клиентов за день. 10 мая к 13:00, например, могло быть, но не было украдено более 27 млн рублей

Где именно находится SOC Сбербанка, зампред правления организации предпочел не раскрывать из соображений безопасности. Не откровенничают в Сбербанке и относительно решений, которые в нем используются. Вместе с тем, Станислав Кузнецов рассказал TAdviser, что до конца 2016 года Сбербанк планирует реализовать второй этап работ в области SOC. Проект носит название SOC 2.0.

«
SOC 2.0 – это новый уровень управления рисками информационной безопасности и снятие критических рисков, которые Сбербанк обнаруживает в работе любых систем банка, включая те, которыми пользуются клиенты, - сказал Станислав Кузнецов.
»

Он добавил, что проект предполагает внедрение ряда новых систем, которые будут эти риски выявлять и устранять. В них будут использоваться разработки в области технологий Big Data и, возможно, элементы искусственного интеллекта.

По данным зампреда правления Сбербанка, в 2015 году банк совокупно потратил порядка 1,5 млрд руб. на мероприятия, связанные с информационной безопасностью. Сколько будет потрачено на эти же цели в 2016 году, он предпочел пока не озвучивать. По состоянию на середину года, по данным Станислава Кузнецова, ИБ в Сбербанке занимаются «несколько сотен» сотрудников.

В продолжение развития направления ИБ, в 2016 году банк основал дочернюю компанию «Безопасная информационная зона» (краткое название – «Бизон»), которая будет вести деятельность в области ИБ. В частности, она будет вести анализ ситуации в мире в области киберугроз, проводить тестирование всех систем Сбербанка на предмет их уязвимости, а также проводить экспертизы, связанных с киберрисками. Данная компания также оказывает поддержку для работы SOC, добавил Станислав Кузнецов.

Еще одним элементом в цепочке киберзащиты Сбербанка стала лаборатория кибербезопасности, созданная при «Сбертехе» в 2016 году. Зампред правления Сбербанка пояснил TAdviser, что она будет заниматься разработкой прототипов решений в области ИБ для последующего использования в банке: «она будет брать некоторые идеи и доводить их до уровня прототипа». Созданием промышленных решений на базе некоторых их этих прототипов и их внедрением впоследствии будет заниматься либо «Сбертех», либо сторонние подрядчики.

Весной 2016 года Сбербанк также отправил группу своих экспертов в США, чтобы изучать передовой зарубежный опыт противодействия киберугрозам в финансовых организациях. C этой целью они посетили CitiBank, а также встретились с представителями мировых ИТ-вендоров, таких как IBM, Microsoft, Dell и других.

IBM выбрана разработчиком Центра ИБ Сбербанка

В конце декабря 2015 года Сбербанк объявил конкурс[11] по выбору поставщиков консультационных услуг в рамках развития единого операционного центра по ИБ (Security Operation Center, SOC). Максимальная цена контракта составляет 60,9 млн руб. Победителем торгов стала IBM. Подробнее о проекте - по ссылке.

2014: Сбербанк предотвратил хищение 2,9 млрд руб. со счетов клиентов

В материалах годового отчета, опубликованного в мае 2015 года, «Сбербанк» рассказал о результатах деятельности по обеспечению информационной безопасности и противодействию мошенничеству за прошедший год.

По данным банка, в 2014 году был пресечена 71 попытка хищения средств юридических и свыше 87 тыс. попыток хищения средств физических лиц. Сумма предотвращенного ущерба составила более 2,9 млрд руб. Также были выявлены и предотвращены попытки мошенничества в торговых точках, принимающих банковские карты к оплате через платежные терминалы «Сбербанк», на сумму около 0,8 млрд рублей. Данных об объемах хищений по итогам успешно проведенных мошеннических операций в «Сбербанке» не предоставили.

В 2014 году «Сбербанк» установил более 13 тыс. комплектов активного антискиммингового оборудования на устройства самообслуживания
В 2014 году «Сбербанк» установил более 13 тыс. комплектов активного антискиммингового оборудования на устройства самообслуживания

В банке отмечают, что в сотрудничестве с правоохранительными органами в прошедшем году была прекращена деятельность нескольких киберпреступных групп, осуществляющих массовые атаки на клиентов их банка, задержаны и привлечены к ответственности виновные. Об одном из таких эпизодов сообщалось[12] в марте 2014 года: тогда при поддержке «Лаборатории Касперского» и «Сбербанка» была задержана группа злоумышленников, организовывавших как хищение денежных средств у банков, так и проводивших кибератаки на органы законодательной власти. Тогда, по данным «Сбербанка», было предотвращено хищение «десятков миллионов рублей» со счетов его клиентов.

В 2014 году «Сбербанк» также провел плановую работу по технической защите устройств самообслуживания от скимминга: банк установил более 13 тыс. комплектов активного антискиммингового оборудования и разработал порядок взаимодействия своих подразделений при проверке сообщений о подозрении на скимминг.

«
В результате нами было предупреждено 702 случая скимминга и изъято 142 комплекта скиммингового оборудования, а сумма предотвращенного нами ущерба от скимминга составила около 4,7 млрд рублей», - констатируют в «Сбербанке».
»

В части повышения безопасности информационных систем банка для защиты персональных данных клиентов в 2014 году была внедрена система предотвращения утечек информации конфиденциального характера вовне (DLP-система) и был проведен сертификационный аудит главного процессингового центра «Сбербанк» на соответствие международному стандарту безопасности индустрии платежных карт PCI DSS (Payment Card Industry Data Security Standard). Данный стандарт предназначен для обеспечения безопасности обработки, хранения и передачи данных о держателях платежных карт в информационных системах компаний, работающих с международными платежными системами Visa, MasterCard и другими.

Аудит по этому же стандарту был пройден в подразделении «Яндекс.Деньги», вошедшем в состав «Сбербанка» в 2013 году. Помимо этого, в «Яндекс.Деньги» в 2014 году была отлажена процедура борьбы с фишингом и внедрена система круглосуточного видеонаблюдения в офисах, говорится в отчетных материалах банка.

2013: Сбербанк предотвратил ущерб от скимминговых операций на 5,6 млрд рублей

В отчете о корпоративной социальной ответственности за 2013 год, опубликованном в июне, «Сбербанк» рассказал о результатах деятельности по обеспечению информационной безопасности и противодействию мошенничеству за прошедший год.

В документе говорится, что в сотрудничестве с правоохранительными органами в 2013 году были задержаны члены двух преступных групп, заражающих компьютеры пользователей вредоносными вирусами, включая самого разработчика банковского трояна Carberp.

Также в прошлом году были выявлены и предотвращены первые массовые атаки на клиентов, использующих мобильное приложение «Сбербанк Онл@йн», со стороны «современных мобильных вирусов», а также DDoS-атаки на инфраструктуру со стороны радикальных международных хакерских групп.

В 2013 году были выявлены и предотвращены попытки мошенничества в торговых точках,

принимающих банковские карты к оплате через платежные терминалы «Сбербанка», на сумму более 1 млрд руб., а также предотвращен ущерб от скимминговых операций на сумму порядка 5,6 млрд руб., следует из отчета банка.

Также в 2013 году имело место мошенничество с 5-тысячными купюрами: с ними в систему «Сбербанка», поступило несколько миллионов фальшивых рублей. В ответ на мошеннические действия были усилены меры безопасности: в частности, банкоматы банка переоборудованы усовершенствованными купюроприемниками.

В отчете отмечается, что в прошедшем году в «Сбербанке» было зафиксировано четыре случая разглашения личных данных клиентов.

«
Все случаи при этом носили локальный характер и затронули очень небольшое количество клиентов. Тем не менее мы приняли решение усовершенствовать политику в отношении обработки персональных данных, задействовав в ее разработке сотрудников из разных департаментов и включив в нее ряд дополнительных процедур по защите, - говорится в отчете «Сбербанка». - Также в территориальных банках с 2013 года проводятся регулярные проверки помещений и предприняты дополнительные меры по защите материальных носителей».
»

В 2013 году были пройдены обязательные процедуры проверки информационных систем дочерних банков группы «Сбербанка». В частности, нами была проведена аттестация информационных систем на соответствие требованиям безопасности информации и получены аттестаты соответствия для 20 объектов информатизации.

ИТ-проекты в Сбербанке

Примечания