Алексей Воронин - Мошенничество в платежной сфере. Бизнес-энциклопедия
• действия, направленные на денежные средства (хищение банкомата вместе с денежными средствами, взлом сейфа банкомата, хищение денежных средств путем монтажа дополнительных устройств на механизм выдачи купюр (cash trapping), внесение неплатежеспособных/поддельных наличных денежных купюр, ограбление при инкассации и кибератака — хищение наличных денежных средств путем несанкционированного доступа к программному обеспечению);
• действия, направленные на карту и (или) ее реквизиты (копирование магнитной полосы карты (skimming), захват карты в считывающем устройстве (ридере) с целью ее дальнейшего незаконного изъятия (jamming, card trapping), подмена или присвоение карты незаметно для держателя после выполнения операции на банкомате (swapping), фальшивые банкоматы, кибератака — информация о реквизитах карты присваивается путем несанкционированного доступа к программному обеспечению или каналам связи);
• противоправные действия, направленные на ПИН (подглядывание через плечо (shoulder surfing), скрытые видеокамеры, накладные клавиатуры, увеличительные оптические приборы и др.);
• действия, направленные на банкомат (технологию) — нарушение целостности, конфиденциальности или доступности системы (технологии) ATM посредством несанкционированного кибервторжения;
• другие (например, фишинг, обман с использованием социальной инженерии, средств мобильной связи и т. п.).
7.1. Нормативные документы и рекомендации
В настоящий момент появилось достаточно большое количество документов, направленных на обеспечение безопасности банкоматов. Перечислим некоторые из них.
«Положение о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» от 09.06.2012 № 382-П. Данный нормативный документ относит банкоматы к объектам информационной инфраструктуры, к которым предъявляются определенные требования.
2.6.1. Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают учет объектов информационной инфраструктуры, используемых для обработки, хранения и (или) передачи защищаемой информации, в том числе банкоматов и платежных терминалов.
2.6.3. При осуществлении доступа к защищаемой информации, находящейся на объектах информационной инфраструктуры, указанных в подпункте 2.6.1 настоящего пункта, оператор по переводу денежных средств, банковский платежный агент (субагент) обеспечивают:
выполнение процедур идентификации, аутентификации, авторизации лиц, осуществляющих доступ к программному обеспечению банкоматов и платежных терминалов;
выполнение процедур идентификации и контроль деятельности лиц, осуществляющих техническое обслуживание банкоматов и платежных терминалов;
2.6.5. Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры принимают и фиксируют во внутренних документах решения о необходимости применения организационных мер защиты информации и (или) использования технических средств защиты информации, предназначенных для: регистрации доступа к банкоматам, в том числе с использованием систем видеонаблюдения.
Когда штатные средства производителей банкоматов отсутствуют, выполнение требований возможно организационными мерами или применяя решения сторонних производителей.
2.7.1. Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают:
использование технических средств защиты информации, предназначенных для выявления вредоносного кода и для предотвращения воздействия вредоносного кода на объекты информационной инфраструктуры (далее — технические средства защиты информации от воздействия вредоносного кода), на средствах вычислительной техники, включая банкоматы и платежные терминалы, при наличии технической возможности;
регулярное обновление версий технических средств защиты информации от воздействия вредоносного кода и баз данных, используемых в работе технических средств защиты информации от воздействия вредоносного кода и содержащих описание вредоносных кодов и способы их обезвреживания;
функционирование технических средств защиты информации от воздействия вредоносного кода в автоматическом режиме, при наличии технической возможности.
По смыслу данные требования видимо относятся к необходимости использовать на банкоматах антивирусные решения («регулярное обновление… баз данных»). Но для банкоматов их применение является нецелесообразным: банкомат является закрытой средой с ограниченным и заранее известным набором программ, служб, сервисов. Антивирусные программы распознают только уже известное вредоносное программное обеспечение и при этом требуют постоянного обновления своих баз. Для этого, во-первых, необходимо обеспечить канал связи, а во-вторых, неизвестно (так как тестирование никто не проводил), как поведет себя обновленный антивирус по отношению к прикладным программам банкомата. Поэтому более правильно использовать решения по обеспечению контроля целостности программного обеспечения (белые списки). Производители банкоматов такие решения предоставляют: Diebold — SEP 11 (Symantec Endpoint Protection 11), NCR — Solidcore for APTRA. Существуют также предложения сторонних производителей, например GMV — checker ATM security, SafenSoft — TPSecure.
2.7.4. При наличии технической возможности оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают выполнение:
предварительной проверки на отсутствие вредоносного кода программного обеспечения, устанавливаемого или изменяемого на средствах вычислительной техники, включая банкоматы и платежные терминалы;
проверки на отсутствие вредоносного кода средств вычислительной техники, включая банкоматы и платежные терминалы, выполняемой после установки или изменения программного обеспечения.
Проверка на отсутствие вредоносного кода программного обеспечения перед установкой его на банкоматы является необходимой процедурой и должна выполняться в штатном режиме. Чтобы исключить риск случайного заражения банкоматов вредоносным программным обеспечением со стороны инженерно-сервисных служб, установку программного обеспечения необходимо осуществлять с неперезаписываемых носителей информации (CD, DVD).
Штатная техническая возможность проверки на отсутствие вредоносного кода после установки или изменения программного обеспечения отсутствует.
2.18. В состав требований к обеспечению защиты информации при осуществлении переводов денежных средств с применением банкоматов и платежных терминалов включаются следующие требования.
2.18.1. Оператор по переводу денежных средств обеспечивает проведение классификации терминальных устройств дистанционного банковского обслуживания, к которым относятся банкоматы и платежные терминалы, используемые при осуществлении переводов денежных средств (далее при совместном упоминании — ТУ ДБО), с учетом следующего:
возможностей несанкционированного получения информации, необходимой для осуществления переводов денежных средств;
возможностей осуществления воздействия, приводящего к сбоям, отказам, повреждению ТУ ДБО;
особенностей конструкции ТУ ДБО;
места установки ТУ ДБО.
Оператор по переводу денежных средств фиксирует во внутренних документах отнесение каждого ТУ ДБО к одному из определенных в ходе классификации типов (далее — результаты классификации ТУ ДБО) и проводит пересмотр результатов классификации ТУ ДБО при изменении факторов, влияющих на классификацию ТУ ДБО.
Оператор по переводу денежных средств, наряду с факторами, указанными в абзаце первом пункта 2.3 настоящего Положения, учитывает результаты классификации ТУ ДБО при выборе организационных мер защиты информации, технических средств защиты информации, а также функциональных и конструктивных особенностей ТУ ДБО, связанных с обеспечением защиты информации при осуществлении переводов денежных средств, с целью выполнения требований подпунктов 2.18.3–2.18.8 настоящего пункта.
