Несмотря на интенсивный рост интернет банкинга в Таджикистане и кажущуюся стабильность, есть вопросы к уровню безопасности виртуальных банковских услуг. Есть вероятность того, что клиенты банка могут столкнуться с определёнными проблемами, считает выпускник школы аналитики CABAR.asia Ширин Атласова.
В законодательстве Республики Таджикистан (РТ) нет таких нормативных актов, которые каким-либо образом контролировали бы процесс безопасности хранения и передачи на электронных активах данных банков и его клиентов. Это может подтвердить отсутствие требований по данным направлениям на официальном сайте Нацбанка. Также лидирующие банки страны фактически не применяют пользовательскую политику конфиденциальности и безопасности, которую приняли многие страны как обязательный стандарт подтверждающий прозрачность действий организаций, в рамках закона о персональных данных.
Вместо публичной политики конфиденциальности и безопасности предоставляется оферта (договор между юридическим лицом и клиентом) в котором отсутствуют положения о ключевых факторах сетевой безопасности пользователей электронного банкинга.
Приложения и сайты популярных таджикских банков которые имеют только оферту: Эсхата, Арванд, Амонатбонк, Спитамен, Ориенбанк (на использования банковских карт),Первый Микрофинансовый банк, Хумо, IBT, Dushanbe CityТолько некоторые банки говорят о гарантиях информационной безопасности клиентов.
Приложения и сайты популярных таджикских банков которые имеют политику конфиденциальности: Halykbank (На данный момент Halykbank функционирует как часть IBT в Таджикистане), Finca, Alif.
Между тем, в исследовании «Лаборатории Касперского» (требуется авторизация 2021), заявляется, что в Центральной Азии банки являются основной мишенью хакерских атак в финансовом секторе.
Об этом они заявляли как в исследовании за 2021 год так и 2022 год. Например, банки региона находятся в первой десятке рейтинга самых уязвимых по атакам Malware (программа для несанкционированного доступа к ресурсам или к хранящимся данным). Заметим, что в материале используются по большей части данные российских организаций по информационной безопасности (ИБ), по причине того, что основной охват услуг ИБ и исследований в регионе СНГ проводятся российскими лидерами отрасли.
Также comparitech, цитируя лабораторию, приводит более детальные данные по уязвимости Таджикистана в секторе кибербезопасности. Таджикистан лидирует в рейтинге самых подверженных атакам вредоносным ПО и фишингами среди 75 стран (Таджикистан, Бангладеш и Китай).
Яркими примерами по атакам на банки может быть атака ботнетов на банки Казахстана.
DoS, DDoS или по другому атака ботнетами являются типами атак, которые вызывают «отказ в обслуживании». По сути, это попытка причинить вред, сделав недоступной целевую систему посредством перегрузки работы системы для обычных конечных пользователей. Например, мишенями могут быть веб-сайт или приложение. Как правило такие атаки совершаются с целью вымогательства, или могут быть ширмой для более крупной атаки важных серверов. Причинами также могут быть нездоровая конкуренция или баловство начинающих хакеров. Атаку используют также и в политических вопросах. Прецедентами могут служить хакерские атаки во время конфликта России и Украины.
Инструментами DoS и DDoS атаки являются компьютеры заражённые вирусами, например, посредством пиратского ПО Windows
Ну а причиной уязвимостей на (D)DoS атаки со стороны банков может быть слабая конструкция самих реквезитов, уязвимый firewall и/ или фильтрация трафика электронных площадок.
При этом, на фоне всех уязвимостей, Национальный банк Таджикистана старается контролировать данные процессы в чем-то опираясь на международные протоколы безопасности, такие как международный стандарт ISO/IEC 27001 (статья в wikipedia), рассматривая как основной, протокол банковской безопасности и COBIT, но данные требования являются пожеланиями.
Сами же протоколы работают как руководство, которое может быть применено к любой организации, да и в целом в любой отрасли и обеспечивает качество, контроль и надежность информационных систем в организации, что также является наиболее важным аспектом любого современного бизнеса.
Еще одним инструментом контролирующим систему безопасности электронного банкинга, являются и стандарты AppStore и Playmarket для приложений, которые выдвигают свои требования и которые включают в себя протоколы обработки данных пользователей и их безопасности.
Согласно их стандартам, политики безопасности и конфиденциальности должны быть обязательными для всех приложений размещающихся на этих площадках и доступны пользователям для ознакомления. Но зачастую они замещаются на входной странице пользовательской офертой.
Казалось бы данные требования должны обеспечивать безопасность, что сложно оспорить, особенно учитывают то, что в СМИ практически нет сообщений о технических недочетах организаций.
Вчитываясь в данные оферты, большинство из них, в случае возникновения инцидентов, защищают юридические права предприятия и его администрации, а не клиентов.
Сложно сказать, что если все-таки утечка произойдет, банк с юридической точки зрения обеспечит безопасность своим пользователям.
Рассматривая вопросы безопасности электронного банкинга можно засчитать и мнение специалистов по ИБ банков в Таджикистане, которые утверждают, что организации экономят на ресурсах на отделах ИБ по причине отсутствия финансовых доходов у этих отделов. Между тем, совокупность Системы Управления ИБ состоит из нескольких систем который необходимо приобретение лицензий разных видов ПО что требует финансовые ресурсы.
Можно констатировать, что сейчас, полноценная Система Управления ИБ отсутствует во многих банках Таджикистана. Например, автору известен один популярный банк в Таджикистане, который вообще не имеет никаких средств защиты информации, кроме антивируса. Вообще само вопрос ИБ не очень принимается всерьез во многих компаниях в Таджикистане.
Дополнительной проблемой является и неосведомленность сотрудников по вопросам
ИБ, что так упоминается в исследовании Касперского. В обновленной же версии исследования ситуация не сильно и По их утверждению, большинство (80%) успешных фишинговых и хакерских атак происходит в результате утечки данных внутри компании».Информационная неграмотность потребителей банков Также на низком уровне находится информационная грамотность потребителей банковских услуг. Подтверждением того может служить инциденты с пользователями электронных реквизитов Dushanbe City. За последнее время в социальных сетях пользователи таджикского сегмента социальной сети фейсбук не раз жаловались на попытки фишинга.
Были случаи подделки кассы электронной оплаты Спитаментбанка и российской логистической системы СДЭК. Жертвами данных махинаций были владельцы домов, машин и других утварей на продажу, которые выставлялись на площадке somon.tj. Об объемах потерянных средств и жертвах хакеров не известно. Схожая ситуация была и с клиентами DC, где они теряли деньги на своих картах и кошельках и которую сотрудники банка прокомментировали как:«Деньги крадут с карты/кошелька по невнимательности самого клиента. Клиент сообщает мошенникам либо CVV код, либо отправляет код для входа в приложение. бывает очень часто, что родные и близкие самих клиентов пользуются невнимательностью держателя карты и также крадут деньги с карты».
Второй же пример может быть и атака пользователей казахских банков посредством фишинга, удобным инструментом для хакеров послужила смс кодовое подтверждение, в результате чего было похищено 2 млн. тенге (более $32 000)
Схожая ситуация произошла и с банком Узбекистана, где похитителям удалось украсть 2 миллиона долларов InfinBank-а и 700 тыс. у клиентов банка Асакабанка так же и DDoS-атака на другие банки страны.
Как можно урегулировать данную ситуацию? Для того чтобы защитить сайты и приложения от атак, которые пытаются использовать уязвимость или подделать трафик межсайтовых запросов, можно улучшить качество фильтрации файрволла, настроив вход в систему под зону обслуживания конкретного банка. Это как минимум сократит заявки зараженного трафика, исходящего от неожиданных IP-адресов, то есть регионов и стран откуда совершается вход. Но для этого необходимо будет получить поддержку непосредственных специалистов для изучения характеристик трафика и создания индивидуальной защиты.
Необходим протоколизированный контроль процессов банковских учреждений со стороны правительства и Нацбанка. На данный момент есть позитивные примеры контроля со стороны упомянутых учреждений в странах Центральной Азии. В Узбекистане ввели такую систему еще в 2006 году. Аналогичные документ были изданы правительствами Казахстана и Кыргызстана.Заметим, что в частных беседах сотрудники Министерства Промышленности Таджикистана рассказали автору, что работают над разработкой документа, который мог бы контролировать процесс обеспечения безопасности информации, как органов власти и учреждений, так и физических лиц.
Разработать положение Нацбанка для обеспечения информационной безопасности, в котором будут установлены минимальные требования для операторов платежных систем и поставщиков платежных услуг в платежных системах. Этот документ должен преследовать следующие цели:
определение необходимых задач по обеспечению информационной безопасности информационных систем; разъяснение требований к операторам, необходимых для обеспечения информационной безопасности при вводе, обмене, обработке и хранении платежной информации в платежных системах; предотвращение несанкционированных изменений, утечек информации и других отрицательных воздействий на платежные информации операторов платежных систем и поставщиков платежных услуг; Данный документ может служить для разработки внутренних правил по обеспечению информационной безопасности, исходя из особенностей платежных систем. Также должны приветствоваться проявления инициативы со стороны администраций банков и выделение средств на развитие структур по информационной безопасности. В банках есть определенные структуры, которые являются наиболее критичными в плане обеспечения информационной безопасности. Можно сделать сегментации сети и применять наиболее жесткие меры ИБ именно для таких структур. Также нужно работать над повышением уровня компетентности сотрудников банков. Одновременно нужно запускать долгосрочные компании по повышению информационной грамотности потребителей банковских услуг.