Най-добрите световни практики за информационна сигурност на банкоматите
Научаване как да се предотврати хакване на информационната сигурност на банкомат.
Няколко причини ме подтикнаха да напиша тази статия, основната от които е информационният вакуум около темата за електронните престъпления, свързани с незаконен достъп до информационни ресурси на банкомати и банкови мрежи чрез банкомати. За мнозина киберпрестъпността и начините за справяне с нея остават нещо далечно, почти холивудско. Въпреки това заплахата от кибератаки е съвсем реална, тя се забелязва не само на международно ниво, но и в България. Уви, традиционните криминални измами с пластмасови карти придобиват нови функции, които далеч надхвърлят използването на обичайните скимери и микрокамери за заснемане на клиента при въвеждане на ПИН код. В същото време активно се развиват нови методи за незаконно получаване на лични данни на клиенти (разбира се, заедно с парите в техните сметки). Това са систематично проектирани и добре организирани атаки, насочени към множество дупки в сигурността на софтуера на банкоматите. Такива "тихи" престъпления са много по-безопасни за нападателите - трудно се разкриват, трудно се доказват, трудно се проследява самият престъпник. Международната асоциация на ATM индустрията ATMIA алармира още през 2009 г., когато съобщенията за пробиви в сигурността на ATM системите станаха широко разпространени. Съвсем наскоро, през есента на 2011 г., беше пуснато второто издание на специалните насоки на ATMIA за защита на софтуера за банкомати и изграждане на нови политики за сигурност за противодействие на нови заплахи. Искам да споделя тезата на това ръководство с вас.
INВ случаите с банките най-честата жертва на хакерски атаки е банкоматът. Несъвършенството на операционната система Windows, уязвимостта на приложенията, относителната лекота на прикриване на зловреден код като безобидна актуализация или кръпка - ето как банкоматът се превръща в изкусителна плячка за електронен престъпник. Службите за сигурност на банките, които са в състояние ефективно да предотвратят заплахите от физическо хакване, понякога са напълно безсилни срещу киберпрестъпленията, защото не оценяват правилно вероятността и потенциала на такава заплаха и следователно не са въоръжени с ефективни практики за противодействие.
Специалистите на асоциацията ATMIA разработиха списък с препоръки за осигуряване на информационната сигурност на банкоматите (за повече подробности текстът на препоръките можете да намерите тук), основните разпоредби на които предлагам да прочетете по-долу.
Осигуряването на многостепенна информационна сигурност с помощта на решения от различни доставчици е основната препоръка в контекста на защита срещу комплексни заплахи, особено за банките.
Основната философия на управление на ATMIA е цялостен подход към информационната сигурност, който гарантира защита както срещу външни заплахи, така и от вътрешни злонамерени дейности. Препоръчително е въвеждането на няколко линии на софтуерна защита, лишаващи измамника от най-малкия шанс за успех. Информационната сигурност на банкомата трябва да бъде обвързана с жизнения цикъл на софтуера, инсталиран на банкомата, като се има предвид необходимостта от актуализиране и поддръжка на софтуера, както и на самото устройство.
Цялостната информационна сигурност на ATM включва комбинация от защитни стени, злонамерен софтуер и киберзащита, контроли за целостта на устройството и системата и инструменти за актуализиране на софтуераи управление на промените.
Защитна стена
Необходима е локална защитна стена за банкомати, които комуникират през споделена или външна мрежа. Настройването на подходящи правила за самостоятелна/терминална защитна стена ще попречи на зловреден софтуер да има достъп до банкомати. Защитните стени могат да бъдат внедрени като софтуер като част от работната среда на банкомата или на хардуерно устройство, вградено в или в съседство с банкомата. Софтуерните решения са най-сигурни, тъй като физическият достъп не е достатъчен за хакването им.
Сигурност на порта/Контрол на външно устройство
Банкоматите функционират като обикновени компютри и имат интерфейсни портове. Когато има нужда от достъп до банкомат (например при обслужване на хардуер от изпълнител), човек получава достъп до портове, което означава, че може да инсталира зловреден софтуер или да получи неоторизиран достъп до системата. Инструментите за контрол на портовете могат да предотвратят такъв достъп или да го ограничат до определени потребители, използващи удостоверяване. Инструментите за защита на терминала (защитни стени) и инструментите против злонамерен софтуер могат да имат функцията да защитават портове или да ограничават връзката на външни устройства (например USB).
Правила за актуализиране на софтуера на банкомат
Стриктният и методичен контрол на промените е тайната на доброто корекции и корекции в среди, където поверителността на данните, наличността на услугата и поверителността са критични. Колкото повече софтуер е инсталиран на устройството, толкова повече корекции ще са необходими.
От особено значение е процесът на вземане на решения относно избора на правилните корекции и определянето на важността на тяхното внедряване. Една организация трябва да има ясен набор от критерии за вземане на решения относнокорекции, особено дефиницията на PCI DSS за „Критични корекции за сигурността“.
Препоръчително е да дефинирате стандартен цикъл на корекция. Понастоящем месечната настройка се счита за оптимална, въпреки че някои оператори на банкомати използват по-строги графици. Цикъл, по-дълъг от една четвърт, се счита за твърде дълъг пред лицето на непрекъснато променящите се заплахи.
Защита срещу зловреден софтуер, кибератаки и изтичане на данни
Защитната стена може да бъде допълнена от инструменти за защита от злонамерен софтуер, включително системи за предотвратяване на проникване, решения за черни / бели списъци, инструменти за наблюдение на целостта на софтуера и операционната система.
Решения за поставяне в черен или бял списък (черен списък/включване в бял списък)
Типичните решения, които се използват за защита срещу вирусна инфекция, предотвратяване на целеви атаки и въвеждане на злонамерен код, могат да работят на базата на парадигмата на „черния списък“ (забранителен принцип) или „белия списък“.
Черен списък
Квинтесенцията на този принцип е твърдението „всичко, което не е забранено, е позволено“. Типичните решения за черни списъци са антивируси, които блокират изпълнението на код, който присъства в базата данни със сигнатури на вируси. Често антивирусите се избират като най-познат инструмент, без да се вземат предвид възможните недостатъци и рискове. Причините за този избор често се цитират като ниската им цена, споменаването на конкретен продукт в стандартите PCI DSS и удовлетворението от работата на версиите на този продукт за персонални компютри или корпоративни мрежи.
Контрааргументите са съвсем очевидни: има смисъл да се вземат предвид не само цената на лицензите, но и операционнатаразходите и ресурсите, необходими за актуализиране на сигнатурите, както и уязвимостта на банкомата към така наречените заплахи „нулев ден“ (които не са в базите данни със сигнатури на доставчика). Освен това PCI DSS стандартите за сигурност споменават и други опции, като например тези, базирани на бял списък. Ако изборът на защита е направен в полза на традиционна антивирусна програма, тогава е наложително да се извърши задълбочено тестване за нейната съвместимост със софтуера, инсталиран на банкомата, както и да се уверите, че производителността на операционната система на банкомата е минимално засегната.
Wбели списъци
Решенията за бели списъци позволяват само онези приложения, които са изрично посочени като разрешени за изпълнение. Такива решения са оптимални за системи, които не са обект на чести промени и това е само типичен случай на информационната среда на банкоматите. При банкоматите конфигурацията на хардуера и софтуера е типична, софтуерният набор е известен предварително, актуализации и промени се правят рядко, в строго съответствие с одобрените политики.
Ако безобидно приложение не е в белия списък, то ще бъде блокирано заедно с опасните. В сравнение с антивирусните решения, решенията за бели списъци са много по-компактни и не изискват чести актуализации, което означава, че консумират по-малко системни ресурси и влияят по-малко на производителността на системата. Основното им предимство е защитата срещу нови заплахи, включително целеви.
Решенията за бели списъци ще помогнат:
- осигуряват допълнително ниво на защита чрез затваряне на онези уязвимости, срещу които защитната стена е безсилна,
- гарантират съответствие с регулаторните стандарти,
- предотвратяване на рисковете, свързани с инфекция поради факта, че злонамереният код се съдържа в софтуерни актуализации / пачове, инсталирани на банкомата, или е маскиран в изтеглено съдържание.
HIPS - система за предотвратяване на проникване в хост)
Системите за предотвратяване на проникване на ниво хост (HIPS) са добра алтернатива на антивирусите, тъй като позволяват да работят само надеждни приложения и процеси и елиминират възможността за фалшиви положителни резултати.
Контрол на целостта
Трябва също да обърнете внимание на инструменти, които ви позволяват да наблюдавате целостта на операционната система, изпълними файлове, библиотеки и драйвери. Те могат да помогнат за подобряване на сигурността, като блокират изпълнението на ненадежден софтуер и позволяват да се изпълняват само онези приложения, които имат сертификат от доверен издател на софтуер. По този начин зловреден софтуер не може да бъде стартиран.
И така, прегледахме типичните компоненти на интегрирана система за информационна сигурност на банкомат.
Допълнителната стойност на такава система е, че тя не само ще открива и спира атаки отвън, но и ще помага за проследяване на неточни или злонамерени действия от страна на администраторите, което е особено важно при възможни некоординирани действия на персонала в отдалечени териториални клонове на банката, както и невъзможността да се контролират служители на трети страни обслужващи организации.
Към днешна дата има редица решения, които комбинират горната функционалност. Авторите на препоръките на ATMIA отбелязват, че за да се намалят рисковете от хакване на информация на устройство за самообслужване, най-правилно би било даизползване на решения на няколко доставчици.
И накрая още един съвет. Когато избирате решения за информационна сигурност на банкомат, не забравяйте за основния принцип на изграждане на всяка система за сигурност: сложността е врагът на сигурността.
Увеличаването на броя на защитните мерки или усложняването на техните настройки изобщо не гарантира реална защита. Когато избирате между проста или сложна технология или система, имайте предвид, че простата опция може да бъде по-надеждна в дългосрочен план.