Информационная безопасность ATM: что необходимо знать

Поэтому сегодня перед банками особенно остро стоит вопрос организации безопасности столь дорогостоящего оборудования, как АТМ (Automated Teller Machine), не только от вандализма, случаи возникновения которого учащаются с каждым днем, но и от мошеннических действий со стороны клиентов и злоумышленников. Это и махинации с выдачей наличности, и операции с крадеными пластиковыми картами, вирусные заражения, установка фальшивых банкоматов и т.д. Особо важным моментом в данном вопросе является минимизация не только финансовых, но и временных затрат на защиту банкоматов при их постоянно растущем количестве.

Характеристики качества

Как уже отмечалось, качество работы банкомата оценивается степенью удовлетворенности клиентов банка уровнем сервисов, предоставляемых через ATM-сеть. В последнее время степень удовлетворенности клиентов стала зависеть от такого показателя, как безопасность банкоматных транзакций. Это напрямую связано с резко возросшим числом случаев банкоматного скимминга и киберскимминга в России.

Одной из важнейших характеристик качества устройств самообслуживания, к которым относятся и банкоматы, является безопасность – как транзакций, так и материальных ресурсов, хранящихся в них.

Работы по обеспечению надлежащего качества функционирования АТМ банки проводили всегда, но раньше это делалось выборочно и касалось лишь наиболее ответственных по своему значению или наиболее загруженных устройств. Вопросам безопасности уделялось внимание по остаточному принципу, часто только с точки зрения физической защищенности (предотвращение ван

дальных действий и физического взлома банкомата и установки поддельных устройств поверх лицевых панелей банкомата, борьба с хищением банковских карт и выдаваемых по ним денег). При этом забывалось, что банки во все времена были очень привлекательны для мошенников всех мастей, а банкоматы – в силу возможности прямой монетизации – стали особенно привлекательны для злоумышленников.

Участившиеся случаи банкоматного фрода на территории России, а также все более изощренные методы мошенничества свидетельствуют о том, что банки и обслуживающие компании должны, в свою очередь, совершенствовать меры безопасности и следить за последними новостями индустрии и лучшими мировыми практиками.

Банкомат – это достаточно уникальный объект безопасности в банковской сфере и сфере безопасности платежных карт. В частности, это отдельная, уникальная сущность в сфере действия стандартов PCI SSC. Он является объектом сразу нескольких стандартов – PCI DSS, PTS, PA DSS, а также рекомендаций по безопасности ATMIA (ATM Industry Association, https://www.atmia.com/).

Однако часто для упрощения работы технических служб банков и упрощения процедуры аудита по требованиям стандарта PCI DSS банкоматная сеть зачастую исключается из зоны оценки, что является, по мнению многих QSA, грубым нарушением процедуры аудита по PCI DSS (см. VISA BULLETIN 31 March 2011. Issuers’ Payment Card Industry Data Security Standard Frequently Asked Questions). Часто забывается, что любой объект, хранящий, обрабатывающий или передающий данные платежных карт, является объектом PCI DSS. А банкомат предназначен именно для этого!

Специфика организации безопасности такого объекта, как сеть банкоматов, состоит в географическом разнесении составных элементов. Следует учитывать, что расстояние от офиса банка до некоторых банкоматов может составлять до 100 км и даже больше. И если для того, чтобы проконтролировать работоспособность систем безопасности внутри офиса, нужно достаточно мало времени, то для проверки работы выбранных систем банкомата без наличия средств удаленного контроля практически невозможно. При этом расследование противоправных действий по отношению к объектам банкоматно-терминальной сети невозможно вести без средств контроля и логирования.

В последнее время основным методом организации безопасности банкоматов стала установка цифровых систем сигнализации, видеонаблюдения и мониторинга, заключения договоров страхования и перестрахования. Но этого явно недостаточно, чтобы избежать атаки с помощью вредоносных кодов. А их число в последнее время резко увеличилось!

Уровень риска

Для обеспечения кибербезопасности необходимо оценивать уровень рисков, связанных с использованием тех или иных семейств банкоматов, соответствие их программно-аппаратных комплексов современным требованиям производителей и международных стандартов безопасности.

Для этого предлагается проводить комплексный аудит безопасности банкоматного парка, включающий:

• оценку кибербезопасности как самих банкоматов, так и банкоматной сети в целом;
• проверку целевого использования банкоматов;
• проверку возможностей систем объективного контроля;
• проверку систем оперативного реагирования;
• определение уровней рисков, связанных с тем или иным местом физического размещения объектов банкоматно-терминальной сети.

Целью этих работ является определение областей, подверженных риску нарушения безопасности, и разработка мер для снижения финансовых потерь от мошеннических действий с использованием АТМ, а также повышение защищенности банковской сети от атак, направленных со стороны банкоматов сети.

Достижение указанной цели обеспечивается решением следующих задач:

• выполнение теста на проникновение, который можно провести практически без предварительного обследования (например, на тестовом образце, с эталонным образом жесткого диска);
• тестирование на проникновение с полным доступом к системам (тест на проникновение банкоматного хоста);
• оценка исполнения рекомендаций вендоров, требований ATMIA, PCI DSS и PCI ATM security guidelines;
• разработка плана мероприятий по устранению выявленных уязвимостей и несоответствий;
• разработка необходимых организационно-распорядительных документов (ОРД), регламентирующих политики, процедуры и стандарты обеспечения безопасности банкоматной сети;
• внедрение средств защиты информации, необходимых для обеспечения выполнения рекомендаций вендоров, требований ATMIA и ATM security guidelines, устранения выявленных уязвимостей;
• оценка выполнения плана мероприятий по устранению выявленных уязвимостей и несоответствий;
• повторное тестирование с целью оценки результативности внедренных мер и средств контроля;
• разработка рекомендаций для дальнейшего совершенствования системы защиты банкоматной сети.

В свою очередь, длительность и стоимость подобных услуг напрямую зависит от численности и разветвленности банкоматного парка, режимов работы банкоматов, качества работы всей сети.

Проведение аудита безопасности банкоматной сети позволяет не только оценить текущий уровень защищенности, но и определить дальнейшие шаги по повышению уровня безопасности за счет устранения выявленных уязвимостей.