Версия // Конфликт // РФИ Банк защищает доступ к процессингу ... и своих клиентов

РФИ Банк защищает доступ к процессингу ... и своих клиентов

102693

Мошенничество или экспертиза


Фото: pxhere.com
В разделе

За последние пять лет в СМИ все чаще появляются заголовки о новых кибератаках на банки. Хакеры с каждым днем становятся все более изобретательны, так как активному развитию киберпреступности способствует высокий доход и относительно низкий риск обнаружения. Ситуация с аудитом РФИ Банка, который будет осуществлять «Центр по проведению судебных экспертиз и исследований» по иску ООО «Ай Эф Эс Расчетные системы», вполне может закончиться очередной хакерской атакой. Рассказываем почему.

Преступная среда очень гибка и быстро адаптируется к изменяющимся обстоятельствам, позволяя не только эксплуатировать известные уязвимости ПО, но и получать доступ к банковской IT среде, заручиться поддержкой недобросовестных сотрудников банков или входить в сговор с компанией, которая проводит «независимый» аудит банковского ПО.

Как на самом деле обстоит ситуация с информационной безопасностью в банковской отрасли?

Мы проанализировали большинство хакерских атак и можем точно сказать, что основным вектором служит атака на системы межбанковских переводов, платежные шлюзы, карточный процессинг, интернет-банкинг.

Конечно, выбор целей широк и, если есть необходимые знания и технические средства, доступ к таким системам может принести злоумышленникам более весомое вознаграждение, чем мошенничество в отношении клиентов банка.

Для хищения денежных средств преступникам требуется проникнуть в инфраструктуру банка, безопасность которой обязана находиться на высоком уровне, но, как мы видим, преступникам удается обходить все механизмы защиты.

Одним из ярких эпизодов атаки в 2015 году был Международный Российский банк, когда после прохождения независимого аудита карточного процессинга банка, спустя три месяца была проведена хакерская атака и похищено со счетов банка более 508,67 млн. руб. Под подозрение в первую очередь попала компания, проводившая аудит. Обстоятельства дела до сих пор выясняются.

В нашу редакцию попал еще один пример, где основным объектом атаки является РФИ Банк, против которого подан иск от компании «Ай Эф Эс Расчетные системы», заявившей, что является правообладателем программы процессинга «Technique Plus II», при этом автором указанной программы является Булукин А.К. – сотрудник «Ай Эф ЭС».

Редакция проанализировала информацию и сделала следующие выводы: программа «Technique Plus II» начала внедряться начиная с 1992 года, и в общей сложности было выполнено более 40 промышленных внедрений в банках и финансовых институтах США, Европы, Азии, Ближнего Востока и Австралии, а также в международной платежной системе VISA International. Как видно из списка клиентов, главными потребителями продукта «Technique Plus II» являются крупнейшие банки.

В России это основные участники рынка пластиковых карт, среди которых процессинговый центр Кардцентр, Сбербанк России, Альфа-Банк и Газпромбанк, которые до сих пор развивают карточные программы на базе внедренного решения «Technique Plus II».

При этом истец – ООО «Ай Эф Эс Расчетные системы», было зарегистрировано в качестве юридического лица только 04.12.2003, т.е. примерно через 10 лет после начала внедрения программы «Technique Plus II». Как эта компания может разрабатывать ПО, которое было внедрено 10 лет назад, неизвестно. В журнале Плас за 2004 год, есть информация, что TechNique Plus II является разработкой компании IFS International, США.

По решению суда была назначена «независимая» экспертиза, сотрудники которой должны получить удаленный онлайн доступ к процессингу РФИ Банка. Такая технология не всегда может дать ответ – точно ли сотрудник экспертизы получил доступ к процессингу или это сторонний человек, и что именно они проверяют.

Компания Ай Эф Эс расчетные системы существует с 2003 года. Основными клиентами были банки «АлтайЭнергоБанк», «Банк сбережений и кредита», «Руссобанк», «Девон – кредит». Раньше «Ай Эф Эс» была достаточно успешной, что следует из открытых источников, сейчас оборот существенно упал по сравнению с предыдущими годами и составляет около 658 тыс. руб. Могли ли этим воспользоваться злоумышленники и разработать новый способ получения доступа к банкам через эту компанию, вопрос остается открытым.

Пресс служба РФИ Банка ответила на наш запрос, что никаких контрактных отношений с ООО «Ай ЭФ Эс» у банка не было.

Из проверенных источников стало известно, что «Экспертиза» может являться лишь инструментом для получения доступа к процессингу банка со стороны злоумышленников. Может ли «независимая» компания, которой поручено провести экспертизу, быть злоумышленником – утверждать однозначно нельзя, но пример других банков показывает, что такая вероятность более чем высока. Банальное вымогательство, намерение получить доступ к процессингу или независимая экспертиза? Нам еще предстоит выяснить.

Редакция направила запрос директору автономной некоммерческой организации «Центр по проведению судебных экспертиз и исследований» С.В. Андриишиной и Генеральному директору ООО «Ай Эф Эс Расчетные системы» К.Е. Булукину. В разумные сроки ответы на заданные нами вопросы так и не поступили.

Таким образом складывается ситуация в российской банковской практике, когда любая компания по решению суда может получить доступ к банковской IT инфраструктуре. Отрасль информационных систем не регулируется в должной мере, принимаемые законы и указы регулятора отстают от современных реалий, а судьям сложно в таком случае принять решение. Все это создаёт лазейки для злоумышленников, и возможности применять новые способы мошенничества, используя пробелы в законодательстве.

И если сегодня такие прецеденты созданы в небольших банках, то завтра пострадать могут и системообразующие банки.

Логотип versia.ru
Опубликовано:
Отредактировано: 05.02.2021 18:44
Комментарии 0
Еще на сайте
Наверх