Аудит информационной безопасности охватил 10 платежных систем банка, конфигурации их прикладного и системного программного обеспечения, а также применяемые на межсетевых экранах правила контроля доступа в защищенные сегменты платежных систем.
«Предоставление качественных и надежных услуг клиентам нашего банка – ключевые направления деятельности по обеспечению информационной безопасности. С этой целью мы непрерывно следим за уровнем информационной безопасности. Особое внимание уделяем платежным технологическим процессам, реализованным в нашем банке. Мы убеждены, что только проактивное выявление уязвимостей дает возможность своевременно минимизировать угрозы ИБ и тем самым предотвратить потенциальные финансовые риски. Именно поэтому мы инициировали аудит по смешанной схеме, оценив не только формальное соответствие требованиям регуляторов, но и проведя глубокую проверку всего платежного процесса», — комментирует управляющий директор Центра информационной безопасности Уральского банка реконструкции и развития Александр Падерин.
Проект длился в течение 2018 года и включал три этапа. На первом этапе ИБ-специалисты банка получили консультации по прохождению процедуры самооценки на соответствие требованиям международной межбанковской системы SWIFT. На втором этапе эксперты «Инфосистемы Джет» подготовили кредитную организацию к оценке на соответствие требованиям ЦБ РФ к защите информации при переводе денежных средств (Положение 382-П). На третьем этапе было проведено тестирование на проникновение, в ходе которого специалисты интегратора смоделировали реальные хакерские атаки для подтверждения рисков эксплуатации обнаруженных угроз потенциальными злоумышленниками.
В рамках проекта эксперты интегратора детально проанализировали структуру и компоненты платежного процесса, а также аспекты взаимодействия сторон при передаче денежных средств.
«Российские банки сталкиваются с общей проблемой: платежные системы не кастомизированы для бесшовной интеграции в ИТ-инфраструктуру кредитной организации, что приводит к росту рисков, связанных с фродом при передаче платежных поручений. Так, например, в случае успешной эксплуатации уязвимости в ИТ-компонентах инфраструктуры данные о платеже могут быть подменены на этапе передачи от АБС (автоматизированной банковской системы) к компонентам платежной инфраструктуры, что приведет к хищению денег», — отмечает Илья Воложанин, консультант Центра информационной безопасности компании «Инфосистемы Джет».
Результатом аудита стало повышение уровня осведомленности банка о состоянии информационной безопасности платежных систем. Кредитная организация получила комплекс практических рекомендаций, реализация которых позволит сократить риски банковского мошенничества и повысить степень соответствия защиты платежных систем требованиям российских и международных регуляторов.