Цього року ЗМІ активно висвітлювали інциденти, пов'язані з ІБ та іншою безпекою, приділяючи особливу увагу фінансовому сектору. Наприклад, з початку року чи не щотижня лиходії або просто зневірені люди робили незаконні маніпуляції з банкоматами, і інформація про це не сходила зі стрічок новин – просто не встигала зійти. Банкомати вивозили, підривали, зламували, розкурювали… А дехто під час атак на банкомати використовував методи та інструменти, пов'язані з високими технологіями.
Ось – одна з таких історій від провідного експерта з інформаційної безпеки InfoWatch – Марії Воронової.
В один прекрасний або, скоріше, не дуже добрий день співробітники банку виявили при інкасації його банкомату брак коштів. Розмір недостачі був порівняний із сумою закладеної в банкомат готівки, тобто виявився досить значним. Співробітники не повірили своїм очам та актам вивантаження з банкомату, «скинули» нестачу на нез'ясовані обставини та вирішили розібратися з лічильниками пізніше. Про цю подію вони не повідомили ні службу економічної безпеки, ні відділ інформаційної безпеки. До банкомату знову завантажили кошти, а наступного дня він знову виявився порожнім.
Те саме виявилося під час інкасацій у кількох інших офісах банку, територіально розподілених по регіонах країни, – лише близько 10 випадків. При цьому під час інкасацій проводився візуальний огляд, але жодних фізичних ушкоджень на жодному з банкоматів виявлено не було.
РеагуванняСлужби економічної, фізичної та інформаційної безпеки банку почали ретельно відпрацьовувати інциденти. До спектра версій увійшли як зовнішні атаки, так і інсайдерство.Заходи вживалися відразу в кількох напрямках: - задача №1 - мінімізація ймовірності продовження серії атак для запобігання подальшим збиткам; - завдання №2 – внутрішнє розслідування та збір інформації для подання заяв про виникнення страхових випадків до страхової компанії; - завдання №3 – подання заяв до правоохоронних органів та взаємодія з ними.
Діяти потрібно одночасно по всіх напрямках і максимально оперативно. Крім того, було вирішено невідкладно провести інкасацію всіх банкоматів банку (насамперед тих, які, за даними моніторингу, потрапили до «зони ризику») на предмет підтвердження чи спростування факту шахрайських дій. У низці регіонів за погодженням з керівництвом було намічено знизити ліміти завантаження, в інших – повністю розікасувати банкомати. Були тимчасово закриті для доступу 24-годинні зони, терміново змінювалися на банкоматах паролі локальних адміністраторів та віддалених підключень.
Щоправда, кілька регіональних керуючих все ж таки вирішили банкомати не чіпати, аргументувавши це тим, що паніка населення – страшніша. А в неспокійний кризовий рік, коли банки закриваються один за одним, банкомати, які не працюють у всьому регіоні, стануть приводом для чуток і «чорного» піару. А ризик «обвалення» філії банку через паніку населення, що підігрівається чутками про швидке відкликання його ліцензії, – вищий, ніж ризик втрати коштів як таких.
Приблизно таку ж картину було отримано співробітниками служб безпеки та правоохоронних органів за іншими епізодами. Відмінності полягали лише в часі реалізації інцидентів (десь вони сталися в районі опівночі, десь – ближче до 4–5 години ранку) та у кількості зловмисників (від одного до кількох осіб, які раз на 15–20 хв змінювали другдруга). Кожна процедура вилучення готівки займала від 1 до 3 год.
Дослідження знятих з банкоматів образів показало, що це лог-файли на банкоматах було затерто. Але – не повністю. Виявлені залишки утиліти, призначеної для затирання даних і відповідно слідів злочину, а також заповнення файлової системи «сміттям» показали, що відпрацювала ця утиліта чомусь не до кінця – дані вдалося частково відновити.