Кіберзлочинність: прихована і явна загроза

За останні два тижні зростання політичної напруженості в країні спровокувало і серйозну активізацію хакерського криміналу. На кібератаки наразилися не лише веб-сайти критично налаштованих до влади ЗМІ (у тому числі й DT.UA), а й інтернет-ресурси органів влади. Процес став набувати неадекватних форм. Питання інформаційної безпеки стає дедалі актуальнішим для України. Під ударом кібервійни, що розгортається, опиняється і банківська система, в якій концентруються інтереси всієї економіки.

Масштаби проблеми

Пограбування з допомогою комп'ютера - уже не просто популярний сюжет голлівудського фільму, а цілком реальна загроза, з якою мають справу фінустанови та їхні клієнти по всьому світу.Згідно з оцінками комісії з внутрішніх справ британського парламенту, втрати світової економіки від злочинів, здійснених з використанням Інтернету, сягнули 388 млрд дол. на рік. Тим самим кіберзлочинність обійшла за своїм розмахом світовий наркоринок, річний оборот якого оцінюється в 288 млрд дол. Керівник відділу фінансової стабільності Банку Англії Ендрю Хелдейн заявляв, що п'ять найбільших банків Великобританії бояться кіберзлочинів навіть більше, ніж боргової кризи. За його словами, система захисту від хакерських атак у банківському секторі перебуває фактично в зародковому стані: раніше фінансисти більше переймалися ліквідністю, ніж безпекою.

Яка ситуація в Україні? До останнього часу кіберзлочинність у нас асоціювалася переважно з різними видами махінацій з банківськими картами клієнтів-фізосіб. Так, злочинці з допомогою спеціальних пристроїв (наприклад, так званих скіммерів, які встановлюються на банкоматах) одержували дані клієнтів і виготовляли дублікати карт для подальшого зняття грошей з рахунків. За оцінками НБУ, торік питома вага подібних шахрайств становила 0,002% від загального обсягу операцій з картками. Із цим явищем банки і правоохоронці, як вони запевняють, загалом уже навчилися боротися. Про це свідчить у тому числі збільшення кількості виявлених скіммерів (цього року - близько 160, минулого - 73, 2011-го - 45).

Однак за останні рік-два кіберзлочинці почали міняти "профіль" і переходити в "вищу лігу". Вони переорієнтувалися в тому числі на клієнтів-юросіб (де ціна питання, звісно, вища), що передбачає втручання в системи дистанційного банківського обслуговування (ДБО, наприклад, "клієнт-банк" тощо). До слова, якщо у 2010–2011 рр. злочинці використовували українські банки переважно як "каси" для зняття та обготівковування коштів, украдених з рахунків в іноземних банках, то 2012-го тенденція змінилася, і почалися атаки на клієнтські рахунки саме вітчизняних фінустанов на території України.

За словами начальника управління по боротьбі з кіберзлочинністю МВС України Максима Литвинова, цього року вже зафіксовано понад 270 спроб несанкціонованого списання коштів з рахунків клієнтів банків на загальну суму більш як 108 млн грн. Статистика приблизно така сама, як і торік. "Наші механізми, які ми напрацювали разом з банками і Держфінмоніторингом, дають змогу запобігти заволодінню коштами з боку злочинців у 70% випадків", - наголошує страж правопорядку.

Щоправда, слід мати на увазі, що офіційні дані, безумовно, не охоплюють усіх випадків злочинів, бо найчастіше банки намагаються "врегулювати" проблеми на своєму рівні, не надаючи їм розголосу, щоб уникнути репутаційних ризиків. "Але не можна сказати, що дані катастрофічні. Якби ми всі разом - НБУ, МВС, НАБУ не приділяли цій проблемі належної уваги, злочинності було б значно більше. Ми все-таки мінімізуємо це явище", - стверджує керівник комітету НАБУ з питань банківської інфраструктури і платіжних систем, голова правління банку "Старокиївський" Юрій Яременко.

Як розповідає керівник з безпеки технологій роздрібного бізнесу "Альфа-банку" (Україна) Сергій Досенко, у квітні і жовтні поточного року близько 30 фінустанов в Україні наразилися на одночасні потужні DDoS-атаки, метою яких було в тому числі прикриття спроб виведення коштів з рахунків клієнтів. "З погляду методів роботи і масштабу їх можна характеризувати не просто як кіберзлочинність, а й як кібертероризм", - говорить фахівець.

При цьому він уточнює, що в жовтні клієнти відчули лише складнощі з доступом до сервісів дистанційного обслуговування, однак фінансових втрат вони не зазнали (була спроба викрадення коштів з рахунку одного клієнта). Такий результат удалося одержати в тому числі завдяки великим інвестиціям (на мільйони гривень) у систему інформаційної безпеки фінансової установи.

За словами фахівців, улаштувати DDoS-атаку на десятки банків - не таке вже й дешеве "задоволення". На це може знадобитися навіть не одна сотня тисяч гривень. Зрозуміло, що зловмисники свої "капіталовкладення" розраховують окупити сторицею.

Хоча іноді мають місце факти, коли просунуті комп'ютерники "просто" вирішують випробувати на міцність IT-системи банків, не ставлячи собі чіткої мети украсти кошти з чужих рахунків (такий от професійно-кваліфікаційний інтерес). Крім того, розповідають експерти, іноді IT-шники не до кінця усвідомлюють відповідальність за свої дії, коли до них звертаються люди з "делікатними" проханнями, повністю не розкриваючи своїх мотивів.

До речі, за даними німецького оператора зв'язку Deutsche Telekom, Україна перебуває на четвертому місці у світі після Росії, Тайваню і Німеччини серед країн, з яких в основному йдуть кібератаки. Щомісяця з українських серверів запускається понад півмільйона шкідливих програм.

Останній яскравий приклад хакерського криміналу - спроба вивісити на сайт НБУ нашумілу в соцмережах "постанову" регулятора від 2 грудня 2013 р. №6565, у якій ідеться зокрема про обмеження валютно-обмінних операцій, руху грошей по банківських рахунках тощо. Слово "постанова" береться в лапки виходячи з того, що в Нацбанку категорично спростували її існування.

"Хакери навіть поставили номер на сайті НБУ, але самої "постанови" розмістити не змогли - спрацювала система захисту. Її писала людина, яка вочевидь має досвід роботи з офіційними документами. І якби ця "постанова" потрапила на сайт НБУ, вона справила б ефект вибуху бомби. Ми повинні розуміти, що якщо такі спроби робляться, то вони можуть бути й успішними", - наголошує голова ради НАБУ Борис Тимонькін.

Слабкі ланки

Чиї дії або бездіяльність найбільшою мірою підвищують успішність хакерських атак? Банків, які заощаджують на системах захисту, протидії злочинності, чи клієнтів, які або недбало користуються фінансовими послугами, або застосовують уразливе неліцензійне програмне забезпечення? "Не можу і не хочу давати оцінок, хто винен. Вважаю, що винні ті, хто хоче заволодіти чужими грошима. Але якщо говорити про банки, то не знаю прикладів, щоб вони користувалися неліцензійними програмами", - дипломатично переконує Ю.Яременко.

Очевидно, що проблеми із забезпеченням належного рівня захисту мають місце по обидва боки. Хоча, за словами представників держрегулятора та учасників ринку, клієнтська складова все-таки більш вагома. "Клієнти не зовсім розуміють ті ризики, з якими вони можуть зіштовхнутися, і тому не приділяють великої уваги захисту своїх персональних даних", - говорить фахівець департаменту платіжних систем НБУ Дмитро Макаренко. "Клієнт часто недооцінює, наскільки важливо дотримуватися правил безпеки. Абсолютна більшість зломів там, де немає цього захисту взагалі, де зневажають умовами з безпеки", - додає експерт проекту НАБУ "Протидія кіберзлочинності" Альона Кузьміна.

За словами ж першого заступника керівника служби безпеки Приватбанку Михайла Фролова, фінустановам не зовсім коректно запитувати у клієнта, в якого украли гроші, - чи було ліцензійним програмне забезпечення, яке він застосовував. "Це буде проявом упередженого ставлення банку до клієнта. Але банк має навчити клієнта, як правильно діяти", - зазначає М.Фролов.

Свідченням того, що і в банках не все так гладко з безпекою у сфері дистанційного банківського обслуговування, може бути, зокрема, нещодавній випадок, коли співробітники однієї з фінустанов скопіювали електронні ключі доступу до рахунків клієнтів і викрали з них кілька мільйонів гривень. Правда, представники групи зловмисників були затримані, коли намагалися з готівковими коштами перетнути держкордон України.

Разом з тим директор Української міжбанківської асоціації членів платіжних систем "ЕМА" Олександр Карпов звертає увагу, що сьогодні на ринку досить лояльні умови з погляду повернення коштів клієнтів, рахунки яких постраждали від хакерів-грабіжників. А також зазначає необхідність посилення кримінальної відповідальності кіберзлочинців за їхні дії. "Чи є Україна зручним місцем для здійснення кіберзлочинів? Так. Банальний приклад. Ви в банкоматі вийняли 200 тис. грн за три хвилини, вас, можливо, піймали. Ви віддали 80 тис. грн штрафу і пішли шахраювати далі. Отакою зараз є з погляду законодавства протидія кібершахрайству", - нарікає експерт.

Такий стан справ сформувався в тому числі через "гуманізацію" статті 200 Кримінального кодексу. У її поточній редакції передбачено, що підробка документів на переказ, платіжних карток або інших засобів доступу до банківських рахунків, неправомірний випуск або використання електронних грошей та ін. караються штрафом від трьох до п'яти тисяч неоподатковуваних мінімумів доходів громадян. Тобто тюремні нари злочинцям саме за цією статтею не загрожують.

Окрему увагу фахівці приділяють якості роботи МВС. З одного боку, особливих претензій безпосередньо до профільного управління по боротьбі з кіберзлочинністю начебто і немає. З іншого - існують питання до інших структурних підрозділів правоохоронного міністерства, які в той чи інший спосіб також беруть участь у протидії злочинам (насамперед ідеться про органи слідства). Крім того, вищого якісного рівня потребує і робота судових органів - їхня компетенція часто кульгає.

Проте навіть при всіх численних нюансах система протидії кіберзлочинності працює, стверджують представники правоохоронних органів. "Торішні справи - на завершальній стадії в судах. Злочинці одержують свої заслужені строки позбавлення волі", - констатує М.Литвинов.

Виховні моменти

Для попередження шахрайств у системах дистанційного банківського обслуговування фахівці радять дотримуватися принаймні кількох елементарних правил безпеки. Зокрема, використовувати ліцензійне програмне забезпечення; не передавати коди доступу іншим особам (у т.ч. співробітникам банку); не використовувати комп'ютер системи "клієнт-банк" для інших цілей, окрім проведення операцій з рахунками; не застосовувати системи дистанційного управління комп'ютером; підписувати платіжні документи двома ключами електронно-цифрового підпису (наприклад, директора і бухгалтера) тощо.

Але без грама перебільшення можна стверджувати, що кіберзлочинці використовують не лише технічні огріхи своїх потенційних жертв, а й прогалини в моралі і правовій культурі всього суспільства. Адже для того, наприклад, щоб перевести украдені з банківських рахунків гроші в готівкову форму, вони часто звертаються до зовсім сторонніх осіб по допомогу. Пропонуючи "комісію"/відкіт за їхні "послуги". І тут переважно питання в ціні, яка сягає зазвичай 20–30% суми махінацій.

"З кінця 2012 р. уже зафіксовано 500 контрагентів (з них третина - юрособи), які сприяли відмиванню коштів, отриманих злочинним шляхом з використанням інструментів кібершахрайства. Це досить значна цифра. Це й підприємства, які ведуть повноцінну господарську діяльність, податковий облік. Більш того, коли ми заблокували кошти, отримані злочинним шляхом, підприємець починає з нами конфлікт, і на його боці копії якихось договорів про надання послуг, якісь юристи, котрі мають нас змусити розблокувати цю суму", - розповідає С.Досенко.

Додати тут, як кажуть, нічого.