КИБЕРБЕЗОПАСНОСТЬ
В УСЛОВИЯХ
ЭЛЕКТРОННОГО
БАНКИНГА
Практическое пособие
под редакцией П.В. Ревенкова
Москва 2020
Стр.1
УДК 0.87.2
ББК Бя73
К 38
К 38 Кибербезопасность в условиях электронного банкинга: Практическое
пособие / Под ред. П.В. Ревенкова. — М.: Прометей, 2020. —
522 с.
ISBN 978-5-907244-61-0
В книге рассматриваются вопросы, связанные как с обеспечением
кибербезопасности в условиях применения систем электронного
банкинга, так и с анализом источников рисков, возникающих
при использовании технологии дистанционного банковского
обслуживания.
Описаны основные принципы управления рисками электронного
банкинга. Рассмотрены риски, возникающие в кредитных организациях
при внедрении систем интернет-банкинга, и риски ле -
гализации преступных доходов при использовании электронных
денег (включая описание вариантов использования интернет-трей -
динга как инструмента отмывания денежных средств на фондовых
биржах). Даны рекомендации по организации внутреннего
контроля в банках и обеспечению кибербезопасности в условиях
применения систем электронного банкинга.
Представлены практические рекомендации по обеспечению
защиты информации при использовании систем электронного
банкинга, проанализировано влияние «теневого интернета» на бе -
зопасность электронного банкинга и дана характеристика хищений
денежных средств с использованием вредоносных компьютерных
программ неправомерного доступа к информации.
Издание предназначено для банковских специалистов, практикующих
консультантов и аудиторов, преподавателей, аспирантов
и студентов, обучающихся финансовым и техническим специальностям,
а также может быть полезно всем, кто интересуется
тематикой обеспечения кибербезопасности в условиях применения
систем электронного банкинга.
ISBN 978-5-907244-61-0
© Коллектив авторов, 2020
© Издательство «Прометей»,
2020
Стр.2
Содержание
Принятые сокращения ........................................................................... 12
Вступительное слово ............................................................................... 14
Предисловие ............................................................................................... 15
1. Электронный банкинг и риски недостаточного
обеспечения информационной безопасности ........................ 17
Введение ........................................................................................................ 17
1.1. Интернет и банковский бизнес ........................................................... 18
1.2. Основные виды мошенничества в интернете .................................. 25
1.2.1. Лжебанки ........................................................................................... 29
1.2.2. Лжестраховщики ............................................................................. 33
1.2.3. ПсевдоP2P-переводы ....................................................................... 36
1.2.4. Схемы с использованием страхового (закрепительного)
платежа .............................................................................................. 38
1.2.5. Схемы быстрого обогащения: «Золотой поток»
(Golden Stream), «Алмазный дождь» (Diamond Rain) и др. ...... 40
1.2.6. «Нигерийские письма» .................................................................... 40
1.2.7. Опасные инвестиции ....................................................................... 41
1.2.8. Виртуальная медицина .................................................................. 42
1.2.9. Виртуальное трудоустройство ...................................................... 43
1.2.10. Горячие торговые точки ............................................................... 44
1.2.11. Сетевое попрошайничество.......................................................... 45
1.2.12. Ботнеты ............................................................................................ 48
1.2.13. Сетевые банды ................................................................................ 49
1.3. Актуальные направления регулирования в условиях
электронного банкинга ........................................................................ 53
1.3.1. Управление операционным риском ............................................. 56
1.3.2. Противодействие киберпреступлениям в финансовой сфере .... 58
1.3.3. Противодействие использованию систем электронного
банкинга в схемах, направленных на легализацию
преступных доходов ........................................................................ 59
1.3.4. Подготовка сотрудников коммерческих банков
по вопросам обеспечения информационной безопасности ...... 64
2. Кибербезопасность в условиях применения
систем электронного банкинга .................................................... 65
2.1. Парадигмы построения системы кибербезопасности .................... 65
2.2. Методология анализа рисков недостаточного
обеспечения кибербезопасности ........................................................ 68
2.3. Информационное общество и кибербезопасность .......................... 73
6
Стр.6
2.4. Электронные финансы — в интернет вещей.................................... 76
2.5. Кибербезопасность в условиях развития интернета вещей
и электронного банкинга ..................................................................... 81
2.6. Типовые атаки на организации кредитно-финансовой
сферы ....................................................................................................... 84
2.6.1. Целевые атаки на кредитные организации ................................ 86
2.6.2. Атаки с применением методов социальной
инженерии в отношении сотрудников банка ............................. 87
2.6.3. Атаки на системы дистанционного банковского
обслуживания, используемые юридическими лицами ............ 89
2.6.4. Атаки на клиентов — физических лиц ........................................ 91
2.6.5. Атаки на устройства самообслуживания (отмена транзакции) ... 93
3. Влияние «теневого интернета» на безопасность
электронного банкинга ................................................................... 96
Введение ........................................................................................................ 96
3.1. Проблемы политического характера ................................................ 98
3.2. Проблема «теневого интернета» на примере системы TOR
и идентификации злоумышленников .............................................. 100
3.3. Описание сети I2P и принцип ее работы .......................................... 107
3.4. Проблема борьбы с «теневым интернетом» и средствами
анонимизации....................................................................................... 110
3.5. Проблемы законодательного характера .......................................... 111
3.6. Проблемы обеспечения информационной
безопасности в банковском секторе на местах ............................... 113
3.7. Проблемы обеспечения информационной
безопасности на стороне клиента ..................................................... 116
4. Характеристика хищений денежных средств
с использованием вредоносных компьютерных
программ неправомерного доступа к информации ........... 118
4.1. Вредоносные компьютерные программы как средство
совершения хищений денежных средств ........................................ 118
4.2. Организация преступной деятельности .......................................... 126
4.2.1. Особенности преступной деятельности
в киберпространстве....................................................................... 126
4.2.2. Кодеры .............................................................................................. 130
4.2.3. Ботнетчики....................................................................................... 131
4.2.4. Заливщики ....................................................................................... 132
4.2.5. Нальщики ......................................................................................... 134
4.2.6. Дропы ................................................................................................ 137
4.2.7. Поставщики услуг абузоустойчивого хостинга ........................ 139
4.2.8. Траферы (поставщики трафика) .................................................. 140
7
Стр.7
4.2.9. Поставщики эксплойтов ................................................................ 142
4.3. Совершение типового хищения денежных средств
с использованием вредоносных компьютерных программ ......... 144
5. Принципы управления рисками электронного
банкинга ......................................................................................................... 159
Введение ....................................................................................................... 159
5.1. Проблемы, связанные с управлением рисками
электронного банкинга ....................................................................... 161
5.2. Основные принципы управления рисками
электронного банкинга ....................................................................... 163
5.2.1. Наблюдение со стороны совета директоров
и высшего руководства банка (Принципы 1–3) ......................... 165
5.2.2. Средства обеспечения безопасности (Принципы 4–10) ............ 175
5.2.3. Управление правовым и репутационным рисками
(Принципы 11–14) ............................................................................ 186
6. Возможные риски при использовании
технологии интернет-банкинга .................................................. 193
Введение ....................................................................................................... 193
6.1. Развитие интернет-банкинга ............................................................. 195
6.2. Типы интернет-банкинга .................................................................... 198
6.3. Риски интернет-банкинга ................................................................... 199
6.3.1. Кредитный риск .............................................................................. 199
6.3.2. Процентный риск ............................................................................ 200
6.3.3. Риск ликвидности ........................................................................... 201
6.3.4. Ценовой риск ................................................................................... 201
6.3.5. Валютный риск ............................................................................... 201
6.3.6. Операционный риск ....................................................................... 202
6.3.7. Риск несоответствия ....................................................................... 203
6.3.8. Стратегический риск ...................................................................... 204
6.3.9. Репутационный риск ...................................................................... 205
6.4. Управление рисками ........................................................................... 207
6.5. Внутренний контроль ......................................................................... 208
7. Организация внутреннего аудита и внутреннего
контроля в кредитных организациях
при использовании систем электронного банкинга .......... 210
Введение ....................................................................................................... 210
7.1. Качество корпоративного управления в части развития
и применения систем электронного банкинга ............................... 211
7.1.1. Ориентированность кредитной организации
на развитие технологий электронного банкинга ...................... 211
8
Стр.8
7.1.2. Роль совета директоров кредитной организации
в организации внутреннего контроля ......................................... 213
7.1.3. Общие процедуры организации внутреннего аудита
и внутреннего контроля ................................................................. 215
7.1.3.1. Документарное обеспечение системы
внутреннего контроля ............................................................... 215
7.1.3.2. Особенности подбора кадров в службу внутреннего
аудита и службу внутреннего контроля ................................ 218
7.1.3.3. Методологическое обеспечение службы внутреннего
аудита и службы внутреннего контроля ............................... 221
7.1.3.4. Организация работы службы внутреннего аудита
и службы внутреннего контроля с результатами проверок
применения технологий электронного банкинга ................ 223
7.1.4. Организация управления рисками, связанными
с использованием системы электронного банкинга ................ 225
7.2. Организация (адаптация) процедур внутреннего аудита
и контроля в части системы электронного банкинга.................... 231
7.2.1. Организация процедур внутреннего аудита и контроля
на этапе обоснования нового проекта системы
электронного банкинга .................................................................. 233
7.2.2. Организация процедур внутреннего аудита и контроля
на этапе принятия решения о новом проекте системы
электронного банкинга .................................................................. 236
7.2.3. Организация (адаптация) процедур внутреннего аудита
и контроля на этапе планирования реализации системы
электронного банкинга .................................................................. 240
7.2.4. Организация (адаптация) процедур внутреннего аудита
и контроля на этапе проектирования системы
электронного банкинга .................................................................. 242
7.2.5. Организация (адаптация) процедур внутреннего аудита
и контроля на этапе разработки системы электронного
банкинга ........................................................................................... 247
7.2.6. Организация (адаптация) процедур внутреннего аудита
и контроля на этапе испытаний, сдачи и приемки
в эксплуатацию системы электронного банкинга .................... 262
7.2.7. Организация (адаптация) процедур внутреннего аудита
и контроля на этапе эксплуатации системы
электронного банкинга .................................................................. 276
8. Электронные деньги: риски легализации
преступных доходов ........................................................................ 282
Введение ....................................................................................................... 282
8.1. Электронные деньги............................................................................ 284
8.1.1. Понятие «электронные деньги» ................................................... 284
9
Стр.9
8.1.2. Международный опыт регулирования электронных денег ..... 290
8.1.2.1. Великобритания ......................................................................... 292
8.1.2.2. Люксембург ................................................................................. 293
8.1.2.3. Нидерланды ................................................................................ 293
8.1.2.4. США .............................................................................................. 294
8.1.2.5. Сингапур ...................................................................................... 294
8.1.2.6. Китай ............................................................................................ 296
8.1.2.7. Австралия .................................................................................... 296
8.2. Электронные деньги: анализ источников риска возможного
использования в схемах, направленных на отмывание денег ......... 298
8.2.1. Источники риска ОД/ФТ в условиях использования
электронных денег ......................................................................... 298
8.2.2. Интернет-платежи .......................................................................... 301
8.2.3. Азартные игры в интернете .......................................................... 306
8.2.4. Немного о биткоинах ...................................................................... 312
8.3. Участники процесса оценки риска ОД/ФТ ...................................... 315
8.3.1. Подходы к оценке риска ................................................................ 315
8.3.2. Участники оценки риска ............................................................... 320
8.3.3. Результаты оценки риска .............................................................. 323
8.4. Оценка риска ОД/ФТ в условиях интернет-платежей .................. 326
8.4.1. Этапы оценки риска ....................................................................... 326
8.4.1.1. Первый этап: выявление факторов риска ОД/ФТ ................ 327
8.4.1.2. Второй этап: анализ риска ОД/ФТ .......................................... 331
8.4.1.3. Третий этап: оценка риска ОД/ФТ .......................................... 335
8.4.2. Представление результатов оценки рисков ............................... 338
9. Интернет-трейдинг как инструмент отмывания
денежных средств на фондовой бирже ................................... 341
Введение ....................................................................................................... 341
9.1. Механизм эмиссии и размещения ценных бумаг .......................... 343
9.1.1. Как устроен механизм эмиссии и размещения ценных бумаг? ... 343
9.1.2. Кто является участником биржевых торгов? .............................347
9.1.3. Как устроена система учета прав на ценные бумаги? ............. 348
9.1.4. Каков механизм расчетов по сделкам с ценными бумагами,
заключенным на организованных биржевых торгах
и на внебиржевом рынке? ............................................................. 352
9.1.5. Каков механизм совершения биржевых сделок? ...................... 353
9.2. Схемы отмывания денежных средств с использованием
систем интернет-трейдинга ............................................................... 356
9.2.1. Схема 1 (simple) ............................................................................... 357
9.2.2. Схема 2 (complex) ............................................................................ 362
9.2.3. Схема 3 (difficult) ............................................................................. 369
10
Стр.10
10. Проблемы доверия и их решения ............................................ 378
Введение ....................................................................................................... 378
10.1. Доверенные системы ......................................................................... 385
10.1.1. Устройства с правильной архитектурой ................................... 388
10.1.1.1. Новая гарвардская архитектура ............................................ 390
10.1.1.2. Борьба с вирусами или «вирусный иммунитет» ................ 394
10.1.1.3. Компьютеры .............................................................................. 399
10.1.1.4. Служебные носители (флешки, ключевые носители,
средства хранения журналов) ................................................ 417
10.1.2. Средства защиты, изменяющие архитектуру устройств
(наложенные средства защиты информации) ......................... 435
10.1.2.1. Средства доверенной загрузки .............................................. 438
10.1.2.2. Средства защиты для виртуальных структур .................... 445
10.2. Идентификация для защищенности и безопасности .................. 452
10.2.1. Идентификация в открытых системах...................................... 454
10.2.2. Новая биометрия. Замысел защиты .......................................... 458
10.3. Краткий обзор нормативной базы по критическим
информационным инфраструктурам ............................................ 460
10.3.1. Основные документы ................................................................... 460
10.3.2. Другие документы ........................................................................ 465
10.3.3. Преступления и наказания .......................................................... 466
Вместо заключения .................................................................................... 467
11. Точка бифуркации для финансового регулирования
в эпоху Четвертой промышленной революции ................. 469
11.1. Четвертая промышленная революция ........................................... 469
11.2. Переход на арендную модель жизни .............................................. 474
11.3. Становление Homo Connected, окруженного IoE
и цифровыми помощниками ............................................................ 482
11.4. Ликвидация частной жизни в силу экспоненциального
роста регистрирующих устройств .................................................. 486
11.5. Угроза кражи цифровой личности или создания
достаточно убедительной фейковой ............................................... 491
11.6. Утрата понимания, «как это работает», и контроля
за нейросетями и AI ........................................................................... 495
11.7. Цифровой феодализм ........................................................................ 500
11.8. Точка бифуркации: RegTech vs SupTech ........................................ 505
Заключение ............................................................................................... 510
Список использованных источников и литературы ...................512
11
Стр.11