Рынок русских и западных стандартов безопасности, не обращая внимания на благоприятные условия для совершенствования, парадоксальным образом оторван от действительности.
1 мая, в Сутки труда, ожидается введение в воздействие новых предположений стандартов СТО БР РФ 1.0/1.2. Вероятнее, при выборе даты никто ничего не подразумевал, но введение нового стандарта безопасности в Сутки труда как бы намекает…
Новая версия стандартов учитывает последние трансформации в требованиях по обеспечению защиты персональных данных, в частности Распоряжения Правительства № 1119 и 21-го Приказа ФСТЭК. Учтены требования Положения ЦБ РФ № 382-П от 09.06.2012 о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств.
Ожидается, что данный несомненно сейчас лучший в Российской Федерации стандарт безопасности будет развиваться и дальше. Но все ли дыры безопасности будут закрыты новыми предположениями руководящих документов? Конкретно нет.
Поступательное развитие, постоянное добавление новых способов защиты, четкие формулировки с одной стороны и неуменьшающееся количество вирусов в сетях организаций и компаний с другой. Из-за чего компании, прошедшие аттестацию по лучшим стандартам, на практике остаются беспомощными?
В рамках одной статьи нереально назвать все обстоятельства, которых в действительности множество, исходя из этого разглядим лишь одну угрозу, вызывающую деятельный интерес СМИ, — заражение вредоносными программами либо вирусами.
Действующие редакции СТО БР РФ 1.0/1.2 и Приказа ФСТЭК России № 21 -это вправду достаточно идеальные акты. Что и как они советуют защищать?
Давайте разглядим, что подразумевают руководящие документы под защищаемыми объектами. Тщательный анализ требований показывает: от внимания регуляторов ускользнул множество процессов и систем. Отсутствуют советы по защите встраиваемых терминалов (и систем банкоматов), нет требований по защите мобильных платежей, защите информации, передаваемой по беспроводным сетям, защите от мошенничества при бесконтактной передаче данных (в частности, по протоколу NFS; случаи списания средств мошенниками уже известны).
И это далеко не полный перечень.
Возможно, во всех перечисленных выше случаях угрозы надуманны и существуют лишь в пресс-релизах разработчиков средств защиты?
Для примера начнем с банкоматов. Встраиваемые устройства трудятся в особенном режиме — они должны функционировать (как и автоматизированные совокупности управления технологическими процессами) безотказно и непрерывно в режиме 24 часа 7 дней в неделю.
Требование постоянной работы ведет к тому, что устройства не смогут перезагружаться при прихода того либо иного обновления, требующего перезагрузки. А потому, что заблаговременно неизвестно, какое обновление потребует перезагрузки и как оно окажет влияние на работу удаленного устройства, то обычно обновления не устанавливаются.
на данный момент большое количество показывают, что в связи с прекращением помощи Windows XP, банкоматы на базе данной ОС останутся трудиться с найденными и незакрытыми уязвимостями. Но, положа руку на сердце, неизменно ли на таких банкоматах на протяжении регламентов прописывалось использование всех обновлений безопасности?
В следствии устройства со всеми отысканными от момента создания ОС уязвимостями оказываются совершенной целью для киберпреступников. По сути, хакеров сдерживает лишь одно — сложность внедрения вирусов.
Сейчас, если не считать проникновения из внутренних сетей организации, чаще всего сети банкоматов заражаются через сменные устройства персонала . Но в этом случае на устройства попадают вирусы неспециализированного назначения, не рассчитанные на кражи как раз с банкоматов.
Максимум, что может случиться при таком заражении, — светло синий экран либо шифрование информации с выводом на экран требования о выкупе. Это не очень приятно, угрожает утратой репутации, распространением фотографий по всему Интернету, но хотя бы не ведет к прямым утратам денежных средств.
Целенаправленные атаки также вероятны, но для них нужен универсальный ключ для вскрытия банкоматов и доступ к конкретным устройствам для их заражения. Возможность заражения методом нештатного применения устройств (к примеру, выхода с них в сеть Интернет) возможно не учитывать — это решается организационными способами.
Zoobe Зайка Это не шутки, мы встретились в маршрутке
