Как защитить банкомат от хакерских атак и киберугроз?

24.10.2013 | 14:21 Общество

Сейчас на первый план вышли угрозы другого рода.

Транзакции, связанные с банковскими картами, идут через Интернет — вотчину хакеров и прочих киберпреступников. Ветераны еще помнят, что лет 10 назад софтверной составляющей банкомата в большинстве случаев являлась OS/2. И, возможно, так было бы и дальше, если бы 31 декабря 2006 года IBM не прекратила поддержку пользователей OS/2. В настоящее время на банкоматах, как правило, установлена та или иная версия ОС Windows XP. По данным компании Trend Micro, именно ОС Windows будет применяться в 75% новых банкоматов. Процесс уже запущен: каждый год примерно 10% от общего числа находящихся в эксплуатации банкоматов заменяется на новые модели. В среднем, в современных условиях срок службы банкомата составляет до 10 лет, а при том, что массовая замена началась 5 лет назад, то уже близко то время, когда подавляющее большинство банкоматов будет работать под управлением Windows.Конечно, на банкомате стоит «урезанная» ОС, а чем меньше набор функциональных возможностей, тем меньше областей, подверженных ошибкам, и возможностей для атак на систему безопасности. Однако, архитектура Windows хорошо знакома взломщикам, а это означает, что банкомат может быть подвержен атаке любой вредоносной программы, которая написана для этой операционной системы.

Такие атаки несут за собой массу негативных последствий: от пропажи денежных средств со счетов держателей карт до удара по репутации банка из-за освещения негативного события в СМИ.

Таким образом, защита программной составляющей банкомата становится первоприоритетной в комплексе мер по обеспечению безопасности ATM.

В этом свете особенно актуальны основные тезисы документа «ATM Software Security Best Practices» (лучшие практики информационной безопасности банкоматов), содержащие рекомендации о защите ATM или платежных терминалов от киберугроз.
Ассоциация индустрии производителей банкоматов ATMIA (ATM Industry Association) дает советы о том, как максимально эффективно защитить банкомат.

В первую очередь, нужно стремиться привести банкомат в соответствие с PCI DSS — . Payment Card Industry Data Security Standard (PCI DSS) — стандартом защиты информации в индустрии платёжных карт, разработанным международными платёжными системами Visa и MasterCard.

В отношении же ПО, устанавливаемого на банкоматах, ассоциация AIMIA дает следующие рекомендации:

• Следуйте советам по безопасности, которые дает вендор. Производители банкоматов скрупулезно тестируют существующие системы безопасности, особенно на тех банкоматах, которые выпускают, поскольку несут за них ответственность.
• Используйте только необходимый минимум функционала ОС, чем больше программ будет в системе, тем больше вероятность того, что одна из них окажется вредоносной. Для того, чтобы предотвратить это, необходимо сохранять целостность, неизменность системы. В этом может помочь специально написанное или приобретенное на стороне приложение.
• Применяйте несколько уровней защиты банкомата. Настройте доступ к устройствам ввода/вывода информации. Используйте брандмауэр. Брандмауэр может быть программным или аппаратным. Программный брандмауэр является более надежным решением, нежели аппаратный, так как он не выключается путем отключения из сети. Хороший брандмауэр поможет создать набор правил, которые позволят банкомату принимать лишь тот входящий трафик, который отправляется в ответ на его запросы.
• Не забывайте о том, что увеличение количества решений по безопасности еще не означает качество. В первую очередь, управление системой должно быть эффективным.
• Используйте в качестве дополнения к брандмауэру антивредоносное ПО (например, антивирус). Однако помните, что антивирусы требуют постоянных обновлений своих баз, а для этого им нужен постоянный доступ в интернет. На банкоматах часто бывает низкоскоростное соединение, а попытка антивируса выйти в сеть при этом может замедлить их работу.
• Альтернативой антивирусам является HIPS (Host Intrusion Prevention System), система предотвращения вторжений. Она не требует обновлений, поддерживая систему в заведомо рабочем состоянии, и не позволяет запускаться приложениям, которые не занесены в список доверенных. Решения, относящиеся к HIPS, защищают также и память устройства, что предотвратит атаки типа «Переполнение буфера обмена»
• Стандарты применения антивирусов и антивредоносного ПО на банкоматах пока находятся в стадии разработки. Для соответствия PCI DSS нужно установить антивирус, однако это вовсе не гарантирует полноценной защиты от вторжения.

Подведем итог

Чтобы надежно защитить банкомат или другое автономное устройство, при помощи которого осуществляются финансовые операции от кибер-атак, необходимо соблюдать следующие правила:

• Наделите правом вносить изменения в конфигурацию системы только доверенного администратора,
• Установите несколько уровней защиты программной среды
• Убедитесь, что разные решения по защите не блокируют друг друга и работу системы.
• Регулярно проверяйте работу банкомата.

Соблюдение этих правил поможет обезопасить банкомат от хакеров и мошенников. 

Конечно, данные предложения описывают только общий подход к требованиям по защите банкоматов и платежных терминалов на софтверном уровне.

В настоящее время к выходу готовится новая редакция ATMIA Best Practices, которая должна увидеть свет вконце 2011 года. Этот документ содержит рекомендации ассоциации ATMIA, касающиеся политик безопасности, стандартов индустрии, в том числе анализ типичных угроз и рисков и подробные рекомендации по защите банкомата на уровне ПО. В ближайшее время мы обязательно осветим эту тему подробнее, исходя из новой редакции лучших практик ATMIA.