Дополнительные меры по обеспечению информационной безопасности
банков разработали в Агентстве РК по развитию и регулированию финансового рынка.
Нормы предлагается включить в рамках постановления правления АРРФР «О внесении
изменения в постановление правления Национального банка Республики Казахстан от
27 марта 2018 года № 48 «Об утверждении Требований к обеспечению информационной
безопасности банков, филиалов банков-нерезидентов Республики Казахстан и
организаций, осуществляющих отдельные виды банковских операций, Правил и сроков
предоставления информации об инцидентах информационной безопасности, включая
сведения о нарушениях, сбоях в информационных системах».
Как указывается в документе, нормы вносятся в целях усиления подходов к
обеспечению безопасности программного обеспечения дистанционного оказания услуг
банков или финансовых организаций.
«Соответствующий порядок усиления защиты онлайн-кредитования
закреплен пунктом 9 Дорожной карты по реализации механизмов противодействия
кредитному мошенничеству, утвержденной вице-премьером РК
№12-01/1150-3//23-63-8.18-5 от 28.04.2023 г.», - говорится в обосновании.
В частности, в постановление предлагается добавить главу, которая формирует требования к обеспечению
безопасности программного обеспечения дистанционного оказания финансовых услуг.
Так, согласно им, программное обеспечение (ПО) дистанционного оказания
услуг БВУ или ФО должно включать:
1) программное
обеспечение серверов веб-приложений (веб-приложение);
2) программное
обеспечение для мобильных устройств (мобильное приложение);
3) программное
обеспечение серверов программных интерфейсов (серверное ППО).
Разработка и (или) доработка ПО дистанционного оказания
услуг должна будет осуществляться финучреждениями в соответствии с
утвержденным исполнительным органом внутренним документом, регламентирующим
порядок разработки и (или) доработки программного обеспечения, этапы разработки
и их участников.
В случае, если разработка и (или) доработка ПО передана
сторонней организации и (или) третьему лицу, БВУ или ФО должны будут обеспечить
исполнение сторонней организацией и (или) третьим лицом предлагаемых требований
и внутренних документов, которые будут отвечать за состояние безопасности программного
обеспечения дистанционного оказания услуг.
Хранить исходные коды фининституты должны будут в
специализированных системах управления репозиториями кода, размещаемых в периметре
защиты БВУ, организации, с обеспечением резервного копирования.
Независимо от принятого в банке или организации подхода к
разработке и (или) доработке программного обеспечения дистанционного оказания
услуг, обязательным этапом должно являться тестирование безопасности:
1) статический
анализ исходного кода;
2) анализ
компонентов и (или) сторонних библиотек.
Статический анализ исходного кода будет проводиться с
использованием сканера статического анализа исходных кодов, поддерживающего
анализ всех используемых языков программирования в проверяемом программном
обеспечении, в функции которого входит выявление следующих уязвимостей, но не
ограничиваясь:
1) наличие
механизмов, допускающих инъекции вредоносного кода;
2) использование
уязвимых операторов и (или) функций языков программирования;
3) использование
слабых и (или) уязвимых криптографических алгоритмов;
4) использование
кода, вызывающего при определенных условиях отказ в обслуживании или
существенное замедление работы приложения;
5) наличие
механизмов обхода систем защиты приложения;
6) использование
в коде секретов в открытом виде;
7) нарушение
шаблонов и практик обеспечения безопасности приложения.
Анализ компонентов и (или) сторонних библиотек программного
обеспечения дистанционного оказания услуг банка, организации будет проводиться с целью
выявления известных уязвимостей, присущих используемой версии компонента и (или)
сторонней библиотеки, а также отслеживания зависимостей между компонентами и
(или) сторонними библиотеками и их версиями.
Банк или микрофинансовая организация должны будут обеспечивать
реализацию корректирующих мер по устранению выявленных уязвимостей в порядке,
определенном внутренним документом, утвержденным исполнительным органом. При
этом критичные уязвимости они будут устранять до ввода в эксплуатацию программного
обеспечения дистанционного оказания услуг и (или) его новых версий.
Также они должны будут осуществлять ввод в эксплуатацию
программного обеспечения дистанционного оказания услуг и (или) его новых версий
после согласования с подразделением по информационной безопасности.
Кроме того, вышеуказанные учреждения планируют обязать
обеспечивать хранение и доступ в оперативном режиме ко всем версиям исходных кодов
программного обеспечения дистанционного оказания услуг и результатов
тестирования безопасности, которые были введены в эксплуатацию.
Обмен
данными между клиентской и серверной сторонами программного обеспечения
дистанционного оказания услуг должен будет шифроваться с использованием версии
протокола шифрования Transport Layer Security (Транспорт Лэйер Секьюрити) не
ниже 1.2.
При
первичной регистрации клиента в мобильном приложении банки или финорганизации должны будут осуществлять его биометрическую идентификацию посредством Центра обмена
идентификационными данными (ЦОИД) или с использованием биометрических данных,
полученных посредством устройств БВУ или ФО.
Планируется
установить требование по изменению кода доступа (пароля) к мобильному
приложению посредством биометрической идентификации клиента с использованием
биометрических данных, подтвержденных ЦОИД или полученных посредством устройств финучреждений.
Идентификация
и аутентификация клиента в программном обеспечении дистанционного оказания
услуг должны будут проводиться с применением способов двухфакторной
аутентификации (использованием двух из трех факторов: знания, владения,
неотъемлемости). Делегирование функций идентификации и аутентификации клиента
сторонним организациям и (или) третьим лицам не допускается.
Кроссдоменная аутентификация при этом должна будет осуществляться
только между доменами третьего уровня или выше, которые имеют общий
родительский домен второго уровня, или между доменом второго уровня и его
дочерними доменами.
2) запрет на
сохранение в памяти браузера авторизационных данных;
3) маскирование
вводимых секретов;
4) информирование
на странице авторизации клиента о мерах обеспечения кибергигиены, которым
рекомендуется следовать при использовании веб-приложения;
5) обработку
ошибок и исключений безопасным способом, не допуская отображение в интерфейсе
клиента конфиденциальных данных, предоставляя минимально достаточную информацию
для диагностики проблемы.
МП не будет использовать функционал встраиваемых веб-страниц (компонент WebView
(ВебВью).
Мобильное приложение должно будет обеспечивать:
1) однозначность
идентификации принадлежности мобильного приложения банку, организации (данные в
официальном магазине приложений, логотипы, корпоративные цвета);
2) блокировку
функционала по оказанию дистанционных услуг банка, организации в случае
обнаружения признаков нарушения целостности и (или) обхода защитных механизмов
операционной системы, обнаружения процессов удаленного управления;
3) уведомление
клиента о наличии обновлений мобильного приложения;
4) возможность
принудительной установки обновлений мобильного приложения или блокировки
функционала мобильного приложения до их установки в случаях необходимости
устранения критичных уязвимостей;
5) хранение
конфиденциальных данных в защищенном контейнере мобильного приложения или
хранилище системных учетных данных;
6) обмен
данными только с авторизованным серверным ППО банка, организации;
8) исключение
из резервных копий мобильного приложения конфиденциальных данных;
9) информирование
клиента о действенных методах обеспечения кибергигиены, которым рекомендуется
следовать при использовании мобильного приложения;
10) информирование
клиента о событиях авторизации под его учетной записью, изменения и (или)
восстановления пароля, изменения, зарегистрированного банком, организацией
номера мобильного телефона;
11) в ходе
осуществления операций с денежными средствами - передачу в серверное ППО банка,
организации геолокационных данных мобильного устройства при наличии разрешения
от клиента либо передачу информации об отсутствии такого разрешения.
Серверное
ППО должно будет обеспечивать:
1) контроль
скорости приема запросов со стороны мобильных и веб-приложений клиента;
2) обработку
ошибок и исключений безопасным способом, не допуская в ответе раскрытия
конфиденциальных данных, предоставляя минимально достаточную информацию для
диагностики проблемы;
3) идентификацию
и аутентификацию мобильных приложений и связанных с ними устройств;
4) проверку
данных на валидность для предотвращения атак с подделкой запросов и инъекций
вредоносного кода.
Напомним, ранее в Агентстве по регулированию и развитию финансового рынка
сообщали о комплексных процедурах по проверке клиентов. В ведомстве уточняли,
что наличия только ИИН и номера удостоверения личности недостаточно для
прохождения всех требований и процедур при выдаче займа. В АРРФР отмечают, что
на сегодняшний день банки и микрофинансовые организации (МФО) – субъекты
системы противодействия отмыванию денег и финансированию терроризма. Поэтому
они обязаны проводить комплексные процедуры и надлежащую проверку клиентов.
Кроме того, Агентство внесло изменения в правила предоставления
микрокредитов электронным способом для недопущения мошенничества и
защиты потребителей микрофинансовых услуг постановлением правления АРРФР от
30 апреля 2021 года (№63).
Таким образом, для удаленного получения микрокредита проводится
идентификация заемщика одним из трех способов:
1) с помощью электронной цифровой подписи (ЭЦП);
2) соответствия биометрическим параметрам заемщика с использованием
сервиса ЦОИД (центр обмена идентификационными данными – Ред.)
РГП «Казахстанский центр межбанковских расчетов Нацбанка РК»;
3) через двухфакторную проверку персональных данных и
изображения заемщика в режиме реального времени.
Дополнительно правилами предусмотрена двухфакторная аутентификация для
подтверждения права клиента на получение микрокредита электронным способом. В
том числе с использованием программного обеспечения (ПО) для идентификации
потенциального заемщика, которое обеспечивает проверку и подтверждение
изображения клиента в режиме реального времени с его фотографией на
удостоверении личности.
ПО также обеспечивает безопасность персональных данных клиента при обмене и
хранении информации, защиту от распечатанного бумажного изображения лица
потенциального заемщика и от возможности дублирования воспроизведения видео-
или фотоизображения с другого периферийного устройства.
АРРФР также ввело дополнительные способы аутентификации путем сверки с
данными операторов мобильной связи постановлением правления Агентства от
13 декабря 2021 года (№108). Аутентификация обеспечивает проверку
того, что абонентский номер принадлежит клиенту путем сверки его ИИН в базе
номеров мобильных телефонов клиентов через веб-портал «электронного
правительства». Это было сделано в целях недопущения мошенничества и защиты
потребителей микрофинансовых услуг.
Таким образом, правила усилены в части процедур идентификации клиента путем
сверки с данными операторов мобильной связи.
АРРФР также ответило, может ли злоумышленник получить доступ к устройству
потенциальной жертвы или к ее личным данным, если человек просто перейдет по
ссылке в интернете. В Агентстве рассказывают, что если ссылка вирусная, то
пользователь может скачать вредоносное программное обеспечение, которое будет
передавать мошенникам конфиденциальную информацию пользователя, в том числе
пароли от электронной почты и данные банковских кабинетов.
Теоретически эта информация может быть использована для получения доступа не
только к устройству, но и к иной инфраструктуре пострадавшего. Поэтому
необходимо устанавливать качественный антивирус и регулярно обновлять
лицензионное ПО, а также не запускать мобильные приложения банков и МФО при
работе неизвестных программ, добавляют в АРРФР.
Запрет будет действовать шесть месяцев
При работе с материалами Центра деловой информации Kapital.kz разрешено использование лишь 30% текста с обязательной гиперссылкой на источник. При использовании полного материала необходимо разрешение редакции.