В последние годы широкое распространение получили различные виды мошенничества на банкоматах: скимминг, фишинг и вредоносное ПО. Однако если в первом и втором случаях, поставщики услуг могут предложить решения для защиты, то с «вирусами» в банкоматах финансовые организации столкнулись впервые.
В середине 2009 года пред-ставление банковского сообщества о таком известном понятии, как «вредоносное ПО», или «компьютерный вирус», перевернулось. Все началось с того, что владельцы банковских карт стали заявлять в банки об исчезновении средств с их карточных счетов. В этих случаях карты находились на руках у держателей, и они никому не сообщали свои ПИН-коды. Тем не менее клиентам стали приходить SMS-сообщения о списаниях, хотя сами клиенты эти операции не проводили.
В «ЛАН АТМсервис» была создана рабочая группа, в которую помимо специалистов компании вошли представители МВД, международных платежных систем и ряда банков. Предварительные результаты были неутешительными. Работоспособные экземпляры вредоносного ПО были выявлены для банкоматов двух производителей, то есть угроза была общей для всей индустрии. Ситуацию усугубляло также то, что до момента выявления вредоносное ПО применялось уже больше года и никто в индустрии этого не знал.
Механизм проникновения «трояна» в банкома ты и технология кражи денег с карт клиентов и из банкоматов были раскрыты за достаточно короткое время. Стало понятно, что в случае массового распространения «трояна» масштаб финансовых потерь банков и их клиентов будет измеряться гигантскими суммами. В эффективной защите нуждались все банкоматы на территории России. Необходимо было незамедлительно создать, протестировать и развернуть на огромной территории принципиально новое решение для предотвращения несанкционированного доступа к ПО банкомата.
В условиях новой угрозы стало естественным, что один из наших ключевых клиентов обратился к нам как к своему поставщику, с которым у него был опыт реализации масштабных проектов. Нельзя было исключить и то, что какие-то банкоматы уже могли быть заражены вирусом. Поэтому прежде всего необходимо было провести аудит ПО компьютеров банкоматов.
Основная сложность данного проекта заключалась в масштабе необходимых работ. Так, на момент запуска проекта в банке насчитывалось более 1700 подлежащих защите устройств, которые были расположены во всех федеральных округах. План проекта предусматривал три этапа.
Планирование и подготовка
На первом этапе было необходимо решить несколько ключевых задач, от которых зависел ход выполнения проекта.
Во-первых, требовалось определить объем предполагаемых работ. Оказалось, что выяснение точного количества банкоматов и их местоположения является непростой задачей. В банках существует несколько источников информации подобного рода, и все они требуют актуализации. Например, закончилась аренда места под банкомат в торговом центре.
Аппарат переместили в другой торговый центр, а новый адрес его «местожительства» еще не внесли в реестр. Поэтому данные кропотливо сводились из разных источников и систематизировались, что позволило нам составить наиболее полную картину.
Во-вторых, необходимо было распределить объем работ по региональным подразделениям сервисной службы компании. Когда выяснилось общее количество банкоматов и появилась информация об их местонахождении, специалисты компании спланировали сроки выполнения работ и распределили работу между сервисными центрами. При реализации столь масштабного проекта существенную роль играет четкое управление региональными подразделениями, что возможно только при полном понимании объемов работ в каждом конкретном регионе.
В-третьих, требовалось проверить совместимость программного продукта с банкоматами. В это трудно поверить, но банкоматы даже одного производителя, одной модели и одного года выпуска, установленные в разное время в разных точках обслуживания, могут значительно различаться как по составу аппаратной части, так и по составу
ПО. Различия могут касаться об ъема оперативной памяти компьютера банкомата, версий системного и прикладного программного обеспечения. Несложно представить, насколько важно выполнение этого этапа, когда речь идет об установке нового программного модуля в уже работающую аппаратно-программную среду из 1700 банкоматов на всей территории России. Возникает множество вопросов, ответы на которые обязательно нужно знать перед отправкой дистрибутивов продукта в 45 сервисных центров в различных регионах страны. Будет ли новая программа работоспособна именно при таком количестве оперативной памяти? Не будет ли конфликта с другими программными модулями? Данный этап проекта был, пожалуй, самым ответственным и сложным. Специалисты значительно доработали исходную программу.
Заключительная стадия первого этапа включала методическую проработку аудита и установки защиты, подготовку и рассылку необходимой документации и материалов в региональные сервисные центры. В короткие сроки до специалистов в регионах были доведены регламенты по проведению работ на банкомате, инструкции по установке и настройке продукта. В рассылаемые материалы также вошли дистрибутивы продукта. Дополнительно были разработаны детальные инструкции по порядку действий при обнаружении вредоносного ПО. Первый этап длился 5 недель.
Реализация. Мониторинг
Второй этап проекта, рассчитанный на 8 месяцев, включал инсталляцию программного продукта на банкоматах банка и мониторинг выполняемых работ. Кроме того, для банка была выпущена новая, улучшенная версия решения, в которую вошли наработки, собранные в ходе первого этапа. Красноярск стал первым городом, в котором банкомат был защищен от несанкционированного доступа.
Как правило, банкоматы работают 24 часа в сутки, 7 дней в неделю. Внеплановую остановку банкомата было необходимо согласовывать с инкассаторами, сотрудниками подразделений служб безопасности и сопровождения банкоматов. Хорошо, если банкомат находился в шаговой доступности от сервисного центра. Но порой, чтобы добраться до места выполнения работ, необходимо было сначала доехать до аэропорта, вылететь в другой город, ближайший к месту расположения банкомата, и уже оттуда добраться до банкомата. После проделанной работы предстоял обратный путь.
Подведение итогов
Восемь месяцев спустя более 1700 банкоматов заказчика были защищены от угрозы заражения вредоносным ПО. Теперь внести изменения в ПО банкомата мог только зарегистрированный в базе данных сотрудник. Для прохождения авторизации требовалось предъявить электронный ключ и ввести персональный пароль. Любые изменения, вносимые в ПО банкомата, фиксировались в защищенных лог-файлах. Кроме того, наиболее значимые
файлы были внесены в список запрещенных для модификации.
Автор статьи:
Дмитрий Сигачев
Руководитель проектов компании "ЛАН АТМсервис"
