Половина цифровых проектов банков уязвима для хакеров
Активное внедрение финансовыми организациями технологий блокчейн угрожает их безопасности, вплоть до полной потери контроля над критически важными ресурсами.
Об этом говорится в отчете Positive Technologies, подготовленном для «Известий».
Половина пилотов и более 70% смарт-контрактов (наиболее востребованный в финансовой среде инструмент на блокчейне) содержат уязвимости к хакерским атакам, пишут аналитики Positive Technologies в своем отчете, посвященном рискам использования банками технологий распределенных данных. Главный риск заключается в том, что проекты, запущенные даже в тестовом режиме, зачастую так или иначе связаны с основной корпоративной инфраструктурой финансовых организаций — как внешней, так и внутренней.
Из-за этого возможно проникновение в основную сеть банка с использованием уязвимости в системе на базе блокчейна. Например, для пилотного проекта формируется специальная трансакция с вредоносным кодом. Она поступает в закрытую тестируемую платформу, а затем используется как транспорт для атак на другие связанные системы. Это может привести к получению нарушителем полного контроля над критически важными ресурсами организации.
Использование блокчейн-технологий даже в пилотном режиме неотделимо от темы защищенности внутренней сети кредитно-финансовых организаций, пишут аналитики Positive Technologies. Посредством этих систем можно получить доступ к узлам, с которых выполняется управление банкоматами, к межбанковским переводам, карточному процессингу или платежным шлюзам. Действительно, есть определенная опасность, что злоумышленник подключит зараженные ноды (определенные алгоритмы, используемые в блокчейн) к общей сети, подтвердили «Известиям» в Doctor Web. В этом случае появится возможность проследить источник совершения трансакций и проникнуть в основную инфраструктуру организации.
Как и все новые технологии, системы на базе блокчейна могут быть незрелыми — без опыта противостояния угрозам, сказал «Известиям» антивирусный эксперт «Лаборатории Касперского» Алексей Маланов. Хотя они и активно тестируются российскими банками, судить об устойчивости таких пилотов к ошибкам пока затруднительно, поскольку в них принимает участие ограниченный круг лиц. Даже если находятся какие-либо уязвимости, то банк может их исправить, не привлекая внимания, заключил Алексей Маланов.
В финансовых организациях пока не видят серьезных угроз для безопасности своей инфраструктуры из-за блокчейн-проектов, поскольку значительная их часть реализуется в закрытом режиме. Но там признают, что технология уязвима, тем более на фоне того, что у программистов пока недостаточно опыта работы с системами, основанными на распределенном реестре. Такую точку зрения высказали в Сбербанке, ВТБ и Альфа-банке.
Из-за отсутствия общедоступного инструментария пока затруднены своевременное обнаружение подобных инцидентов и реагирование на них, считают в Positive Technologies. По сути, существуют лишь два вида ответа: «откатить» блокчейн до состояния, предшествующего атаке (но тогда утрачиваются все данные, занесенные в систему после нее), либо «принятие и смирение», говорят аналитики. Поэтому пока наиболее адекватный способ защиты — это заблаговременное предотвращение взлома. Например, исходя из особенностей архитектуры атак посредством блокчейна был разработан специальный алгоритм, позволяющий за один-два дня прогнозировать нападения группировки RTM (входит в топ-3 по частоте атак на банки), сообщили в Positive Technologies. Это позволило уведомлять кредитно-финансовые организации о новых серверах, с которых готовятся атаки.
Пока большинство громких кейсов, просочившихся в публичную плоскость, связаны с альтернативными финансовыми сервисами на блокчейне — такими, как взломы кошельков компаний, проводивших ICO, или криптовалютных бирж, рассказал технический директор компании DeviceLock Ашот Оганесян. Например, в начале июля этого года хакеры похитили $32 млн у японской биржи Bitpoint, двумя месяцами ранее — около $40 млн из одного из кошельков биржи Binance. По словам Ашота Оганесяна, технология становится излюбленной мишенью для хакерских атак, поскольку находится в большинстве юрисдикций на полулегальном положении, поэтому преступники чувствует определенную безнаказанность в своих действиях.
Однако, генеральный директор REG.RU Алексей Королюк уверен, что риски банкам удастся минимизировать благодаря использованию гибридной модели блокчейна.
"Ключевой момент заключается в том, что в цифровых проектах финансовых институтов будет применяться гибридный блокчейн, не предполагающий объединения глобального множества участников сообщества реестра, - отмечает Алексей Королюк. - Называется он гибридным, потому что в нём держателями реестра будут финансовые институты либо ответственные стороны. Например, банк как кредитная организация, исполнитель услуг как участник и держатель реестра, агент как лицо, которое взаимодействует с конечным покупателем. Пользователи в свою очередь будут не полноценными участниками реестра, а только обладателями права на чтение. Т.е. будут иметь возможность прочитать его содержимое, но не смогут взаимодействовать с реестром полноценно и интегрировать в него данные. Такая гибридная модель — наиболее устойчивая для подобных систем, будет применяться в ближайшее время".
Полноценная же широко известная модель блокчейна "многие ко многим" применяться в ближайшее время не будет. Она не имеет смысла, потому что доверенная среда в рамках бизнес-интересов, для построения смарт-контрактов — это непосредственно наличие одинакового реестра у всех сторон контракта.
Нет никакого смысла распространять возможность ведения реестра на множество лиц, не являющихся участниками контракта. В этом, с одной стороны — суть подхода, который будет использоваться в современном блокчейне, с другой стороны — возможность получить более защищённую систему, сохранив её гибкость с точки зрения возможностей.
Соответственно, в указанной гибридной модели риски существенно снижены, они являются уже нормальными и допустимыми для подобных систем. Поэтому следует ожидать внедрения подобной технологии к 2021-2022 году, повсеместное применение — позднее. Сдерживающий фактор — низкая степень проникновение знаний в профессиональную среду разработчиков. Очень немного людей работают с подобными системами и разбираются в них на профессиональном уровне».
Источник: ИКС