Как провалилась защита Пикса и какой урок из этого извлек Центральный банк

Убытки все еще подсчитываются, один человек уже арестован , но что именно произошло и как именно, все еще расследуется гражданской полицией Сан-Паулу и Федеральной полицией (PF). Спустя три дня после того, как крупнейшая хакерская атака в истории Бразилии использовала действительные учетные данные и вторглась в системы C&M — технологической компании, которая обеспечивает доступ для небольших банков и финтехов к системам Центрального банка, включая Pix, — национальная финансовая система в целом все еще оправляется от шока и пытается лучше понять масштабы мошенничества.

Хищение может составить более 1 млрд реалов — только BMP, цифровой банк, который является одним из шести пострадавших клиентов C&M, сообщил о краже 541 млн реалов в полицию Сан-Паулу. Первоначально деньги не затронули клиентов и поступили с резервных счетов финансовых учреждений в Центральном банке.

В любом случае, по мнению экспертов, опрошенных Gazeta do Povo , существуют практические и относительно простые действия, которые могут и должны быть предприняты как финансовыми учреждениями, так и их поставщиками услуг, а также Центральным банком впредь, чтобы предотвратить повторение такого типа атак и создание системного риска для национального финансового рынка. Большинство мер уже существуют и имеют сторонников в крупных банках и компаниях, но они не являются обязательными — отсюда ответственность Центрального банка ужесточить эти правила, в дополнение к созданию дополнительных внутренних барьеров.

«По всей видимости, они использовали действительные логины и пароли от посреднической компании, чтобы получить действительные логины и пароли от финансовых учреждений, которые были клиентами этой компании, а затем использовали эту информацию для доступа и перемещения резервных счетов этих компаний в Центральном банке», — говорит Микаэлла Рибейро, специалист по идентификации и доступу в IAM Brasil, компании, специализирующейся на контроле доступа в целом. Она подчеркивает, что дело рассматривается с большой конфиденциальностью, поэтому подробной информации о том, что произошло, нет.

Цифровая экосистема, защищающая Pix, должна иметь более жесткие стандарты, чтобы избежать системного риска для национального финансового рынка.

По словам эксперта, системы Центробанка защищены. «Большинство хакерских атак используют действительный доступ для вторжения в систему; очень сложно просто взломать систему безопасности и осуществить вторжение без действительных учетных данных», — говорит она.

«Есть постановления Центрального банка, которые требуют от компаний принятия ряда мер безопасности для участия в этой системе. Крупные банки выходят за рамки этого и внедряют больше, чем требуется, но может потребоваться уточнить некоторые вещи, чтобы избежать большего количества проблем в будущем».

Эксперт считает, что единые учетные данные и пароль доступа не могут иметь столько силы

После атаки те, кто работает в секторе, понимают, что, возможно, пришло время ужесточить уже действующие правила. «Руководство Центрального банка по подключению к его системам является достаточно всеобъемлющим и дает очень полный обзор мер безопасности, но некоторые очень важные вещи перечислены там как рекомендации, а не обязательные», — говорит Луис Энрике Барбоза, исполнительный директор Swarmy Tecnologia , компании, специализирующейся на безопасности и предотвращении цифрового мошенничества с упором на финансовый рынок.

«Экосистема финтеха , где возникла проблема, имеет менее жесткие правила, чем крупные банки, которые напрямую связаны с системой Центрального банка. Это желательно, поскольку именно это делает возможными все инновации и конкуренцию, которые мы видели в секторе, но это может потребовать определенных корректировок», — замечает Барбоза.

Первый вариант заключается в том, чтобы Центральный банк установил более строгие правила в соответствии с реалиями каждого финансового учреждения и потребовал создания нескольких уровней доступа и авторизации в рамках финансового учреждения и компаний, которые выступают в качестве связующего звена между банками и Центральным банком, чтобы переводы конфиденциальных счетов, таких как резервный счет, были более защищены в случае утечки логина и пароля доступа.

«Мне также интересно , как один-единственный идентификатор и пароль для доступа к посреднической компании систем мог обладать такой властью , вплоть до того, что в конечном итоге мог получить доступ к движению стольких денежных средств клиентов, когда существовали барьеры доступа и сигнализация», — задается вопросом Барбоса.

В этой «луковой» схеме каждый доступ и финансовое движение по внутренним счетам банка подлежат одобрению кем-то на уровень выше, с уведомлениями в режиме реального времени на мобильные телефоны участников, если это применимо. Также можно установить ограничения на ресурсы, которые каждый уровень управления может перемещать без согласия вышестоящих менеджеров, в дополнение к требованию участия более чем одного учетного имени доступа одновременно или даже авторизации транзакций только с использованием определенных физических устройств и, таким образом, ограничить ущерб в случае атаки.

Бразильское «Ограбление бумажных денег» в цифровом мире

Во-вторых, как посредники, предоставляющие доступ к системам Центрального банка, так и финансовые учреждения, владеющие деньгами, должны и могут устанавливать оповещения о мониторинге финансовых транзакций в режиме реального времени, которые информируют ответственные секторы и специалистов, если со счетами во время транзакций происходит что-то необычное, включая автоматическую блокировку до тех пор, пока транзакция не будет подтверждена на соответствующих уровнях.

Наконец, помимо требования большей строгости во всем этом путем выпуска конкретных правил, сам Центральный банк может запретить снятие средств с резервных счетов, например, ночью (как это было сделано в рассматриваемой атаке) или в случае несогласия со значениями, предварительно авторизованными счетами и временем, ранее зарегистрированными финансовыми учреждениями и их поставщиками услуг в Центральном банке.

«Короче говоря, есть возможности для улучшения по всем фронтам », — говорит Микаэлла Рибейро. «Этот случай показывает, что киберпреступность никуда не денется и больше не просто атакует ничего не подозревающих людей в мелких онлайн-мошенничествах. Этот случай, похоже, является бразильским «Ограблением денег», но в виртуальном мире, и он оставляет огромное предупреждение и урок», — говорит Луис Энрике Барбоза.