Чей блокчейн: половина цифровых проектов банков уязвима для хакеров
Активное внедрение финансовыми организациями технологий блокчейн угрожает их безопасности, вплоть до полной потери контроля над критически важными ресурсами.
Об этом говорится в отчете Positive Technologies (специализируется на киберзащите), подготовленном для "Известий". По оценкам аналитиков, половина пилотных проектов банков и более 70% заключаемых смарт-контрактов демонстрируют уязвимости к хакерским атакам. Отчасти это связано с новизной технологии для программистов, что приводит к большому числу ошибок при написании кода. Другие крупные компании из области киберзащиты выводы Positive Technologies в целом подтверждают. Крупнейшие банки, опрошенные "Известиями", пока не видят значительных рисков в использовании блокчейна, поскольку на данном этапе большинство проектов пилотируются в закрытом режиме. Впрочем, они признают, что технология недостаточно изучена и прецеденты с хищением средств из криптобирж подтверждают ее уязвимость.
От частного к целому
Половина пилотов и более 70% смарт-контрактов (наиболее востребованный в финансовой среде инструмент на блокчейне) содержат уязвимости к хакерским атакам, пишут аналитики Positive Technologies в своем отчете, посвященном рискам использования банками технологий распределенных данных. Главный риск заключается в том, что проекты, запущенные даже в тестовом режиме, зачастую так или иначе связаны с основной корпоративной инфраструктурой финансовых организаций — как внешней, так и внутренней.
Из-за этого возможно проникновение в основную сеть банка с использованием уязвимости в системе на базе блокчейна. Например, для пилотного проекта формируется специальная трансакция с вредоносным кодом. Она поступает в закрытую тестируемую платформу, а затем используется как транспорт для атак на другие связанные системы. Это может привести к получению нарушителем полного контроля над критически важными ресурсами организации, предупреждают аналитики Positive Technologies.
Российские банки достаточно активно используют технологии блокчейн — как в тестовых, так и в полноценных рабочих проектах, следует из ответов крупнейших организаций, опрошенных "Известиями". Например, Сбербанк пользуется технологией распределенного реестра для заключения сделок внебиржевого РЕПО. ВТБ реализует в начале 2020 года несколько пилотных проектов в области торгового финансирования и расчетов. Альфа-банк продвигает блокчейн-решения в транспортной отрасли — агентской продаже авиабилетов, поставках авиационного топлива, в ЖКХ. Райффайзенбанк выпустил первую электронную закладную с учетом и хранением в распределенной системе данных, и сейчас этот проект готовится к промышленной эксплуатации. Такие данные в ответ на запрос "Известий" привели пресс-службы кредитных организаций.
Использование блокчейн-технологий даже в пилотном режиме неотделимо от темы защищенности внутренней сети кредитно-финансовых организаций, пишут аналитики Positive Technologies. Посредством этих систем можно получить доступ к узлам, с которых выполняется управление банкоматами, к межбанковским переводам, карточному процессингу или платежным шлюзам. Действительно, есть определенная опасность, что злоумышленник подключит зараженные ноды (определенные алгоритмы, используемые в блокчейн) к общей сети, подтвердили "Известиям" в Doctor Web. В этом случае появится возможность проследить источник совершения трансакций и проникнуть в основную инфраструктуру организации.
Молодо-зелено
Как и все новые технологии, системы на базе блокчейна могут быть незрелыми — без опыта противостояния угрозам, сказал "Известиям" антивирусный эксперт "Лаборатории Касперского" Алексей Маланов. Хотя они и активно тестируются российскими банками, судить об устойчивости таких пилотов к ошибкам пока затруднительно, поскольку в них принимает участие ограниченный круг лиц. Даже если находятся какие-либо уязвимости, то банк может их исправить, не привлекая внимания, заключил Алексей Маланов.
В финансовых организациях пока не видят серьезных угроз для безопасности своей инфраструктуры из-за блокчейн-проектов, поскольку значительная их часть реализуется в закрытом режиме. Но там признают, что технология уязвима, тем более на фоне того, что у программистов пока недостаточно опыта работы с системами, основанными на распределенном реестре. Такую точку зрения высказали в Сбербанке, ВТБ и Альфа-банке.
Из-за отсутствия общедоступного инструментария пока затруднены своевременное обнаружение подобных инцидентов и реагирование на них, считают в Positive Technologies. По сути, существуют лишь два вида ответа: "откатить" блокчейн до состояния, предшествующего атаке (но тогда утрачиваются все данные, занесенные в систему после нее), либо "принятие и смирение", говорят аналитики. Поэтому пока наиболее адекватный способ защиты — это заблаговременное предотвращение взлома. Например, исходя из особенностей архитектуры атак посредством блокчейна был разработан специальный алгоритм, позволяющий за один-два дня прогнозировать нападения группировки RTM (входит в топ-3 по частоте атак на банки), сообщили в Positive Technologies. Это позволило уведомлять кредитно-финансовые организации о новых серверах, с которых готовятся атаки.
Пока большинство громких кейсов, просочившихся в публичную плоскость, связаны с альтернативными финансовыми сервисами на блокчейне — такими, как взломы кошельков компаний, проводивших ICO, или криптовалютных бирж, рассказал технический директор компании DeviceLock Ашот Оганесян. Например, в начале июля этого года хакеры похитили $32 млн у японской биржи Bitpoint, двумя месяцами ранее — около $40 млн из одного из кошельков биржи Binance. По словам Ашота Оганесяна, технология становится излюбленной мишенью для хакерских атак, поскольку находится в большинстве юрисдикций на полулегальном положении, поэтому преступники чувствует определенную безнаказанность в своих действиях.