Шрифт:
Интервал:
Закладка:
10. Задайте различные учетные записи пользователя прикладного ПО.
Прикладное ПО должно работать под учетной записью с минимальными полномочиями.
11. Обеспечьте мониторинг сигнала оповещения при открытии верхнего кабинета банкомата.
12. Используйте в диспенсере функцию шифрования.
13. Используйте программное обеспечение контроля запускаемого на исполнение ПО («белый» список).
14. Используйте систему удаленной загрузки терминальных мастер-ключей (Remote KeyManagement).
15. Используйте промышленную операционную систему, поддерживаемую производителем.
16. Используйте прикладное ПО, сертифицированное по стандарту PA-DSS.
17. Банкоматное программное обеспечение должно устанавливаться с инсталляционных дисков по технологии и регламентам, рекомендованным поставщиками банкоматов и ПО.
18. Используйте EPP клавиатуру, сертифицированную по стандарту PCI PTS.
19. Используйте режим ЕРР клавиатуры, соответствующий стандарту PCI PTS (защищенный ввод криптографических ключей).
20. Для неконсольного административного доступа к банкомату используйте программное обеспечение, обеспечивающее стойкое шифрование аутентификационных данных.
21. Заблокируйте или отключите не используемые для обслуживания порты ввода/вывода.
Основные способы — это либо взлом сейфа на месте установки банкомата, либо хищение банкомата и его последующий взлом.
Проблема характеризуется тем, что большинство банкоматов оснащено сейфами первого класса устойчивости к взлому, что позволяет относительно просто и быстро их взламывать. В качестве инструментов используются шлифовальные машины типа «болгарка», газовые резаки, гидравлические инструменты для отжима дверей и др. Некоторое время назад по России прокатилась волна взломов банкоматов NCR, когда использовалась технологическая слабость запирающего механизма ригеля замка. В боковой стенке сейфа напротив середины ригеля с помощью фрезы высверливалось небольшое отверстие, в которое вставлялся прочный металлический стержень, по нему наносился сильный удар, и запорный механизм ломался. В последнее время, в том числе и в России (17 апреля 2013 г., Долгопрудный, ул. Гранитная, отделение Сбербанка), сейфы банкоматов стали взламывать, используя газообразные взрывчатые вещества. Ацетилен или бутан закачиваются в сейф, после чего производится детонация. Достаточно часто банкомат просто похищают и уже после этого вскрывают сейф, что дает больше времени для взлома и не требует какой-либо квалификации.
Штатная защита от хищений банкоматов — это их крепление:
1) к бетонному полу четырьмя анкерными болтами, закрепляемыми в скважине при помощи синтетической смолы, диаметром не менее 12 мм и глубиной не менее 150 мм;
2) к деревянному полу четырьмя анкерными болтами к стальной плите, которая крепится не менее чем четырьмя болтами к балкам перекрытия (рекомендации ATMIA). К сожалению (для банков), не каждый собственник помещения разрешит таким образом закрепить банкомат.
Предложение от производителей банкоматов по усилению устойчивости к взлому — это банкоматы с сейфами третьего класса. Такие банкоматы существенно тяжелее, что, с одной стороны, дополнительно затрудняет хищение самого банкомата, но с другой — накладывает определенные требования по обеспечению соответствующей стойкости к нагрузкам для перекрытий, на которые устанавливается банкомат. К тому же такие банкоматы дороже по стоимости.
Для предотвращения хищения и взлома банкоматов некоторые компании предлагают различные инженерно-технические средства.
Охранные системы. Банкомат оборудуется различными датчиками и выводом тревожного сигнала на пульт охранных структур. Рассмотрим некоторые недостатки данных систем. Во-первых, охранные системы значительно удорожают стоимость владения банкоматами: цена оборудования охранного комплекта и монтажных работ (разовые затраты), стоимость технического обслуживания и услуг оперативного реагирования на срабатывание сигнализации (ежемесячные затраты). Затраты на охранные системы могут превысить потери от хищений и взломов банкоматов. Во-вторых, у банкоматов отсутствует надежный канал передачи тревожного сигнала. Для этой цели обычно используют комплекс из проводной и беспроводной (сотовой) связи. Оба канала достаточно легко нейтрализуются: проводной канал легко обнаруживается и повреждается, для сотовой связи используют «глушилки» или повреждают антенну. В охранных системах исчезновение связи с объектом охраны воспринимается как срабатывание сигнала тревоги. Но для банкоматов пропадание канала связи по различным техническим причинам довольно частая ситуация. Дополнительно злоумышленники могут использовать имитацию обрыва связи как ложных срабатываний охранной сигнализации. Третья проблема — это реагирование на тревожный сигнал. Штатное время прибытия тревожной группы с момента поступления сигнала составляет 10–20 минут. Но в случае срабатывания, например, датчика открытия дверей сейфа банкомата прибытие тревожной группы в любом случае будет запоздалым, так как время между открытием сейфа (срабатывание датчика) и изъятием из него кассет с денежными купюрами составляет всего несколько секунд. Таким образом, установка данного датчика оказывается практически неэффективной. Для обеспечения более раннего реагирования на взлом сейфа банкомата используют другие типы датчиков: вибрации, нагревания, открытия верхнего кабинета, фальшпанели. Но даже они могут не дать ожидаемый результат. Если сейф банкомата (первой категории) вскрывает специалист, то время взлома составит менее пяти минут, что меньше расчетного времени прибытия тревожной группы. Если для взлома сейфа используют газообразные взрывчатые смеси, то указанные датчики также оказываются неэффективными. Даже если установить в сейф датчики-газоанализаторы, то время закачки газа и его взрыва окажется меньше времени прибытия тревожной группы. Для защиты от данной угрозы предлагается совместно с газоанализаторами, которые обнаруживают взрывоопасную смесь, использовать специальное устройство, которое распыляет специальный химикат и изменяет состав взрывчатой смеси, делая взрыв невозможным. Однако такая система может быть нейтрализована, если закачать газ в оболочку. Для того чтобы увеличить время с момента срабатывания сигнала тревоги до момента изъятия денежных средств, на рынке существуют предложения, затрудняющие действия злоумышленников. В качестве таких средств может использоваться стробоскопическая вспышка, безопасный туман (гликоль и вода), пиропатроны с красящими веществами и (или) перцовым газом. На использование таких систем необходимо разрешение собственника помещения. Также нужно иметь в виду, что система может сработать нештатно (ложное срабатывание). Если в дневное время в каком-либо торговом центре из банкомата пойдет слезоточивый газ, то, вероятно, у банка в связи с этим возникнут определенные проблемы. Дополнительные трудности для групп реагирования составляют места расположения банкоматов. Предположим, охранная сигнализация сработала на банкомате, который находится внутри здания (помещения) закрытого (под сигнализацией) в данное время (ночь). Группа реагирования прибывает к месту установки банкомата, но попасть в помещение не может. Необходимо дополнительное соглашение либо с собственником, либо с охранной структурой данного помещения, при этом срабатывание сигнализации на банкомате может быть ложным. В итоге получается, что охранная сигнализация на банкоматах, с одной стороны, достаточно дорогостоящее средство, а с другой — не может обеспечить 100 % безопасности денежных средств.