07.07.2015

30 июня Банк России объявил о создании центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере

30 июня Банк России объявил о создании центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере. Для этого у ЦБ нашелся серьезный повод – по его собственной статистике, количество электронных мошенничеств растет вдвое быстрее, чем число электронных платежей. Портал разбирался, как регулятор собирается сдерживать аппетиты мошенников.

Как рассказал в своем докладе на пресс-брифинге заместитель руководителя главного управления безопасности и защиты информации ЦБ Артем Сычев, количество электронных платежей в среднем прирастает на 10% за год, а количество электронных мошенничеств – на 20%.

И эта разница в темпах на 10 процентных пунктов, по словам Сычева, крайне беспокоит регулятор. Если экстраполировать выведенную из статистики тенденцию на несколько лет вперед, цифры получатся совсем неутешительные. Получается, что кибермошенники уже не просто досадная графа в статистике ЦБ – это прямая и явная угроза для отрасли электронных платежей. Как обычно, было решено обратиться к зарубежному опыту.

Ассоциация российских банков (АРБ) еще в прошлом году выдвинула инициативу создания государственного центра мониторинга и реагирования на компьютерные инциденты для банков. Идея не нова – в мире существует немало подобных отраслевых и даже национальных центров обмена информацией о кибератаках. Это весьма действенное средство в борьбе против киберпреступников. И во многих странах финансовые регуляторы пошли по этому пути, поощряя или принуждая финансовые организации сотрудничать с такими центрами.

В сфере информационной безопасности как нигде крайне важна осведомленность о тактике и методах противника. В условиях, когда жертвы разобщены и не обмениваются информацией об угрозах, кибермошенники чувствуют себя вольготно: если на одном банке сработает разработанная атака, можно смело применять ее и на других, поток прибыли иссякнет нескоро. И наоборот, если безопасники знают, какими средствами и методами мошенники собираются атаковать, успешная защита становится делом техники. Проблема лишь в том, что узнают они об этом обычно в ходе расследования случившегося инцидента, когда уже поздно закрывать конюшню – лошадей-то увели.

Логичным шагом является создание аналитического центра, в который будет стекаться свежая информация о киберкриминальных инцидентах, а затем в проанализированном и переработанном виде будет расходиться по всем потенциальным жертвам. Этим, по замыслу ЦБ, и будет заниматься свежесозданный FinCERT.

Представители отрасли информационной безопасности встретили известие о появлении FinCERT с явным воодушевлением. «Атаки на финансовые институты носят специфический для отрасли характер, большинство из них направлено на похищение денег. Поэтому тиражировать успешный опыт отражения таких атак – благородная задача, которую взял на себя регулятор. Важно сопротивляться угрозам сообща, ведь злоумышленники, опробовав эффективный способ атаки на одном банке, начинают применять его на других», – говорит CEO компании Appercut Security Рустэм Хайретдинов.

«Конечно, такой центр нужен и понимание о его необходимости существует уже около десяти лет, – отмечает руководитель направления по борьбе с мошенничеством центра информационной безопасности компании «Инфосистемы Джет» Алексей Сизов. – Однако до недавнего прошлого не было ни нормативной, ни организационной базы, в рамках которых такой центр мог бы эффективно действовать. Но не стоит думать, что наш рынок не может похвастаться реализацией аналогичных идей. Сегодня существует ряд коммерческих сервисов и продуктов, предоставляющих схожие услуги и частично воплотивших идеи центра мониторинга и реагирования на компьютерные атаки в финансовой сфере».

«Кардинальным плюсом государственной инициативы являются два момента: во-первых, появляется четкая законодательная база, регламентирующая данный сервис, а во-вторых – масштаб его деятельности, подразумевающий участие всех финансовых организаций РФ без исключения», – добавляет Сизов.

«Сам центр не будет отражать атаки, но он может информировать участников рынка об угрозах, предоставлять аналитические сведения об инцидентах, тенденциях, которые необходимы при оценке рисков и выработки стратегии защиты, – рассказал порталу Банки.ру руководитель отдела расследований инцидентов информационной безопасности Group-IB Дмитрий Волков. – Кроме того, центр может предоставлять индикаторы, по которым банки могут выявлять атаки или мошеннические действия более эффективно. Центр может стать связующим звеном между разными банками, а также между банками и правоохранительными органами».

«Обычно на первых этапах работа такого центра выглядит стандартизированно и происходит по одному общему алгоритму, – говорит управляющий директор Optima Infosecurity (группа Optima) Неманья Никитович. – Центральный банк будет вести сбор информации. В ходе этого процесса будет определяться тип и формат информации, относящейся к тому, что на языке специалистов по информационной безопасности называется словом «инцидент», даже в том случае, если эта информация уже перехвачена и особого значения для потенциальных злоумышленников не имеет. Накопление информации даст кумулятивный эффект: если банк Х столкнулся с такой-то атакой и таким-то образом ее отразил, благодаря центру мониторинга этот тип атак и соответствующий ему тип отражения атаки становятся достоянием банка Y, Z и всех прочих банков, что существенно повышает уровень информационной безопасности».

Разберемся по порядку, как это будет работать.

Получение информации от участников информационного обмена возможно по любым каналам – это могут быть финансовые сообщения платежной системы Банка России (для начала в свободном формате, потом может появиться и формализованный), электронная почта или любое другое достаточно оперативное средство связи. По словам Сычева, ни о каком принуждении речи пока нет – каждая финансовая организация должна присылать сведения об инциденте добровольно.

Если провести аналогию с другими работающими в мире CERT, сотрудники департамента информационной безопасности атакованного банка должны сообщить FinCERT IP-адреса, с которых была осуществлена атака, домены, с которых загружался в сеть банка вредоносный код, использованные злоумышленниками уязвимости (если удалось выяснить), куда и как выведены украденные деньги, и другую информацию, имеющую отношение к делу.

Обработка информации проводится силами аналитиков FinCERT и заключается в выделении важных фактов, исключении данных, составляющих банковскую тайну, составлении рекомендаций по борьбе с такого рода мошенничествами. Крайне желательно, чтобы в FinCERT трудилась компетентная группа исследователей-безопасников, способных при необходимости проанализировать вредоносный код, присланный из атакованного банка, и выяснить, какие уязвимости используют преступники для проникновения в сеть и выполнения мошеннических действий. На данный момент о наличии такой группы в составе FinCERT ничего не известно.

Рассылка информации по участникам информационного обмена должна быть максимально быстрой, иначе не удастся существенно сократить ущерб, и максимально подробной, но без нарушения банковской тайны и без распространения чьих бы то ни было персональных данных. Формат этой рассылки должен быть строго формализован, чтобы банки-получатели могли быстро и правильно реагировать и принимать соответствующие меры для защиты.

Как отметил на пресс-брифинге Артем Сычев, ключевым условием эффективность FinCERT является доверие банков к центру – иначе никакими законами их не заставишь участвовать в информационном обмене с этой структурой. И доверие, казалось бы, обеспечено FinCERT уже тем, что это структура в составе регулятора, а не частная компания.

Однако одного доверия мало – нужна еще вера в эффективность этого органа. Как рассказали участники финансового рынка, многие из них смотрят на новую инициативу Банка России весьма скептически – и тому есть несколько причин.

Указание Банка России от 9 июня 2012 года № 2831-У «Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств» обязывает банки предоставлять весьма обширные сведения о мошеннических инцидентах разного рода по форме 0403203. И вот уже три года банки такие сведения исправно предоставляют – а в ответ не видят, по сути, ничего, кроме сухой годовой статистики. Потому у некоторых банкиров есть сомнения в том, что создание FinCERT что-то изменит в этом отношении.

«Проблема в том, что механизм есть, но для выстраивания эффективных мер защиты требуется оперативная аналитическая информация, которую бы мог предоставить Банк России исходя из анализа предоставляемых ему данных о мошеннических операциях, – рассказал начальник управления информационной безопасности Росинтербанка Александр Суслов. – Рекомендации по безопасности, выпускаемые Банком России, отражают общие подходы к защите, но не позволяют производить «тонкую» настройку систем фрод-мониторинга».

Второй проблемой видится отсутствие у FinCERT возможности как-то влиять на происходящее. Дело в том, что банки уже давно неформально обмениваются информацией об инцидентах. Больше всего им не хватает возможности остановить мошеннический платеж, что сейчас возможно лишь по подозрению в финансировании террористической деятельности. По признанию Сычева, FinCERT тут ничего нового не привнесет – его функцией остается лишь информационной обмен.

На данный момент FinCERT, по сути, не работает, и работать начнет нескоро – мешает отсутствие установленных регламентов и процедур. Пока этого нет, FinCERT является «вещью в себе», не получая и не отдавая никакой информации. В любом случае построение подобного центра и выстраивание всей необходимой инфраструктуры требует немалого времени. Скорее всего, первые подвижки в борьбе с кибермошенниками мы увидим примерно через год. Увы, за этот год число мошенничеств снова может вырасти вдвое быстрее, чем число электронных платежей.

Михаил Дьяков

Источники:

1. banki.ru