Стража со взломом
Проблема обеспечения кибербезопасности в финансовой сфере вышла на принципиально новый уровень. Если раньше она была в основном частным делом каждого банка, то в 2018 году банковская защита от хакерских атак приобрела государственные масштабы. Направление становится столь же подробно регулируемым и требующим столь же детальной отчетности, как кредитование или торговля ценными бумагами. Создаваемая система защиты банковского сектора получается надежной, но хакеры находят обходные пути: они переключили внимание на клиентов банков и криптовалюты.
Скорость реагирования на инциденты также изменится. До 1 июля подключение к информобмену с ФинЦЕРТом (подразделение ЦБ, занимающееся кибербезопасностью) строилось на принципах добровольности и доверия, оно не было обязательным. Об инцидентах регулятору банки сообщали в обязательном порядке ежемесячно. Теперь порядок иной. О технических показателях инцидента (хищения средств или попытки хищения) банки будут сообщать оперативно. Об экономической же стороне — раз в квартал.
Проработка технической стороны дела не всегда поспевает за изменением регулирования. Например, как отмечает консультант по безопасности Cisco Алексей Лукацкий, ЦБ в поправках к 382-П планировал ввести обязанность сообщать в ФинЦЕРТ в течение трех часов с момента наступления инцидента. Однако, отметил эксперт, ЦБ не смог ни определить перечень инцидентов, сославшись на то, что это будет сделано в виде отдельного документа на сайте, ни определить порядок уведомления, также сославшись на то, что порядок и форма уведомления должны быть согласованы с ФСБ.
Тем не менее общий тренд, задаваемый регулятором, очевиден: информационная безопасность становится еще одним, и весьма объемным, разделом обязательной отчетности. Например, в случае хищения средств с карт банковских клиентов регулятор требует раскрывать, как были выведены деньги — через банкомат или терминал, с использованием реквизитов, через системы дистанционного банковского обслуживания. Нужно указывать, сколько средств похищено и сколько удалось вернуть клиенту, а также использовались ли методы социальной инженерии, то есть когда мошенники, входя в доверие к потенциальной жертве, обманным путем выманивали у нее реквизиты карты или побуждали совершить платеж. Более полно будет раскрываться информация обо всех инцидентах, связанных с атаками на банкоматы.
Подобная отчетность существовала и раньше, но была несопоставимо менее подробной, обязательной и регулярной. Так, в отчетности по форме 203, предоставляемой ежемесячно, банки сообщали лишь о событиях, возникших из-за нарушения требований к обеспечению защиты информации при осуществлении переводов. Сведения об атаках на банкоматы с использованием технологии BlackBox (основана на подключении стороннего устройства к банкомату), например, в отчетность не попадали.
Сами банки планируют повышать качество информационного обмена не только с регулятором, но и между участниками рынка. В июне запущена платформа Ассоциации банков России — проект при технической поддержке компании «БИЗон» (дочерняя структура Сбербанка). Как пояснил “Ъ” зампред правления Сбербанка Станислав Кузнецов (см. интервью), платформа позволит участникам рынка обмениваться информацией о киберугрозах. «Сейчас, к примеру, один крупный банк может располагать информацией о вредоносном программном обеспечении, которая недоступна другим игрокам, и не может поделиться этой информацией с рынком, платформа решает проблему»,— говорит он. На этапе пилотного проекта планируется подключить около 40 банков, через три месяца к платформе смогут присоединиться все желающие.
Однако в ЦБ не планируют пускать информационный обмен между банками на самотек. Регулятор считает необходимым обеспечить участие в работе платформы в качестве наблюдателя Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России. Об этом говорится в письме зампреда ЦБ Дмитрия Скобелкина в ассоциацию. Как пояснили “Ъ” в ЦБ, статус наблюдателя позволит регулятору «расширить круг источников информации».
Но в пользу госрегулирования кибербезопасности свидетельствует сухая статистика. В 2017 году ущерб банков от хакерских атак превышал 1 млрд руб. C начала этого года, когда проблема кибербезопасности была поднята на новый уровень, состоялась всего одна результативная хакерская атака на российский банк — из ПИР-банка злоумышленники вывели 58 млн руб. «Мы хотим возвести крепость информбезопасности — построить стены, вырыть ров»,— говорит Александр Виноградов. Судя по статистике, банковские электронные хранилища денег и информации оказались за столь мощной стеной, возведенной при помощи государства, что взломать ее хакерам практически не под силу. И хакеры это быстро поняли.
Граждане — необязательно в качестве банковских клиентов — подвергались хакерским атакам всегда, но тенденцией последнего времени становится переключение на них тех групп злоумышленников, которые ранее атаковали банки, отмечают эксперты. «Еще недавно фокус атак с пользователей банков сместился на сами банки, а теперь есть основания полагать, что произойдет смещение интереса злоумышленников во внешние системы, в сторону пользователей, то есть клиентов банков»,— отмечает Алексей Антонов. По словам руководителя экспертного центра безопасности Positive Technologies Алексея Новикова, в первом квартале доля атак на частных лиц по сравнению с 2017 годом выросла более чем втрое — с 9% до 28%.
Атака на персональные компьютеры и мобильные устройства граждан привлекательна для хакеров еще и тем, что позволяет выйти и на корпоративные финансовые потоки. По словам эксперта по информационной безопасности центра мониторинга и реагирования на кибератаки Solar JSOC Алексея Павлова, существует большой простор для атак на небольших корпоративных клиентов, поскольку проще запустить вредонос на машину бухгалтера и очистить расчетный счет, чем грабить банк. Развивается тренд, когда злоумышленники атакуют контрагентов крупных компаний, чтобы через них зайти в интересующую их организацию, отмечает господин Новиков.
Но самой перспективной целью для хакеров в последнее время становится тот рынок частных инвестиций, которого ни законодатели, ни регулятор не то что не обносят никакой стеной, а просто не видят.
Если в 2017 году суммарный ущерб от целевых хакерских атак на криптоиндустрию составил лишь немногим более $168 млн., только за первые два месяца текущего года было украдено $1,36 млрд, подсчитывает Руслан Юсуфов. Председатель комитета Госдумы по финансовому рынку Анатолий Аксаков 17 июля заявил, что закон о криптовалюте (прошел первое чтение) планируется принять в осеннюю сессию.
Инциденты на учете
С 1 июля вступили в силу поправки к положению 382-П, которыми ЦБ вводит дополнительные требования к информационной безопасности банков. В частности, банки будут обязаны проводить обязательные пентесты (тесты на проникновение) раз в год. До сих пор, по словам экспертов, пентесты подавляющее большинство игроков проводили лишь при установлении нового ПО. Кроме того, раз в два года будет обязателен внешний аудит систем информбезопасности. До сих пор большинство банков ограничивались самоаттестацией, но времена, когда кибербезопасность была частным банковским делом, проходят.Скорость реагирования на инциденты также изменится. До 1 июля подключение к информобмену с ФинЦЕРТом (подразделение ЦБ, занимающееся кибербезопасностью) строилось на принципах добровольности и доверия, оно не было обязательным. Об инцидентах регулятору банки сообщали в обязательном порядке ежемесячно. Теперь порядок иной. О технических показателях инцидента (хищения средств или попытки хищения) банки будут сообщать оперативно. Об экономической же стороне — раз в квартал.
Проработка технической стороны дела не всегда поспевает за изменением регулирования. Например, как отмечает консультант по безопасности Cisco Алексей Лукацкий, ЦБ в поправках к 382-П планировал ввести обязанность сообщать в ФинЦЕРТ в течение трех часов с момента наступления инцидента. Однако, отметил эксперт, ЦБ не смог ни определить перечень инцидентов, сославшись на то, что это будет сделано в виде отдельного документа на сайте, ни определить порядок уведомления, также сославшись на то, что порядок и форма уведомления должны быть согласованы с ФСБ.
Тем не менее общий тренд, задаваемый регулятором, очевиден: информационная безопасность становится еще одним, и весьма объемным, разделом обязательной отчетности. Например, в случае хищения средств с карт банковских клиентов регулятор требует раскрывать, как были выведены деньги — через банкомат или терминал, с использованием реквизитов, через системы дистанционного банковского обслуживания. Нужно указывать, сколько средств похищено и сколько удалось вернуть клиенту, а также использовались ли методы социальной инженерии, то есть когда мошенники, входя в доверие к потенциальной жертве, обманным путем выманивали у нее реквизиты карты или побуждали совершить платеж. Более полно будет раскрываться информация обо всех инцидентах, связанных с атаками на банкоматы.
Подобная отчетность существовала и раньше, но была несопоставимо менее подробной, обязательной и регулярной. Так, в отчетности по форме 203, предоставляемой ежемесячно, банки сообщали лишь о событиях, возникших из-за нарушения требований к обеспечению защиты информации при осуществлении переводов. Сведения об атаках на банкоматы с использованием технологии BlackBox (основана на подключении стороннего устройства к банкомату), например, в отчетность не попадали.
Платформа для защиты
Для оперативного обмена информацией ЦБ внедрил новую платформу АСОИ. До недавнего времени взаимодействие банков с ФинЦЕРТом происходило по электронной почте. Однако уже 2 июля участники рынка получили от регулятора письма с инструкцией по работе с платформой, способах подключения и т. д. Как следует из презентации по работе АСОИ, она должна стать информационно-сервисным порталом участников, автоматизировать обработку сведений об инцидентах, позволить вести базу по уязвимостям, архив расследования инцидентов и т. д. Де-юре платформа заработала с 1 июля. По словам и. о. главы департамента информационной безопасности ЦБ Артема Сычева (см. интервью), подключение банков, а затем и некредитных финансовых организаций будет поэтапным.Сами банки планируют повышать качество информационного обмена не только с регулятором, но и между участниками рынка. В июне запущена платформа Ассоциации банков России — проект при технической поддержке компании «БИЗон» (дочерняя структура Сбербанка). Как пояснил “Ъ” зампред правления Сбербанка Станислав Кузнецов (см. интервью), платформа позволит участникам рынка обмениваться информацией о киберугрозах. «Сейчас, к примеру, один крупный банк может располагать информацией о вредоносном программном обеспечении, которая недоступна другим игрокам, и не может поделиться этой информацией с рынком, платформа решает проблему»,— говорит он. На этапе пилотного проекта планируется подключить около 40 банков, через три месяца к платформе смогут присоединиться все желающие.
Однако в ЦБ не планируют пускать информационный обмен между банками на самотек. Регулятор считает необходимым обеспечить участие в работе платформы в качестве наблюдателя Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России. Об этом говорится в письме зампреда ЦБ Дмитрия Скобелкина в ассоциацию. Как пояснили “Ъ” в ЦБ, статус наблюдателя позволит регулятору «расширить круг источников информации».
Построить стены, вырыть ров
Новации ЦБ в сфере кибербезопасности не слишком обрадовали участников рынка. «С 1 июля вводятся серьезные требования по информбезопасности для банков, документы появились совсем незадолго до вступления в силу,— говорит начальник управления информационной безопасности Златкомбанка Александр Виноградов.— Плюс с июля вводятся требования по биометрии, и все это в сезон отпусков, когда многих специалистов нет». По его словам, все это требует от банков серьезных финансовых затрат и человеческих ресурсов.Но в пользу госрегулирования кибербезопасности свидетельствует сухая статистика. В 2017 году ущерб банков от хакерских атак превышал 1 млрд руб. C начала этого года, когда проблема кибербезопасности была поднята на новый уровень, состоялась всего одна результативная хакерская атака на российский банк — из ПИР-банка злоумышленники вывели 58 млн руб. «Мы хотим возвести крепость информбезопасности — построить стены, вырыть ров»,— говорит Александр Виноградов. Судя по статистике, банковские электронные хранилища денег и информации оказались за столь мощной стеной, возведенной при помощи государства, что взломать ее хакерам практически не под силу. И хакеры это быстро поняли.
А он в окно
Хакеры соревнуются с системой, не только повышая уровень мастерства, но и постоянно меняя основные цели. Когда в цепочке прохождения платежа какое-то звено оказывается слишком хорошо защищенным, атаки смещаются на другое. Сейчас таким звеном становятся банковские клиенты. «Мы как банк часто гордимся тем, что Сбербанк ни разу не взломали,—говорил 6 июля глава Сбербанка Герман Греф.— Так ли защищены клиенты Сбербанка? Честный ответ: наши клиенты не защищены». Сервисы дистанционного банковского обслуживания (ДБО) позволяют работать с клиентами с использованием интернета, телефона, платежных терминалов и т. д. И, по словам замдиректора Digital Security Алексея Антонова, уровень защищенности ДБО далек от идеального.Граждане — необязательно в качестве банковских клиентов — подвергались хакерским атакам всегда, но тенденцией последнего времени становится переключение на них тех групп злоумышленников, которые ранее атаковали банки, отмечают эксперты. «Еще недавно фокус атак с пользователей банков сместился на сами банки, а теперь есть основания полагать, что произойдет смещение интереса злоумышленников во внешние системы, в сторону пользователей, то есть клиентов банков»,— отмечает Алексей Антонов. По словам руководителя экспертного центра безопасности Positive Technologies Алексея Новикова, в первом квартале доля атак на частных лиц по сравнению с 2017 годом выросла более чем втрое — с 9% до 28%.
Атака на персональные компьютеры и мобильные устройства граждан привлекательна для хакеров еще и тем, что позволяет выйти и на корпоративные финансовые потоки. По словам эксперта по информационной безопасности центра мониторинга и реагирования на кибератаки Solar JSOC Алексея Павлова, существует большой простор для атак на небольших корпоративных клиентов, поскольку проще запустить вредонос на машину бухгалтера и очистить расчетный счет, чем грабить банк. Развивается тренд, когда злоумышленники атакуют контрагентов крупных компаний, чтобы через них зайти в интересующую их организацию, отмечает господин Новиков.
Но самой перспективной целью для хакеров в последнее время становится тот рынок частных инвестиций, которого ни законодатели, ни регулятор не то что не обносят никакой стеной, а просто не видят.
Невидимый рынок
Сегодня обращение в России криптовалют никак не регулируется, их с юридической точки зрения просто нет. Поэтому говорить о качественной кибербезопасности в этой сфере не приходится, чем и пользуются злоумышленники. По словам директора по специальным проектам Group-IB Руслана Юсуфова, еще в 2017 году было очевидно, что некоторые хакерские группы, специализирующиеся на целенаправленных атаках на банки, переключат внимание на криптоиндустрию — ICO-проекты, криптовалютные биржи, фонды, обменники и т. д. «Киберпреступники перенастраивают популярные банковские трояны, такие как TrickBot, Vawtrak, Qadars, Tinba, Marcher, для сбора логинов и паролей пользователей криптовалют»,— говорит господин Юсуфов.Если в 2017 году суммарный ущерб от целевых хакерских атак на криптоиндустрию составил лишь немногим более $168 млн., только за первые два месяца текущего года было украдено $1,36 млрд, подсчитывает Руслан Юсуфов. Председатель комитета Госдумы по финансовому рынку Анатолий Аксаков 17 июля заявил, что закон о криптовалюте (прошел первое чтение) планируется принять в осеннюю сессию.
Читайте также
РСХБ: об инвестировании и монетном царстве
Красноярский филиал Россельхозбанка предлагает приобрести золотые инвестиционные монеты
Ошибки заемщиков при рефинансировании кредита
Солид-Банк: с рефинансированием можно погасить действующий кредит за счет нового
ВТБ начнёт выдавать ипотеку в Туве
В мае клиенты ВТБ смогут получить ипотеку на покупку жилья в Республике Тыва, а также в других российских регионах
РСХБ презентовал цифровые решения для поддержки АПК
Россельхозбанк принял участие в Форуме «Развитие агробизнеса России»
НРА повысило кредитный рейтинг Дальневосточного банка до уровня «ВВВ+|ru|»
Повышение кредитного рейтинга АО «Дальневосточный банк» до уровня «BBB+|ru|» обусловлено улучшением рентабельности
Опрос ВТБ: системой быстрых платежей для переводов пользуются 70% сибиряков
Более 70% сибиряков пользуются услугами переводов самому себе в разные банки через СБП
Минфин сообщил о плане сделать упор на ИЖС при выдаче семейной ипотеки
Замглавы Минфина Чебесков: упор при выдаче семейной ипотеки будет сделан на ИЖС
Власти продлят требования по возврату валютной выручки до конца года
В РСПП считают, что в текущих условиях мера требует послабления
Объем вкладов индивидуальных предпринимателей вырос в 10 раз за 10 лет
После включения в 2014 году индивидуальных предпринимателей в периметр системы страхования вкладов их накопления в банках выросли в 10 раз
АКРА впервые с 2022 года присвоило международный рейтинг российской компании
Это указывает на наличие суверенного рейтинга у России по международной шкале АКРА, пишут «Ведомости»