В рубрику "В фокусе" | К списку рубрик | К списку авторов | К списку публикаций
– Артем, вы возглавляете ФинЦЕРТ с 2017 г. За это время центр проделал масштабную работу по взаимодействию с банками. Сколько кибератак вы обнаружили за прошедший год?
– С начала 2019 г. было обнаружено порядка 116 атак, а за все время функционирования центра – больше 400. Окончательные цифры представлены в нашем годовом отчете о работе центра. О случаях выявления кибератак уведомляются все участники обмена – как адресно, так и широковещательно. Если мы понимаем, что атака имеет масштаб не только кредитных организаций, то первоначальная цель такого оповещения – уведомить организации финансовой сферы о том, что действительно есть угроза, она актуальна и распространяется.
ФинЦЕРТ Банка России является центром компетенций по обеспечению информационной безопасности и противодействию кибератакам в кредитно-финансовой сфере и осуществляет развитие информационной безопасности и киберустойчивости по следующим направлениям:
1. Выполнение функций отраслевого сегмента Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА).
2. Организация и координация деятельности организаций кредитно-финансовой сферы в качестве центра компетенций по противодействию кибератакам:
3. Выполнение функций центра координации деятельности по блокировке несанкционированных переводов денежных средств в платежной системе Банка России и иных платежных системах.
4. Прекращение функционирования фишинговых ресурсов и ресурсов, распространяющих вредоносное программное обеспечение, телефонных номеров и СМС-рассылок, используемых в мошеннических целях.
5. Взаимодействие с центральными (национальными) банками иностранных государств (в том числе государств–членов ЕАЭС) по вопросам мониторинга и реагирования на компьютерные атаки.
6. Взаимодействие с международными центрами реагирования на компьютерные атаки.
7. Повышение финансовой грамотности и пропаганда "компьютерной гигиены".
8. Взаимодействие с операторами по переводу цифровых финансовых активов.
Интересно, что уведомления в некоторых случаях получают и производители банковского программного обеспечения, чтобы знать, в каком направлении развивать системы, и выпускать вовремя доработки. И соответственно, антивирусные лаборатории, поскольку мы с ними тоже тесно сотрудничаем в части того, какие вещи сейчас не определяются их программными продуктами, и помогаем в анализе программного обеспечения. Благодаря этому мы успешно предотвратили очень много атак.
– Какие кибепреступления встречаются чаще всего?
– Основные тренды, такие как атаки на инфраструктуру отдельных организаций и пользователей финансовых услуг, остались. Но сейчас фокус сместился в сторону так называемой социальной инженерии – это атаки на клиентов и сотрудников кредитных организаций. Здесь в основном ситуации связаны со звонками. СМС мы уже отодвигаем на второй план. Главную проблему в звонках представляет собой подмена номеров, эта технология в последнее время активно распространяется. Мы принимаем меры совместно с Министерством развития связи и коммуникаций, операторами связи и кредитными организациями на предмет того, чтобы на техническом уровне такие звонки пресекать.
– В связи с возросшим количеством рисков, связанных с социальной инженерией, разрабатываете ли вы рекомендации, чтобы помочь банкам повысить ИБ-грамотность их клиентов?
– Да. Сюда можно включить мероприятия, связанные с контролем действий сотрудников кредитных организаций. Например, в обязанность кредитной организации входит любым способом информировать клиентов об угрозе. Мы совместно прорабатываем материалы по выработке рекомендаций: как клиентам банка обращаться со звонками и информацией, которую от них требуют, что может требовать банк, а что не может. Здесь важен комплексный подход. ФинЦЕРТ Банка России работает не один, стараясь повышать финансовую грамотность клиентов организаций кредитно-финансовой сферы.
– Как вы оцениваете общий уровень безопасности кредитно-финансовой системы в России?
– Важно отметить повышение общего уровня информационной безопасности в организациях. Огромную роль сыграли и сами кредитные организации, которые поняли, что это не второстепенная задача и решать ее односторонними методами только со стороны регулятора неэффективно. За счет того что вся кредитно-финансовая сфера в этом вопросе смогла консолидироваться, мы сейчас видим, что уровень ИБ вырос. В том числе по этой причине фокус атак, о котором мы говорили в начале, смещается в сторону клиентов организаций. Это видно из статистики.
– Какие самые распространенные типы атак на организации кредитно-финансовой сферы?
– Атаки на инфраструктуру все еще есть, но они менее успешны, так как спокойно детектируются. Основную угрозу представляют звонки клиентам кредитных организаций. Здесь важную роль играет психологический фактор, поэтому таких случаев больше, если сравнивать с количеством атак на инфраструктуру. Тренд атак на клиентов сохраняется, и изменить ситуацию можно только объединением усилий всех заинтересованных сторон: регулятора, кредитных организаций и всех смежных ведомств, которые имеют к этому отношение.
– Что такое "Фид-Антиод" и какие результаты он показывает?
– "Фид-Антифрод" – это творческое название. Антифрод – уже устоявшийся термин, а приставка "Фид" – указание на то, что мы распространяем информацию о несанкционированных операциях среди кредитных организаций. Цель всего этого – создание реестра несанкционированных операций, в котором фиксируются признаки операции, ее консолидация, аналитика и передача информации всем кредитным организациям для оперативного предупреждения подобных атак. На последних возлагается целевая функция отслеживания ситуации и работы с клиентами на предмет определения санкционированности или несанкционированности операции. Благодаря этому мы видим эффект уменьшения количества успешных несанкционированных операций. Попытки таких операций могут быть, но, по крайней мере, безуспешные.
В сентябре 2019 г. Совет директоров Банка России одобрил основные направления развития информационной безопасности кредитно-финансовой сферы на период 2019–2021 гг. Документ определяет ключевые цели и задачи развития информационной безопасности и киберустойчивости, среди которых:
Основные направления включают описание предпосылок и трендов в развитии информационной безопасности кредитно-финансовой сферы Российской Федерации, задачи и ключевые направления деятельности Банка России в сфере информационной безопасности и киберустойчивости, а также описание мероприятий в указанной области.
В отчете Всемирного экономического форума по глобальным рискам 2018 г. кибератаки определены как разновидность базового глобального технологического риска. В качестве мирового тренда отмечается увеличение финансовых потерь от кибератак, нарушение целостности и непрерывности функционирования в том числе финансового рынка (17% всего объема кибератак приходится на финансовый сектор). Изощренность методов, способов и средств совершения кибератак требует от регуляторов гибкости, оперативности, использования инновационных цифровых технологий и методов работы.
В Российской Федерации, по данным ФинЦЕРТ, объем несанкционированных операций со счетов юридических лиц по итогам 2018 г. составил 1,469 млрд руб. (в 2017 г. – порядка 1,57 млрд руб., в 2016 г. – 1,89 млрд руб., в 2015 г. – 3,7 млрд руб.). На территории России и за ее пределами объем несанкционированных операций с использованием платежных карт, эмитированных российскими кредитными организациями, в 2018 г. составил 1,384 млрд руб. (в 2017 г. – 0,961 млрд руб., в 2016 г. – 1,08 млрд руб., в 2015 г. – 1,14 млрд руб.).
В настоящее время проводятся работы по дальнейшему развитию АСОИ ФинЦЕРТ, в том числе планируется увеличение технической инфраструктуры для обеспечениябесперебойной работы системы, снижения времени технологических перерывов, реализации полнофункционального тестового контура, а также следующих возможностей:
В данный момент наша система одновременно обрабатывает 116 запросов от кредитных организаций. В перспективе ожидается повышение этой цифры – сообщений выявляется очень много, их нужно обрабатывать и оперативно отправлять о них информацию. Например, сейчас в системе порядка 30 тыс. сообщений. Но здесь есть такой нюанс – не обо всех случаях сообщают. Происходит это по разным причинам: иногда клиент не приходит в банк, считая, что сумма небольшая и не стоит внимания, или банки могут не сообщать из-за большого количества запросов (у крупных организаций их может быть очень много), полуручной ввод сообщений также затормаживает процесс обработки, поэтому мы стараемся его автоматизировать и предоставляем участникам обмена определенные сервисы.
В целом эта система эффективна. Были случаи, когда в сообщениях находили совпадения, по этим операциям проводилась работа, зачисление средств приостанавливалось и часть денег удавалось вернуть клиентам или же удавалось предотвратить списание средств.
– Как вы контролируете исполнение ваших рекомендаций кредитно-финансовыми организациями?
– Методы у нас есть. В первую очередь это дистанционный контроль. В рамках функционала ФинЦЕРТ есть направление надзорной деятельности, состоящей из двух частей:
Кроме того, мы отслеживаем публикации в СМИ в отношении деятельности кредитных организаций. Здесь наша задача заключается в получении дополнительной информации. Например, если банк не сообщил нам напрямую о каких-то случаях несанкционированных операций, но информация о них появилась в СМИ, то такие примеры мы тоже рассматриваем.
В ближайшем будущем мы планируем автоматизировать наши сервисы и повысить их оперативность, а значит увеличить скорость и объем информации, обрабатываемой системой "Фид-Антифрод".