20 июля 2016, 11:25
Количество просмотров 369

FinCERT: время обеспечения безопасности «для галочки» прошло

     Артем Сычёв,   заместитель начальника Главного управления безопасности и защиты информации Банка России    <p> FinCERT в тесном...
FinCERT: время обеспечения безопасности «для галочки» прошло

Артем Сычёв,
заместитель начальника Главного управления безопасности и защиты информации Банка России

FinCERT в тесном взаимодействии с банками и правоохранительными органами предотвратил в 2016 году хищение более 1,5 млрд рублей


О том, как изменились за последние годы угрозы информационной безопасности в российском банковском секторе и какая роль в противодействии мошенничеству отводится новой структуре ЦБ РФ – Центру мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере FinCERT, рассказывает Артем Сычёв, заместитель начальника Главного управления безопасности и защиты информации Банка России.

ПЛАС: В начале нашей беседы не могли бы вы сказать несколько слов о ключевых целях и задачах FinCERT, созданного год назад под эгидой Банка России? Как возникла сама идея такой структуры?

А. Сычёв: Понимание необходимости создания такой структуры пришло достаточно давно. Дело в том, что для успешного противодействия злоумышленникам, стремящимся завладеть деньгами банковских клиентов, да и самих банков, со стороны участников банковского сообщества необходимо взаимное информирование и взаимное оповещение о тех угрозах и рисках, с которыми каждому из них приходится сталкиваться.

Мы внимательно изучили международный опыт и наиболее эффективные практики в Европе, США, Азии и других регионах мира. В результате было принято решение о создании Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере – FinCERT.

Он является структурным подразделением Главного управления безопасности и защиты информации Банка России.

Сегодня перед FinCERT стоит несколько стратегических задач в области обеспечения информационной безопасности. Первая и важнейшая из них – информирование участников рынка об угрозах, рисках и выявленных уязвимостях в финансовой сфере как технологического, так и любого иного характера.

Вторая задача заключается непосредственно в противодействии злоумышленникам и предотвращении хищения денежных средств. Здесь нам уже удалось добиться вполне конкретных результатов, о которых я скажу чуть позже.

Третья по счету, но отнюдь не по значению, задача FinCERT – профилактика мошенничества в финансовой сфере с использованием информационных технологий и социальной инженерии. Речь идет о противодействии фишингу и иным преступным схемам такого рода. В этом плане мы уже наработали достаточно хороший опыт, несмотря на то, что с момента создания Центра прошел всего год.

И наконец, четвертое направление, которое мы сегодня только начинаем развивать, – создание некого прообраза антифрод-системы национального масштаба, в основе которой будет лежать все тот же взаимообмен информацией.

Если говорить об основных инструментах работы FinCERT – это в первую очередь упомянутый информационный обмен и регулярная рассылка участникам Центра бюллетеней, оповещающих о рисках и угрозах, а также содержащих их подробное описание. При этом, вопреки мнению некоторых экспертов в области ИБ, утверждающих, что в России якобы не существует единых правил описания уязвимостей и поэтому необходимо в срочном порядке их создавать, FinCERT описывает уязвимости строго в рамках действующего в РФ ГОСТа.

Мы также обеспечиваем участников Центра различной информацией аналитического характера. Следует отметить, что наши рассылки содержат очень точные данные, включая конкретные маркеры атак, но при этом предоставляют исключительно обезличенную информацию, в связи с чем банки, которые участвуют в этом взаимообмене, не несут никаких репутационных и иных рисков.

Такая политика уже приносит свои плоды. Так, например, используя предоставленные нами маркеры, целый ряд кредитных организаций сумели оперативно выявить мошеннические действия в отношении своих клиентов и предотвратить серьезные потери, вовремя приняв необходимые меры.

На сегодняшний день в информационном взаимообмене принимают участие более 300 структур, из них более 270 – банки, в том числе работающие в странах Евразийского экономического сообщества (ЕврАзЭС). Среди участников Центра есть и компании – разработчики программных продуктов для финансового сектора, а также ИТ-структуры, специализирующиеся на вопросах информационной безопасности. На мой взгляд, для первого года работы FinCERT это более чем убедительный результат.


В числе участников FinCERT – банки, МВД и ФСБ, компании-вендоры программного обеспечения


Во многом его достижению способствовали основные принципы работы Центра, которые мы называем 2D – доверие и добровольность. Как регулятор мы не настаиваем на обязательности предоставления банками – участниками FinCERT информации о проблемах с ИБ и тем более не вводим какой-либо жесткой формы отчетности. Тем не менее, если еще в начале 2016 года доля «участников-молчунов», т. е. структур, получающих от нас информацию, но не предоставляющих со своей стороны никаких данных, составляла порядка 70%, то сейчас этот показатель сократился до 55%. Таким образом, меньше чем за полгода наметился ощутимый тренд в сторону повышения доли игроков рынка, желающих участвовать в полноценном информационном взаимообмене, и это не может нас не радовать. Увеличению количества участников способствует несколько причин. Первая из них – повышение уверенности банков в эффективности такого подхода на фоне растущего числа позитивных примеров, когда обмен информацией помог избежать потерь либо их минимизировать. Еще одна причина – банки успели убедиться, что направление нам информации о проблемах с ИБ ни в коей мере не может нанести им урон.

FinCERT: время обеспечения безопасности «для галочки» прошло - рис.1

В числе участников FinCERT также и правоохранительные органы – МВД и ФСБ. С ними мы тесно работаем с самого начала деятельности нашего Центра, осуществляя постоянный и, что немаловажно, двусторонний обмен информацией. Иными словами, мы не только делимся с этими структурами присланной участниками FinCERT информацией, но и в ответ получаем от них ценнейшие для нашей совместной деятельности данные. Во многом благодаря правоохранителям мы уже сумели предотвратить ряд крупных хищений, а в некоторых случаях – значительно сократить объем потерь кредитных организаций.

ПЛАС: Как вы оцениваете конкретные результаты первого года работы FinCERT? В частности, какие суммы уже удалось спасти от киберпреступников при участии сотрудников Центра?

А. Сычёв: С августа 2015 года в РФ впервые был отмечен резкий рост попыток хищения денег непосредственно у кредитных организаций. К настоящему времени FinCERT зафиксировал более 20 атак на банки, в ходе которых преступники пытались завладеть денежными средствами на общую сумму 2,87 млрд рублей. Однако показательным здесь является следующий момент: в результате этих атак преступникам удалось похитить не более 1,2 млрд рублей. Таким образом, в тесном взаимодействии с банками и правоохранительными органами нам удалось предотвратить хищение более 1,5 млрд рублей. Это серьезный результат, особенно если учесть, что других по-настоящему эффективных инструментов противодействия мошенничеству, помимо информационного взаимообмена и Правил платежной системы Банка России, на сегодняшний день просто не существует.

FinCERT: время обеспечения безопасности «для галочки» прошло - рис.2

Некоторые шаги удалось предпринять и в части противодействия фишингу. Так, мы достигли договоренности с Координационным центром национального домена сети интернет (доменов RU/РФ) о том, что экспертное мнение специалистов FinCERT они считают достаточным основанием для снятия домена с делегирования в отношении того или иного конкретного web-ресурса, заподозренного нами в том, что он является фишинговым сайтом (сайтом-подделкой под официальные ресурсы кредитных организаций, несанкционированно предлагающих те или иные продукты от их имени и т.д.). На сегодняшний день по результатам экспертной оценки FinCERT, сделанной нами в том числе в ходе обмена информацией с банковским сообществом, сняты с делегирования порядка 100 доменов в зоне RU. Речь идет как о фишинговых ресурсах, так и о неких виртуальных центрах координации действия ботнетов, используемых для преступных целей.

К сожалению, в этом направлении наши возможности ограничиваются доменной зоной RU/РФ. При этом фишинг, как известно, является сегодня проблемой транснациональной.

Отмечу, что эти и многие другие результаты были получены в течение первого года работы команды FinCERT, состоящей всего из 8 специалистов. В ближайшем будущем мы будем расширять штат сотрудников, однако задач у команды также существенно прибавится, в том числе в связи с перспективой создания национальной антифрод-системы, которая потребует серьезных интеллектуальных ресурсов.

ПЛАС: С какими внутренними и внешними факторами связан, на ваш взгляд, рост той или иной преступной активности в финансовой сфере? Какие тенденции представляются здесь решающими?

А. Сычёв: Если анализировать активность мошенников в историческом разрезе, начиная с 2007–2008 года, можно выявить ряд интересных тенденций. При этом ключевые мотивы самих злоумышленников не меняются: в их основе всегда лежат, если так можно выразиться, лень и жажда легких денег. На практике это означает, что злоумышленники ищут наиболее простые, малозатратные и наименее рискованные способы хищения денежных средств. В свое время такими способами им представлялись атаки на компьютеры юридических лиц, использующих дистанционное банковское обслуживание. Затем оптимальным объектом с точки зрения легкости хищения критичных данных стали держатели карт. Несмотря на то что карточный фрод имел место всегда, именно с появлением массового держателя это направление стало приоритетным у мошенников во всем мире, включая Россию. Наиболее популярными местами для хищения карточных данных изначально служили торговые точки, где уже в 1990-е годы и несколько ранее всегда была простая и недорогая возможность скомпрометировать данные магнитной полосы карт клиентов и затем передать их другим злоумышленникам для изготовления подделок. Широкая миграция на технологию Chip & PIN существенно подорвала потенциал такого рода преступлений, после чего мошенники переключились на набирающие популярность каналы ДБО для физлиц.

FinCERT: время обеспечения безопасности «для галочки» прошло - рис.3
Экспертное мнение специалистов FinCERT – достаточное основание для снятия домена, веб-ресурса, заподозренного в фишинге, с делегирования

Как показывает практика, изучение уязвимости тех или иных финансовых решений сегодня занимает у преступников от 6 до 9 месяцев и является перманентным процессом. Как правило, в нем участвуют ИТ-специалисты высокого уровня, крайне увлеченные своим занятием. Зачастую преступники используют их «в темную», не вводя полностью в курс дела.

После выявления уязвимостей в течение от года до полутора лет совершаются попытки применить полученные результаты на практике, создав на их базе работающий инструментарий, способный осуществлять несанкционированные противоправные действия.

После создания инструментария его некоторое время тестируют на применимость. Этим занимаются уже другие группы злоумышленников. И наконец, убедившись в работоспособности инструментария, создатели начинают его массово продавать среди теневого сообщества. Именно на эти периоды приходятся наблюдаемые на рынке всплески того или иного вида мошенничества.


Изучение уязвимости финансовых решений сегодня занимает у преступников от 6 до 9 месяцев


Как и в 2008–2009 годах, когда хищения денежных средств у физлиц еще не носили массового характера и проявлялись в виде отдельных случаев, первые атаки непосредственно на банки, выявленные Банком России порядка трех лет назад, можно было охарактеризовать как единичные.

Тем не менее готовить некие конкретные рекомендации банкам мы начали уже тогда. Наш опыт взаимодействия с МВД свидетельствовал, что на этом направлении работают сразу несколько преступных групп. Происходящее во многом напоминало ситуацию с известным трояном ZeuS (или ZBot) – вредоносной программой нового типа, впервые появившейся в 2007 году и предназначенной для атаки на серверы юрлиц – пользователей ДБО, а также перехвата данных. За свою историю ZeuS, являющийся хорошо отработанным инструментарием для мошеннических действий, активно перепродавался и в итоге подвергся огромному количеству модификаций, поскольку каждая использующая его теневая группа адаптировала троян под свои конкретные задачи. Этот прецедент со всей наглядностью показал, что, достигнув массового распространения, тот или иной инструментарий для мошенничества рано или поздно приобретает форму настоящей эпидемии.

FinCERT: время обеспечения безопасности «для галочки» прошло - рис.4

Именно так можно назвать ситуацию с атаками на банки, которую мы наблюдали в конце 2015 – начале 2016 года. Только за последнее время сотрудники МВД задержали несколько преступных групп, практикующих это направление. Одно из самых громких и массовых задержаний состоялось в начале июня этого года, непосредственно перед совещанием по информационной безопасности в кредитно-финансовой сфере под руководством председателя правительства РФ Дмитрия Медведева.

Отмечу, что информация МВД о такого рода громких арестах уже сама по себе обладает сильным профилактическим эффектом и воздействует на тех людей, которые готовы приобретать инструментарий для атак и использовать его для непосредственного хищения денежных средств у банков. Их опасения угодить за решетку аналогично фигурантам уже раскрытых дел позволяют ограничить массовое применение такого инструментария.

Напротив, ощущение безнаказанности удачливых «коллег» по преступному бизнесу подхлестывает желание приобретать такого рода решения. Ни для кого не секрет, что сегодня в интернете можно встретить массу сайтов, вербующих потенциальных исполнителей преступлений в финансовой сфере на достаточно широкий спектр «специальностей» – так называемых дропперов, заливщиков и т. п. Один из наиболее часто задаваемых вопросов посетителей – «а законны ли эти занятия?» Ответы создателей сайтов подкупают своим оптимистичным цинизмом: «конечно, нет, но…» Далее, как правило, приводится пара абзацев, суть которых сводится к следующему: «…но если вы будете делать только вот так и только это, вас не смогут привлечь к уголовной ответственности по таким-то причинам». Однако практика показывает, что таких преступников можно ловить и привлекать к уголовной ответственности.


Что касается карточного фрода, то за последний год в России он демонстрирует заметный спад


Один из наиболее часто задаваемых вопросов посетителей – «а законны ли эти занятия?» Ответы создателей сайтов подкупают своим оптимистичным цинизмом: «конечно, нет, но…» Далее, как правило, приводится пара абзацев, суть которых сводится к следующему: «…но если вы будете делать только вот так и только это, вас не смогут привлечь к уголовной ответственности по таким-то причинам». Однако практика показывает, что таких преступников можно ловить и привлекать к уголовной ответственности.

Поэтому неотвратимость наказания в нашем деле важна вдвойне – именно этот фактор в конечном итоге сдерживает потенциальные «эпидемии» мошенничества, и мы со своей стороны активно помогаем правоохранительным органам в донесении информации о поимке преступников до максимально широкой аудитории. В частности, в ходе следственно-разыскных работ, связанных с деятельностью упомянутой выше и уже обезвреженной преступной группировки, команда FinCERT оказала сотрудникам МВД и ФСБ существенную информационную и методологическую помощь, включая детальное описание схем передвижений денежных средств на счетах и специфики работы конкретных технологий.

ПЛАС: Чем объясняются участившиеся атаки на банк «изнутри», когда целью преступников являются уже не клиентские счета, а центральная АБС банка, компьютеры АРМ КБР, интерфейс системы SWIFT и т. п.?

А. Сычёв: Как я уже отмечал, преступники быстро и гибко подстраиваются под меняющиеся внешние факторы и перекочевывают в те сегменты, где выше маржинальность и меньше риски быть пойманными. В результате сегодня становится все заметнее тенденция сокращения количества случаев и объемов хищений по каналам ДБО и, наоборот, рост числа атак непосредственно на внутренние банковские системы.

Что касается карточного фрода, то за последний год в России он также демонстрирует заметный спад – как по количеству мошеннических операций, так и по объемам похищенных средств. На наш взгляд, здесь сказываются два фактора: сокращение остатков на картсчетах россиян на фоне сложной экономической ситуации и выпуск банками только чиповых карт, на который они перешли с 1 июля 2015 года согласно требованию законодательства. Массовое же внедрение технологии Chip & PIN в торгово-сервисной сети еще более осложнило жизнь карточным мошенникам.

FinCERT: время обеспечения безопасности «для галочки» прошло - рис.5

Кроме того, к настоящему моменту банки хорошо научились защищать и CNP-транзакции в каналах дистанционного обслуживания – у подавляющего большинства из них установлены современные системы фрод-мониторинга. Показательными здесь, в частности, были итоги состоявшегося в феврале VIII Уральского форума.

«Информационная безопасность финансовой сферы». Так, если четыре года назад мы только начали обсуждать вопрос необходимости внедрения антифрод-систем, который в то время вызывал бурные дискуссии, то сейчас использование банками таких решений стало де-факто стандартом – обсуждения идут исключительно в плоскости повышения эффективности использования и функциональности уже имеющихся систем.

Все обозначенные факторы в совокупности и привели к миграции преступности в направлении атак непосредственно на банки «изнутри» – сегодня именно здесь им видится возможность украсть легко и без серьезных затрат.

Во многом такой ситуации способствовало и традиционное отношение банков к вопросам безопасности: есть требования регулятора – будем их выполнять, чтобы не платить штрафы, нет – оставим все как есть, если риск нам самим не представляется серьезным. В случае атак на АБС, АРМ КБР, интерфейс системы SWIFT и т. д. мы как раз имеем дело с риском, который не был изначально просчитан. При этом цена риска, как показывает практика, определяется просто – среднедневной остаток по корсчету банка.

FinCERT: время обеспечения безопасности «для галочки» прошло - рис.6

Таким образом, банкам сегодня нетрудно подсчитать, сколько средств дополнительно они могут потратить на обеспечение безопасности, чтобы величина этих инвестиций не превысила величину риска. В нашем случае есть повод задуматься даже очень небольшим банкам с самыми скромными остатками на корсчетах – перспектива остаться без оборотных средств заставит отказаться от сомнительной экономии на безопасности любого здравомыслящего владельца и топ-менеджера. Тем более что перед глазами – масса свежих примеров. Здесь уже нет места для фиктивной отчетности в рамках самооценки, когда на бумаге банк принял все рекомендованные меры безопасности, а на деле – нет. Именно в таком положении оказалась одна из кредитных организаций, потерявшая несколько десятков миллионов рублей в результате «внутренней» атаки. На вопрос, отреагировал ли этот банк на подробные и своевременные рекомендации FinCERT о методах защиты, его руководство ответило утвердительно. На практике оказалось, что не было сделано ровным счетом ничего. Этот и, к сожалению, другие примеры демонстрируют сегодня всем участникам рынка: время обеспечения информационной безопасности «для галочки» безвозвратно прошло. Теперь каждый вынужден самостоятельно платить за любое проявление легкомыслия – и хорошо, если не потерей бизнеса. Именно эту нехитрую мысль уже давно пытается донести до рынка Банк России, который еще в 2014 году разработал и предложил подробнейшие рекомендации по обеспечению информационной безопасности на всех этапах жизненного цикла автоматизированных банковских систем и всей информационной инфраструктуры кредитной организации в целом, учитывающие все упомянутые риски. В этих рекомендациях пошагово описаны все меры, которые необходимо предпринять банку на каждом конкретном этапе, включая контроль, защищенность, дополнительные процедуры и т. д. Банк России уверен, что сегодня, когда риск остаться без средств на корсчете стал вполне осознаваем и легковысчитываем, а потери – вполне очевидны, банки принципиально изменят свое отношение к информационной безопасности.

Рубрика:
{}
Теги:
#

PLUSworld в соцсетях:
telegram
vk
dzen
youtube