Мобильное приложение журнала
Google Play Apple Store
курс цб на 23.03: USD 63.7705 EUR 72.59
криптовалют: BTC 3982.1$ ETH 135.56$
Архив / 2017 / ЖУРНАЛ ПЛАС №4 / 894 просмотра

Артем Сычев: Атаковать стали чаще, но менее результативно

По мнению Артема Сычева, заместителя начальника Главного управления безопасности и защиты информации (ГУБиЗИ) Банка России, снижение в 2016 году объемов хищений по картам на 6,1% по сравнению с предыдущим годом на фоне продолжающегося 30%-ного ежегодного прироста числа случаев фрода свидетельствует об эффективности антифродовых систем, созданных банками в период 2014–2015 годов. Обсуждая с журналом «ПЛАС» современную ситуацию с преступлениями в банковской и платежной сферах, он подчеркнул, что важную роль здесь начал играть и набирающий обороты взаимообмен информацией об инцидентах через ФинЦЕРТ Банка России.

ПЛАС: Еще в декабре прошлого года на AntiFraud Russia 2016 вы отметили, что роль банковского сообщества в противодействии киберпреступности постепенно возрастает и «молчунов» среди кредитных учреждений в информационном обмене с ФинЦЕРТ становится меньше. С чем это связано? Успели ли банки убедиться в пользе и безопасности такого обмена и за счет чего? Существует ли по-прежнему проблема дефицита информации для предотвращения хищений, оперативного обмена с правоохранительными органами? Что делается в этом направлении?

А. Сычев: Те, кто хотел общаться, кто был в этом заинтересован, сейчас уже  участвуют в информационном обмене и активно с нами взаимодействуют. ФинЦЕРТ продолжает вести плановую разъяснительную и иную работу для того, чтобы увеличить количество банков – участников данного взаимообмена. В идеале мы хотели бы видеть участниками этой инициативы все российские кредитные организации. В связи с этим ожидается, что в середине 2017 года будет еще одна волна подключений.

В перспективе мы намерены осуществить постепенный переход к обязательности информирования регулятора банков об атаках. Напомню – сейчас обязательность информирования установлена только для участников платежной системы Банка России и только в тех случаях, если этот инцидент связан с платежной системой Банка России.

ПЛАС: Какая роль отводится здесь новому методологическому документу – стандарту по расследованию инцидентов, разработанному совместно с МВД, ФСБ, Следственным комитетом и кредитными организациями, который сейчас вводится в действие? Насколько нам известно, он призван помочь банкам правильно готовить доказательную базу, а правоохранительным органам – оперативно ее получать.

А. Сычев: Стандарт по расследованию инцидентов уже введен в действие, и мы по нему активно работаем. Он позволяет нам  говорить на одном языке как с представителями правоохранительных органов, так и с банками, когда, например, возникает необходимость либо сбора доказательной базы, либо уточнения каких-то технических деталей. Поэтому стандарт, возможно, не так активно, как нам хотелось бы, но реально работает.

ПЛАС: Как в целом изменилась практика взаимодействия ФинЦЕРТ с кредитными организациями по противодействию киберугрозам? Насколько полно удается отказаться от не оправдавшей себя практики самостоятельной оценки банками соответствия своей работы требованиям информационной безопасности, о чем вы говорили в своем предыдущем интервью журналу «ПЛАС»? Каковы цели перехода на обязательный порядок взаимодействия с центром для банков (как минимум по тем инцидентам, которые происходят в платежной системе Банка России)? Как будет строиться механизм такого-взаимодействия?

А. Сычев: Сегодня готовятся изменения в Положение Банка России от 9 июня 2012 года № 372-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств». Как только они будут реализованы и приняты, мы откажемся от практики, когда банк самостоятельно оценивает свое соответствие тем или иным нормативам Центрального банка Российской Федерации в отношении информационной безопасности.

Помимо отказа от самооценки и перехода к внешней оценке аудитором, изменения также коснутся вопросов практической безопасности и penetration-тестирования. Сегодня документ находится в стадии проработки с ФСТЭК России и ФСБ. Подчеркну, что практика самостоятельной оценки банком своего соответствия требованиям безопасности для внутреннего анализа результатов и своевременного принятия мер, конечно же, сохранится. Но отчитываться таким образом перед регулятором он уже не сможет.

Мы откажемся от практики, когда банк самостоятельно оценивает свое соответствие тем или иным нормативам Банка России в отношении информационной безопасности
Мы откажемся от практики, когда банк самостоятельно оценивает свое соответствие тем или иным нормативам Банка России в отношении информационной безопасности

ПЛАС: Создание в рамках ФинЦЕРТ собственной лаборатории по компьютерной криминалистике – расскажите о целях и задачах этого проекта. Предусматривается ли коммерческая составляющая в данной инициативе?

А. Сычев: Мы не позиционируем лабораторию как полигон для каких-либо массовых испытаний. Ее деятельность направлена прежде всего на расследование инцидентов в финансово-кредитной сфере по запросу правоохранительных органов. Речь идет, например, об исследовании носителей, анализе логов, проверке программного обеспечения на наличие признаков вредоносного ПО и возможности компрометации критичных данных, сейчас прорабатывается также направление восстановления данных. Ранее такими процедурами занимались либо специалисты МВД в собственной лаборатории, либо соответствующие специализированные частные организации, которые сегодня присутствуют на российском рынке. Необходимо отметить, что именно по той причине, что государственные силовые структуры не всегда могут воспользоваться услугами этих частных организаций, МВД и ФСБ с самого начала настоятельно поддерживали идею организации лаборатории при ФинЦЕРТ.

Например, сегодня на перечисленные исследования в лабораторию МВД очень большая очередь, а расследования преступлений такого рода требуют очень быстрой реакции. В этом смысле мы очень помогаем своим коллегам из правоохранительных органов и уже подготовили и передали им результаты нескольких исследований.

Еще раз подчеркну, что мы не позиционируем нашу лабораторию как коммерческую структуру и, соответственно, не рассчитываем на поток заказов от банков.

Сегодня в нашей лаборатории есть все необходимые базовые средства для проведения исследований, но в будущем мы продолжим наращивать ее техническую оснащенность и расширять штат работающих там высококвалифицированных специалистов.

Подпись в платежном поручении должна быть интегрирована в транзакционные данные, формируемые в АБС банка

ПЛАС: Запланировано ли внедрение Банком России шифрования платежей, направляющихся в платежную систему на уровне автоматизированной банковской системы? Какие риски будут минимизированы в первую очередь? Будут ли таким путем пресекаться риски хищения через АРМ КБР, или цели инициативы шире?

А. Сычев: В явном виде это позволяет распределить зону ответственности. Иными словами, таким образом мы даем коллегам понять, что свое внимание с точки зрения безопасности все-таки необходимо сосредоточить не только на одной отдельно взятой машине, а на всей своей инфраструктуре. Потому что основная проблема связана именно с перехватом преступниками управления компьютерами. Именно поэтому мы и настаиваем на том, что подпись в платежном поручении должна быть интегрирована в транзакционные данные, формируемые в АБС банка.

ПЛАС: Какова ваша оценка эффективности ужесточения наказания организаторам кибератак на критическую информационную инфраструктуру – до 10 лет лишения свободы, – а также других законопроектов, принятых Госдумой РФ в первом чтении и связанных с обеспечением безопасности КИИ? Как вы считаете, такое новшество станет реальным подспорьем в уголовно-процессуальной и судебной практике?

А. Сычев: Мы поддерживаем законопроект об ужесточении наказания за преступления, связанные с лишением денежных средств. Сейчас проект закона готовится к внесению в Госдуму.

ПЛАС: Что, по вашему мнению, ждет нас в самом ближайшем будущем? Как изменится стратегия и тактика кибермошенников?

А. Сычев: Исходя из имеющейся статистики, основанной на материалах, которые мы получаем из банковского информационного обмена, очевидно, что сегодня злоумышленники попытаются найти новые способы несанкционированного внедрения как непосредственно в системы самих банков, так и в устройства клиентов. Методы, которые использовались ими раньше, регулятору более–менее понятны, и соответствующие меры противодействия уже выработаны. Последние будут связаны прежде всего с выявлением новых уязвимостей и формированием новых типов атак, связанных с использованием социальной инженерии. Причем не принципиально, станет их мишенью клиент или сотрудник банка.

ПЛАС: Эксперты ESET уверены, что в 2017 году многие хакеры сосредоточат усилия на атаках на критическую инфраструктуру и Интернет вещей, о чем ФинЦЕРТ в вашем лице предупреждал еще в середине 2016 года. Как показала практика, ваши прогнозы оправдались: уже осенью хакеры проводили DDoS-атаки на крупные российские банки через 500 тыс. зараженных персональных устройств, включая домашние роутеры, веб-камеры, тостеры, кофемашины, объединяя их в гигантскую сеть. Что можно противопоставить такого рода атакам на банки?

А. Сычев: Иногда сожалеешь, чувствуя себя провидцем, потому что нет ни малейшего желания, чтобы самые мрачные твои прогнозы становились явью. Поэтому я бы с удовольствием ошибся и в отношении Интернета вещей, и других новых угроз безопасности, но, к сожалению, пока все прогнозы сбываются.

Злоумышленники попытаются найти новые способы несанкционированного внедрения как непосредственно в системы самих банков, так и в устройства криентов

Чем Интернет вещей интересен злоумышленникам? За подключенными к интернету устройствами пока никто не смотрит, никто не занимается их безопасностью. Именно поэтому для злоумышленника они являются крайне дешевым инструментом для организации атак. Преступник не может быть уверен, что его вредоносная программа не будет через некоторое время обнаружена на компьютере пользователя. Но в то же время можно быть абсолютно уверенным, что единожды захватив «умный» телевизор или камеру наблюдения, ты можешь «эксплуатировать» их столько, сколько тебе потребуется. Ведь пользователь не то что не заметит, он даже никогда не задумается о такой угрозе.

Возьмем для примера прошлогодний инцидент с атакой ботнета Mirai, когда вредоносная программа взламывает IP-камеры, цифровые видеомагнитофоны и другие слабозащищенные устройства, превращая их в сеть роботов для совершения распределенных атак на серверы. Зачастую такие устройства после их установки обслуживаются достаточно редко, поэтому о том, что происходит у них «внутри», никто достоверно не знает.

Это проблема общемировая, а не сугубо российская. Но для нас как для мегарегулятора важно то, что такие вредоносные программы могут быть использованы против банков, то есть против финансовой стабильности в России в целом. Именно поэтому все свои усилия мы пытаемся объединить с провайдерами телекоммуникационных услуг и с Минкомсвязью.

Каких-то универсальных рецептов по борьбе с такими угрозами пока нет. И этой проблемой необходимо очень серьезно заниматься, причем начинать переводить борьбу с хакерами в данной области на профессиональные рельсы необходимо как можно скорее.

ПЛАС: А что вы можете сказать об уязвимости таких набирающих сегодня популярность сервисов, как Apple Pay и Samsung Pay? В 2016 году заметно выросло количество уязвимостей в устройствах Apple, за год было объявлено о 50 из них. По прогнозам экспертов, заметный сдвиг интереса преступников в сторону Apple в дальнейшем будет усиливаться. А с приходом в Россию Android Pay в мае риски только возрастут. Не придется ли в ближайшем будущем, когда они получат действительно массовое распространение, столкнуться с лавиной атак в этой сфере?

А. Сычев: Мы внимательно следим за развитием технологии и изучаем практический опыт. Но прогнозировать массовые атаки в этом направлении пока повода нет. Тем более что и Apple Pay, и Samsung Pay достаточно основательно архитектурно продуманы с использованием в том числе методов криптографической защиты.

С платформой Android все гораздо сложнее. Весь вопрос заключается в риске «захвата» устройства с помощью вредоносного программного обеспечения. Ни для кого не секрет, что основные проблемы безопасности здесь обусловлены ее массовостью, а также тем обстоятельством, что под эту платформу достаточно просто написать приложение, которое затем будет доступно не только в Google Play, но и в свободном доступе на любом интернет-ресурсе. Однако как будет в реальности развиваться ситуация с Android Pay в России, покажет только время – сейчас делать какие-либо прогнозы преждевременно.

ПЛАС: В связи с постепенным открытием банковских API для финтеха по примеру требований европейской Директивы PSD2 не существует ли риска, что появятся какие-либо новые, более эффективные модели атак?

16А. Сычев: Этому вопросу мы уделяем сейчас особое внимание. Все прекрасно осознают, что открытые API – это перспективные технологии, но при этом важно понимать, как такая схема реализуется с разных концов одной и той же цепочки. Ведь речь идет о стыковке по неким определенным протоколам двух или более разных ИТ-систем. Поэтому необходимо обеспечить безопасность как с одной, так и с другой стороны. В противном случае, даже если с одной стороны безопасность будет обеспечена, а с другой нет, открытые API будут способствовать хищениям.

Вопрос с безопасностью решений финтеха, ориентированных на банковскую отрасль, в целом очень сложный. Это пока еще весьма рисковая зона. Да, возможно, эта проблема сегодня еще не выходит на первый план просто в силу того, что стартапы не имеют массового распространения. Но рано или поздно ситуация изменится. И регулятор со своей стороны стремится сделать так, чтобы с развитием финтеха проблем с безопасностью стало не больше, а меньше.

Вопрос здесь заключается не столько в регламентации, сколько в том, что необходимо изначально уделять внимание вопросам безопасности используемых технологий и в случае появления новых требований производить их соответствующую модернизацию.

Злоумышленникам неинтересны какие–то точечные, узконишевые продукты. Им важна массовость. Ведь чем дешевле для них атака, тем она эффективнее – тем больше за одну и ту же атаку они могут получить профит и, естественно, тем выше у них интерес к ее совершению.

ПЛАС: Не так давно советник президента по вопросам интернета, председатель совета Института развития интернета (ИРИ) Герман Клименко заявил, что ИТ-отрасль научится эффективно бороться с киберпреступниками в течение примерно пяти лет. Говоря откровенно, на Международном экономическом форуме в Давосе в 2004 году мы уже слышали убаюкивающие прогнозы от Билла Гейтса о том, что через два года проблема спама будет решена. Что вы думаете по поводу прогноза ИРИ? В какой мере этот прогноз справедлив для банковской сферы?

А. Сычев: Вспоминая афоризм советских времен, если есть отдел по борьбе с тунеядством, значит, должны быть и тунеядцы. Иначе не с кем будет бороться. Как писали всем известные классики советской юмористической литературы, если в стране есть денежные знаки, значит, у кого-то их много. А если у кого-то их много, то найдется тот, кто захочет, чтобы много денег было именно у него. Преступность была, есть и, к еще большему сожалению, будет. Она, к сожалению, существует. Просто со временем она перекочевала из обычного физического пространства в виртуальное. Прогноз, который дал Герман Клименко, слишком радужный. Как человек, который на протяжении 10 лет занимается этой проблематикой, я в него поверить не могу.

17Подчеркну при этом – у Банка России нет задачи победить преступность. Во-первых, это вообще не наша задача, а прерогатива правоохранительных органов. Во-вторых, наша задача как регулятора сделать так, чтобы действия злоумышленников были слишком дорогими для них, а результативность оказалась минимальной. Сочетание этих двух факторов позволит постепенно вытеснить такого рода преступность из юрисдикции РФ.

И если посмотреть на статистику, то у нас есть определенные успехи. Сократились объемы похищенных денежных средств. Например, в целом доля несанкционированных денежных переводов по картам в РФ составила в 2016 году 0,0021% вопреки нашему прежнему прогнозу – 0,005%. При этом Банк России ставит перед собой задачу не допускать в будущем увеличения этого показателя выше 0,005% даже на фоне постоянно растущего числа карточных транзакций. Это свидетельство того, что принимаемые нами меры работают.

ПЛАС: В заключение нашей беседы – несколько слов о планах и ключевых активностях ФинЦЕРТ в 2017 году.

А. Сычев: В наших планах – усиление собственной экспертизы в части аналитики, повышение качества информационных рассылок и усиление информационного обмена, автоматизация деятельности и, конечно же, дальнейшее развитие лаборатории ФинЦЕРТ. По большому счету мы намерены создать на наших ресурсах своего рода российский аналог VirusTotal, и у нас есть все основания считать эту непростую задачу выполнимой! 

Читайте в этом номере: