Банк России атакует хакеров - «Финансы и Банки»
Рост количества и качества хакерских атак на банки беспокоит Банк России давно. Противодействовать этому — прямая обязанность регулятора, и он многое делает в этом направлении. На конференции iFin-2016 представитель ЦБ рассказал о первых итогах работы центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (FinCERT). Однако в борьбе регулятора с хакерами обнаружились серьезные проблемы.
Остановить ограбление «на лету»
FinCERT начал работу 1 июня 2015 года, и в том же месяце к нему подключились первые десять банков. Правда, реальная работа центра началась чуть позже, когда туда стала поступать информация от активных банков и из других источников. Как мы писали в июле прошлого года, изначально FinCERT задумывался как чисто информационно-аналитический центр. Однако в связке с другими подразделениями ЦБ ему уже удалось остановить несколько крупных афер «на лету» — в процессе перевода денег из ограбленных банков.
Центры мониторинга и реагирования на компьютерные атаки существуют и активно действуют во многих отраслях экономики, где высока степень проникновения информационных технологий, — правда, не у нас, а за рубежом. В России же такие центры до последнего времени создавали только компании, занимающиеся информационной безопасностью. По сути, это становится лишь сервисом для их же клиентов.
FinCERT, созданный Банком России, — организация отраслевого масштаба. Ее задачей является противодействие росту количества банковских мошенничеств в России. ЦБ возлагает на это подразделение большие надежды: в одиночку банки не справляются с волной мошенничеств, захлестнувших их в последние два года.
Задачи FinCERT сводятся к сбору, обработке и распространению информации, которая может помочь банкам отразить будущие хакерские атаки и снизить ущерб от уже произошедших. Для этого, по словам консультанта FinCERT Александра Чебаря, его подразделение уже наладило связь с 203 банками, тремя платежными системами, шестью небанковскими кредитными организациями, шестью разработчиками ПО, двумя операторами связи (в «большую четверку» не входящими), четырьмя органами государственной власти и тремя иными организациями. Вроде бы много, но эффективный информационный обмен налажен пока не со всеми.
Подключились и молчат
«Основная проблема FinCERT — вовлеченность участников, — рассказывает Александр Чебарь. — Да, банки присоединяются, да, их много, но на самом деле активны лишь 10—15 банков, которые присылают нам информацию».
По признанию банкиров, дело не столько в нежелании делиться информацией об инцидентах с ЦБ — пользу от координирования действий никто не оспаривает, сколько в отсутствии установленных протоколов и форм. ЦБ не успел разработать и утвердить процедуры обмена информацией с FinCERT, и сейчас банки вынуждены обходиться такими средствами связи, как электронная почта и телефон. От этого страдает полнота передаваемых сведений, оперативность их подачи. Да и относительно защищенности этих каналов связи у многих банкиров есть сомнения.
Как рассказал Чебарь, FinCERT активно разрабатывает систему информационного обмена на основе «Личных кабинетов» банков. Это должно исправить ситуацию, но заработает она в лучшем случае в июле 2016 года.
Тем не менее даже небольшое количество активных банков дают FinCERT 77% от всей собираемой информации. 11% FinCERT получает через собственные средства мониторинга, 5% дают другие подразделения Банка России и 7% — новая Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).
Функции ГосСОПКА, создание которой началось еще в 2012 году, заключаются в защите государственных ведомств от хакерских атак. Одной из ее головных структур является Национальный координационный центр по компьютерным инцидентам, он же GOV-CERT. На правах одного из ведомств доступ к ГосСОПКА получил и ЦБ.
Фактически ГосСОПКА должна распространять информацию об атаках, собранную и обработанную ФСБ. Система уже работает, и информации там много. Но, по признанию Александра Чебаря, проблема состоит в том, что эта информация неструктурирована и большинство ведомств (в том числе и ЦБ) пока не сформировали свои требования к форме предоставления сведений. На данный момент все полезное, что извлекает из этой системы FinCERT, — предупреждения о готовящихся DoS/DDoS-атаках на банки.
Никуда не деться от FinCERT
С точки зрения банков, на данный момент наиболее эффективным средством координации борьбы с электронными мошенничествами является неформальный клуб «Антидроп», который объединяет более 500 банков. В его рамках кредитные организации массово рассылают сведения об известных им мошенниках и обмениваются информацией о проведенных атаках.
Однако у «Антидропа» есть ряд в принципе нерешаемых проблем. В частности, его участники при обмене информацией фактически нарушают закон о банковской тайне и закон о персональных данных. Да, банки считают, что речь идет о мошенниках, но до решения суда они полноправные клиенты.
Вторая проблема — невозможность законной остановки и возврата мошеннического платежа. Как бы банковские безопасники между собой ни договаривались, деньги должны быть выплачены получателю, если характер денежного перевода не подводит его под 115-ФЗ «О противодействии финансированию терроризма». Разумеется, профессиональные мошенники на этом не попадаются. В итоге, когда банк тормозит деньги на счетах из-за подозрений на мошенничество, у него есть на разбирательство три дня. Потом он обязан выдать деньги клиенту.
И наконец, есть еще вопрос доверия. Не все участники «Антридропа» имеют сложившуюся репутацию в банковском сообществе. Но, даже если банку доверяют, его сотрудник может оказаться попросту некомпетентным или даже «засланным» со стороны мошенников, а значит, распространяемая им информация может оказаться не только не полезной, а даже вредной. В результате далеко не все рассылки «Антидропа» принимаются банками в работу.
Все эти проблемы потенциально может решить FinCERT. Правда, все еще неясен вопрос о возврате мошеннических платежей. Таких полномочий у FinCERT пока нет, но работа в этом направлении идет. «В ближайшее время Банк России готовит предложение по возврату таких (украденных. — Прим. ред.) средств, но пока единого видения нет», — прояснил ситуацию Чебарь в своем выступлении на iFin-2016.
Есть еще один способ активного противодействия мошенникам, к которому может прибегнуть FinCERT. Дело в том, что очень популярным методом компрометации учетных данных клиентов и сотрудников банков являются фишинговые сайты — созданные хакерами страницы, очень похожие на страницы банков и связанных с ними информационных систем, размещенные в Интернете по адресам, схожим с адресами настоящих сайтов. Банки часто обнаруживают такие страницы, но не всегда получается быстро их заблокировать, чтобы пресечь атаку или снизить ее эффективность.
Такие полномочия у FinCERT вскоре будут. На конференции Cyber Security Forum 2016 директор Координационного центра национального домена сети Интернет Андрей Воробьев рассказал о работе, проводимой его организацией в этом направлении. «Мы планируем подписать с FinCERT типовое соглашение о наделении их правом уведомления регистраторов об обнаружении случаев противоправного контента технического характера. В первую очередь это фишинг. Он их интересует прежде всего потому, что очень часто подделываются сайты банков и других кредитных организаций. В соответствии с этим соглашением регистраторы смогут блокировать эти сайты. Причем в случае с фишингом блокировки сайтов не обжалуются, в отличие от сайтов с другими видами противоправного контента», — объяснил Воробьев.
Игра по-крупному
На iFin-2016 регулятор представил статистику за первые полгода работы FinCERT.
56 рассылок об инцидентах сделал FinCERT с июля 2015 года.
63,89% инцидентов относятся к обнаружению вредоносного кода на компьютерах банка. Такие случаи не всегда приводят к финансовым потерям, но зачастую служат признаком серьезной атаки, конечной целью которой является платежный сегмент кредитной организации.
11,11% — атаки непосредственно на АРМ КБР (автоматизированное рабочее место клиента Банка России). В этом случае мошенники просто выводят деньги переводами через платежную систему ЦБ, и суммы потерь при этом колоссальные.
8,33% — DoS- и DDoS-атаки, которые могут наносить серьезный ущерб бизнесу банка, но к прямым потерям денег сами по себе не приводят.
16,67% составили «иные» атаки, в том числе речь идет об атаках на банкоматы с помощью различных электронных приспособлений.
Александр Чебарь привел цифры по 16 атакам на платежные сегменты кредитных организаций. В восьми из них целью являлись московские банки, в остальных случаях атакам подвергались региональные кредитные организации. Всего мошенники пытались похитить 2,1 млрд рублей. Причем 840 млн рублей им украсть удалось, 0,76 млрд рублей банки вывести не дали, 0,5 млрд рублей заблокированы на счетах получателей платежей.
Воры работают с размахом: в случае инцидентов с московскими банками жертвы лишались 98% денег, хранившихся у них на корсчете в ЦБ, в среднем же по всем 16 инцидентам мошенники выводили 61% содержимого корсчета.
Так не победим
За недолгий срок работы FinCERT у его сотрудников накопился ряд претензий к банкам, помимо неактивного участия в информационном обмене. Многие кредитные организации явно не готовы эффективно противостоять кибермошенникам.
Хотя банки сообщили о 16 очень крупных инцидентах, по ним было заведено всего шесть уголовных дел. По словам Александра Чебаря, проблема в том, что банки во многих случаях обращаются не в специализирующееся на таких делах управление «К» БСТМ МВД России, а подают заявления в территориальные органы, где у них «есть завязки». В результате такие заявления бесконечно «футболятся» между различными управлениями МВД, и расследования фактически буксуют.
Второй проблемой, на которую посетовал Чебарь, является медленная реакция самих банков на инцидент. Нескоординированность IT- и ИБ-департаментов приводит к тому, что информация в FinCERT приходит с опозданием. Даже в тех случаях, когда мошеннический перевод производится через платежную систему ЦБ и его можно было остановить, FinCERT узнает о происшествии, когда деньги не только достигли банка-получателя, но уже выведены через платежные карты физических лиц, так называемых дропов.
Михаил ДЬЯКОВ,