— Артем Михайлович, сколько банков с начала года оказались под ударом мошенников, и не собирается ли Банк России ужесточить требования к обеспечению информационной безопасности в банках?

На 1 марта 2016 года мошенники совершили покушение на хищение средств в отношении 19 кредитных организаций

— На 1 марта 2016 года мошенники совершили покушение на хищение средств в отношении 19 кредитных организаций. Хотя для нас важнее не сколько атак было, а сколько средств попытались украсть. В настоящее время Банк России разрабатывает комплекс мер, стимулирующих банки повысить уровень информационной безопасности. Цель этих мер — понизить результативность атак мошенников. Чтобы они затрачивали как можно больше средств на преодоление защиты, а результат получали минимальный.

— Не предусматривает ли этот комплекс мер перевод информационного взаимодействия FinCERT с банками на обязательную основу вместо добровольной?

— Мы принципиально не собираемся этого делать, чтобы не потерять рациональное зерно этого взаимодействия. FinCERT по-прежнему будет взаимодействовать с кредитными организациями на принципах добровольности и доверия.

— Какие меры нормативно-правового характера собирается внедрять Банк России для улучшения ситуации в сфере ИБ?

— Банк России прорабатывает создание системы сертификации выполнения поднадзорными организациями требований ИБ. Соответствующий план мероприятий по разработке и внедрению данной системы будет в ближайшее время представлен на рассмотрение руководства Банка России. Практическая реализация этого плана включает в себя внесение изменений в отдельные нормативные акты Банка России. Создание самой системы сертификации может занять около года. Мы прорабатываем этот вопрос с учетом лучшего мирового опыта, который большинству банков уже знаком, поэтому каких-то неожиданностей кредитным организациям ожидать не стоит.

— Недавно угрозы для информационной безопасности банков были обсуждены на Уральском форуме по информационной безопасности, одним из организаторов и активных участников которого вы являетесь. Как бы вы подвели итоги форума этого года?

— В этом году на форуме стало очевидно, что антифрод стал де-факто стандартом для российских банков. На это повлияли, конечно, и общемировые тенденции, но в России мы начали об антифроде говорить именно на Уральском форуме, и постепенно банки до этого доросли. Также и FinCERT, и сам принцип информационного обмена между банками и регулятором выросли из обсуждений на форуме.

Из новых тем, которые явно проявились в этом году, можно выделить необходимость проработки вопросов аутсорсинга информационной безопасности для малых и средних банков. Продолжилось обсуждение необходимости расширения рамок информационного обмена. И речь шла не только о банках, но и об МФО.

— Как вы считаете, с телекоммуникационными компаниями тоже необходим информационный обмен?

— Во взаимодействии с телекоммуникационными компаниями мы заинтересованы, тем более что они сейчас активно продвигают свои финансовые сервисы. Этот вопрос тоже сильно пересекается с банковской тематикой. Финансовые сервисы это область регулирования Банка России. На Уральском форуме очень серьезно обсуждался вопрос идентификации и аутентификации клиента в электронном пространстве. И в этом могут быть полезны технологии, которые есть у телекомоператоров.

— Вы имеете в виду ЕСИА?

ЕСИА не может полностью решить задачи банков. Помимо идентификации клиентов, банки заинтересованы в скоринге клиентов, оценке их платежеспособности

— ЕСИА — это только один из вариантов, который может быть использован для идентификации. На форуме предлагались и иные варианты, от изменения регулирования этого вопроса с учетом европейского опыта и заканчивая идеей об использовании технологии блокчейн для сквозной идентификации.

ЕСИА не может полностью решить задачи банков. Помимо идентификации клиентов, банки заинтересованы в скоринге клиентов, оценке их платежеспособности. И здесь недостаточно только получения информации из бюро кредитных историй или из пенсионного фонда. Для этого можно было бы получать информацию от государственных органов, от ФНС, а с другой стороны, есть и другие источники, которые можно было бы к этому подключить. К идентификации клиента это имеет опосредованное отношение. Но на форуме эти вопросы активно обсуждались.

— Какое отношение имеют вопросы идентификации к обеспечению безопасности?

— Самое прямое. Банк должен убедиться, что за получением сервиса к нему обратился именно тот, кто является его клиентом. Поскольку у банков таких сервисов может быть много, более того, это могут быть сервисы внутри банковской группы: это могут быть и страховые сервисы, и пенсионные, то для предоставления таких сервисов клиента надо каким-то образом передать внутри группы. И при передаче клиента также необходимо быть уверенным, что тот, кого передают, это именно тот, кто является клиентом банка.

Одним решением ЕСИА не ограничивается весь спектр вопросов, который связан с идентификацией и аутентификацией. На форуме мы посвятили полдня обсуждению различных вариантов идентификации. Можно определенно сказать, что одного закона об электронной подписи недостаточно, опыт Европейского союза это убедительно показывает.

Еще одна тема, которая была поднята на форуме с новой стороны, это информационные атаки. Мы третий раз проводим на форуме день практической безопасности. И каждый раз мы видим, что проблема все глубже и глубже. Эта проблема приобретает в последнее время другие свойства. Если раньше киберпреступника интересовало какое-то узкое направление, то сейчас оно гораздо шире. Поскольку финансовые организации пошли по пути сокращения своих издержек на отделения и активно переходят в электронные каналы, эта проблема приобретает новое качество.

Еще один очевидный факт, это явное смещение фокуса атак в сторону хищений у кредитных организаций. Под ударом оказываются именно банки

Мобильный банк — очень наглядный пример. С массовым распространением этой технологии появилось много проблем, в том числе с платформой «Андроид». Это массовая платформа, которая вызывает повышенный интерес злоумышленников, что приводит к наличию для этой платформы большего количества вирусов по сравнению с другими платформами. Использование такого массового продукта для финансовых сервисов — серьезный вызов с точки зрения информационной безопасности.

Еще один очевидный факт, обсуждавшийся на форуме, это явное смещение фокуса атак в сторону хищений у кредитных организаций. Под ударом оказываются именно банки.

Информационную безопасность небольших банков могут отдать на аутсорсинг. В ходе Уральского форума Артем Сычев, заместитель начальника ГУБиЗИ Банка России, сказал, что у ЦБ нет и не будет в ближайшее время специалистов, которые могут разобраться в тонкостях банковских информационных систем.

— На форуме много обсуждались стандарты безопасности…

— Центральный банк — это регулятор, и его инструментарий — это либо нормативные документы, устанавливающие, в том числе, меры воздействия, либо рекомендации.

С точки зрения регулирования мы ограничены нормативной базой, регулирующей вопросы защиты информации при переводе денежных средств. Есть положение 382-П, есть возможность проверок в этой области. Но в финансовой сфере передача платежей — только малая часть всего, что имеет отношение к безопасности. А все остальное пока покрывается стандартами, это рекомендации, которые не являются обязательными к применению.

Мы сами также живем по этим рекомендациям. Наши стандарты — это не сферический конь в вакууме, перед тем как их выпускать, мы пробуем их на себе, и они обязательно проходят процедуру обсуждения в сообществе. Сейчас в составе Технического комитета №122 есть представители не только банков, но и страховых компаний, и бирж, и МФО. Мы стараемся учитывать специфику бизнес-моделей разных организаций. Так, применительно к микрофинансовым организациям стандарты делятся на стандарт для крупных и для малых организаций.

Когда идет хищение с корсчета кредитной организации, никто не атакует конкретный АРМ платежной системы. Атакуют инфраструктуру кредитной организации, туда вбрасывается вредоносная программа, злоумышленники захватывают управление этой инфраструктурой. Обычно две-три недели злоумышленники наблюдают, что происходит в банке, где, так сказать, можно поживиться, как можно подложить платежный документ. Проблема в том, что именно к этой инфраструктуре никто не предъявляет требований. Тем не менее, действующая редакция закона «О техническом регулировании» позволяет делать обязательными к исполнению требования государственных стандартов.

Из выступления на Уральском форуме:

«Никто не атакует АРМ КБР. Он никому не нужен. Атака направлена на инфраструктуру кредитной организации. При этом вброс делается через фишинговое письмо, письмо с трояном и так далее. И уже дальше происходит захват управления всей инфраструктурой, особенное внимание — к АРМ КБР. Далее подкладывается фиктивный платежный документ, который отправляется в платежную систему Банка России, для которого он легитимный. Документ принимается к исполнению. Если мы «отбиваем» платежку или отказываем на основании того, что на счете недостаточно средств, то преступники обваливают не только АРМ КБР банка, но и всю его инфосистему, поскольку под их управлением оказываются и контроллеры домена, и почтовые серверы, и все остальное. ИТ-подразделение бросается бороться за живучесть кредитной организации, в результате деньги улетают. А в информационную систему, которая еще не вычищена после атаки, ставится еще одно средство, которое в результате оказывается под контролем злоумышленников».

Разговор на форуме шел о том, что, во-первых, надо внести изменения в законодательство, чтобы Банк России получил право устанавливать такие технические требования. Во-вторых, необходимо стандарт Банка России перевести в разряд ГОСТа. Это позволит установить ответственность за невыполнение требований по информационной безопасности, в том числе путем применения меры воздействия.

Хочу заметить, что здесь речь идет не столько о выполнении требований безопасности, сколько о том, что невыполнение этих требований ведет к серьезным проблемам с ликвидностью и собственным капиталом финансовых организаций.

Из выступления на Уральском форуме:

«С регулированием этого вопроса все обстоит очень печально. Требования, которые предъявляет ЦБ к банкам, зиждятся на законе 161 ФЗ, в соответствии с которым ЦБ имеет возможность по согласованию с ФСБ и ФСТЭК предъявить требования по защите информации при переводе денежных средств. Но, как я уже сказал, атаке подвергается не защищенный АРМ КБР, а инфраструктура кредитной организации. В отношении этой инфраструктуры есть только требования стандарта, которые не являются обязательными.

Банки приняли эти стандарты и провели самооценку, но мы видим, что часто эти самооценка ни на чем не основана. На словах и на бумаге все очень хорошо — есть прописанные регламенты. Но на деле эти банки даже не могут показать, как они хотя бы мониторят трафик АРМ КБР. Банк России не только как регулятор, но и как оператор платежной системы не имеет объективной картины по безопасности в этих кредитных организациях».

— Получается, что вы должны ждать, пока такие проблемы возникнут, а потом уже наказывать?

— Можно так, а можно и по-другому. На форуме мы также обсуждали создание системы сертификации. Мы можем это сделать на основе закона о техническом регулировании.

Из выступления на Уральском форуме:

«Стоит задача сформировать систему сертификации в поднадзорных организациях. Основой должен стать закон о техническом регулировании, который позволяет это сделать. Есть задача перевести стандарты Банка России в разряд ГОСТов. Для этого придется переделывать базовый стандарт, совмещая в нем как жесткие технические требования, так и требования к СМИБ.

Эта система (сертификации) не будет работать, если у нас не будет возможности влиять на штрафные санкции к кредитным организациям по итогам аудита».

— Если вы создаете разные стандарты для крупных и мелких некредитных организаций, не будет ли логичным также установить разные стандарты для крупных и малых банков?

— В банках должна быть выстроена система оценки рисков и компенсации этих рисков адекватными средствами. У любого банка есть базовые требования к капиталу, базовые требования к персоналу. Выполнение наших требований может быть обеспечено разными инструментами.

ЦБ: хищение средств в банках — это реализация самых банальных схем. Сколько денег надо одномоментно вывести из банка, чтобы нарушить его финансовую стабильность? Каковы последствия хищений для кредитных организаций и как ЦБ оценивает риски информационной безопасности в ходе инспекционных проверок.

— На форуме банки жаловались, что у них не хватает ресурсов, чтобы обеспечить выполнение требований безопасности в филиалах…

— Дело не в нехватке ресурсов, а в том, как организована работа. Был случай, когда в одном банке, благодаря рекомендациям FinCERT, были выявлены проблемы, которые могли привести к краже денег. Банк вроде бы принял меры для предотвращения. Нас благодарили. А через два дня деньги были выведены через один из филиалов этого банка, где ничего сделано не было. Очевидно, что это проблема того, как настроено управление филиалами, а не нехватки ресурсов.

Что касается мелких банков, то мы не случайно в этом году обсуждали тему аутсорсинга информационной безопасности.

Из выступления на Уральском форуме:

«У крупных банков есть ресурсы, чтобы заниматься безопасностью на системном уровне. У мелких банков таких ресурсов нет и не будет в ближайшее время, даже если их начнут наказывать за нарушение требований информационной безопасности. Ответом на это может стать аутсорсинг безопасности».

— Для аутсорсинговых компаний вы также будете вырабатывать стандарты?

— Пока еще рано об этом говорить. Очевидно, мы пойдем обычным путем: сначала будут выработаны рекомендации, потом что-то из этих рекомендаций станет частью стандарта, а потом уже что-то будет включено в нормативный документ.

— Вы планируете устанавливать какие-то стандарты или как-то сертифицировать вендоров, которые разрабатывают банковское ПО?

Мы вправе предъявлять определенные требования финансовым организациям

— Это не является предметом регулирования со стороны Банка России. Мы считаем, что мы вправе предъявлять определенные требования финансовым организациям, а они уже, в свою очередь, на основании этих требований должны предъявлять свои требования разработчикам.

— На форуме говорили также о проблеме «красной кнопки», о возможности останавливать транзакцию в случае атаки преступников и возвращать свои деньги. Насколько я понимаю, с этой темой также связана тема принятия закона о фроде…

— В Минфине сейчас находится законопроект, и мы очень надеемся, что он начнет свое движение. Этот закон, во-первых, позволит определить, что такое несанкционированный платеж, а во-вторых, он опишет процедуру возврата денег.

Сейчас такой «красной кнопки» нет, но опыт работы FinCERT вместе с другими подразделениями Банка России позволяет достаточно оперативно реагировать на инциденты с хищениями в кредитных организациях. Вовремя поданное обращение позволяет быстро выявить, куда разошлись деньги, и принять меры для того, чтобы деньги не были обналичены.

— Вы уже увеличили штат FinCERT, как обещали на форуме?

— У нас не так быстро все делается, но решение принято, и оно будет реализовано. Если говорить об эффективности FinCERT, то за первый квартал 2016 года удалось предотвратить хищение порядка полутора миллиардов рублей.

— А сколько смогли увести преступники за первый квартал?

— Точно мы еще не подсчитывали, но эта сумма меньше.

— На форуме было рассказано о трех случаях, когда банки сами инсценировали кражу денег со счетов, чтобы скрыть вывод капитала владельцами банка. Вы уже научились предупреждать такие случаи?

— Мы учимся это делать. Банки все разные, и случаи разные.

— Как отличать настоящие атаки преступников от вывода денег?

— Это вопрос не только анализа техники атаки, но и работы с экономическими показателями, со статистикой, с отчетностью банков.

— У вас есть свои специалисты по отчетности?

— Мы это делаем вместе с другими подразделениями Банка России.

Из выступления на Уральском форуме:

«Вместе с МВД мы изучили экономическую составляющую таких преступлений. Координатор, организующий атаку, получает не более 30% денег. Именно поэтому у нас есть обоснованные опасения, что такие атаки используются прежде всего для сокрытия ранее совершенных финансовых преступлений. Выводить деньги, чтобы получить 30%, не очень выгодно. А вот организовать на себя атаку и заявить, что банк больше не может обслуживать клиентов, притом что банк заранее вывел деньги при помощи других технологий, это вполне возможно».

— По тем случаям фрода, которые произошли уже в новом году, у вас появлялись подозрения, что это может быть замаскированный вывод капитала?

Те случаи, что были, это либо разгильдяйство персонала, либо полное непонимание, что такое безопасность

— Пока нет. Пока те случаи, что были, это либо разгильдяйство персонала, либо полное непонимание, что такое безопасность.

Бывают случаи, когда уводятся деньги у филиала банка, а сотрудники филиала мало того что нам боятся сообщить, они еще и своему головному офису боятся признаться. И головной офис узнает от Центрального банка, что в его филиале были уведены деньги. А если бы они сообщили нам оперативно, то можно было бы все остановить.

— Сколько банков сейчас сотрудничает с FinCERT? Насколько активно они предоставляют вам информацию?

— Более двухсот банков. Конечно, не все активно сотрудничают, много есть «молчунов». Но в целом процесс пошел.

FinCERT также сам занимается мониторингом информации, и каждый день проходит несколько десятков сообщений о выявленных угрозах либо уязвимостях. Из этого потока мы отбираем то, что имеет непосредственное отношение к банкам. Да и сами банки сейчас начали нас активно информировать. Каждый случай требует аналитики и перепроверки — именно это и является основной нагрузкой на FinCERT.

— Когда инцидент уже произошел, FinCERT принимает участие в расследование инцидента?

— У нас сейчас есть практика, когда мы выезжаем на место, чтобы разобраться. Это не расследование в чистом виде. Такого функционала у нас нет. Тем не менее, мы и дальше будем усиливать свою компетенцию в части лабораторных исследований.

— В связи с тем что с конца года начнется массовый выпуск карты «Мир», должен быть совершен, насколько я понимаю, массовый переход к использованию отечественных средств криптозащиты. Мы к этому готовы?

Мы надеемся, что банкам отечественные HSM будут экономически выгоднее банкам, чем западные аналоги

— Не надо торопить события. В других странах такие системы выстраивались десятилетиями. Чтобы такой переход состоялся, надо, чтобы появились новые стандарты. За год это невозможно. Сейчас корневой HSM, на котором работает карта «Мир»,— отечественного производства. Он поддерживает два стандарта криптографии: наш и иностранный. Далее выбор за банками. Мы надеемся, что банкам отечественные HSM будут экономически выгоднее банкам, чем западные аналоги.

Более широкая задача. Сейчас на базе Технического комитета идет отработка отечественных стандартов для платежной индустрии, которые включали бы в себя криптографию. Это небыстрый процесс, необходимо сначала провести тестирование, а потом уже закрепить в документации. Нет и никогда не было установок, чтобы перейти на новый стандарт в один день. Будет происходить постепенная замена оборудования. У нас уже есть опыт того, как это происходило с ККМ, там же сейчас везде работает отечественная криптография, и всех это устраивает.

— Как вы оцениваете с точки зрения информационной безопасности столь модную сейчас технологию блокчейн?

— Сейчас Центральный банк изучает эту технологию, в том числе с точки зрения безопасности.

— Какие самые большие угрозы с точки зрения информационной безопасности вы видите в ближайшем будущем?

— Когда технологии развиваются, часто забывают, что, во-первых, вокруг любой технологии есть люди, а во-вторых, что эти люди могут быть вообще неосведомленными в вопросах безопасности. А кто-то может быть, наоборот, слишком осведомленным и сумеет эти технологии использовать в своих преступных целях.

Из выступления на Уральском форуме:

«Мы сейчас видим, что злоумышленники уделяют повышенное внимание трем направлениям.

Первое: поиск и вербовка инсайдеров.

Второе: проработка схем монетизации.

Третье: поиск уязвимостей в платежных системах мобильных операторов».

 

Анонс:

19 апреля 2016 года состоится первый в России форум « Блокчейн и открытые платформы – 2016». Организатор мероприятия – ИА Bankir.Ru, модератор – главный редактор Антон Арнаутов.