Коммерсант: Стража со взломом
Проблема обеспечения кибербезопасности в финансовой сфере вышла на принципиально новый уровень. Если раньше она была в основном частным делом каждого банка, то в 2018 году банковская защита от хакерских атак приобрела государственные масштабы. Направление становится столь же подробно регулируемым и требующим столь же детальной отчетности, как кредитование или торговля ценными бумагами. Создаваемая система защиты банковского сектора получается надежной, но хакеры находят обходные пути: они переключили внимание на клиентов банков и криптовалюты.
Инциденты на учете
С 1 июля вступили в силу поправки к положению 382-П, которыми ЦБ вводит дополнительные требования к информационной безопасности банков. В частности, банки будут обязаны проводить обязательные пентесты (тесты на проникновение) раз в год. До сих пор, по словам экспертов, пентесты подавляющее большинство игроков проводили лишь при установлении нового ПО. Кроме того, раз в два года будет обязателен внешний аудит систем информбезопасности. До сих пор большинство банков ограничивались самоаттестацией, но времена, когда кибербезопасность была частным банковским делом, проходят.
Скорость реагирования на инциденты также изменится. До 1 июля подключение к информобмену с ФинЦЕРТом (подразделение ЦБ, занимающееся кибербезопасностью) строилось на принципах добровольности и доверия, оно не было обязательным. Об инцидентах регулятору банки сообщали в обязательном порядке ежемесячно. Теперь порядок иной. О технических показателях инцидента (хищения средств или попытки хищения) банки будут сообщать оперативно. Об экономической же стороне — раз в квартал.
Проработка технической стороны дела не всегда поспевает за изменением регулирования. Например, как отмечает консультант по безопасности Cisco Алексей Лукацкий, ЦБ в поправках к 382-П планировал ввести обязанность сообщать в ФинЦЕРТ в течение трех часов с момента наступления инцидента. Однако, отметил эксперт, ЦБ не смог ни определить перечень инцидентов, сославшись на то, что это будет сделано в виде отдельного документа на сайте, ни определить порядок уведомления, также сославшись на то, что порядок и форма уведомления должны быть согласованы с ФСБ.
Тем не менее общий тренд, задаваемый регулятором, очевиден: информационная безопасность становится еще одним, и весьма объемным, разделом обязательной отчетности. Например, в случае хищения средств с карт банковских клиентов регулятор требует раскрывать, как были выведены деньги — через банкомат или терминал, с использованием реквизитов, через системы дистанционного банковского обслуживания. Нужно указывать, сколько средств похищено и сколько удалось вернуть клиенту, а также использовались ли методы социальной инженерии, то есть когда мошенники, входя в доверие к потенциальной жертве, обманным путем выманивали у нее реквизиты карты или побуждали совершить платеж. Более полно будет раскрываться информация обо всех инцидентах, связанных с атаками на банкоматы.
Подобная отчетность существовала и раньше, но была несопоставимо менее подробной, обязательной и регулярной. Так, в отчетности по форме 203, предоставляемой ежемесячно, банки сообщали лишь о событиях, возникших из-за нарушения требований к обеспечению защиты информации при осуществлении переводов. Сведения об атаках на банкоматы с использованием технологии BlackBox (основана на подключении стороннего устройства к банкомату), например, в отчетность не попадали.
Платформа для защиты
Для оперативного обмена информацией ЦБ внедрил новую платформу АСОИ. До недавнего времени взаимодействие банков с ФинЦЕРТом происходило по электронной почте. Однако уже 2 июля участники рынка получили от регулятора письма с инструкцией по работе с платформой, способах подключения и т. д. Как следует из презентации по работе АСОИ, она должна стать информационно-сервисным порталом участников, автоматизировать обработку сведений об инцидентах, позволить вести базу по уязвимостям, архив расследования инцидентов и т. д. Де-юре платформа заработала с 1 июля. По словам и. о. главы департамента информационной безопасности ЦБ Артема Сычева (см. интервью), подключение банков, а затем и некредитных финансовых организаций будет поэтапным.
Сами банки планируют повышать качество информационного обмена не только с регулятором, но и между участниками рынка. В июне запущена платформа Ассоциации банков России — проект при технической поддержке компании «БИЗон» (дочерняя структура Сбербанка). Как пояснил "Ъ" зампред правления Сбербанка Станислав Кузнецов (см. интервью), платформа позволит участникам рынка обмениваться информацией о киберугрозах. «Сейчас, к примеру, один крупный банк может располагать информацией о вредоносном программном обеспечении, которая недоступна другим игрокам, и не может поделиться этой информацией с рынком, платформа решает проблему»,— говорит он. На этапе пилотного проекта планируется подключить около 40 банков, через три месяца к платформе смогут присоединиться все желающие.
Однако в ЦБ не планируют пускать информационный обмен между банками на самотек. Регулятор считает необходимым обеспечить участие в работе платформы в качестве наблюдателя Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России. Об этом говорится в письме зампреда ЦБ Дмитрия Скобелкина в ассоциацию. Как пояснили "Ъ" в ЦБ, статус наблюдателя позволит регулятору «расширить круг источников информации».
Построить стены, вырыть ров
Новации ЦБ в сфере кибербезопасности не слишком обрадовали участников рынка. «С 1 июля вводятся серьезные требования по информбезопасности для банков, документы появились совсем незадолго до вступления в силу,— говорит начальник управления информационной безопасности Златкомбанка Александр Виноградов.— Плюс с июля вводятся требования по биометрии, и все это в сезон отпусков, когда многих специалистов нет». По его словам, все это требует от банков серьезных финансовых затрат и человеческих ресурсов.
Но в пользу госрегулирования кибербезопасности свидетельствует сухая статистика. В 2017 году ущерб банков от хакерских атак превышал 1 млрд руб. C начала этого года, когда проблема кибербезопасности была поднята на новый уровень, состоялась всего одна результативная хакерская атака на российский банк — из ПИР-банка злоумышленники вывели 58 млн руб. «Мы хотим возвести крепость информбезопасности — построить стены, вырыть ров»,— говорит Александр Виноградов. Судя по статистике, банковские электронные хранилища денег и информации оказались за столь мощной стеной, возведенной при помощи государства, что взломать ее хакерам практически не под силу. И хакеры это быстро поняли.
А он в окно
Хакеры соревнуются с системой, не только повышая уровень мастерства, но и постоянно меняя основные цели. Когда в цепочке прохождения платежа какое-то звено оказывается слишком хорошо защищенным, атаки смещаются на другое. Сейчас таким звеном становятся банковские клиенты. «Мы как банк часто гордимся тем, что Сбербанк ни разу не взломали,—говорил 6 июля глава Сбербанка Герман Греф.— Так ли защищены клиенты Сбербанка? Честный ответ: наши клиенты не защищены». Сервисы дистанционного банковского обслуживания (ДБО) позволяют работать с клиентами с использованием интернета, телефона, платежных терминалов и т. д. И, по словам замдиректора Digital Security Алексея Антонова, уровень защищенности ДБО далек от идеального.
Граждане — необязательно в качестве банковских клиентов — подвергались хакерским атакам всегда, но тенденцией последнего времени становится переключение на них тех групп злоумышленников, которые ранее атаковали банки, отмечают эксперты. «Еще недавно фокус атак с пользователей банков сместился на сами банки, а теперь есть основания полагать, что произойдет смещение интереса злоумышленников во внешние системы, в сторону пользователей, то есть клиентов банков»,— отмечает Алексей Антонов. По словам руководителя экспертного центра безопасности Positive Technologies Алексея Новикова, в первом квартале доля атак на частных лиц по сравнению с 2017 годом выросла более чем втрое — с 9% до 28%.
Атака на персональные компьютеры и мобильные устройства граждан привлекательна для хакеров еще и тем, что позволяет выйти и на корпоративные финансовые потоки. По словам эксперта по информационной безопасности центра мониторинга и реагирования на кибератаки Solar JSOC Алексея Павлова, существует большой простор для атак на небольших корпоративных клиентов, поскольку проще запустить вредонос на машину бухгалтера и очистить расчетный счет, чем грабить банк. Развивается тренд, когда злоумышленники атакуют контрагентов крупных компаний, чтобы через них зайти в интересующую их организацию, отмечает господин Новиков.
Но самой перспективной целью для хакеров в последнее время становится тот рынок частных инвестиций, которого ни законодатели, ни регулятор не то что не обносят никакой стеной, а просто не видят.
Невидимый рынок
Сегодня обращение в России криптовалют никак не регулируется, их с юридической точки зрения просто нет. Поэтому говорить о качественной кибербезопасности в этой сфере не приходится, чем и пользуются злоумышленники. По словам директора по специальным проектам Group-IB Руслана Юсуфова, еще в 2017 году было очевидно, что некоторые хакерские группы, специализирующиеся на целенаправленных атаках на банки, переключат внимание на криптоиндустрию — ICO-проекты, криптовалютные биржи, фонды, обменники и т. д. «Киберпреступники перенастраивают популярные банковские трояны, такие как TrickBot, Vawtrak, Qadars, Tinba, Marcher, для сбора логинов и паролей пользователей криптовалют»,— говорит господин Юсуфов.
Если в 2017 году суммарный ущерб от целевых хакерских атак на криптоиндустрию составил лишь немногим более $168 млн, только за первые два месяца текущего года было украдено $1,36 млрд, подсчитывает Руслан Юсуфов. Председатель комитета Госдумы по финансовому рынку Анатолий Аксаков 17 июля заявил, что закон о криптовалюте (прошел первое чтение) планируется принять в осеннюю сессию.
Вероника ГОРЯЧЕВА