Эпоха кибербанка: ЦБ усилит контроль за IT-безопасностью кредитных организаций
Банк России усиливает контроль за устойчивостью кредитных организаций к кибератакам. Как рассказал «Известиям» замглавы департамента информационной безопасности регулятора Артем Сычев, ЦБ совместно с ФСБ и Федеральной службой по техническому и экспортному контролю (ФСТЭК) разрабатывает специальные стандарты, по которым оценят качество работы независимых компаний, проверяющих надежность банковской инфраструктуры. Уточнять подробности он отказался, однако источник, близкий к регулятору, сообщил, что IT-аудиторов могут обязать в тестовом режиме взламывать защиту кредитных организаций с привлечением так называемых белых хакеров.
Добрые хакеры
Проверки защищенности платежной инфраструктуры, которые для банков проводят независимые компании, зачастую оставляют желать лучшего, заявил Артем Сычев. Поскольку от результатов таких тестов зависит безопасность средств граждан и корпораций, необходимы стандарты и механизмы контроля качества IT-аудиторов. ЦБ разрабатывает их совместно с ФСБ и ФСТЭК.
По каким именно критериям будут оценивать уровень проверок, он не уточнил, объяснив, что пока преждевременно говорить о деталях. В ФСБ и ФСТЭК на этот вопрос также не ответили. Близкий к регулятору источник рассказал «Известиям», что одним из основных стандартов для IT-аудиторов будет полноценная имитация кибератаки с привлечением так называемых белых хакеров — специалистов по информационной безопасности, которые обладают аналогичными настоящим взломщикам навыками. Собеседник на финрынке, знакомый с ситуацией, подтвердил, что такой норматив обсуждается.
Регулятор обязал банки проводить независимую оценку защищенности своих систем в апреле 2019 года. Согласно документам ЦБ, кредитные организации должны ежегодно тестировать свою платежную инфраструктуру на проникновение (например, приложение для мобильного телефона, беспроводные сети) с помощью внешних независимых компаний. Однако пока нормативной базы для таких проверок нет и каждая кредитная организация руководствуется собственными критериями качества при найме IT-аудиторов.
В России проводить качественные тесты на проникновение в банковскую инфраструктуру могут немногие компании: прежде всего это организации, детально расследующие киберпреступления, пояснил Антон Фишман, руководитель департамента системных решений Group-IB (специализируется на киберзащите). В полноценное тестирование на проникновение входит, в частности, проверка инфраструктуры организации (например, сетей), публичных сервисов, имитация взлома программного обеспечения, проверка готовности персонала банка противостоять социальной инженерии, например фишингу, и так далее, уточнил эксперт.
По данным Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) ЦБ, объем хищений со счетов юридических лиц по итогам 2018 года составил 1,5 млрд рублей. За тот же период с платежных карт было украдено 1,4 млрд. С сентября прошлого года по август 2019-го ФинЦЕРТ выявил 694 нарушения требований к информационной безопасности среди банков, например отсутствие защиты на компьютерах от вредоносных приложений, а также невыполнение требований к идентификации работников.
Для борьбы с утечками
Во время теста исследователи воспроизводят действия реальных злоумышленников — от внедрения в сеть компании до получения полного контроля над инфраструктурой или отдельными приложениями. При такой операции есть и потенциально опасные мероприятия, например применение вредоносных программ, подбор паролей.
Однако состав тестов предварительно согласовывается с компанией-заказчиком и они проводятся в то время, когда вред от возможного отказа системы минимален, пояснил директор по методологии и стандартизации Postive Technologies (специализируется на киберзащите) Дмитрий Кузнецов.
Единственный вариант качественно оценивать защищенность IT-систем банков — это полностью имитировать хакерскую атаку, согласился директор департамента информационной безопасности Московского кредитного банка Вячеслав Касимов. Для этого необходимо проводить исследования наличия типовых уязвимостей систем защиты с использованием специализированных сканеров, а также тестировать их на проникновение с помощью компетенций хакеров.
Банки зачастую делают проверки своей устойчивости не для себя, а для регулятора, поэтому он вправе устанавливать свои правила проведения IT-аудита для поднадзорного ему сектора, полагает глава ассоциации «Электронные деньги» Виктор Достов. Однако с контролем, насколько добросовестно специалисты по киберзащите соблюдают стандарты, возникнут сложности. К аудиторам финансовой отчетности также предъявляются довольно строгие требования, но практика показала, что их заключения, причем международных оценщиков в том числе, далеко не всегда соответствуют действительности.
В любом случае дополнительное усиление контроля за устойчивостью банков к кибератакам — только положительный фактор, уверен эксперт. В условиях регулярных утечек информации из кредитных организаций дополнительный контроль позволит усилить защиту денег россиян.
Дмитрий ГРИНКЕВИЧ