Центробанк решил поменять формат взаимодействия с банками по части противодействия кибератакам. Теперь «стучать» на хакеров будут и операторы систем денежных переводов, а сами кредитные организации станут более детально рассказывать регулятору о том, как, кто и когда их работе мешали интернет-преступники.
Что теперь ждёт российскую банковскую систему и как это отразится на безопасности средств простых клиентов — разбирался News.ru.
К новому формату ЦБ предлагает перейти уже совсем скоро — с 1 июля. Из отчётности исключат технические показатели, свидетельствующие о способах и причинах возникновения инцидентов в сфере кибербезопасности, но при этом вводятся экономические показатели, которые характеризуют последствия этих инцидентов для операторов и их клиентов.
Ожидается, что операторы будут сообщать о том, на какие суммы за отчётный период покушались злоумышленники, какие средства удалось похитить. Звучит вроде бы неплохо. Примечательно, что важным показателем будет и общая сумма похищенных средств, которую оператор смог вернуть клиентам. Определённо данный показатель позволит регулятору оценить, насколько добросовестно операторы исполняют обязанность по возмещению похищенных средств, установленную законом.
Кроме того, в новую форму попали и показатели непрерывности оказания услуг по переводу денег при проведении кибератаки.
Обрабатывать полученные данные будет Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере ЦБ (ФинЦЕРТ).
Однако сможет ли изменение формы отчётности повысить достоверность данных о событиях, связанных с нарушением защиты информации при осуществлении денежных переводов? Пока что речь идёт только о сборе данных, доступом к которому будет обладать Центробанк, становящийся всё больше и больше мегарегулятором. Скорее всего, ЦБ сможет более эффективно контролировать риски операторов по переводу и услугам платёжной инфраструктуры. Также предоставляемая ими информация позволит точнее оценивать качество систем управления рисками и капиталом финансовых учреждений.
Банк России будет получать в оперативном режиме все данные о происшествиях — хищениях и махинациях, но при этом сведения по суммам украденного будут предоставляться в ЦБ лишь ежеквартально.
С одной стороны, для банков это несомненный плюс, так как можно будет не спеша всё собрать. Но какую выгоду получат от этого клиенты кредитных организаций? Ловить преступников, и уж тем более таких быстро маневрирующих, как кибермошенники, надо по горячим следам. А данные по сумме так и останутся всего лишь сухой статистикой, которая в итоге осядет в шкафах правоохранительных органов, если до неё не дойдут руки.
Тем не менее силовые структуры и ЦБ будут иметь более чёткое представление о киберхищениях. Сейчас картина по подобного рода правонарушениям отсутствует как таковая. А новый формат добавит работы аналитическим отделам, которые должны будут вычислить характер поведения, сезонность действий и предпочтения хакеров.
Вместе с тем и само понятие «кибермошенничество» требует, несомненно, дальнейшей проработки: необходимы соответствующие поправки в Уголовный кодекс, которые способны будут переквалифицировать действия хакеров как более тяжкие. Например, в кражу.
Принести положительные результаты также должно не только совершенствование уголовного законодательства. Нужен комплексный подход. «Безопасникам» следует использовать современные технологии, а госструктурам — подготовить специалистов в правоохранительных органах. И если с первыми проблем не возникает, так как кредитные организации тратят немалые деньги на обучение и повышение квалификации своих специалистов, то в системе правоохранительных органов с этим беда. И дело даже не в том, что уровень зарплат, предлагаемый министерствами и ведомствами таким сотрудникам, будет на порядок, а в некоторых случаях в разы меньше, чем в частных конторах. А в том, что вся система правоохранительных органов привыкла жить по старинке, используя проверенные бумагу и ручку. Что-то новое, а тем более цифровое, пугает и отталкивает.
Впрочем, не будем забывать, что президент дал поручение развивать цифровизацию страны, так что, может быть, цифра дойдёт и до новых адресов.
Несмотря ни на что, ЦБ видит позитивную динамику в укреплении информационной безопасности банков. Как заявлял замначальника главного управления безопасности и защиты информации Банка России Артём Сычёв, в 2017 году добычей хакеров стали 16 копеек на каждую 1000 рублей. При этом в 2016-м этот показатель составлял 28 копеек.
Согласно данным зампреда ЦБ Дмитрия Скобелкина, в прошлом году отечественные кредитные организации потеряли 1,15 млрд рублей после 11 атак с помощью вируса Cobalt Strike. При этом восемь из них были предупреждены со стороны ФинЦЕРТ. Всего же атакам данного типа подверглись более 240 финучреждений.
Наибольшую активность в борьбе с хакерами проявляет крупнейший российский банк — Сбербанк. Несмотря на то, что российские и привлечённые иностранные IT-специалисты постоянно улучшают и совершенствуют степени защиты банков и платёжных систем, придумывая новые способы, как обезопасить счета граждан, ежегодные убытки российской экономики от действий киберпреступников составляют 600–650 млрд рублей. В 2015 году такой ущерб оценивался в 400 млрд рублей.
При этом в Сбербанке опасаются, что официальные данные ущерба банковской системы от хакеров могут быть в 10–20 раз меньше реальных. И виной тому — как раз молчание банков о произошедших инцидентах, с которым теперь, как предполагается, будет покончено.
Основная идея заключается в том, чтобы банки не замалчивали сам факт инцидента информационной безопасности. Атаки на банки с реальными хищениями денежных средств давно стали обыденностью. В последнее время атаки носят всё более агрессивный характер, зачастую они настолько разрушительны (например, когда похищаются суммы в сотни миллионов рублей), что они ставят под вопрос сам факт возможности осуществления дальнейшей операционной деятельности банка-жертвы. В таких случаях по понятным причинам банки не стремятся афишировать такие инциденты и нередко предпочитают скрыть информацию от регулятора. Это достаточно опасный путь, поскольку тем самым они ставят другие банки и всю финансовую систему под угрозу, ведь от рук тех же хакерских групп, использующих ровно такие же инструменты для атаки, могут пострадать и другие банки. Тогда как централизованный и своевременный обмен информацией об инцидентах мог бы помочь предотвратить появление новых жертв.
Требование уведомления Банка России об инцидентах существует давно, с 2012 года. Однако раньше такая отчётность отправлялась раз в месяц, и Банк России не мог ничего предпринять с уже произошедшими хищениями денежных средств. Сейчас, после организации и выстраивания работы ФинЦЕРТ, оперативного подразделения Банка России по реагированию на компьютерные инциденты, стало возможным получать данные об атаках в оперативном режиме, незамедлительно после обнаружения инцидента. Это позволит оперативно провести расследование и разослать в рамках информационного обмена данные по инциденту по всем финансовым организациям страны, предупреждая их о том, с чем они ещё только могут столкнуться. В результате должна повыситься защищённость финансовой системы России, а число хищений денежных средств должно пойти на спад.
FinCERT был создан ещё пару лет назад. Его основная цель — сбор данных об инцидентах информационной безопасности от финансовых организаций и иных IT-компаний для дальнейшего информационного обмена между участниками и правоохранительными органами. Таким образом, планируется обеспечить своевременное реагирование на кибератаки против финансовых организаций. Вряд ли число атак будет снижено, но их своевременное обнаружение и противодействие им должно улучшиться в разы. Борьба с киберпреступниками — задача непростая. Ловят одних, приходят другие. Поэтому важен информационный обмен между участниками. Злоумышленники обычно придумывают одну схему атаки и после реализуют её на ряде компаний. Но если такие схемы и методы будут идентифицированы как можно раньше, а не когда это станет массовым явлением, тогда банки смогут вовремя выстроить защиту против таких атак.
Новые требования к раскрытию позволяют детализировать данные о способах хищений и мошенничества, структурировать и связать технологические данные с объёмами операций. Фактически речь идёт о том, чтобы в связи с ростом сегмента электронного мошенничества повысить детализацию и глубину анализа, чтобы лучше отслеживать меняющиеся тренды. Причём не только со стороны регулятора, но и соответствующих структур в правоохранительных органах. Взять на карандаш хакеров можно, но не таким способом, хотя мгновенное информирование ЦБ о технической стороне инцидентов тоже может помочь. Что касается того, снизится ли число атак, то сразу — нет, сейчас речь идёт о сборе аналитических данных, и они уже, в свою очередь, могут позволить создавать более эффективные системы безопасности. Вместе с тем очевидно, что сами по себе попытки мошенничества и хищений будут иметь место всегда, не надо забывать и о человеческом факторе, так что задача — в предотвращении активного роста их числа и максимально возможном уменьшении.
Интересным является нововведение о том, что в отчётности по хищениям средств с банковских карт ЦБ предлагает кредитным организациям разбивать их по типам хищений — через банкомат или терминал, с использованием реквизитов, через системы дистанционного банковского обслуживания. Вот это нововведение позволит собрать базу данных, в результате чего будет понятно, на решение каких мошеннических уловок стоит направить усиление служб безопасности и что можно предпринять для устранения проблемы в будущем. Также отчётность нужна для того, чтобы Банк России мог оценить, насколько добросовестно операторы исполняют обязанность по возмещению своим клиентам похищенных денежных средств, установленную законом «О национальной платёжной системе».
Насколько я понимаю, раньше представления о киберпреступлениях в финансовой сфере носили хаотичный характер. Не было систематизированной информации о характере преступлений и способах их совершений. Та структура сведений, которые теперь будет требовать Центробанк, позволит составить более чёткое представление о происходящих хищениях в финансовой сфере. Причём нужно отметить, что банки будут отчитываться и о ситуации в регионах, что для ЦБ имеет большое значение, так как возникнет возможность получить полную картину по всей стране. Дополнительный эффект может возникнуть от сотрудничества с правоохранительными органами, так как новые данные о киберпреступлениях позволят выявить не учтённые в законодательстве типы преступлений, что очень важно для профилактики подобных преступлений в будущем.
Информирование ЦБ о кибератаках, с предоставлением сумм ущерба, но без информирования причин инцидентов, и способах их проведения выглядит весьма двояко. ЦБ получит цифры похищенных средств, а также суммы, которые компании в итоге возместили своим клиентам. Конечно, в идеале эти показатели должны совпадать. ЦБ сможет эффективнее выявить нарушения исполнения обязательств участников платёжной системы, в соответствии с законом «О национальной платежной системе». Тем не менее, по нашему мнению, необходимо создать своего рода реестр всевозможных уязвимостей, выявить слабые места, а значит, уменьшить возможность попасть под действия злоумышленников в будущем. Именно с этой целью более уместными видятся отчёты не только с цифрами — как итог, но и со списками обнаруженных уязвимостей — как первопричина. Как видим, ЦБ интересует лишь итог.
