Центробанк решил поменять формат взаимодействия с банками по части противодействия кибератакам. Теперь «стучать» на хакеров будут и операторы систем денежных переводов, а сами кредитные организации станут более детально рассказывать регулятору о том, как, кто и когда их работе мешали интернет-преступники.
Что теперь ждёт российскую банковскую систему и как это отразится на безопасности средств простых клиентов — разбирался News.ru.
К новому формату ЦБ предлагает перейти уже совсем скоро — с 1 июля. Из отчётности исключат технические показатели, свидетельствующие о способах и причинах возникновения инцидентов в сфере кибербезопасности, но при этом вводятся экономические показатели, которые характеризуют последствия этих инцидентов для операторов и их клиентов.
Ожидается, что операторы будут сообщать о том, на какие суммы за отчётный период покушались злоумышленники, какие средства удалось похитить. Звучит вроде бы неплохо. Примечательно, что важным показателем будет и общая сумма похищенных средств, которую оператор смог вернуть клиентам. Определённо данный показатель позволит регулятору оценить, насколько добросовестно операторы исполняют обязанность по возмещению похищенных средств, установленную законом.
Следите за развитием событий в нашем Телеграм-канале
Кроме того, в новую форму попали и показатели непрерывности оказания услуг по переводу денег при проведении кибератаки.
Обрабатывать полученные данные будет Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере ЦБ (ФинЦЕРТ).
Однако сможет ли изменение формы отчётности повысить достоверность данных о событиях, связанных с нарушением защиты информации при осуществлении денежных переводов? Пока что речь идёт только о сборе данных, доступом к которому будет обладать Центробанк, становящийся всё больше и больше мегарегулятором. Скорее всего, ЦБ сможет более эффективно контролировать риски операторов по переводу и услугам платёжной инфраструктуры. Также предоставляемая ими информация позволит точнее оценивать качество систем управления рисками и капиталом финансовых учреждений.
Банк России будет получать в оперативном режиме все данные о происшествиях — хищениях и махинациях, но при этом сведения по суммам украденного будут предоставляться в ЦБ лишь ежеквартально.
С одной стороны, для банков это несомненный плюс, так как можно будет не спеша всё собрать. Но какую выгоду получат от этого клиенты кредитных организаций? Ловить преступников, и уж тем более таких быстро маневрирующих, как кибермошенники, надо по горячим следам. А данные по сумме так и останутся всего лишь сухой статистикой, которая в итоге осядет в шкафах правоохранительных органов, если до неё не дойдут руки.
Тем не менее силовые структуры и ЦБ будут иметь более чёткое представление о киберхищениях. Сейчас картина по подобного рода правонарушениям отсутствует как таковая. А новый формат добавит работы аналитическим отделам, которые должны будут вычислить характер поведения, сезонность действий и предпочтения хакеров.
Вместе с тем и само понятие «кибермошенничество» требует, несомненно, дальнейшей проработки: необходимы соответствующие поправки в Уголовный кодекс, которые способны будут переквалифицировать действия хакеров как более тяжкие. Например, в кражу.
Принести положительные результаты также должно не только совершенствование уголовного законодательства. Нужен комплексный подход. «Безопасникам» следует использовать современные технологии, а госструктурам — подготовить специалистов в правоохранительных органах. И если с первыми проблем не возникает, так как кредитные организации тратят немалые деньги на обучение и повышение квалификации своих специалистов, то в системе правоохранительных органов с этим беда. И дело даже не в том, что уровень зарплат, предлагаемый министерствами и ведомствами таким сотрудникам, будет на порядок, а в некоторых случаях в разы меньше, чем в частных конторах. А в том, что вся система правоохранительных органов привыкла жить по старинке, используя проверенные бумагу и ручку. Что-то новое, а тем более цифровое, пугает и отталкивает.
Впрочем, не будем забывать, что президент дал поручение развивать цифровизацию страны, так что, может быть, цифра дойдёт и до новых адресов.
Хакерский улов
Несмотря ни на что, ЦБ видит позитивную динамику в укреплении информационной безопасности банков. Как заявлял замначальника главного управления безопасности и защиты информации Банка России Артём Сычёв, в 2017 году добычей хакеров стали 16 копеек на каждую 1000 рублей. При этом в 2016-м этот показатель составлял 28 копеек.
Согласно данным зампреда ЦБ Дмитрия Скобелкина, в прошлом году отечественные кредитные организации потеряли 1,15 млрд рублей после 11 атак с помощью вируса Cobalt Strike. При этом восемь из них были предупреждены со стороны ФинЦЕРТ. Всего же атакам данного типа подверглись более 240 финучреждений.
Наибольшую активность в борьбе с хакерами проявляет крупнейший российский банк — Сбербанк. Несмотря на то, что российские и привлечённые иностранные IT-специалисты постоянно улучшают и совершенствуют степени защиты банков и платёжных систем, придумывая новые способы, как обезопасить счета граждан, ежегодные убытки российской экономики от действий киберпреступников составляют 600–650 млрд рублей. В 2015 году такой ущерб оценивался в 400 млрд рублей.
При этом в Сбербанке опасаются, что официальные данные ущерба банковской системы от хакеров могут быть в 10–20 раз меньше реальных. И виной тому — как раз молчание банков о произошедших инцидентах, с которым теперь, как предполагается, будет покончено.
Валерий Баулин, руководитель лаборатории компьютерной криминалистики Group-IB:
Основная идея заключается в том, чтобы банки не замалчивали сам факт инцидента информационной безопасности. Атаки на банки с реальными хищениями денежных средств давно стали обыденностью. В последнее время атаки носят всё более агрессивный характер, зачастую они настолько разрушительны (например, когда похищаются суммы в сотни миллионов рублей), что они ставят под вопрос сам факт возможности осуществления дальнейшей операционной деятельности банка-жертвы. В таких случаях по понятным причинам банки не стремятся афишировать такие инциденты и нередко предпочитают скрыть информацию от регулятора. Это достаточно опасный путь, поскольку тем самым они ставят другие банки и всю финансовую систему под угрозу, ведь от рук тех же хакерских групп, использующих ровно такие же инструменты для атаки, могут пострадать и другие банки. Тогда как централизованный и своевременный обмен информацией об инцидентах мог бы помочь предотвратить появление новых жертв.
Алексей Лукацкий, бизнес-консультант по безопасности Cisco Systems:
Требование уведомления Банка России об инцидентах существует давно, с 2012 года. Однако раньше такая отчётность отправлялась раз в месяц, и Банк России не мог ничего предпринять с уже произошедшими хищениями денежных средств. Сейчас, после организации и выстраивания работы ФинЦЕРТ, оперативного подразделения Банка России по реагированию на компьютерные инциденты, стало возможным получать данные об атаках в оперативном режиме, незамедлительно после обнаружения инцидента. Это позволит оперативно провести расследование и разослать в рамках информационного обмена данные по инциденту по всем финансовым организациям страны, предупреждая их о том, с чем они ещё только могут столкнуться. В результате должна повыситься защищённость финансовой системы России, а число хищений денежных средств должно пойти на спад.
Андрей Гайко, замдиректора Digital Compliance:
FinCERT был создан ещё пару лет назад. Его основная цель — сбор данных об инцидентах информационной безопасности от финансовых организаций и иных IT-компаний для дальнейшего информационного обмена между участниками и правоохранительными органами. Таким образом, планируется обеспечить своевременное реагирование на кибератаки против финансовых организаций. Вряд ли число атак будет снижено, но их своевременное обнаружение и противодействие им должно улучшиться в разы. Борьба с киберпреступниками — задача непростая. Ловят одних, приходят другие. Поэтому важен информационный обмен между участниками. Злоумышленники обычно придумывают одну схему атаки и после реализуют её на ряде компаний. Но если такие схемы и методы будут идентифицированы как можно раньше, а не когда это станет массовым явлением, тогда банки смогут вовремя выстроить защиту против таких атак.
Артём Деев, ведущий аналитик Amarkets:
Новые требования к раскрытию позволяют детализировать данные о способах хищений и мошенничества, структурировать и связать технологические данные с объёмами операций. Фактически речь идёт о том, чтобы в связи с ростом сегмента электронного мошенничества повысить детализацию и глубину анализа, чтобы лучше отслеживать меняющиеся тренды. Причём не только со стороны регулятора, но и соответствующих структур в правоохранительных органах. Взять на карандаш хакеров можно, но не таким способом, хотя мгновенное информирование ЦБ о технической стороне инцидентов тоже может помочь. Что касается того, снизится ли число атак, то сразу — нет, сейчас речь идёт о сборе аналитических данных, и они уже, в свою очередь, могут позволить создавать более эффективные системы безопасности. Вместе с тем очевидно, что сами по себе попытки мошенничества и хищений будут иметь место всегда, не надо забывать и о человеческом факторе, так что задача — в предотвращении активного роста их числа и максимально возможном уменьшении.
Денис Владимиров, ведущий аналитик ЦСИТ:
Интересным является нововведение о том, что в отчётности по хищениям средств с банковских карт ЦБ предлагает кредитным организациям разбивать их по типам хищений — через банкомат или терминал, с использованием реквизитов, через системы дистанционного банковского обслуживания. Вот это нововведение позволит собрать базу данных, в результате чего будет понятно, на решение каких мошеннических уловок стоит направить усиление служб безопасности и что можно предпринять для устранения проблемы в будущем. Также отчётность нужна для того, чтобы Банк России мог оценить, насколько добросовестно операторы исполняют обязанность по возмещению своим клиентам похищенных денежных средств, установленную законом «О национальной платёжной системе».
Олег Богданов, главный аналитик «Телетрейд Групп»:
Насколько я понимаю, раньше представления о киберпреступлениях в финансовой сфере носили хаотичный характер. Не было систематизированной информации о характере преступлений и способах их совершений. Та структура сведений, которые теперь будет требовать Центробанк, позволит составить более чёткое представление о происходящих хищениях в финансовой сфере. Причём нужно отметить, что банки будут отчитываться и о ситуации в регионах, что для ЦБ имеет большое значение, так как возникнет возможность получить полную картину по всей стране. Дополнительный эффект может возникнуть от сотрудничества с правоохранительными органами, так как новые данные о киберпреступлениях позволят выявить не учтённые в законодательстве типы преступлений, что очень важно для профилактики подобных преступлений в будущем.
Ольга Прохорова, эксперт Международного финансового центра:
Информирование ЦБ о кибератаках, с предоставлением сумм ущерба, но без информирования причин инцидентов, и способах их проведения выглядит весьма двояко. ЦБ получит цифры похищенных средств, а также суммы, которые компании в итоге возместили своим клиентам. Конечно, в идеале эти показатели должны совпадать. ЦБ сможет эффективнее выявить нарушения исполнения обязательств участников платёжной системы, в соответствии с законом «О национальной платежной системе». Тем не менее, по нашему мнению, необходимо создать своего рода реестр всевозможных уязвимостей, выявить слабые места, а значит, уменьшить возможность попасть под действия злоумышленников в будущем. Именно с этой целью более уместными видятся отчёты не только с цифрами — как итог, но и со списками обнаруженных уязвимостей — как первопричина. Как видим, ЦБ интересует лишь итог.
