Рост количества и качества хакерских атак на банки беспокоит Банк России давно. Противодействовать этому — прямая обязанность регулятора, и он многое делает в этом направлении. На конференции iFin-2016 представитель ЦБ рассказал о первых итогах работы центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (FinCERT). Однако в борьбе регулятора с хакерами обнаружились серьезные проблемы.
Остановить ограбление «на лету»
FinCERT начал работу 1 июня 2015 года, и в том же месяце к нему подключились первые десять банков. Правда, реальная работа центра началась чуть позже, когда туда стала поступать информация от активных банков и из других источников. Как мы писали в июле прошлого года, изначально FinCERT задумывался как чисто информационно-аналитический центр. Однако в связке с другими подразделениями ЦБ ему уже удалось остановить несколько крупных афер «на лету» — в процессе перевода денег из ограбленных банков.
Центры мониторинга и реагирования на компьютерные атаки существуют и активно действуют во многих отраслях экономики, где высока степень проникновения информационных технологий, — правда, не у нас, а за рубежом. В России же такие центры до последнего времени создавали только компании, занимающиеся информационной безопасностью. По сути, это становится лишь сервисом для их же клиентов.
FinCERT, созданный Банком России, — организация отраслевого масштаба. Ее задачей является противодействие росту количества банковских мошенничеств в России. ЦБ возлагает на это подразделение большие надежды: в одиночку банки не справляются с волной мошенничеств, захлестнувших их в последние два года.
Задачи FinCERT сводятся к сбору, обработке и распространению информации, которая может помочь банкам отразить будущие хакерские атаки и снизить ущерб от уже произошедших. Для этого, по словам консультанта FinCERT Александра Чебаря, его подразделение уже наладило связь с 203 банками, тремя платежными системами, шестью небанковскими кредитными организациями, шестью разработчиками ПО, двумя операторами связи (в «большую четверку» не входящими), четырьмя органами государственной власти и тремя иными организациями. Вроде бы много, но эффективный информационный обмен налажен пока не со всеми.
Подключились и молчат
«Основная проблема FinCERT — вовлеченность участников, — рассказывает Александр Чебарь. — Да, банки присоединяются, да, их много, но на самом деле активны лишь 10—15 банков, которые присылают нам информацию».
По признанию банкиров, дело не столько в нежелании делиться информацией об инцидентах с ЦБ — пользу от координирования действий никто не оспаривает, сколько в отсутствии установленных протоколов и форм. ЦБ не успел разработать и утвердить процедуры обмена информацией с FinCERT, и сейчас банки вынуждены обходиться такими средствами связи, как электронная почта и телефон. От этого страдает полнота передаваемых сведений, оперативность их подачи. Да и относительно защищенности этих каналов связи у многих банкиров есть сомнения.
Как рассказал Чебарь, FinCERT активно разрабатывает систему информационного обмена на основе «Личных кабинетов» банков. Это должно исправить ситуацию, но заработает она в лучшем случае в июле 2016 года.
Тем не менее даже небольшое количество активных банков дают FinCERT 77% от всей собираемой информации. 11% FinCERT получает через собственные средства мониторинга, 5% дают другие подразделения Банка России и 7% — новая Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).
Функции ГосСОПКА, создание которой началось еще в 2012 году, заключаются в защите государственных ведомств от хакерских атак. Одной из ее головных структур является Национальный координационный центр по компьютерным инцидентам, он же GOV-CERT. На правах одного из ведомств доступ к ГосСОПКА получил и ЦБ.
Фактически ГосСОПКА должна распространять информацию об атаках, собранную и обработанную ФСБ. Система уже работает, и информации там много. Но, по признанию Александра Чебаря, проблема состоит в том, что эта информация неструктурирована и большинство ведомств (в том числе и ЦБ) пока не сформировали свои требования к форме предоставления сведений. На данный момент все полезное, что извлекает из этой системы FinCERT, — предупреждения о готовящихся DoS/DDoS-атаках на банки.
Никуда не деться от FinCERT
С точки зрения банков, на данный момент наиболее эффективным средством координации борьбы с электронными мошенничествами является неформальный клуб «Антидроп», который объединяет более 500 банков. В его рамках кредитные организации массово рассылают сведения об известных им мошенниках и обмениваются информацией о проведенных атаках.
Однако у «Антидропа» есть ряд в принципе нерешаемых проблем. В частности, его участники при обмене информацией фактически нарушают закон о банковской тайне и закон о персональных данных. Да, банки считают, что речь идет о мошенниках, но до решения суда они полноправные клиенты.
Вторая проблема — невозможность законной остановки и возврата мошеннического платежа. Как бы банковские безопасники между собой ни договаривались, деньги должны быть выплачены получателю, если характер денежного перевода не подводит его под 115-ФЗ «О противодействии финансированию терроризма». Разумеется, профессиональные мошенники на этом не попадаются. В итоге, когда банк тормозит деньги на счетах из-за подозрений на мошенничество, у него есть на разбирательство три дня. Потом он обязан выдать деньги клиенту.
И наконец, есть еще вопрос доверия. Не все участники «Антридропа» имеют сложившуюся репутацию в банковском сообществе. Но, даже если банку доверяют, его сотрудник может оказаться попросту некомпетентным или даже «засланным» со стороны мошенников, а значит, распространяемая им информация может оказаться не только не полезной, а даже вредной. В результате далеко не все рассылки «Антидропа» принимаются банками в работу.
Все эти проблемы потенциально может решить FinCERT. Правда, все еще неясен вопрос о возврате мошеннических платежей. Таких полномочий у FinCERT пока нет, но работа в этом направлении идет. «В ближайшее время Банк России готовит предложение по возврату таких (украденных. — Прим. ред.) средств, но пока единого видения нет», — прояснил ситуацию Чебарь в своем выступлении на iFin-2016.
Есть еще один способ активного противодействия мошенникам, к которому может прибегнуть FinCERT. Дело в том, что очень популярным методом компрометации учетных данных клиентов и сотрудников банков являются фишинговые сайты — созданные хакерами страницы, очень похожие на страницы банков и связанных с ними информационных систем, размещенные в Интернете по адресам, схожим с адресами настоящих сайтов. Банки часто обнаруживают такие страницы, но не всегда получается быстро их заблокировать, чтобы пресечь атаку или снизить ее эффективность.
Такие полномочия у FinCERT вскоре будут. На конференции Cyber Security Forum 2016 директор Координационного центра национального домена сети Интернет Андрей Воробьев рассказал о работе, проводимой его организацией в этом направлении. «Мы планируем подписать с FinCERT типовое соглашение о наделении их правом уведомления регистраторов об обнаружении случаев противоправного контента технического характера. В первую очередь это фишинг. Он их интересует прежде всего потому, что очень часто подделываются сайты банков и других кредитных организаций. В соответствии с этим соглашением регистраторы смогут блокировать эти сайты. Причем в случае с фишингом блокировки сайтов не обжалуются, в отличие от сайтов с другими видами противоправного контента», — объяснил Воробьев.
Игра по-крупному
На iFin-2016 регулятор представил статистику за первые полгода работы FinCERT.
56 рассылок об инцидентах сделал FinCERT с июля 2015 года.
63,89% инцидентов относятся к обнаружению вредоносного кода на компьютерах банка. Такие случаи не всегда приводят к финансовым потерям, но зачастую служат признаком серьезной атаки, конечной целью которой является платежный сегмент кредитной организации.
11,11% — атаки непосредственно на АРМ КБР (автоматизированное рабочее место клиента Банка России). В этом случае мошенники просто выводят деньги переводами через платежную систему ЦБ, и суммы потерь при этом колоссальные.
8,33% — DoS- и DDoS-атаки, которые могут наносить серьезный ущерб бизнесу банка, но к прямым потерям денег сами по себе не приводят.
16,67% составили «иные» атаки, в том числе речь идет об атаках на банкоматы с помощью различных электронных приспособлений.
Александр Чебарь привел цифры по 16 атакам на платежные сегменты кредитных организаций. В восьми из них целью являлись московские банки, в остальных случаях атакам подвергались региональные кредитные организации. Всего мошенники пытались похитить 2,1 млрд рублей. Причем 840 млн рублей им украсть удалось, 0,76 млрд рублей банки вывести не дали, 0,5 млрд рублей заблокированы на счетах получателей платежей.
Воры работают с размахом: в случае инцидентов с московскими банками жертвы лишались 98% денег, хранившихся у них на корсчете в ЦБ, в среднем же по всем 16 инцидентам мошенники выводили 61% содержимого корсчета.
Так не победим
За недолгий срок работы FinCERT у его сотрудников накопился ряд претензий к банкам, помимо неактивного участия в информационном обмене. Многие кредитные организации явно не готовы эффективно противостоять кибермошенникам.
Хотя банки сообщили о 16 очень крупных инцидентах, по ним было заведено всего шесть уголовных дел. По словам Александра Чебаря, проблема в том, что банки во многих случаях обращаются не в специализирующееся на таких делах управление «К» БСТМ МВД России, а подают заявления в территориальные органы, где у них «есть завязки». В результате такие заявления бесконечно «футболятся» между различными управлениями МВД, и расследования фактически буксуют.
Второй проблемой, на которую посетовал Чебарь, является медленная реакция самих банков на инцидент. Нескоординированность IT- и ИБ-департаментов приводит к тому, что информация в FinCERT приходит с опозданием. Даже в тех случаях, когда мошеннический перевод производится через платежную систему ЦБ и его можно было остановить, FinCERT узнает о происшествии, когда деньги не только достигли банка-получателя, но уже выведены через платежные карты физических лиц, так называемых дропов.
Михаил ДЬЯКОВ, Banki.ru
Комментарии
сам лично столкнулся с двумя случаями мошенничества за последний месяц и полный игнор
один - маму чуть по телефону на деньги не развели
благо что сбер успел закрыться до того как она в него пришла чтобы перевести на карту мошенников
написал на этом сайте - "Мария Александрова эксперт службы заботы о клиентах" послала культурно
написал в мегафон - отписались что передадут в работу
второй - жене прислали смс со ссылкой на вирус который заточен опять же под сбер
написал на теле2 - игнор
а ведь в обоих случаях конкретные номера телефонов, а в первом так номер карты сбера
не думаю что так сложно как минимум телефоны заблокировать
да и перевод на карту сбера взять под наблюдение
только вот зачем - проще отписаться или проигнорировать
это ваши проблемы - а не наши
а в отделениях все так же массово окучивают всех на банк-клиент - это же так удобно
а потом сам виноват оказываешься
вот бы если какой ресурс завести чтобы туда писать о всех случаях мошенничества
в том числе и о попытках
я думаю что на порядок раскрываемость выше была
за счет оперативности реагирования
а пока что это проблемы потерпевших пробить железный занавес
нашей доблестной милиции, банков которые всегда рядом и телекомов которые всегда на связи
А за это, уважаемый Александр Чебарь, поблагодарите своих коллег из Депарамента финмониторинга. Благодаря им банчки хорошо уяснили, что в общении с Банком России вполне себе можно отхватить «нашим салом нам по сусалам». Если наличие от банка сообщений о сомнительных операциях клиентов может трактоваться как слабая работа ПОД/ФТ (со всеми вытекающими в форме предписаний, штрафов и т.п.), то отчего бы аналогичным образом не трактануть наличие сведений об атаках на информационные системы?
В переводе на общеупотребительный русский это означает, что и банк, из которого ушёл мошеннический платёж, и банк, в который ушёл мошеннический платёж, не имеют нормальной процедуры для «отката всего взад»? Изрядная картина! И отчего же Банк России до сих пор не почесался?
Угу. А если они обратятся в это управление, то на место происшествия немедленно вылетит группа высоколобых суперэкспертов? Что-то мне подсказывает, что так не будет. Ордена здесь не получишь. Это ведь не террористическую ячейку раскрыть и не госдеп за руку поймать . И даже не модную 282-ю сваять. Это всего лишь отдельная проблема отдельного коммерса. Который, возможно, даже налоги тырит. Или банчка-кровопийцы.
Имхо, упираться никто из правоохранителей не будет. Потому так и живём.
Таких ресурсов - вагон с тележкой. Как-то одной из знакомых пенсионерок прислали очередной комплект развода лохов - пачку документов о том как ей неописуемо свезло выиграть обалденные деньги. Ну и, как водится, чтобы их получить надо всего лишь перечислить долю малую на определённый счёт в Сбере. Особенность данного развода состояла в том, что мошенничество было вполне себе доказуемое - в пачке лоходокументов лежали готовая платёжка для перевода денег в Сбер и выписка из несуществующео банка типа подтверждающая наличие выигрыша, зарезервированного на счёте. Всё - отличного полиграфического качества. Имхо, такой комплект мог бы убедить и куда более искушённого человека, чем пенсионерка.
Написал разом курган телег в:
1. Росфинмониторинг
2. Сбербанк
3. Банк России
4. Прокуратуру
5. Полиционерам
6. Ростехнадзор
7. Банки.ру
И чо? Сбер назвал клиента-жулика, рассылающего лохокомплекты, белым и пушистым. Банк России и Росфинмониторинг сослались на то, что не видят операций отмывания преступных доходов. Ростехнадзор не усмотрел нарушения законодательства о персональных данных. Полиционеры с прокуратурой не нашли ничего мошеннического (это в выписке-то со счёта несуществующего банка). А Банки.ру по тихой грусти отзыв-то в НР и затёр.
Вот так и боремся "со всеми случаями мошенничества". Зато FinCERT, да... Кстати, жульё рассылки пенсионерке прекратило. Хоть так.
Разве есть смысл что-то обсуждать в нашей стране на эту тему после того как сбер послал всех клиентов с полгода назад, когда у огромного количества сняли деньги за счет якобы вируса мобильных телефонов с формулировкой, вам самим надо заботиться о безопасности ваших телефонов. Причем отвечал всем под одну гребенку, даже тем кто не пользовался мобильным банком и тем кому пришли смс с предложением подтвердить снятие и они этого не далали, а сразу обращались в банк. Просто послал и все! Есть закон, когда банк должен сначала восстановить мошенническое списание при СВОЕВРЕМЕННОМ обращении в течение суток, а потом разбираться в причинах. Сберу ни один закон не писан. Так чего банкам бояться ограбления клиентов. Наверное хакеры начали сами банки грабить...
Не понятно, почему это сейчас вспомнилось?