Совет безопасности России поручил Центробанку запустить работу Центра борьбы с киберугрозами (FinCERT) в срок до 1 мая 2015 года. Поручение поступило в ЦБ в середине этого месяца, рассказал «Известиям» источник, близкий к ЦБ. Уже через месяц при Банке России должна будет аккумулироваться информация о кибератаках на банки и их клиентов, потенциальных киберугрозах, а собранные данные — рассылаться банкирам. Как пояснил источник, к исполнению поручения также привлечены Федеральная служба безопасности (ФСБ), Министерство внутренних дел (МВД) и Федеральная служба по техническому и экспортному контролю (ФСТЭК).
По словам собеседника «Известий», МВД и ФСБ будут проводить расследования киберпреступлений в рамках своих полномочий и выявлять преступников (в первом случае — если речь идет о мошенничестве главным образом на территории России, во втором — если речь идет о мошенничестве международного масштаба). ФСТЭК будет отвечать за межведомственное взаимодействие и координировать действия ЦБ, МВД, ФСБ и банков. По сути с мая заработает государственная система предотвращения киберугроз. Задача FinCERT — минимизировать несанкционированные списания с карт граждан. Еще одной задачей центра будет разработка рекомендаций по отражению хакерских атак и попыток мошенничества. Участие банков в работе центра будет добровольным.
Источник пояснил, что вмешательство государства в проблему хищений средств с карт банковских клиентов обусловлено масштабами проблемы. По данным ЦБ, киберпреступники в 2014 году пытались вывести с банковских счетов 6 млрд рублей; количество подобных инцидентов в банках РФ выросло примерно на 30% до 64 тыс. атак — атаки шли как на клиентов банков, так и на сами кредитные организации. Представители МВД в 2014 году заявляли, что цифры ЦБ занижены более чем в 10 раз. Если бы речь не шла о таких объемах, говорит собеседник, решить вопрос ЦБ мог бы самостоятельно.
По словам источника, за работу FinCERT будет отвечать Главное управление безопасности и защиты информации Банка России (ГУБЗИ), которое по ряду вопросов подчиняется непосредственно председателю ЦБ Эльвире Набиуллиной. В настоящее время в рамках создания FinCERT решается вопрос привлечения технических и человеческих ресурсов — к 1 мая, соответственно, должен быть решен вопрос с организацией системы сбора информации о кибератаках, а также подключением к ней как минимум ЦБ, ФСБ, МВД. Банки будут подключаться к ней постепенно в силу их количества — по состоянию на март в РФ работает около 800 банков.
— Создание такого FinCERT, безусловно, выгодно и даже необходимо банкам, — отмечают в компании Digital Security. — С его помощью они смогут в реальном времени отслеживать угрозы и своевременно реагировать на них. Также работа такого центра облегчит госконтроль банковской сферы. В настоящее время проблему оперативного информационного оповещения и реагирования на угрозы в области информационной безопасности частично решает объединение банков, куда входит около 500 банков. Также есть структура для решения аналогичной задачи при поддержке Ассоциации участников MasterCard. Но в существующих структурах нет звеньев в виде ЦБ и правоохранительных органов.
Как признаются сами представители банков, сейчас они неохотно делятся друг с другом информацией о кибермошенниках, поскольку нет единой площадки высокого уровня, зато есть есть существенные репутационные риски: никто из банков не хочет афишировать свои проблемы. Поэтому можно предположить, что если банк сумел самостоятельно предотворатить кибератаку, он не станет рапортовать об этом регулятору, а от замалчивания страдают клиенты и другие банки. О планах по созданию структуры, которая будет аккумулировать данные о киберугрозах и кибратаках, представители ЦБ не раз заявляли в 2014 году. При этом они отмечали, что банки не должны проводить оперативно-розыскную деятельность, поэтому на первом этапе работы Центра будет достаточно наладить мониторинг, взаимодействие и координацию между участниками рынка.
ЦБ сейчас собирает с банков информацию о кибератаках в режиме отчетности. Ежемесячно предоставлять регулятору сведения о выявленных инцидентах при осуществлении перевода денежных средств, в частности в виде кражи (в том числе несостоявшейся), банки должны с лета 2012 года.
В мире уже существует большое количество центров реагирования на компьютерные инциденты (CERT) — как национальных, работающих при поддержке госструктур, так и частных. Как правило, все они работают в тесном сотрудничестве с правоохранительными органами. В России работают несколько CERT. Это RU-CERT (создан НИИ развития общественных сетей), Gov-cert.ru (создан ФСБ) и частный CERT-GIB (принадлежит Group IB).
— Повсеместное использование информационно-телекоммуникационных технологий в кредитно-финансовой сфере создает риски, связанные с несанкционированным вмешательством злоумышленников в работу компьютерных систем, программного обеспечения и информационных сетей, — прокомментировали в пресс-службе ЦБ. — Эффективное выявление, профилактика, пресечение и предупреждение подобной противоправной деятельности невозможны без оперативного межведомственного и межбанковского взаимодействия. Совет Безопасности РФ отмечает необходимость организации такого взаимодействия, являющегося одной из мер государственной политики информационной безопасности. Банк России поддерживает рекомендации Совета Безопасности, и проводит мероприятия, в том числе организационно-штатного характера, по созданию Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере.
Представители регулятора перечислили основные цели создаваемого центра ФинЦМиР/FinCERT: мониторинг инцидентов, связанных с обеспечением защиты информации в кредитно-финансовой сфере; сбор и анализ информации о выявленных уязвимостях в обеспечении защиты информации, в первую очередь, в автоматизированных системах и приложениях, используемых организациями кредитно-финансовой сферы; анализ и прогнозирование рисков и проблемных ситуаций, связанных с обеспечением защиты информации в кредитно-финансовой сфере; организационная и методическая помощь в локализации инцидентов, связанных с обеспечением защиты информации в кредитно-финансовой сфере; организация оперативного взаимодействия с правоохранительными органами. В пресс-службе ЦБ также заверили, что сотрудничество нового центра с банками не потребует от банков дополнительных расходов.
В феврале 2015 года США объявили о создании «кибер-ЦРУ» (CTIIC). Новое ведомство будет заниматься отслеживанием потенциальных киберугроз, анализом разведданных об этих угрозах, а также служить центром обработки информации от разных правительственных ведомств и центром координации действий в случае кибератаки. Новое ведомство организовано по образцу Национального центра по борьбе с терроризмом, созданного после событий 11 сентября 2001 года. Поводом к созданию того центра стала тогда резкая критика в адрес правительства, которое из-за отсутствия обмена необходимой информацией не смогло заблаговременно раскрыть планы «Аль-Каиды». Штат сотрудников CTIIC будет состоять из 50 человек. В этом году на работу ведомства планируется использовать имеющиеся в бюджете средства, а на 2016 год будет сделан запрос на выделение для CTIIC из бюджета $35 млн.
Как отмечает гендиректор Digital Security Илья Медведовский, перед банковским сообществом РФ уже не один год стоит колоссальная проблема, связанная с необходимостью координации действий для борьбы с кибермошенниками.
— Сегодня фактически каждый банк самостоятельно ведет борьбу со злоумышленниками по своему усмотрению, — поясняет Медведовский. — Он может обратиться в МВД (Управление «К»), но основные технические усилия по отражению и предотвращению атак он должен предпринимать самостоятельно. В случае же масштабной атаки на банки сегодня в принципе не существует единого органа, который способен оперативно анализировать и координировать процесс отражения атаки и блокировки украденных денежных средств. Банки в настоящее время в принципе лишены законной возможности общения и обмена информацией для предотвращения угроз. Руководитель аналитического центра Zecurion Владимир Ульянов считает, что в первое время статистика по несанкционированным списаниям с карт существенно не изменится.
— Ощутимых результатов работы следует ожидать не ранее чем через полгода-год после запуска CERT, — уверен Ульянов. — По оценкам аналитиков Zecurion, суммарный ущерб от мошенничества с банковскими картами в 2014 году составил порядка 5-8 млрд рублей. Руководитель направления предотвращения и расследований инцидентов информационной безопасности Group-IB Дмитрий Волков настроен скептично и говорит, что объем несанкционированных списаний с карт клиентов может не снизиться, а наоборот, увеличиться.
— Рынок киберпреступности не статичный и постоянно меняется. Многое будет зависеть от активности и изощренности злоумышленников, — объясняет Волков. — По данным Group-IB, русскоязычным хакером за прошлый год удалось похитить $425 млн. Самым действенным методом для снижения уровня инцидентов является привлечение злоумышленников к ответственности, а это не работа FinCERT.
FinCERT будет эффективен лишь в том случае, если банки будут делиться информацией, заметил исполнительный директор компании InfoWatch Всеволод Иванов. Кроме того, по его словам, нужно выработать четкий механизм получения им информации об инцидентах от банков.
— Банки должны быть уверены, что предоставляемая информация о кибератаках не утечет вовне и не будет использоваться против них в дальнейшем, — говорит Иванов. — Главное, это должен быть независимый институт, нейтральная организация. Есть аналог — кредитное бюро, содержащее данные о неблагонадежных заемщиках. Банки охотно им пользуются и пополняют его базу своей информацией. Нужно скопировать эту модель, она уже зарекомендовала себя и вызывает доверие. Как отмечает Ульянов, суммы порядка $5 млн, максимум $10 млн, будет достаточно для создания и работы FinCERT в первые пару лет.
— За это время можно не только запустить полноценную работу CERTa, но и разработать качественную методологическую основу для борьбы с высокотехнологичными угрозами в банках. Штат центра сильно зависит от задач и целевых показателей, которые будут поставлены перед CERTом. 30 человек будет достаточно для запуска и полноценного функционирования. В США ситуация немного другая: более развита финансовая система (в разы больше банков), более развито и расследование компьютерных преступлений, и, наконец, выше стоимость квалифицированной рабочей силы. Поэтому не стоит удивляться разнице в бюджетах.
Директор центра информационной безопасности компании «Инфосистемы Джет» Игорь Ляпунов указывает, что его организация потратила на создание аналога FinCERT — JSOC — 120 млн рублей. — Поэтому мы считаем, что на старт нужно примерно столько же, — прикидывает Ляпунов. — На начальном этапе работы центра потребуется задействовать 5-7 человек, когда же центр перейдет в режим работы 24/7, понадобится от 20 человек. Ульянов отмечает, что банковская сфера является одной из самых зарегулированных отраслей, поэтому в перспективе у банков появится обязанность подключаться к FinCERT.
— Ничего удивительного в этом нет, просто ещё одна форма отчетности, — говорит Ульянов. — Анализ собранной информации по инцидентам может быть весьма полезен для раскрытия совершенных и предотвращения новых киберпреступлений. Так что сами банки тоже могут быть заинтересованы в сборе информации.