Предупрежден – значит вооружен

– Дмитрий Борисович, напомните, пожалуйста, нашим читателям, каковы функции FinCERT?
– Основной стратегической целью деятельности FinCERT – Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере – является повышение организациями, поднадзорными Банку России, эффективности мер по борьбе с противоправными действиями, осуществляемых при предоставлении финансовых услуг и услуг по переводу денежных средств с использованием информационных и телекоммуникационных технологий. Центр также проводит работу по противодействию компьютерным атакам на информационные ресурсы организаций, поднадзорных Банку России.

Главной задачей в рамках обозначенной цели является организация непрерывного взаимного информирования об угрозах нарушения информационной безопасности организаций, поднадзорных Банку России, и минимизация наносимого при реализации угроз материального ущерба. Для этого Центр собирает технические данные об угрозах нарушения информационной безопасности из следующих источников:

• организации, поднадзорные Банку России;
• государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА);
• органы исполнительной власти;
• правоохранительные органы;
• иные организации, например, антивирусные компании, вендоры программного обеспечения, регистраторы доменных имен;
• средства массовой информации/Интернет;
• физические лица.

– С какими основными видами инцидентов приходится иметь дело?
– Среди наиболее актуальных угроз нарушения информационной безопасности организаций, поднадзорных Банку России, стоит отметить следующие:

• целевые атаки на платежные автоматизированные системы кредитных организаций;
• неправомерный доступ к конфиденциальной компьютерной информации;
• использование вредоносного программного обеспечения;
• распределенный отказ в обслуживании (DDoS-атаки);
• мошенничество с использованием электронной почты;
• мошенничество с использованием средств сотовой связи;
• мошенничество с использованием номеров в коде "8-800".

– На сегодняшний день основным принципом взаимодействия FinCERT с кредитными и финансовыми организациями является добровольность. Однако банки зачастую опасаются сообщать об инцидентах. Как можно решить эту проблему?
– Это, прежде всего, вопрос доверия как во взаимоотношениях банков друг с другом, так и с регулятором. Постепенно мы такое доверие рынка завоевываем. Причем среди банков, ставших участниками информационного обмена, есть и такие, которые не только делятся информацией, но и предлагают свои подходы к решению различных проблем. В то же время обмен техническими данными об угрозах позволяет существенно повысить эффективность мер по противодействию компьютерным атакам на информресурсы этих организаций. Понимание этого станет важным стимулом для расширения масштабов взаимного информирования.

Речь идет, например, об обмене следующими данными:

• IP-адреса, с которых осуществляются DDoS-атаки;
• IP-адреса, с которых осуществляется рассылка писем с вымогательством денежных средств за прекращение атак;
• маркеры заражения вредоносным программным обеспечением (например, временные папки, хеш-суммы файлов, создаваемые сетевые соединения и процессы);
• управляющие команды, которые могут быть использованы для удаленного несанкционированного управления программным обеспечением;
• IP-адреса и доменные имена сайтов, используемых для осуществления мошеннических действий;
• телефонные номера, с которых осуществляются мошеннические SMS-рассылки и телефонные звонки.

Повышение уровня доверия к деятельности Центра должно произойти естественным путем после создания удобного и надежного интерфейса для информационного взаимодействия и обеспечения оперативного реагирования на выявленные угрозы нарушения информационной безопасности.

На сегодняшний день одним из ключевых факторов, негативно влияющих на безопасность информационных ресурсов организаций, поднадзорных Банку России, является отсутствие оперативной координации таких организаций как между собой, так и с правоохранительными органами и органами исполнительной власти, а также с физическими лицами и иными организациями. На базе Центра организована возможность налаживания такого взаимодействия. С целью создания доверительной среды взаимодействия с поднадзорными организациями Центр проводит постоянную работу по освещению своей деятельности на профильных мероприятиях.

– Ранее в своем интервью нашему журналу* Артем Михайлович Сычев, заместитель начальника ГУБиЗИ Банка России говорил, что "должны появиться документы, формирующие процесс обмена информацией" между Fincert и кредитными организациями. Когда можно ожидать подобные документы?
– Общие положения данного процесса предполагается закрепить в соглашении между участником информирования и Банком России.

Соглашение будет предусматривать разработку регламента взаимодействия, в котором среди прочего должно быть описание ответственных лиц, состава передаваемых технических данных, порядка действий участников непрерывного взаимного информирования.

На сегодняшний день проект соглашения прорабатывается в Банке России, результаты будут доведены до кредитных организаций.

– На одной из конференций прошлого года Вы говорили о планах по автоматизации Центра. Какие шаги уже предприняты и какие можно ожидать в ближайшее время и в долгосрочной перспективе?
– Мы прорабатываем вопросы, связанные с возможной архитектурой и сроками реализации проекта.

В качестве основных целей создания автоматизированной системы рассматриваются обеспечение двустороннего обмена данными как с Центром, так и с другими участниками информационного обмена и централизованное хранение данных о выявленных угрозах нарушения информационной безопасности.

В среднесрочной перспективе планируется создание полноценной системы аналитики, основанной на собранных данных об угрозах нарушения информационной безопасности.

– Осенью 2015 года благодаря Центру мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России была успешно предотвращена атака на ряд банков. Расскажите, пожалуйста, об этом подробнее.
– В рамках информационного обмена была получена информация о готовящихся DDoS-атаках на ряд кредитных организаций. Центр направил участникам информационного обмена уведомление о мощности и характеристиках ожидаемой атаки. В период с 28.09.2015 по 01.10.2015 злоумышленники осуществили ожидаемые DDoS-атаки. По информации Центра, характерная особенность атаки – использование публичных серверов точного времени для усиления мусорного трафика. Мощность атаки была выше средних значений, вместе с тем доступность систем кредитных организаций нарушена не была.

Дополнительно был выявлен факт вымогательства у организаций, на которые осуществлялись указанные DDoS-атаки. На электронную почту кредитных организаций рассылались электронные письма с требованием выплатить на Биткойн-кошелек 50 единиц криптовалюты.

– Удалось ли вычислить злоумышленников правоохранительным органам?
– В настоящее время оперативно-розыскные мероприятия продолжаются. Вся информация о характеристиках атак, собранная Центром в рамках информационного взаимодействия, передана в правоохранительные органы. По мере необходимости работники Центра в рамках своих полномочий принимают участие в совместной с правоохранительными органами работе по определению IP-адресов, с которых осуществлялись DDoS-атаки, привлекаются в качестве консультантов и специалистов в области безопасности банковских технологий.

– Какие рекомендации вы можете дать нашим читателям?
– Для повышения безопасности кредитным организациям необходимо соблюдать ряд правил:

1. Разделять сегменты локальной вычислительной сети кредитной организации, в которых обрабатывается платежная и иная информация, с обязательным контролем входящих и исходящих потоков данных.
2. Использовать эшелонированную и своевременно обновляемую защиту. При этом средства защиты информации должны быть не просто установлены в инфраструктуре, но и в обязательном порядке настроены с учетом особенностей бизнес-процессов кредитной организации.
3. Расчитывать риски нарушения информационной безопасности и включать их в состав операционных рисков кредитной организации.
4. Повышать квалификацию работников служб информационной безопасности.
5. Участие специалистов кредитной организации в непрерывном взаимном информировании об угрозах нарушения информационной безопасности, организованном Центром, и понимание на уровне руководства кредитной организации важности подобного обмена.