Банк России среагировал на киберугрозы

– Артем Михайлович, какова предыстория создания подразделения?
– Вопросы ИБ находятся в зоне внимания Банка России не первый день. Проведенный ЦБ анализ ситуации показал, что необходимо объединение участников банковского сектора для информирования о потенциальных угрозах и их более тесное взаимодействие как между собой, так и с Банком России, правоохранительными органами и органами национальной безопасности. В последнем случае ЦБ мог бы выступать в роли посредника с целью повышения оперативности при решении задач обеспечения ИБ для участников банковского рынка.

Уяснив это, мы провели ряд обсуждений в рамках отрасли, в частности с отраслевыми ассоциациями на VII Уральском форуме "Информационная безопасность банков", а также с МВД, ФСБ, Прокуратурой РФ и другими государственными органами. Затем состоялось обсуждение данного вопроса на оперативном совещании Совета Безопасности Российской Федерации, где Банк России получил рекомендацию наладить взаимодействие со всеми заинтересованными участниками. Для инициирования такого взаимодействия было предложено создать центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере, что мы и сделали.

– Почему была выбрана именно такая форма взаимодействия?
– Ее нам подсказал международный опыт. В странах Европы и Азии существуют либо отдельные структуры, либо соответствующие службы при финансовых регуляторах. Они обеспечивают взаимодействие участников рынка с целью решения задач информационной безопасности. Было решено создать аналогичное подразделение в структуре Банка России. Центр мониторинга и реагирования на компьютерные атаки в финансовой сфере FinCERT в соответствии с решением Совбеза приступил к работе в составе Главного управления безопасности и защиты информации Банка России 1 июня 2015 г.

Задачи Центра не ограничены мониторингом и реагированием на инциденты с платежными картами, они охватывают все информационные технологии, используемые организациями кредитно-финансовой сферы, включая их внутренние ИТ-системы, Web-сайты, системы дистанционного обслуживания, а также взаимодействие с платежными системами и прочие ИТ-системы.

– И каковы же принципы взаимодействия?
– На сегодняшний день основным принципом взаимодействия является добровольность. На организации кредитно-финансовой сферы не возлагаются какие-либо обязательства по предоставлению информации. Почему мы выбрали именно такой подход? В основе безопасности лежит доверие, и нам очень важно, чтобы взаимодействие строилось на основе доверительных отношений. Предупрежден – значит вооружен. Для заинтересованного учреждения получение достоверной информации о том, какие приемы и методы взлома могут быть использованы против него, возможно только из источника, с которым сложились доверительные отношения. Разумеется, впоследствии должны появиться документы, формализующие этот процесс. С одной стороны, участники Уральского форума высказали свою заинтересованность в организации центра мониторинга и реагирования при ЦБ, с другой стороны, они опасались, что, получив информацию об имевших место инцидентах, ЦБ начнет применять меры воздействия. Поэтому, повторяю, сейчас для нас главное – создание атмосферы доверия.

Следует заметить, что публикуемая правоохранительными органами и компаниями статистика об инцидентах расходится с теми данными, которые публикует Банк России. Эти расхождения обусловлены тем, что разные организации используют разные методики подсчета. МВД, например, ведет статистику по количеству заявлений и по количеству возбужденных дел. Естественно, она будет расходиться с нашей статистикой об инцидентах с платежными картами: не каждый владелец карты, с которой похищены или случайным образом списаны некоторые денежные средства, пойдет писать заявление в полицию. Компании, со своей стороны, используют другую методику подсчета – они ставят во главу угла сумму потенциального ущерба. Разумеется, потенциальный ущерб всегда будет в разы, а то и на порядки больше, чем реальный, но как реклама это работает.

Опубликованная ЦБ статистика об инцидентах в сфере ИБ за 2014 г. свидетельствует, что наиболее важным фактором здесь являются так называемые таргетированные атаки (Advanced Persistent Threat – APT) и их различные модификации. Для нас важно, чтобы как можно больше организаций кредитно-финансовой сферы были заранее предупреждены о возможности применения против них таких атак.

Безусловно, задачи обеспечения ИБ мы решаем в рамках правового поля. Получение от наших доверенных партнеров информации определенного содержания не означает ее немедленную трансляцию всем остальным. Не предполагается также никакого обмена банковской тайной или персональными данными. Тем не менее, информация об атаках на те или иные системы может быть, что называется, чувствительной. Поэтому одной из важнейших задач при создании Центра было формирование аналитической службы, способной обработать достаточно большой объем информации, поступающей от наших доверенных партнеров, с тем чтобы на выходе получить агрегированные (обобщенные) данные для предоставления всем нашим партнерам. Эти данные должны помочь им своевременно принять соответствующие меры защиты, но детали и последствия конкретного инцидента, случившегося в каком-то конкретном банке, не раскрываются. Такие данные должны предоставляться в оперативном порядке, поскольку они оказывают чрезвычайно сильное влияние на рынок.

– Каким должен быть показатель эффективности работы Центра?
– На Уральском форуме обсуждался вопрос, насколько масштабными являются покушения на хищение денежных средств, которые фиксируют ЦБ и организации кредитно-финансовой сферы. Если сравнить имеющиеся у нас данные с существующим на сегодняшний день общим объемом платежей, то масштаб может показаться ничтожным. При этом число электронных платежей ежегодно увеличивается примерно на десять процентов, в то время как прирост покушений на хищение в среднем за три последних года составил порядка двадцати процентов в год. Предмет нашего беспокойства как раз и составляет разница в десять процентов в пользу прироста количества покушений. На сегодняшний день нам важно добиться того, чтобы эти проценты как минимум не росли, потому что гарантировать их снижение мы по объективным причинам пока не можем. В условиях непрерывного развития информационных технологий и растущего внимания к ним со стороны криминала мы будем считать успехом, если удастся не допустить превышения процента увеличения числа покушений над процентом увеличения числа платежей.

– Каким образом в связи с запуском работы Fin-CERT предполагается модифицировать отчетность, собираемую Банком России, в части информационной безопасности?
– На первых порах мы не планировали таких изменений. Тем не менее, по мере того, как Центр станет накапливать определенный опыт, такая необходимость может возникнуть.

– Как обстоит дело с противодействием несанкционированным переводам денежных средств?
– Основная проблема сейчас – отсутствие как механизма возврата денежных средств, так и самого понятия "несанкционированная операция". В законодательстве РФ упоминаются операции, совершаемые без согласия клиента. Возникает тупиковая ситуация: с точки зрения закона банк не может предотвратить несанкционированное перечисление денежных средств клиента, хотя и знает, что клиент своей воли на таковое перечисление не изъявлял.

При Банке России действовала межведомственная рабочая группа с участием представителей крупнейших кредитных организаций. Она подготовила законопроект, который может способствовать решению этой проблемы.

Одна из целей законопроекта – определить, что такое несанкционированные операции. Вторая – дать возможность кредитным организациям заниматься антифродом не просто в качестве дополнительной нагрузки, а официально, чтобы это давало действительно серьезный эффект. И третья – создать определенные предпосылки для возврата денег клиенту, если их у него украли. Да, пока речь идет о возврате денег, если они еще не списаны с корсчета кредитной организации или зачислены на корсчет кредитной организации – получателя, но не зачислены на счет конечного получателя.

– Антифрод предполагает целый комплекс мероприятий, требующих централизованного подхода. Какова будет роль FinCERT в этих мероприятиях?
– Прежде чем включать Центр в структуру антифродовых мероприятий организаций кредитно-финансовой сферы, нужно заручиться соответствующей законодательной поддержкой. Но мы – Банк России и участники рынка – работаем над этим.

Спасибо за беседу