Контакты
Подписка
Контакты
Подписка
МЕНЮ
Контакты
Подписка

Компьютерные атаки в кредитно-финансовой сфере. Статистика и отчеты

Компьютерные атаки в кредитно-финансовой сфере. Статистика и отчеты

В рубрику "В фокусе" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Компьютерные атаки в кредитно-финансовой сфереСтатистика и отчеты

Как ФинЦЕРТ Банка России регулирует отношения между банками и их клиентами? Можно ли предотвратить несанкционированные операции со счетами клиентов? Какие кибератаки в тренде? Эффективен ли “Фид-Антифрод” и есть ли у него будущее? На эти и другие вопросы редакции журнала InformationSecurity ответил Артем Калашников, начальник Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России.
Артем Калашников
Начальник ФинЦЕРТ Банка России

– Артем, вы возглавляете ФинЦЕРТ с 2017 г. За это время центр проделал масштабную работу по взаимодействию с банками. Сколько кибератак вы обнаружили за прошедший год?
– С начала 2019 г. было обнаружено порядка 116 атак, а за все время функционирования центра – больше 400. Окончательные цифры представлены в нашем годовом отчете о работе центра. О случаях выявления кибератак уведомляются все участники обмена – как адресно, так и широковещательно. Если мы понимаем, что атака имеет масштаб не только кредитных организаций, то первоначальная цель такого оповещения – уведомить организации финансовой сферы о том, что действительно есть угроза, она актуальна и распространяется.

ФинЦЕРТ Банка России является центром компетенций по обеспечению информационной безопасности и противодействию кибератакам в кредитно-финансовой сфере и осуществляет развитие информационной безопасности и киберустойчивости по следующим направлениям:

1. Выполнение функций отраслевого сегмента Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА).

2. Организация и координация деятельности организаций кредитно-финансовой сферы в качестве центра компетенций по противодействию кибератакам:

  • автоматизированный сбор информации обо всех инцидентах поднадзорных субъектов;
  • проведение эффективного технического анализа и экспертной оценки, в том числе компьютерные исследования и разбор вредоносных программ;
  • оперативное распространение информации об инцидентах и правилах реагирования на них.

3. Выполнение функций центра координации деятельности по блокировке несанкционированных переводов денежных средств в платежной системе Банка России и иных платежных системах.

4. Прекращение функционирования фишинговых ресурсов и ресурсов, распространяющих вредоносное программное обеспечение, телефонных номеров и СМС-рассылок, используемых в мошеннических целях.

5. Взаимодействие с центральными (национальными) банками иностранных государств (в том числе государств–членов ЕАЭС) по вопросам мониторинга и реагирования на компьютерные атаки.

6. Взаимодействие с международными центрами реагирования на компьютерные атаки.

7. Повышение финансовой грамотности и пропаганда "компьютерной гигиены".

8. Взаимодействие с операторами по переводу цифровых финансовых активов.

Информацию об угрозах информационной безопасности ФинЦЕРТ получает как от поднадзорных финансовых организаций, так и от компаний-интеграторов, разработчиков антивирусного программного обеспечения, иностранных финансовых организаций и регуляторов, групп реагирования на инциденты (в том числе иностранных), провайдеров и операторов связи, а также правоохранительных и иных государственных органов, курирующих информационную безопасность отрасли. Также мы исспользуем и собственные инструменты.

Интересно, что уведомления в некоторых случаях получают и производители банковского программного обеспечения, чтобы знать, в каком направлении развивать системы, и выпускать вовремя доработки. И соответственно, антивирусные лаборатории, поскольку мы с ними тоже тесно сотрудничаем в части того, какие вещи сейчас не определяются их программными продуктами, и помогаем в анализе программного обеспечения. Благодаря этому мы успешно предотвратили очень много атак.


– Какие кибепреступления встречаются чаще всего?
– Основные тренды, такие как атаки на инфраструктуру отдельных организаций и пользователей финансовых услуг, остались. Но сейчас фокус сместился в сторону так называемой социальной инженерии – это атаки на клиентов и сотрудников кредитных организаций. Здесь в основном ситуации связаны со звонками. СМС мы уже отодвигаем на второй план. Главную проблему в звонках представляет собой подмена номеров, эта технология в последнее время активно распространяется. Мы принимаем меры совместно с Министерством развития связи и коммуникаций, операторами связи и кредитными организациями на предмет того, чтобы на техническом уровне такие звонки пресекать.

В связи с активным внедрением систем дистанционного банковского обслуживания и появлением новых видов угроз в кредитно-финансовой сфере необходимо повышение информированности населения о правилах безопасного использования платежных инструментов и банковских услуг (киберграмотности). Сотрудники ФинЦЕРТ провели 24 публичных мероприятия для разных целевых аудиторий. Примерная численность прошедших обучение, а также слушателей по всем мероприятиям составила более 2 тыс. человек. Для младшей начальной школы (1–4 класс) были проведены два открытых урока по "компьютерной гигиене", для средней и старшей школы (5–11 класс) – пять мероприятий по киберграмотности с охватом более 10 тыс. человек, для старшей школы (9–11 класс) – четыре мероприятия в целях профориентации.
Для людей старшего возраста был проведен цикл из пяти лекций по финансовой безопасности и противодействию кибермошенничеству с пробным охватом более 100 человек на площадке Центральной библиотеки им. Некрасова в рамках программы мэра Москвы "Московское долголетие". Помимо этого, эксперты ФинЦЕРТ выступили на пяти публичных площадках с общим числом участников более 1,5 тыс. слушателей.

– В связи с возросшим количеством рисков, связанных с социальной инженерией, разрабатываете ли вы рекомендации, чтобы помочь банкам повысить ИБ-грамотность их клиентов?
– Да. Сюда можно включить мероприятия, связанные с контролем действий сотрудников кредитных организаций. Например, в обязанность кредитной организации входит любым способом информировать клиентов об угрозе. Мы совместно прорабатываем материалы по выработке рекомендаций: как клиентам банка обращаться со звонками и информацией, которую от них требуют, что может требовать банк, а что не может. Здесь важен комплексный подход. ФинЦЕРТ Банка России работает не один, стараясь повышать финансовую грамотность клиентов организаций кредитно-финансовой сферы.

В 2018 г. более 97% хищений со счетов физических лиц и 39% хищений со счетов юридических лиц было совершено с использованием приемов социальной инженерии (злонамеренное введение в заблуждение путем обмана или злоупотребления доверием). Отличительная черта этого вида мошенничества – таргетированность на конкретные группы граждан: конечной целью злоумышленников является перевод средств жертв на их счета, при этом способы ее достижения варьируются.

– Как вы оцениваете общий уровень безопасности кредитно-финансовой системы в России?
– Важно отметить повышение общего уровня информационной безопасности в организациях. Огромную роль сыграли и сами кредитные организации, которые поняли, что это не второстепенная задача и решать ее односторонними методами только со стороны регулятора неэффективно. За счет того что вся кредитно-финансовая сфера в этом вопросе смогла консолидироваться, мы сейчас видим, что уровень ИБ вырос. В том числе по этой причине фокус атак, о котором мы говорили в начале, смещается в сторону клиентов организаций. Это видно из статистики.

– Какие самые распространенные типы атак на организации кредитно-финансовой сферы?
– Атаки на инфраструктуру все еще есть, но они менее успешны, так как спокойно детектируются. Основную угрозу представляют звонки клиентам кредитных организаций. Здесь важную роль играет психологический фактор, поэтому таких случаев больше, если сравнивать с количеством атак на инфраструктуру. Тренд атак на клиентов сохраняется, и изменить ситуацию можно только объединением усилий всех заинтересованных сторон: регулятора, кредитных организаций и всех смежных ведомств, которые имеют к этому отношение.

– Что такое "Фид-Антиод" и какие результаты он показывает?
– "Фид-Антифрод" – это творческое название. Антифрод – уже устоявшийся термин, а приставка "Фид" – указание на то, что мы распространяем информацию о несанкционированных операциях среди кредитных организаций. Цель всего этого – создание реестра несанкционированных операций, в котором фиксируются признаки операции, ее консолидация, аналитика и передача информации всем кредитным организациям для оперативного предупреждения подобных атак. На последних возлагается целевая функция отслеживания ситуации и работы с клиентами на предмет определения санкционированности или несанкционированности операции. Благодаря этому мы видим эффект уменьшения количества успешных несанкционированных операций. Попытки таких операций могут быть, но, по крайней мере, безуспешные.

В сентябре 2019 г. Совет директоров Банка России одобрил основные направления развития информационной безопасности кредитно-финансовой сферы на период 2019–2021 гг. Документ определяет ключевые цели и задачи развития информационной безопасности и киберустойчивости, среди которых:

  • обеспечение информационной безопасности и киберустойчивости в целях финансовой стабильности каждой организации финансового рынка;
  • обеспечение операционной надежности и непрерывности деятельности организаций кредитно-финансовой сферы;
  • противодействие компьютерным атакам, в том числе при использовании инновационных финансовых технологий;
  • защита прав потребителей финансовых услуг.

Основные направления включают описание предпосылок и трендов в развитии информационной безопасности кредитно-финансовой сферы Российской Федерации, задачи и ключевые направления деятельности Банка России в сфере информационной безопасности и киберустойчивости, а также описание мероприятий в указанной области.

В отчете Всемирного экономического форума по глобальным рискам 2018 г. кибератаки определены как разновидность базового глобального технологического риска. В качестве мирового тренда отмечается увеличение финансовых потерь от кибератак, нарушение целостности и непрерывности функционирования в том числе финансового рынка (17% всего объема кибератак приходится на финансовый сектор). Изощренность методов, способов и средств совершения кибератак требует от регуляторов гибкости, оперативности, использования инновационных цифровых технологий и методов работы.

В Российской Федерации, по данным ФинЦЕРТ, объем несанкционированных операций со счетов юридических лиц по итогам 2018 г. составил 1,469 млрд руб. (в 2017 г. – порядка 1,57 млрд руб., в 2016 г. – 1,89 млрд руб., в 2015 г. – 3,7 млрд руб.). На территории России и за ее пределами объем несанкционированных операций с использованием платежных карт, эмитированных российскими кредитными организациями, в 2018 г. составил 1,384 млрд руб. (в 2017 г. – 0,961 млрд руб., в 2016 г. – 1,08 млрд руб., в 2015 г. – 1,14 млрд руб.).

Взаимодействие ФинЦЕРТ с иностранными партнерами продолжает развиваться в направлении создания единого киберпространства и доверенной финансовой среды в рамках Евразийского экономического союза (ЕАЭС) и информационного обмена с национальными и международными организациями по обеспечению кибербезопасности. В рамках информационного обмена ФинЦЕРТ сотрудничает с зарубежными организациями, в том числе с группами реагирования ряда государств постсоветского пространства, а также Франции, Испании, Болгарии и иных стран. ФинЦЕРТ уведомлял партнеров о выявленных уязвимостях в информационных ресурсах, находящихся в зоне их ответственности, о готовящихся кибератаках и преступлениях в зоне их юрисдикции.

В настоящее время проводятся работы по дальнейшему развитию АСОИ ФинЦЕРТ, в том числе планируется увеличение технической инфраструктуры для обеспечениябесперебойной работы системы, снижения времени технологических перерывов, реализации полнофункционального тестового контура, а также следующих возможностей:

  • расширение функций информационно-сервисного портала и сервисов личных кабинетов АСОИ ФинЦЕРТ;
  • оптимизация интерфейсной части для повышения оперативности взаимодействия;
  • реализация возможности получения данных от участника в автоматическом режиме (по API) для всех видов инцидентов;
  • предоставление сервиса в личном кабинете участника по проверке ВПО (включая специализированную "песочницу");
  • дополнительные функции по проверке авторства и целостности сообщений/запросов при взаимодействии с участниками с применением криптографических средств (сервис обмена электронными сообщениями между участниками и ФинЦЕРТ с использованием электронной подписи);
  • реализация возможности пошагового заполнения электронных форм при информировании об операциях, осуществленных без согласия клиента ("визарды" для упрощения заполнения информации);
  • реализация функционала распространения индикаторов компрометации (IOC, "фидов") в машиночитаемых форматах для последующего их использования (в том числе в SIEM-системах участников);
  • реализация функционала для участников по API-доступу к бюллетеням;
  • предоставление участникам возможности передачи через личный кабинет "дампов" сетевого трафика и лог-файлов Web-серверов для последующего анализа в ФинЦЕРТ;
  • сервис уведомлений о критических инцидентах по СМС;
  • сервис автоматического и автоматизированного взаимодействия участников с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА).

В данный момент наша система одновременно обрабатывает 116 запросов от кредитных организаций. В перспективе ожидается повышение этой цифры – сообщений выявляется очень много, их нужно обрабатывать и оперативно отправлять о них информацию. Например, сейчас в системе порядка 30 тыс. сообщений. Но здесь есть такой нюанс – не обо всех случаях сообщают. Происходит это по разным причинам: иногда клиент не приходит в банк, считая, что сумма небольшая и не стоит внимания, или банки могут не сообщать из-за большого количества запросов (у крупных организаций их может быть очень много), полуручной ввод сообщений также затормаживает процесс обработки, поэтому мы стараемся его автоматизировать и предоставляем участникам обмена определенные сервисы.

Результаты анализа покушений на хищение денежных средств кредитных организаций показывают, что риску хищения подвержены денежные средства в объеме, сопоставимом со средним дневным остатком по корреспондентскому счету кредитной организации, открытому в Банке России, суммированным со средним дневным приходом по соответствующему корреспондентскому счету.

В целом эта система эффективна. Были случаи, когда в сообщениях находили совпадения, по этим операциям проводилась работа, зачисление средств приостанавливалось и часть денег удавалось вернуть клиентам или же удавалось предотвратить списание средств.

– Как вы контролируете исполнение ваших рекомендаций кредитно-финансовыми организациями?
– Методы у нас есть. В первую очередь это дистанционный контроль. В рамках функционала ФинЦЕРТ есть направление надзорной деятельности, состоящей из двух частей:

  1. отчетность, которая предписана банкам, в том числе их сообщения в систему "Фид-Антифрод";
  2. непосредственно контактные проверки, которые осуществляются совместно с надзорным блоком, при которых выявляются проблемы применения ИТ-технологий.

Кроме того, мы отслеживаем публикации в СМИ в отношении деятельности кредитных организаций. Здесь наша задача заключается в получении дополнительной информации. Например, если банк не сообщил нам напрямую о каких-то случаях несанкционированных операций, но информация о них появилась в СМИ, то такие примеры мы тоже рассматриваем.

В ближайшем будущем мы планируем автоматизировать наши сервисы и повысить их оперативность, а значит увеличить скорость и объем информации, обрабатываемой системой "Фид-Антифрод".

Опубликовано: Журнал "Information Security/ Информационная безопасность" #5, 2019

Приобрести этот номер или подписаться

Статьи про теме

Контакты
 
Подписка

Мы в соцсетях

Copyright © 2018-2022, ООО "ГРОТЕК"