УГРОЗА НОВОГО ТИПА
Отраслевой стандарт информационной безопасности, прежде всего, отражает опыт Банка России и предназначен для наших подразделений, но весьма полезен как эталон и для всего банковского сообщества. Банк России, являясь его «головным разработчиком», осуществляет в ходе этой работы взаимодействие со всеми заинтересованными участниками. И с государственными органами, которым подведомственны разные аспекты информационной безопасности, и с банковскими специалистами, и с самым широким кругом экспертов.
Такой круг участников разработки стандарта позволяет достаточно оперативно реагировать на новые угрозы, возникающие в практической деятельности. Именно поэтому актуализированная редакция СТО БР ИБСС представляет собой квинтэссенцию лучших практик обеспечения информационной безопасности банков и национальной банковской системы России в целом.
Одним из заметных последних инцидентов, побуждающих к новым подходам, стала информационная атака на интернет-ресурсы Банка России и ещё нескольких крупнейших отечественных банков, предпринятая в октябре 2013 года. Эта была DDoS-атака нового типа. Основное количество атак на банковские информационные системы направлено на дистанционные сервисы, их цель – хищение средств клиентов, юридических и физических лиц. Обычно злоумышленники атакуют рабочее место клиента, а блокировка банковской «стороны» служит вспомогательным целям, например, не даёт клиенту проверить состояние своего счёта.
Октябрьская атака преследовала другие цели, и была организована по-иному, чем обычные. Целью злоумышленников было не хищение средств клиентов, а блокировка работы интернет-ресурсов Банка России и ещё нескольких ведущих банков страны, от ОАО «Сбербанк России», с его самой большой клиентской базой физических лиц, до ОАО Банк ВТБ, который обслуживает крупнейших корпоративных клиентов, включая органы государственной власти. Другими мишенями оказались интернет-ресурсы ОАО «Альфа-Банк», ОАО «Газпромбанк» и ОАО «Россельхозбанк».
В первую очередь следует отметить цели, которые преследовали злоумышленники, очевидно политические. Банковская система основана главным образом на взаимном доверии – банка и клиентов, и других участвующих контрагентов. Практически во всех видах банковской деятельности: при оказании расчётных услуг, в случаях депозитных операций, кредитования и в прочих сервисах. Октябрьская атака была нацелена на блокировку работы банковских серверов, обеспечивающих работу интернет-ресурса как основной контактной площадки для клиентов.
Атакован был не один случайный банк, а пул крупнейших банков страны. Непосредственным результатом атаки, в случае успеха, стал бы подрыв доверия к этим банкам – системным элементам кредитно-финансовой сферы, национальной экономики России. Можно было бы поднимать вопрос: а стоит ли клиентам доверять банкам свои средства, если те не способны обеспечить свою информационную безопасность? Таким образом, по целям атаки её можно квалифицировать как кибертерроризм.
КИБЕРТЕРРОРИСТЫ ПРОТИВ БАНКОВ
С точки зрения мощности это была не самая значительная атака. Специалисты Банка России и их коллеги из ФСБ России фиксировали, что в атаке участвуют около 400 персональных компьютеров, до 200 из которых были задействованы во всплесках единовременных запросов. Но это была атака нового типа, не только по целям и мишеням, но и по техническому замыслу. Анализ собранных данных показывает, что атака была досконально спланирована, тщательно организована и выполнена на хорошем техническом уровне.
Она радикально отличалась от обычных информационных атак, заполняющих канал связи и подавляющих трафик. Октябрьская атака должна была парализовать все ресурсы банковского сервера. Это был не «огонь по площадям», а снайперски точный прицел всего лишь на один обрабатывающий скрипт, выбранный с тонким расчётом. Человек, который планировал атаку, выстраивал и координировал её так, чтобы с минимальными ресурсами нанести максимальный ущерб. Российские банки были атакованы не сразу, а по очереди, именно в те периоды времени, когда их интернет-ресурсы испытывают пиковую нагрузку.
Октябрьская информационная атака на интернет-ресурсы банков была не забавой «юных дарований», которые хотят что-то доказать себе и всему миру, как могло оказаться несколько лет назад. Но эта информационная диверсия также не была делом рядовой кибербанды, ядром которой, как показывает опыт правоохранительных органов, может быть тандем из организатора – вора в законе, который не знает компьютера и умеет разве что набирать SMS-сообщения, и нанятого им студента – талантливого программиста. Нет, октябрьская атака была спланирована и организована специалистом достаточно высокого профессионального уровня, применительно к банковской сфере – не ниже руководителя подразделения информационной безопасности среднего банка.
Особый смысл в данном контексте приобретает то обстоятельство, что атака на интернет-ресурсы крупнейших российских банков, ответственность за которую взяла на себя группа «Кавказские анонимусы», велась в основном с иностранных, европейских IP-адресов. Информационные атаки, даже если управляющие центры находятся в России, обычно так и осуществляются, с заграничных IP-адресов, большей частью участниками подсетей. Преступники пользуются сложностями трансграничного взаимодействия правоохранительных органов.
В последние годы стала заметна переориентация киберпреступности главным образом на получение финансовой выгоды, а не просто на несанкционированный доступ к информации или нанесение ущерба как такового. В случае октябрьской атаки очевиден новый вид финансовой заинтересованности криминалитета в информационных атаках, прямо не нацеленных на хищения клиентских средств. Затраченные усилия могут вознаграждаться заинтересованными лицами – коммерческими конкурентами российских банков и геополитическими соперниками нашей страны.
МОДЕРНИЗАЦИЯ СТАНДАРТА
Было отмечено, что киберпреступность складывается в особый вид противозаконной деятельности, своего рода криминальную «отрасль», внутри которой происходит дальнейшая специализация. На этом чёрном рынке есть товары – услуги и различный инструментарий. В частности, вредоносное программное обеспечение и бот-сети, которые можно купить или «арендовать», а также IT-специалисты, готовые нарушать закон.
Большинство этих ресурсов могут применяться для совершения преступлений в области банковских, платёжных электронных сервисов. Благодаря этому преступники, которые ранее занимались «традиционными» видами криминальной деятельности, могут открывать новые «направления», совершая киберпреступления в этой сфере. По мере распространения электронных банковских и платёжных сервисов эта криминальная «отрасль» ширится, становится всё более массовой и активной. Октябрьская атака на интернет-ресурсы российских банков показывает, что на «чёрном рынке» появилась и такая услуга, как кибертерроризм.
Что может противопоставить этой новой угрозе Банк России? Прежде всего – обеспечение безопасности собственной платёжной системы. Потому что это хребет, стержень всей национальной платёжной системы России. Для решения этой задачи ведётся мониторинг ситуации, применяется системный подход. На основании анализа собираемых данных об активности преступных сообществ вырабатываются методы противодействия, которые суммируются и периодически включаются в обновлённые редакции отраслевого стандарта информационной безопасности. Каждая новая редакция синхронизируется с актуальной базой нормативно-правовых документов таких государственных регуляторов деятельности по обеспечению информационной безопасности, как ФСБ России, ФСТЭК России и Роскомнадзор.
Решения о внесении изменений в СТО БР ИББС принимает Технический комитет по стандартизации № 122, который возглавляет заместитель Председателя Банка России Т.Н. Чугунова. Последняя редакция стандарта, подготовленная осенью 2013 года, содержит нововведения, учитывающие свежие изменения в тактике информационных атак, предпринимаемых злоумышленниками на банковские дистанционные сервисы. Прежде большая часть атак была построена на использовании уязвимостей программного обеспечения. Сейчас технические специалисты, используемые криминалитетом, стали более грамотными и ищут слабые места информационных банковских систем в целом: изъяны в их архитектуре, конфигурациях.
Чтобы противодействовать такому подходу, новая редакция СТО БР ИББС предписывает обеспечивать информационную безопасность на всех этапах жизненного цикла банковских автоматизированных систем и программного обеспечения. В связи с этим традиционные подходы следует модифицировать, регулярно проводить сканирование информационных систем и тесты на проникновение, требовать от разработчиков программного обеспечения повышенного внимания к аспекту безопасности. Также обновлён перечень технических и организационных мероприятий, проводимых для обеспечения безопасности жизненного цикла банковских автоматизированных информационных систем. Соответствующие нормы есть в зарубежных стандартах информационной безопасности.
ОБ АКТУАЛЬНЫХ СМЕЖНЫХ ПРОБЛЕМАХ
Раскрытые и даже переданные в суд уголовные дела о киберпреступлениях в кредитно-финансовой сфере не всегда завершаются надлежащими приговорами. Поэтому следующий важный момент деятельности Банка России и банковского сообщества в целом – усиление интеграции в противодействии киберпреступности с правоохранительными органами МВД России, с ФСБ России и со Следственным комитетом РФ, а также с Прокуратурой РФ. Такое взаимодействие будет полезно всем сторонам.
Уголовный и Уголовно-процессуальный кодексы РФ, по которым квалифицируются киберпреступления в банковских и платёжных системах и формируются доказательства, нуждаются в доработке, развитии и дополнении новыми нормами. Предложения об изменениях законодательства в части преступлений, совершаемых с использованием компьютерных технологий, переданы Банком России
в Государственную Думу РФ, в Комитет по безопасности и противодействию коррупции. Предлагаемые поправки определяют порядок формирования доказательной базы на стороне банка при расследовании киберпреступлений.
Здесь нужно отметить, что общей проблемой, и Банка России, и других банков, является острый дефицит юристов, которые бы досконально разбирались не только в правовых, но и в организационно-технических аспектах информационной безопасности. Такие специалисты необходимы, в частности, для формирования банком доказательной базы компьютерных преступлений, которую принял бы суд. Предлагается конкретизировать формулировки состава преступлений ст. 272 и 274 Уголовного кодекса РФ, непосредственно привязав их к банковской деятельности. Также внесено предложение выделить в отдельный вид преступления скимминг, в результате которого преступники получают доступ к данным, позволяющим похищать чужие средства со счетов банковских карт. Сейчас те, кто устанавливают на банкоматы нелегальное считывающее оборудование, формально не подлежат уголовному наказанию.
Ещё одна важная инициатива – считать местом преступления то, где был открыт банковский счёт, и ещё более определённо: где обслуживается счёт, с которого были похищены деньги. Маршрут движения ворованных денег может включать интернет-провайдера, оператора мобильной связи, счета юридических лиц в регионах, удалённых друг от друга на тысячи километров. Например, клиент может обслуживаться филиалом или внутренним структурным подразделением банка, во Владивостоке, а счёт вестись в головном офисе в Москве. Определение федеральным законом места совершения подобных преступлений послужит чётким указанием правоохранительным органам, где открывать уголовное дело о хищении.
Можно кратко перечислить ещё несколько актуальных проблем обеспечения банковской информационной безопасности, над решением которых в настоящее время работают специалисты Банка России. Это обновление и согласование с другими государственными регуляторами – ФСБ России, ФСТЭК России и Роскомнадзором – модели информационных угроз для банков, формировать которую Банк России уполномочивает ч. 5 ст. 16 ФЗ-152 «О персональных данных».
В связи с широким распространением мобильных устройств и увеличением количества мобильных решений в банковских технологиях проводятся работы по обеспечению безопасности финансовых сервисов, связанных с использованием облачных вычислений и виртуализацией. Решается проблема оперативного взаимодействия с интернет-провайдерами, с чьих адресов идёт максимальное количество запросов во время DDoS-атак, для пресечения которых банкам недостаточно просто чистить трафик.