05/11/2015

Количественный и качественный рост информационных атак на российские кредитно-­финансовые организации, новые типы угроз (например, кибертерроризм) требуют повышения эффективности системы противодействия этим рискам. Банки, в первую очередь крупные, и специализированные компании ответили на эти вызовы, создав собственные центры управления информационной безопасностью, обозначаемые аббревиатурой SOC (от англ. Security Operation Center). Но эффективно противостоять рискам можно только объединив усилия отдельных игроков рынка и государственных структур, а также регулятора. В мае 2015 года Банк России создал Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере, или FinCERT.


1

Очевидно, что объединение усилий регулятора и кредитно-финансовых организаций является позитивным фактором повышения эффективности противодействия информационным угрозам всех типов. При этом необходимо выстроить взаимодействие между FinCERT — «самым главным» SOC — и подобными корпоративными структурами. Процесс этот непрост: требуется подготовить нормативно-правовое обоснование такого взаимодействия, выстроить его организационно, унифицировать принципы программно-аппаратного обмена данными.

Отдельная, особо важная тема — выстраивание пространства взаимного доверия между корпоративными, банковскими SOC и FinCERT Банка России. Задача эта непростая, многоплановая, но решать её необходимо. С одной стороны, представители банков должны быть уверены, что передаваемая ими регулятору оперативная информация о компьютерных атаках будет использоваться исключительно для противодействия злоумышленникам. С другой стороны, выстраивание взаимодействия FinCERT и банковских SOC потребует изменения нормативной базы.

2

Возможности подобного развития FinCERT и его взаимодействия с банковскими SOC изначально заложены в Положении о Центре мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере. Главной задачей FinCERT является анализ и прогнозирование рисков и проблемных ситуаций, связанных с обеспечением безопасности при предоставлении финансовых услуг, включая переводы денежных средств, оказываемых с использованием информационных и телекоммуникационных технологий

Эту задачу можно решить за счет организации и координации оперативного взаимодействия — информационного обмена между Банком России и организациями, работающими в сфере информационной безопасности отрасли. Наряду с государственными органами, отвечающими за информационную безопасность и противодействие киберпреступности, одним из главных контрагентов такого взаимодействия для Банка России являются кредитно-финансовые организации, и в первую очередь — их SOC, своего рода «младшие братья» FinCERT.

Для того чтобы центры управления информационной безопасностью, действующие в отрасли, могли успешно обмениваться оперативными данными об инцидентах, необходимо определить порядок этого взаимодействия. Для этого прорабатывается вариант заключения специальных соглашений между Банком России и ситуационными центрами управления информационной безопасностью — SOC кредитно-финансовых организаций.

В таких договорных документах могут быть прописаны взаимные обязательства, формы сотрудничества и взаимодействия для противодействия и предупреждения противоправных действий, совершаемых с применением информационных технологий. Форма соглашения о сотрудничестве и взаимодействии может быть определена соответствующим нормативным документом Банка России.

Организация подобного взаимодействия позволит оперативно анализировать данные о фактах проявления противоправных действий и компьютерных атак в организациях кредитно-финансовой сферы. И на этой основе выделять их признаки, определять риски нарушения информационной безопасности, возникающие при предоставлении финансовых услуг, оказываемых с использованием информационных и телекоммуникационных технологий.

В свою очередь, банковские SOC будут получать сведения, основанные на анализе централизованно собираемой информации. Банк России планирует оперативно информировать организации кредитно-финансовой сферы об уязвимостях корпоративных и отраслевых информационных систем, а также о сопутствующих рисках.

3

На нормативном уровне и в договорном порядке могут быть закреплены следующие пять основных направлений взаимодействия FinCERT Банка России и корпоративных SOC, в первую очередь банковских.

1. Создание единой среды обмена информацией об актуальных угрозах информационной безопасности, уязвимостях и атаках в кредитно-финансовой сфере, куда могут быть включены следующие данные:
  • о мошенничествах с использованием средств сотовой связи, включая номера с кодом «800»;
  • о мошенничествах посредством электронной почты;
  • о мошенничествах в системах дистанционного банковского обслуживания — ДБО;
  • о неправомерном доступе к конфиденциальной компьютерной информации;
  • об использовании вредоносного программного обеспечения;
  • об атаках типа «распределённый отказ в обслуживании» (DDoS);
  • информация об иных угрозах и уязвимостях.
2. Обмен опытом и методологическим обеспечением в части:
  • сбора, анализа и представления информации об угрозах и уязвимостях;
  • мониторинга инцидентов информационной безопасности и реагирования на них;
  • выстраивания процессов управления обеспечением информационной безопасности, определения их метрик и ключевых показателей эффективности;
  • взаимодействия с правоохранительными органами и другими органами государственной власти России.
3. Подготовка совместных аналитических материалов о текущем состоянии информационной безопасности банковской отрасли.

4. Проведение консультаций для эффективной организации деятельности и оптимального использования имеющихся ресурсов.

5. Развитие совместной сети экспертных сообществ по приоритетным направлениям сотрудничества.

4

Организация и развитие информационного обмена предусматривают формирование и ведение FinCERT централизованной базы компьютерных атак. В неё могут быть включены следующие сведения:
  • Идентификатор атаки — сокращенное обозначение для систематизации поиска в формате <год, месяц, число> — <краткое обозначение атаки> — <номер рассылки в данный день>. Например, для атаки вида «мошенничество с использованием услуг сотовой связи», произошедшей 19 августа 2015 года, заголовок-идентификатор может быть следующим: [20150819 — Мошенничество сотовая связь — 001].
  • Краткое описание — схема атаки, например: [На телефонные номера абонентов операторов услуг связи приходят ложные SMS-сообщения, якобы от имени Банка России, о блокировке банковских карт MasterCard и Visa. В сообщении указаны телефоны «горячей линии» с указанием объектов атаки].
  • Характерные признаки атаки — признаки, по которым можно определить её тип, например, список телефонных номеров мошеннической «горячей линии», а также тех, с которых осуществляется рассылка, и т. п.
  • Рекомендации пользователям — соответственно определённому типу атаки, например, «не звонить по указанным мошенниками номерам».
  • Рекомендации для противодействия — параметры базовой настройки технических средств для предотвращения подобного рода атак (при возможности) составляются в свободной форме, без привязки к конкретному вендору технического средства; например — «заблокировать отправителя с номером на SMS-шлюзе».
  • Техническое описание атаки — её вектора, объектов, используемых уязвимостей, особенностей применения; при возможности — классификация уязвимостей по CVSS v.3.0 и описание вектора в формате CVSS.
  • Действие атаки — описание результата проведения атаки (изменение файлов, автозагрузки, оперативной системы и т. п.).
  • Дополнительные сведения — текст мошеннического SMS или письма электронной почты и т. п.
5

Организация обмена данными между центрами управления информационной безопасностью и участвующими в нём государственными органами предусматривает также создание и ведение Базы уязвимостей программного обеспечения, используемого в кредитно-финансовой сфере. В такую базу должны включаться следующие сведения.
  • Описание уязвимости — по возможности, со ссылками на CVE.
  • Тип программного обеспечения — например, автоматизированная банковская система (АБС).
  • Наименование программного обеспечения, в котором обнаружена уязвимость.
  • Версия программного обеспечения – версия программного продукта, в котором обнаружена уязвимость.
  • Вендор — производитель программного обеспечения, в котором обнаружена уязвимость.
  • Операционные системы / аппаратные платформы, в которых может присутствовать выявленная уязвимость.
  • Тип ошибки, являющийся причиной уязвимости, эксплуатируемый уязвимостью, — например, «переполнение буфера».
  • Класс уязвимости согласно технической классификации, например, «возможность удаленного выполнения кода».
  • Уровень опасности уязвимости по действующим метрикам CVSS.
  • Возможные меры по устранению уязвимости — комплекс действий, рекомендуемых для устранения уязвимости.
  • Статус уязвимости – описание стадии её обработки: уведомление вендора, ведётся исправление, завершение устранения и т. п.
  • Наличие эксплойта — т. е. вредоносного программного обеспечения, использующего данную уязвимость.
  • Дата обнаружения уязвимости.
База уязвимостей программного обеспечения будет создаваться на вычислительных мощностях Банка России, подходы к обеспечению защиты информации планируется сформулировать во внутреннем регламенте. Перечень мер, направленных на обеспечение защиты информации об уязвимостях отраслевого программного обеспечения, может быть согласован с представителями кредитно-финансовых организаций.

Важным направлением работы Fin­CERT’а Банка России будет унификация баз компьютерных атак и уязвимостей программного обеспечения, используемого в отрасли, с аналогичными базами других государственных органов исполнительной власти, таких как ФСБ России и ФСТЭК России, а также с Государственной системой обнаружения и предупреждения компьютерных атак (ГосСОПКА).

6

Исходным принципом информационного взаимодействия организаций кредитно-финансовой сферы и FinCERT Банка России является исключительно добрая воля участников, направленная на совместное противодействие злоумышленникам и правонарушениям. Такое взаимодействие, несомненно, позволит, как минимум, замедлить рост количества инцидентов в сфере информационной безопасности электронных платежей, отмечаемый в течение последних лет.

Состояние киберпреступности в кредитно-финансовой сфере зависит от ряда факторов, в том числе — как от уровня активности правонарушителей, так и от возможностей правоохранительных органов противостоять таким действиям. Важнейшую роль в минимизации числа эксплуатируемых уязвимостей в автоматизированных информационных системах, используемых в отрасли, играет деятельность Банка России, кредитно-финансовых организаций и платёжных систем. Организация оперативного взаимодействия FinCERT и банковских SOC, повышение его эффективности — огромный резерв противодействия «высокотехнологичному» криминалу.

В этом взаимодействии FinCERT Банка России будет выступать в роли центра компетенций не только для кредитно-финансовых и платёжных организаций, компаний-интеграторов, разработчиков антивирусного программного обеспечения, провайдеров и операторов связи, но и для правоохранительных и иных государственных органов, курирующих информационную безопасность отрасли. При этом для Государственной системы обнаружения и предупреждения компьютерных атак FinCERT Банка России будет выступать в роли корпоративного сегмента.

Можно выделить следующие три основных показателя эффективности сотрудничества FinCERT Банка России и банковских SOC нацеленных на снижение уровня киберпреступности в отрасли:
  • выявление потенциальных и актуальных уязвимостей информационных технологий, используемых в кредитно-финансовой сфере, выработка рекомендаций по их устранению;
  • создание условий для повышения общего уровня защищённости используемых информационных технологий и систем;
  • создание условий для сокращения сроков возбуждения и расследования уголовных дел правоохранительными органами по фактам проявления противоправных действий в кредитно-финансовой сфере, совершаемых посредством компьютерных технологий.

Практика показывает, что организациям кредитно-финансовой сферы, даже самым крупным, практически невозможно в одиночку противостоять действиям «высокотехнологичных мошенников». Для обеспечения информационной безопасности необходимо наладить оперативное взаимодействие, в котором должны участвовать все значимые субъекты отрасли, в первую очередь банки, уже создавшие собственные SOC — Центры управления информационной безопасностью.