Кибербезопасность финрынка: первый годовой отчет FinCERT Банка России
10/11/2016
В июне 2015 года Банк России объявил о начале работы Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (FinCERT). В его задачи входят сбор информации о кибератаках и оперативное оповещение о киберугрозах участников финансового рынка, взаимодействующих в области обмена информацией с FinCERT. Результаты деятельности FinCERT с июня 2015 по май 2016 года обобщены в годовом отчете. Среди безусловных плюсов – фиксация более 20 крупных информационных атак на российские банки, блокировка десятков фишинговых доменов в зоне RU. Сводный анализ позволяет оценить результаты работы за год, а также определить задачи на будущее.
ИНФОРМАЦИОННЫЙ ОБМЕН ВЫСТРОЕН
Необходимость создания в Банке России подразделения для оперативного реагирования на компьютерные атаки в кредитно-финансовой сфере назрела к концу 2014 года. Ранее вопросы кибербезопасности финансовых организаций рассматривались на Совете Безопасности Российской Федерации. В июне 2015 года начал работу FinCERT – Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России.
За год, прошедший с начала работы FinCERT, был выстроен информационный обмен с ФСБ России, МВД России и Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА). К этому взаимодействию подключились около 300 кредитных организаций, платежные системы, операторы связи и разработчики программного обеспечения.
Сотрудники FinCERT организовали регулярное оповещение участников информационного обмена о выявленных уязвимостях и информационных угрозах. Начиная с 1 января 2016 года, была выполнена 141 рассылка, инициирована блокировка 341 домена, которые использовались злоумышленниками для сбора информации конфиденциального характера, распространения вредоносного программного обеспечения и спама.
Киберпреступники тоже не стоят на месте: постоянно совершенствуют свой инструментарий, быстро реагируют на нововведения. С начала работы FinCERT злоумышленники неоднократно пытались провести рассылку электронных документов с вредоносными кодами от имени Банка России и клуба «Антидроп».
С массовыми мошенническими рассылками FinCERT сталкивается практически ежедневно, отмечая, что их каналы и форматы постоянно меняются. Если прежде злоумышленники в основном использовали электронную почту и SMS-сообщения, то за последние полгода все чаще задействуют мобильные мессенджеры типа Viber, WhatsApp и т.п.
Специалисты FinCERT анализируют полученную информацию о рассылках: масштабы, содержание, разновидности вредоносного кода и другие параметры. Анализ полученной информации позволяет делать выводы о степени опасности для организаций кредитно-финансовой сферы и определять приоритетность обработки. Сотрудники FinCERT рассылают бюллетени с перечнем угроз и их параметрами – текстами сообщений с указанием операторов мобильной связи и номеров мобильных телефонов, с которых ведется атака, доменных имен и т.п., что позволяет участникам информационного обмена провести своевременную блокировку нежелательной информации. Этот отлаженный механизм взаимодействия позволяет в самые короткие сроки собирать, анализировать и доводить актуальную информацию до участников информационного обмена.
СКРЫВАТЬ ИНЦИДЕНТЫ – СЕБЕ ДОРОЖЕ
Одним из значимых событий в сфере кибербезопасности в первый год работы FinCERT можно считать задержание правоохранительными органами организованной преступной группы, которая занималась хакерскими атаками на платежную систему Банка России. В средствах массовой информации эту группу хакеров называли Lurk. Впервые в отечественной практике было заведено уголовное дело одновременно по двум статьям Уголовного кодекса Российской Федерации – «Организация преступного сообщества или участие в нем» и «Мошенничество в сфере компьютерной информации», задержаны около 50 участников преступной группы.
Атаки этой хакерской группы на корреспондентские счета кредитных организаций стали предметом внимания FinCERT с самого начала его работы. Первые атаки на процессинговые центры были зафиксированы еще в конце 2015 года. По предварительным данным на конец июля, группировка пыталась похитить порядка 2,5 млрд рублей, но благодаря налаженному взаимодействию Банка России с правоохранительными органами и кредитными организациями, вывод части средств был приостановлен. Вместе с тем сумма, которую злоумышленникам все-таки удалось вывести, составила около 1,6 млрд рублей.
Анализ наработанного за год опыта выявил проблемы, которые предстоит решать. Прежде всего, это недостаточное понимание менеджментом кредитных организаций важности требований информационной безопасности. Работа FinCERT показала: руководство многих банков недостаточно четко понимает роль информационной безопасности в современном мире, важности обмена данными о компьютерных инцидентах. Подключиться к работе FinCERT, пользоваться его наработками, сводками и материалами – необходимо, но этого мало. Важно сообщать сведения об инцидентах нарушения информационной безопасности в своей организации.
Основной недостаток менеджмента ряда банков – упрощенный взгляд на взаимодействие с FinCERT. Некоторые участники информационного обмена работают в режиме получения информации, пренебрегая обратной связью. Такая линия не является конструктивной, поскольку сведения об инцидентах в области информационной безопасности в одной организации представляет интерес для остальных. Они могут оказаться решающими для выявления новых угроз, противодействия хакерским атакам. Поэтому обмен такой информацией должен быть взаимным, тем более, что он является анонимным: информация об организации, которая подверглась атаке, не раскрывается.
Необходимо понимание со стороны менеджмента банков важности передачи регулятору данных об инцидентах в сфере информационной безопасности. Со стороны Банка России будет усилено нормативное регулирование отрасли: предстоит подготовка и выпуск нормативных документов как рекомендательных, так и обязательных для исполнения.
КОМУ ПРЕДСТОИТ РАБОТА НАД ОШИБКАМИ
Еще одна достаточно проблема, которая была выявлена за год работы FinCERT, – это финансирование обеспечения информационной безопасности по остаточному принципу, которым грешат некоторые банки. Крупные банки, как правило, уделяют должное внимание информационной безопасности и финансированию ее обеспечения. Некоторые средние и мелкие банки выделяют на эти цели недостаточно средств. Поэтому нам предстоит разработать механизм, обязывающий менеджмент находить необходимые средства и выделять их.
Такую необходимость диктует жизнь: мошеннические схемы развиваются и совершенствуются. Первые атаки осуществлялись на физических лиц и отдельные организации, потом начались массовые DDoS-атаки и атаки на банки. С появлением таргетированных атак в 2011–2012 годах участились случаи нападения хакеров на платежную систему Банка России и международную систему SWIFT.
Уязвимы не только банковские автоматизированные системы, но и в другие информационные финансовые сервисы. Хакеры могут активно действовать в секторе небанковских финансовых организаций – на биржах, атаковать брокерские компании и т.д. Злоумышленники могут проявить активность во многих новых направлениях, поэтому предстоит расширение работы совместно с правоохранительными органами, со стороны которых мы видим полное взаимопонимание.
Поводы для оптимизма есть. Не так давно информационная безопасность в некоторых кредитно-финансовых организациях строилась по инерции, по принципам безопасности традиционного бумажного документооборота. Но сейчас как топ-менеджмент, так и руководители, и специалисты профильных подразделений начинают понимать специфику информационной безопасности и важность серьезного отношения к ней.
Поднадзорные Банку России организации все чаще обращают внимание на необходимость использования современных технических средств защиты информации, все более целенаправленно выстраивают эшелонированные системы защиты. Крупные банки создают собственные центры оперативного управления информационной безопасностью – SOC для противодействия атакам типа APT (advanced persistent threat) – целевой развитой устойчивой угрозы. Банки также тестируют и внедряют в свою деятельность системы фрод-мониторинга.
Для увеличения скорости взаимодействия прорабатывается возможность перехода к новым форматам информационных бюллетеней FinCERT. Объемы направляемой FinCERT информации неуклонно растут, и участники информационного обмена предлагают перейти на автоматизированную обработку бюллетеней в машиночитаемых форматах OpenIOC, Yara, STIX, XML и т.п.
FinCERT выявил основные недостатки в области информационной безопасности у организаций кредитно-финансовой сферы, которые привели к удачным кибератакам:
наличие уязвимостей в системах безопасности автоматизированных информационных систем организаций и платежных приложений;
недостатки обеспечения информационной безопасности, отсутствие должного соблюдения ими требований, установленных нормативными актами и отраслевыми стандартами Банка России;
отсутствие должного внимания менеджмента к использованию безопасных технологий, в том числе для осуществления переводов денежных средств;
отсутствие должной координации деятельности по противодействию массовым (веерным) и типовым компьютерным атакам.
НАЗРЕВШИЕ ИЗМЕНЕНИЯ НОРМАТИВНО-ПРАВОВОЙ БАЗЫ
Повышение эффективности противодействия киберпреступности в кредитно-финансовой сфере требует развития нормативно-правовой базы, в том числе на уровне федерального законодательства. 3 июня 2016 года прошло совещание Правительства Российской Федерации, посвященное вопросам информационной безопасности в кредитно-финансовой сфере, на котором рассматривались в том числе вопросы внесения изменений в законодательство.
Так, Сбербанк России разработал поправки в Уголовный кодекс Российской Федерации, руководство банка и депутат Госдумы Российской Федерации Илья Костунов подготовили законопроект об изменении статей, касающихся компьютерных преступлений. Банк России поддержал данную законодательную инициативу.
Проблема компьютерных преступлений, включая мошенничества с помощью высокотехнологичных инструментов, особенно остро стоит в банковской сфере. Правоприменительная практика рассматривает данные преступления согласно главе 28 Уголовного кодекса Российской Федерации и подпунктам о мошенничестве. Ранее, в 2011 году, в главу 28 УК РФ (ст. 272, 273 и 274) были внесены изменения, которые ужесточали наказания за такие преступления. Но на практике выявился ряд сложностей, связанных как с квалификацией неправомерного доступа к компьютерной информации, так и с процессуальным оформлением доказательств.
Принятие поправок, разработанных с участием Сбербанка России, позволит сделать серьезные шаги в борьбе с высокотехнологичным криминалитетом в кредитно-финансовой сфере. Это подтверждается и зарубежным опытом, особенно США и Великобритании, где в уголовном законодательстве компьютерные преступления тщательно детализированы. Различные противоправные действия – кража паролей, DDoS-атаки и т.д. – квалифицируются каждое по отдельности. У нас пока действует определение этих разнообразных видов преступлений как неправомерного доступа к информации, за что предусматривается уголовная ответственность, несоизмеримая с серьезностью и опасностью данных правонарушений.
В ближайшее время должен быть восполнен еще один пробел в нормативно-правовой базе, мешающий выстраивать безопасное информационное пространство в кредитно-финансовой сфере. Необходимо разработать и официально принять критерии определения неправомерных платежей. Требуется ввести классификацию признаков подозрительного платежа, что позволит своевременно приостанавливать такие транзакции до результатов разбирательства. Это сильно осложнит жизнь злоумышленникам. Кроме того, необходимо узаконить обмен информацией между банками и правоохранительными органами о дропперах – лицах, занимающихся выводом и обналичиванием похищенных денежных средств. Для этого в нормативно-правовой базе должны появиться изменения, затрагивающие ряд положений федеральных законов о персональных данных и о банковской тайне. Необходимость таких изменений диктуется сложившейся практикой хищений и последующего вывода финансовых средств.
По инициативе Минфина РФ, при участии FinCERT Банка России, НП «Национальный совет финансовых рынков» подготовлен проект соответствующего нормативного акта. Четкая, детальная классификация компьютерных преступлений в кредитно-финансовой сфере позволит узаконить быстрый обмен информацией о попытках хищений и вывода средств, а также приостановить подозрительные транзакции. Надеемся, что вновь избранный состав Государственной Думы России достаточно оперативно внесет вышеперечисленные изменения в федеральное законодательство, что создаст дополнительные возможности для банковского сообщества и правоохранительных органов по противодействию киберпреступности.
Следует ожидать усиления нормативного регулирования информационной безопасности организаций кредитно-финансовой сферы на различных уровнях: федерального законодательства, ведомственных документов и национальных стандартов. Некоторые рекомендательные нормы могут стать обязательныеми. Ответственность организаций кредитно-финансовой сферы за обеспечение информационной безопасности на местах будет усиливаться.
ВЗАИМОДЕЙСТВИЕ С ПРАВООХРАНИТЕЛЬНЫМИ
ОРГАНАМИ
За прошедший год FinCERT Банка России наладил и активно развивал сотрудничество с правоохранительными органами. В первую очередь это касается обмена информацией. Наибольший взаимный интерес представляет обмен аналитической информацией, тенденциями развития киберпреступлений, схемами мошенничества, сведениями о подготовке киберпреступлений в кредитно-финансовой сфере. В результате появилась возможность во взаимодействии с правоохранительными органами оказывать эффективную помощь службам информационной безопасности банков.
После внесения изменений в законодательство Российской Федерации, о которых было сказано выше, будет налажен официальный обмена информацией о подозрительных транзакциях и дропперах. В этом обмене будут участвовать FinCERT Банка России, организации кредитно-финансовой сферы и правоохранительные органы.
За прошедший год работы FinCERT Банка России произошли кардинальные положительные сдвиги: все стороны информационного взаимодействия понимают необходимость и проявляют заинтересованность в совместной работе. Так, повысилась результативность противодействия криминалу, расследований инцидентов, увеличилось количество возбуждаемых уголовных дел.
Среди перспективных направлений взаимодействия с правоохранительными органами – создание FinCERT Банка России профильной лаборатории экспресс-анализа. Деятельность лаборатории поможет организациям, поднадзорным Банку России, и правоохранительным органам в подготовке и проведении предварительных технических исследований носителей информации, полученных в результате оперативной проверки или оперативно-розыскных мероприятий.
Кроме того, на базе FinCERT Банка России планируется создание центра компетенций и анализа безопасности банковских технологий, информационных систем и программного обеспечения. Деятельность центра будет направлена на исследование новых перспективных технологий, способных затрагивать кредитно-финансовую сферу, прогнозировать риски и проблемы, с которыми можно столкнуться при их массовом внедрении. Обмен подобной информацией с правоохранительными органами позволит предотвращать новые разновидности киберпреступлений.
МЕЖДУНАРОДНОЕ СОТРУДНИЧЕСТВО
В функции FinCERT входит сотрудничество с международными правоохранительными органами ? Интерполом, Европолом, представителями зарубежных организаций участников TF-CSIRT ? Компьютерной группы реагирования на чрезвычайные ситуации и т.п. Представители FinCERT посетили Малайзию и Францию, руководство провело переговоры о взаимодействии с крупными транснациональными корпорациями, специализирующимися на кибербезопасности и защите платежных систем.
Цели совместной работы на международной арене – оперативный обмен информацией. Информационный обмен коснется тенденций развития киберпреступности, готовящихся и уже совершенных киберпреступлений, и, что особенно важно, преступлений, организованных за рубежом. Важным результатом должно стать получение из-за рубежа оперативной информации о киберпреступлениях и соответствующих доказательств.
FinCERT Банка России готов уделять повышенное внимание взаимодействию с международными организациями. Одной из задач Центра компетенций и анализа безопасности банковских технологий, информационных систем и программного обеспечения является развитие взаимодействия с центральными банками ближайших партнеров России, стран?участников Таможенного союза, ЕАЭС. На осень 2016 года намечены встречи представителей FinCERT Банка России с коллегами из Белоруссии и Казахстана.
Заинтересованность в обмене информацией проявляют все стороны. Наша общая цель – наладить оперативное взаимодействие, чтобы успешно противодействовать трансграничной киберпреступности. Сейчас, к сожалению, когда похищенные данные или денежные средства «пересекают» границу и подпадают под юрисдикцию другого государства, дальнейшее получение информации о них и возвращение похищенного становится практически невозможным.
Открытость государственных границ для деятельности киберпреступников мешает своевременно выявлять и предупреждать киберпреступления, расследовать и доводить до суда уже совершённые. Решать эту проблему можно только при активном взаимодействии правоохранительных органов разных стран, которое и предстоит выстроить.
ПЕРСПЕКТИВЫ АВТОМАТИЗАЦИИ
На июньском совещании, проведённом Правительством РФ, были учтены предложения Банка России, поддержанные финансовым и банковским сообществом. Реализация проекта повышения информационной безопасности кредитно-финансовой сферы возложена на Главное управление безопасности и защиты информации Банка России, а решение ряда ключевых вопросов поручено FinCERT. Руководство Банка России уделяет огромное внимание проблеме информационной безопасности и оказывает всю необходимую помощь в развитии Центра. Увеличение количества и объемов обязанностей сопровождается расширением структуры: за прошедший год штат был увеличен в два раза, появились новые направления деятельности.
Одно из важнейших направлений – подготовка перехода с ручного режима на автоматизированную работу, то есть внедрение промышленного антифрода на базе системы платежей и электронных расчетов Банка России. Обмен информацией будет производиться оперативно, в автоматизированном безопасном режиме, что позволит намного быстрее реагировать на новые угрозы и инциденты. В перспективе возможно и создание лаборатории для проведения первичного анализа новых угроз и выявляемых уязвимостей в автоматизированном режиме. Возможно и создание информационной базы дропперов, работающей также в автоматическом режиме.
Перечисленные нововведения позволят вывести обмен данными между Банком России, организациями кредитно-финансовой сферы и правоохранительными органами на новый уровень, улучшит их взаимодействие и координацию работы. Рассмотренные в данной статье вопросы отражены в дорожной карте, которая размещена на официальном сайте Банка России.