Банком России определены основные направления работы по обеспечению информационной безопасности национальной кредитно-финансовой сферы на 2019 год. По-прежнему ключевой задачей является не допускать в системах электронных платежей увеличения хищений денежных средств. Препятствовать росту как количества таких инцидентов, так и похищенных сумм. Очень важно сокращать численность результативных атак на кредитно-финансовые организации и их клиентов. Чего конкретно следует ожидать, что будет делаться в этом году?
2019 год – это время усиления в отрасли контрольной деятельности в отношении того, как выполняются требования к обеспечению информационной безопасности. Важнейшая часть этой работы – ситуационная осведомлённость, оперативный обмен регулятора и всех организаций кредитно-финансовой сферы информацией об инцидентах. Это информация о том, что именно и как происходит, а также как реагировать. Безусловно, ситуационная осведомлённость будет нами повышаться. Со своей стороны, Банк России будет мотивировать банки улучшать работу по этому направлению, в том числе посредством нормативных актов.
РАЗВИТИЕ ЗАКОНОДАТЕЛЬСТВА
Предстоит дальнейшее развитие федерального законодательства, регулирующего информационную безопасность финансовой сферы. Злоумышленники всё чаще создают интернет-ресурсы, которые нарушают законодательство РФ о финансовом рынке, включая «финансовые пирамиды» и сайты, распространяющие программное обеспечение для «взлома» систем электронных платежей. В Государственную Думу РФ внесён законопроект № 605945-7 о предоставлении Банку России полномочий в досудебном порядке блокировать такие ресурсы.
Также в Государственную Думу РФ внесён законопроект № 545142-7 «О внесении изменений в статью 53 Федерального закона «О связи». Суть его в том, чтобы обязать операторов мобильной связи оперативно сообщать банкам информацию, используемую в дистанционных финансовых сервисах для идентификации клиента и проверки легальности проводимого платежа. То есть информацию о замене SIM-карты, телефонных номеров, установке услуг переадресации голосовых вызовов и SMS, прекращении обслуживания абонента, расторжении с ним договора.
Позиция Банка России такова: эта услуга должна быть доступна для любой финансовой организации, независимо от оператора мобильной связи. Вне зависимости от договорённостей между ними, а по умолчанию, как требование законодательства. Понятно, что услуга эта не может быть бесплатной для заинтересованных в ней финансовых организаций, потому что требует от оператора определённых затрат, которые должны компенсироваться.
НОРМАТИВНЫЕ НОВАЦИИ
В Министерство юстиции РФ Банком России были направлены на регистрацию два новых документа, регулирующие информационную безопасность. Эти акты устанавливают базовые требования как к кредитным, так и некредитным финансовым организациям. Риски, характерные для крупной финансовой организации ‑ страховой компании, ‑ сильно отличаются от присущих небольшой – ломбарду. Поэтому требования к информационной безопасности финансовых организаций разного масштаба и типа устанавливаются дифференцированные.
Большинство технических требований в этих документах сформулированы не напрямую, а представляют собой ссылки на соответствующие нормы отраслевого стандарта Банка России (действующая редакция СТО БР БФБО-1.5-2018). Таким образом, меры рекомендательного характера, содержащиеся в стандарте, становятся обязательными требованиями для подведомственных организаций. Этот переход, анонсированный три года назад на VIII Уральском форуме «Информационная безопасность финансовой сферы», сейчас совершается.
Выходит и новое положение об обеспечении безопасности платёжной системы Банка России. Вносимые новшества связаны с серьёзными переменами: запуском нового сервиса, системы быстрых межбанковских платежей. Это важная веха для российского рынка финансовых услуг, поскольку позволяет всем клиентам заметно ускорить перечисление денег любых российских банков.
Прежде межбанковские переводы осуществлялись по рабочим дням пятью «рейсами» по расписанию. Время между отправлением и получением денежных средств занимало, в лучшем случае, от нескольких часов, а в худшем, хоть и редко, ‑ до пяти рабочих дней. Время тратилось как на обработку информации на каждом этапе перевода, так и на ожидание следующего.
Переход к быстрым межбанковским платежам требует пересмотра ряда параметров обеспечения информационной безопасности. Во-первых, изменяется конфигурация ‑ цепочка участников перечисления средств, появляется оператор. Во-вторых, сокращается время не только проведения транзакций, но и отведённое для реагирования на возможные инциденты, для противодействия попыткам хищений. Изменения требований к безопасности были продуманы заранее и содержатся в новом нормативном документе, разработанном заблаговременно, до запуска нового удобного сервиса.
ЦЕНТРАЛИЗАЦИЯ АНТИФРОДА
Новым эффективным техническим инструментом обеспечения информационной безопасности в отрасли стала АСОИ – автоматизированная система обработки инцидентов. Это, фактически, централизованный механизм противодействия банков попыткам хищений денежных средств в электронных платёжных системах. Запуск АСОИ в эксплуатацию, произведённый ФинЦЕРТ Банка России в конце лета 2018 года, стал возможен благодаря недавним изменениям в законодательстве.
Эти нормы содержатся в Федеральном законе от 27 июня 2018 года № 167-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части противодействия хищению денежных средств». После вступления закона в силу банки обязаны реализовывать меры антифрода – системы мониторинга и противодействия мошенничеству. Кроме того, создана законодательная база для обмена информацией об инцидентах. Банк России получил полномочия формировать такую базу данных и платформу для обмена ими, в том числе о счетах физических и юридических лиц, через которые осуществлялись хищениях денежных средств.
АСОИ – инструмент противодействия не только попыткам мошенничеств, но и другим информационным атакам чисто технического характера. Тем, что способны нарушить устойчивость функционирования электронных финансовых сервисов ‑ операционную надёжность, непрерывность деятельности. Централизованная база данных формируется на основе информации, поступающей от подключенных финансовых организаций, которая обрабатывается и оперативно доводится до всех участников информационного обмена.
К началу 2019 года все кредитные организации, зарегистрированные на территории нашей страны, подключены к АСОИ. Начато массовое подключение некредитных финансовых организаций, в первую очередь страховых компаний. К этому обязывает Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» от 26 июля 2017 года №187-ФЗ.
Согласно этому документу, под который подпадают все финансовые организации, они обязаны информировать об инцидентах государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). АСОИ ФинЦЕРТа Банка России является «единым окном» передачи туда данных об инцидентах информационной безопасности в финансовой сфере. Поэтому и мощность, и функционал АСОИ, и удобство использования для наших поднадзорных будут наращиваться и дальше.
ПРЕИМУЩЕСТВА АВТОМАТИЗАЦИИ
Отчёт ФинЦЕРТ в 2018 году сопровождался «юбилеем» ‑ база данных достигла 10 000 счетов дропперов, которые мошенники используют для вывода похищенных денег.
Динамика наполнения базы данных счетов дропперов не постоянна, есть скачки, подъёмы, спады. В деятельности злоумышленников есть всплески и затухания, в том числе сезонные. Недавняя вспышка их активности отразилась и в всплеске наполнения нашей базы данных. База может сокращаться, если подозрительные счёта закрываются, а банк прекращает обслуживание их владельцев. Или если проверка покажет, что те или иные счета по какой-то причине попали в базу ошибочно.
Принципиальный момент: это – не «чёрная база». Среди счетов могут быть счета законопослушных граждан и юридических лиц, которые используются втёмную для их владельцев. Поэтому федеральное законодательство обязывает банки принять к сведению данные, что эти счета могут быть использованы в схемах хищений денежных средств. И более бдительно относиться к операциям, которые совершаются с этими счетами, проверять их легальность.
Банк вправе действовать так, как считает оптимальным в соответствии со своей моделью рисков. Допустим, окажется, что банк был уведомлен о дропперском счёте, но допустил совершение хищения через него. Банку придётся возмещать клиентам ущерб собственными денежными средствами. Не только физическим лицам в силу ст. 9 Федерального закона «О национальной платежной системе» от 27 июня 2011 г. № 161-ФЗ, но и юридическим лицам.
Кроме того, у Банка России есть надзорные полномочия и возможности применять меры воздействия к банкам, которые игнорируют предупреждения о том, что счёт может быть использован злоумышленниками. Осуществляется самое плотное взаимодействие с правоохранительными органами, которые используют информацию из базы данных дропперских счетов в ходе расследования уголовных дел. Фигурантами этих дел могут оказаться и банки, по недосмотру которых произошли хищения денежных средств. Все эти риски банки должны учитывать.
АСОИ внесла ощутимый вклад в сокращение объёмов хищений в системах электронных платежей. За 8 мес. 2018 года эта цифра составила 76,5 млн рублей по сравнению с 1,078 млрд рублей за аналогичный период предыдущего года; ‑ это в 14 раз меньше! АСОИ − всего лишь инструмент, но очень хороший, для оперативного информирования, повышения ситуационной осведомлённости участников информационного взаимодействия. Реагирование банков на инциденты стало оперативным потому, что отработаны соответствующие алгоритмы. Банки заранее готовы к тому, что может произойти, и знают, что и как в каких случаях надо делать.
Эффективность выработанных механизмов мониторинга и реагирования показывает не только приведённая динамика многократного снижения объемов хищений за несколько месяцев. За отчётный период удалось предотвратить попытки хищений у крупнейших российских банков очень значительных денежных сумм. Это результат целого комплекса мер со стороны и Банка России, и кредитно-финансовых организаций, среди которых, в том числе, − запуск и работа АСОИ.
ОТ «ВЗЛОМА» К МОШЕННИЧЕСТВАМ
В связи с повышением эффективности противодействия техническим средствам хищений прогнозируется, что злоумышленники переместят «центр тяжести» своего давления на человека. Доля попыток «взлома» электронных платежных средств станет относительно меньше, а мошенничеств, обмана, социальной инженерии − больше.
Инциденты, связанные с применением социальной инженерии, также фиксируются АСОИ и подвергаются анализу. Среди новейших тенденций − перемещение атак такого рода с граждан пенсионного возраста на экономически активных. Пенсионеры в массе своей, благодаря информированию их о правилах безопасности при использовании банковских карт и других дистанционных финансовых сервисов, стали осторожными.
Злоумышленники разработали более сложные схемы, рассчитанные на предпринимателей. Например, представляясь им сотрудниками банков, под обещания кредитов выманивают оплату «комиссии за оформление». Учитывая эту тенденцию, будут разрабатываться и применяться меры для профилактики подобных инцидентов и реагирования на них.
Финансовые услуги в электронной форме становятся всё более массовыми и доступными населению. Однако сложно говорить об их качественности без надёжного обеспечения безопасности. Инциденты, связанные с применением социальной инженерии, для клиента болезненны. Они ведут к материальным потерям и снижают доверие обманутого клиента к финансовой системе в целом.
Информационная безопасность включает не только организационно-технические средства, но и понимание сотрудников и клиентов банков того, как противостоять мошенникам. Повышать грамотность в этой области − общая задача регулятора и финансовых организаций. Например, банки могут напрямую обучать своих сотрудников и клиентов правилам безопасности. Это можно делать несколькими путями: тренингами, рекомендациями, специализированной рекламой, индивидуальными разъяснениями и т.п.
БЛИЖАЙШАЯ ФУТУРОЛОГИЯ
В 2019 году предстоит большая работа по внедрению биометрических систем идентификации клиентов, а также осуществление многих других масштабных начинаний, важных для обеспечения информационной безопасности финансовой сферы. Часть из них Банк России уже продвигает при своем непосредственном участии.
Особый интерес представляет переход от сбора регулярной отчётности к анализу инцидентов, первичной информации посредством технологий Big Data, больших данных. За последние годы в финансовой отрасли отмечается заметное сокращение времени, которое занимает путь от формирования идеи до ее практической реализации. Банк России фиксирует проблемы на основе информации из многих источников: поступающей отчётности, собственного мониторинга, по материалам взаимодействия с другими ведомствами, жалоб клиентов финансовых организаций.
«Жизненный цикл» нововведений включает такие этапы, как формулировка проблемы, выработка технических и организационных решений, многочисленные обсуждения с отраслевыми сообществами и экспертные заключения, финансово-экономическое обоснование, нормативно-правовое регулирование, межведомственные согласования.
В настоящее время этот цикл занимает в среднем три года. Первый год дискутируем, есть вообще такая проблема или она надуманна, насколько она серьёзна. Второй год − ищем и находим пути решения, включая нормативные. На третий уже говорим о том, как внедрять решения и внедряем их.
Лучший пример тому − главное отраслевое деловое мероприятие Уральский форум «Информационная безопасность банков», который в этом году проводится уже в одиннадцатый раз. Можно отследить ретроспективу его программ за последние годы, как сегодняшние сервисы задумывались и прорабатывались. И наоборот, кто хочет заглянуть в не столь отдалённое будущее отрасли, пусть ознакомится с нынешней повесткой форума.