Защита от угрозы: что рекомендует Центробанк

Недавно состоялась конференция, посвященная защите финансового сектора от киберугроз. На ней были озвучены конкретные рекомендации, призванные защитить информацию еще на этапе ее разработки. Также ожидается создание единой базы киберпреступников – частных лиц и предприятий, которые незаконно присваивают разные данные.

Александр Чебарь, эксперт из Банка России, а также Артем Сычев, сотрудник службы безопасности финансового учреждения, озвучили план действий. Прежде всего, защита данных будет осуществляться при помощи шифрования. Но оно будет применяться еще на стадии пребывания информации в учреждении, которое проводит соответствующую финансовую операцию.

При разработке этого решения учитывался опыт организаций аналогичного профиля по всему миру. Также были проанализированы случаи хищения средств у коммерческих структур. Сегодня это предложение еще обсуждается, но как только стороны придут к консенсусу, оно будет оформлено как нормативный акт. В ЦБ ожидают, что такой подход существенно уменьшит количество хищений, поскольку условия для совершения преступления станут слишком сложными.

По словам банкиров, к незаконному проникновению может привести любой внешний источник, даже безобидное на первый взгляд письмо. Так, Евгений Калашников, начальник службы информационной безопасности крупного финансового учреждения Бинбанк утверждает, что вредоносный продукт в некоторых ситуациях замаскирован под резюме кандидата на определенную должность. Для отправки платежей в Центробанк большинство финансовых учреждений используют реестры в виде XML-файла. Канал, при помощи которого они оправляются в ЦБ, практически не имеет защиты. Поэтому, преступникам не составляет труда внедрить в него фиктивный документ, на котором наряду с легитимными платежками ставится электронная подпись. В дальнейшем документ направляется в определенное финансовое учреждение и внедренный в него вирус атакуют систему. А преступники получают доступ к средствам из реестра, переводят их в другую местность и там выводят в наличные.

Александр Чебарь обращает внимание, что часто преступники оформляют золотую карту на подставных лиц. По условиям заключенного с банком соглашения, держатель карты вправе снимать большие суммы наличных. Поэтому при использовании реестров будет введена дополнительная мера безопасности – создана база данных, в которой сгруппированы все случаи снятия наличных. Как сообщили сотрудники ЦБ, Банк России в сотрудничестве с исполнительной властью работают над созданием соответствующего закона о формировании такой базы.

Эти меры станут первыми практическими шагами, призванными защитить финансовую сферу от киберугроз. Причем, ущерб от нападок со стороны последних постоянно увеличивается. Так, начиная с последнего квартала 2015, более двадцати банков подверглись нападениям и потеряли 2,8 миллиарда рублей. В порядке пресечения незаконных действий более миллиарда рублей заморожено на счетах, а также приостановлено операций на 500 миллионов рублей. Преступникам удалось завладеть средствами более чем на один миллиард рублей. По словам одного из руководителей МВД Евгения Михеева, аппетиты злоумышленников постоянно увеличиваются. Если сначала похищали максимум 50 млн. рублей, то сегодня отсчет начинают с половины миллиарда. Некоторые банкиры, например, Лев Хасис, считает, что официальные цифры явно занижены и в 2015 украдено около 50 млрд. рублей.

Некоторые банки страдают от простого отсутствия опыта у их сотрудников в соответствующей сфере. По словам Александра Виноградова, одного из руководителей Златкомбанка, освоение и внедрение предложенного ЦБ варианта, связано с определенными трудностями. Так, компания, разрабатывающая АБС, должна обладать лицензией ФСБ. Чтобы получить ее необходимо иметь среди сотрудников двух специалистов, которые не менее трех лет отработали в области шифрования и прошли специальное обучение. Сегодня найти подобных работников достаточно проблематично и ситуация кардинально не улучшится в ближайшие три года. Предложенный вариант фактически снимает с ЦБ всякую ответственность и ставит финансовое учреждение перед необходимостью потратить порядка пяти миллионов рублей на настройку подходящего АБС.

Тогда как сотрудники ЦБ утверждают, что для вопросов, возникающих с электронной подписью, вполне достаточно обучить штатных специалистов. Кроме того, для освоения новой системы предусмотрят переходный период, но его длительность пока не озвучена. Подобные оптимистические заверения не успокаивают банкиров. Они считают, что новая система не способна обеспечить полную защиту от кибератак. Ведь злоумышленники, которые уже проникли в систему, могут применить и другие технологии, чтобы взломать реестр.