СОЧИ, 18 октября. /ТАСС/. Число целевых хакерских атак на финансово-кредитные организации за первый и второй кварталы 2018 года выросло почти вдвое - до 72 против 39 годом ранее, при этом число успешных атак снижается. Ущерб банков от кибератак уменьшился за восемь месяцев 2018 года в 14 раз, говорится в годовом отчете Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере департамента информационной безопасности Банка России (ФинЦЕРТ), представленном на форуме инновационных финансовых технологий Finopolis.
"За восемь месяцев 2017 года кредитные организации потеряли 1078762345 рублей, а за аналогичный период 2018 года - 76495882 рублей. Количество успешных атак - 22 и 20 случаев соответственно", - говорится в отчете.
Снижение ущерба в ЦБ объясняют как деятельностью групп по реагированию на чрезвычайные ситуации, так и повышением уровня кибербезопасности банков. "Значительная часть фишинговых писем отфильтровывается на почтовом шлюзе и иными компонентами систем защит, в результате чего вредоносное письмо не доходит до получателя", - отмечает ФинЦЕРТ.
Кроме того, говорится в документе, на снижение ущерба повлияло задержание в Испании в марте 2018 года одного из руководителей группы киберпреступников, известной как Cobalt Group. Тем не менее, группа продолжает деятельность, атаки с использованием программного обеспечения Cobalt Strike не прекратились. Предположительно ранее группа была известна как Carbanak.
Также ФинЦЕРТ сообщает, что интерес преступников смещается от банков в сторону их клиентов - юридических лиц: на них было совершено "значительное количество атак". За восемь месяцев 2018 года ФинЦЕРТ направил участникам информационного обмена бюллетени о 36 зафиксированных кампаниях распространения вирусного программного обеспечения (ПО). "Рост интереса злоумышленников к юридическим лицам можно объяснить как более слабой защитой малого и среднего бизнеса, так и вводом в действие законодательных актов, защищающих крупные организации, относящиеся к критической инфраструктуре Российской Федерации и ужесточающие наказание за атаки на них", - говорится в отчете.
В дальнейшем число успешных крупных хищений непосредственно у банков продолжит снижаться, но вместе с тем может возрасти у их клиентов - юридических лиц и индивидуальных предпринимателей. "Одной из причин может стать произошедшие в текущем отчетном периоде утечки в интернет исходного программного кода соответствующего вредоносного ПО, используемого для таких хищений", - считают в ЦБ.
Причины успешных кибератак
Основной причиной успешных кибератак по-прежнему является человеческий фактор. Такое мнение высказал зампред Банка России Дмитрий Скобелкин, чьи слова приводятся в отчете Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере департамента информационной безопасности ЦБ.
"Мы наблюдаем существенное снижение объема хищений со счетов юридических лиц. Тем не менее часть атак по-прежнему успешна, и основная причина этого - человеческий фактор", - сказал он.
При этом, по словам Скобелкина, в тренде по-прежнему остаются атаки на устройства самообслуживания. "В основном это blackbox, а также атаки вида TRF [Transaction Reversal Fraud - мошенничество с отменой транзакций], а вот число атак вида "скимминг" и "шимминг" неуклонно снижается", - пояснил он.
Как отмечается в докладе регулятора, ЦБ РФ выявил восемь основных причин успешных кибератак. Среди них недостаточная грамотность сотрудников банков, которые открывают подозрительные электронные письма; отсутствие установленных актуальных обновлений, используемых кредитной организацией; легкие пароли и устаревшие антивирусы.
В планах Банка России в рамках противодействия киберугрозам автоматизация информационного обмена, усиление международного взаимодействия, а также укрепление и развитие технической базы и команды ФинЦЕРТ. Так, в частности, к середине 2019 года будет полностью автоматизирован сбор информации об инцидентах на стороне участника обмена и введена в действие система "Фид-антифрод" - база данных об операциях по переводу денежных средств без согласия клиента.
Кибератаки на компании
Количество хакерских атак на компании продолжит увеличиться. Об этом также говорится в отчете ФинЦЕРТ.
"ФинЦЕРТ предполагает, что количество атак на юридические лица будет и далее возрастать. Защищенность кредитно-финансовых организаций улучшается высокими темпами, в том числе вследствие усилий ФинЦЕРТ, а также стандартизации и методологической работы в области информационной безопасности, проводимой Банком России. В то же время защищенность юридических лиц, не обязанных строго следовать требованиям регулятора, предъявляемым к организациям кредитно-финансовой сферы, зависит исключительно от степени интереса собственников бизнеса к защите информационных активов и возможностей ее обеспечить", - отмечает ФинЦЕРТ.
По его данным, атаки на компании осуществляются посредством заражения через электронную почту либо через зараженный веб-сайт. При этом большинство атак на компании осуществляется через рассылку зараженных электронных писем, которые маскируются под деловую либо информационную рассылку.
"Основная масса файлов электронных "документов-приманок", используемых во вредоносной кампании RTM, имеют названия, характерные для бухгалтерской деятельности: "Отчет для налоговой", "Окончательный счет на 01.01" и так далее. Иногда авторы писем используют отсылки к вновь принятому или вступившему в силу законодательству, причем делают это достаточно оперативно", - указывается в отчете.
Сайты лжебанков
Число блокируемых сайтов лжебанков за период с начала сентября 2017 года до конца августа 2018 года выросло почти в восемь раз. "По сравнению с прошлым отчетным периодом виден сохранившийся основной тренд - это рост интернет-мошенничества. Также почти в восемь раз выросло число блокируемых сайтов лжебанков, в 2-2,5 раза - МФО и интернет-магазинов. В 1,8 раза увеличилось число заблокированных сайтов мошеннических страховых компаний. Рост числа последних, вероятно, связан с введением электронного ОСАГО", - отмечается в отчете ФинЦЕРТ.
Согласно данным регулятора, за отчетный период было заблокировано 947 мошеннических сайтов, 326 сайтов лжебанков и 81 сайт мошеннических страховых компаний. Всего ФинЦЕРТ за год инициировал блокировку 1668 фишинговых доменов, в том числе мошеннических сайтов по продаже билетов на матчи проходившего на территории России чемпионата мира по футболу 2018 года.
"По мнению ФинЦЕРТ, трендом следующего года станет дальнейший рост мошенических доменов, относящихся к категориям "лжебанки", "лжестраховые компании" и "лжемфо". Помимо этого, если принять во внимание работу ФинЦЕРТ, проводимую по борьбе с мошенническими ресурсами в российских доменных зонах, ожидается постепенный переход таких ресурсов в юрисдикцию иностранных доменных зон", - подчеркивается в отчете.
Автоматизированная система обработки инцидентов
Все российские банки подключились к автоматизированном системе обработки инцидентов (АСОИ) в сфере информационной безопасности, созданной Центром мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере.
"Для упрощения процесса информационного обмена, а также повышения оперативности и уровня его защищенности ФинЦЕРТ создал автоматизированную систему обработки инцидентов [АСОИ]. В настоящий момент к АСОИ ФинЦЕРТ подключились все банки Российской Федерации", - говорится в документе.
В июле 2018 года в эксплуатацию была введена первая очередь АСОИ, состоящая из информационного портала, сервиса личных кабинетов и специализированных технологических подсистем и защищенной инфраструктуры, сообщается в отчете. Первая очередь АСОИ позволяет реализовать следующие процессы: получение данных от участника (информация об инцидентах, уязвимостях, угрозах, данных о раскрытии информации, запросах), передача информации участнику и его оперативное информирование об актуальных угрозах информационной безопасности в кредитно-финансовой сфере, оперативное взаимодействие между участником и ФинЦЕРТ по инцидентам и запросам, мониторинг информационных атак на организации кредитно-финансовой сферы и поддержка взаимодействия ФинЦЕРТ с регистраторами и хостерами по блокировке вредоносных ресурсов.
Обмен информацией с ФинЦЕРТ
Количество организаций, участвующих в обмене информацией о киберинцидентах с Центром мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере, за год увеличилось на 16%, до 718.
"Сегодня в информационном обмене ФинЦЕРТ участвуют 718 организаций. За последний год (1 сентября 2017 года - 31 августа 2018 года) их число увеличилось на 16%. Подавляющее большинство участников обмена составляют банки (517), еще примерно четверть - это иные финансовые организации, госструктуры, телеком-провайдеры, операторы сотовой связи, а также IT-компании (в том числе в сфере кибербезопасности), энергетические и промышленные предприятия", - говорится в отчете.
По мнению ФинЦЕРТ, существенный рост активности участников информационного обмена "можно объяснить наглядной демонстрацией его практического значения для партнеров ФинЦЕРТ после массовых атак вирусов Wannacry, notPetya и BadRabbit. Примечательно, что в целом банковский сектор от них практически не пострадал (за исключением нескольких заразившихся Wannacry банкоматов и одного терминала)". Например, в 2017 году выявлено два ранее не типичных для этого времени года пика подключений - в мае и июле. Это совпадает с массовыми волнами рассылок вирусов Wannacry и notPetya, заключает ФинЦЕРТ.
ФинЦЕРТ - структурное подразделение департамента информационной безопасности ЦБ РФ, созданное в 2015 году. ФинЦЕРТ ведет сбор и обработку поступившей от организаций информации о произошедших и предотвращенных компьютерных атаках, пострадавших организациях и их клиентах, а также о лицах и организациях, причастных к совершению компьютерных атак, средствах и методах их совершения. На основе анализа получаемых данных ФинЦЕРТ уведомляет участников обмена об угрозах в области информационной безопасности для снижения объемов хищений денежных средств.
Форум инновационных финансовых технологий Finopolis проводится уже четвертый раз Банком России в партнерстве с лидерами IT и финансового рынка. Ежегодно форум собирает около 1,5 тыс. участников.