Центробанк требует защитить информацию от хакеров
Регулятор введет стандарты интернет-банкинга и потребует их соблюдения
В утвержденной президентом России Владимиром Путиным доктрине информационной безопасности в числе прочего обозначена угроза кибератак на финансово-экономическую инфраструктуру страны. Для борьбы с интернет-нападением на кредитные учреждения Центробанк предлагает разработать национальный стандарт, устанавливающий детальные технические требования к обеспечению информационной безопасности в финансовых организациях, и создать правовые условия для их обязательного применения.
5 декабря, по прогнозам Федеральной службы безопасности, должна была начаться крупномасштабная кибератака на серверы банков. Прогноз сбылся только отчасти: ближе к вечеру о распределенной атаке типа "отказ в обслуживании" (DDoS-атаке) рассказала "Группа ВТБ", однако, как отмечается в сообщении, инфраструктура кредитного учреждения продолжила работать в штатном режиме и клиенты не испытывали никаких затруднений. При этом опрошенные эксперты считают, что "выдыхать" рано: нападения на российскую банковскую инфраструктуру могут начаться в любой момент.
"Они (киберпреступники. — Прим. ТАСС) могут сделать так, чтобы это было неожиданно, — считает президент Ассоциации российских банков (АРБ) Гарегин Тосунян. — Но мы теперь в теме, владеем ситуацией, может быть, и не станут заниматься глупостями". По его словам, банки готовятся к атакам, однако все возможности не предусмотришь: "Но мы сейчас в курсе ситуации, договорились с Центробанком, что будем друг друга информировать о том, что происходит. Это в значительной степени нивелирует эти риски", — рассказал ТАСС президент АРБ. По его мнению, массовые атаки могут создать неудобства самим кредитным учреждениям: "Если происходит атака на сайт, он на какое-то время подвешивается и банк выбивается из нормального режима. Вместо того чтобы проводить операции, банк вынужден в срочном порядке устранять эту помеху. Это создает некоторую нервозность". Впрочем, для того чтобы это случилось, нужно, чтобы атака на сайт "пробила" защиту. Прогноз начальника аналитического управления Банка корпоративного финансирования Максима Осадчего еще более пессимистический: "Крупная кибератака способна дестабилизировать финансовую систему страны".
В свою очередь, директор по методологии и стандартизации компании Positive Technologies Дмитрий Кузнецов делит финансовые кибератаки на три категории:
- Преступники уводят средства со счетов физических лиц, индивидуальных предпринимателей и небольших компаний.
- Хакеры взламывают платежные приложения, банкоматы или внутренние сети банка и выводят средства кредитного учреждения. Потери от таких нападений часто компенсируются увеличением ставок по кредитам, более рискованной политикой или экономией внутри банка.
- Атаки, о возможности проведения которых предупредила ФСБ. Преступники делают информационный вброс о возможных финансовых потерях в системообразующем банке, провоцируя клиентов на досрочное изъятие депозитов. Недостаток свободных средств приводит к тому, что банк теряет возможность выдавать кредиты, совершать сделки, и в самом тяжелом случае — к прекращению денежных расчетов", — рассказал Кузнецов. По его словам, это может привести к отзыву лицензии, потере средств на расчетных счетах корпоративных клиентов, к панике в банковском секторе и эффекту домино в отношении прочих банков.
Центральный банк РФ (ЦБ) планирует до 2018 года защитить систему от любого из этих рисков. На сайте регулятора был опубликован документ "Обзор финансовой стабильности", где в качестве одного из рисков фигурируют кибератаки, причем не только против всей системы, но и против конкретных вкладчиков. Аналитики ЦБ отмечают, что "наблюдается рост числа сообщений о несанкционированных операциях по переводам денежных средств со счетов физических лиц, совершаемых посредством дистанционного банковского обслуживания". Они полагают, что во многих случаях мошенники воруют деньги с использованием методов, побуждающих клиентов сообщать информацию, необходимую для осуществления переводов денежных средств от их имени (методы социальной инженерии).
Для борьбы с интернет-преступниками ЦБ предлагает ввести сразу несколько мер защиты. Среди них:
- Приведение системы управления риском кибератак в соответствие c требованиями, установленными регулятором.
- Законодательное закрепление права финансовой организации приостанавливать переводы при выявлении признаков совершения перевода денежных средств без согласия плательщика.
- Введение новой статьи Уголовного кодекса, которая устанавливает ответственность за такие виды деятельности, как хищение средств, находящихся на банковском счете, или электронных денег, в том числе совершенное с использованием поддельных или принадлежащих другому лицу платежных карт, а также вмешательства в функционирование средств хранения, обработки или передачи компьютерной информации.
- Создание правовых и технологических условий по проведению повсеместной проверки качества платежных приложений путем их сертификации или анализа на соответствие требованиям безопасности информации, а также внедрение механизмов защиты, использующих дополнительное подтверждение платежных поручений в системах дистанционного банковского обслуживания и при использовании интернета.
- Разработка и ввод в действие национальных стандартов Российской Федерации, устанавливающих детальные технические требования к обеспечению информационной безопасности в финансовых организациях.
- Развитие отраслевого комплекса стандартов ЦБ по вопросам обеспечения информационной безопасности, а также создание правовых условий для их обязательного применения.
Директор по методологии и стандартизации компании Positive Technologies уверен, что Центробанк проводит колоссальную работу по стимулированию банков к повышению защищенности систем. По его словам, Банком России создан и запущен FinCERT — отдел, который занимается информированием банков об инцидентах и угрозах в сфере информационной безопасности. "Разрабатываются методические рекомендации по созданию корпоративных и ведомственных центров кибербезопасности, некоторые из которых уже начали эффективно работать. Принимаются государственные и отраслевые стандарты, описывающие правила разработки безопасных приложений, поиска уязвимостей в программном обеспечении, реагирования на инциденты. Завершается подготовка законопроекта "О безопасности критической информационной инфраструктуры РФ", принятие которого создаст основу для создания общегосударственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на органы государственной власти и коммерческие организации", — рассказал Кузнецов. В то же время, по его мнению, иногда сами кредитные учреждения пренебрегают предостережениями регулятора:
Разработано более десятка стандартов и нормативных документов, регламентирующих различные аспекты обеспечения безопасности. К сожалению, большая их часть имеет рекомендательный характер, и многие банки их игнорируют. Поэтому Банк России взял курс на ужесточение требований и придание им статуса обязательных, а также постепенно вводит механизмы контроля за выполнением этих требований
Подготовили Сергей Круглов и Ольга Махмутова