Артем Сычев: с масштабной DDoS атакой в одиночку никто не справится
Киберриски с прошлого года стали предметом пристального внимания крупнейших кредитных организаций России и руководства государства. Блок мероприятий по кибербезопасности включен в программу развития цифровой экономики в России, но одной "инициативы сверху" недостаточно. Эксперты отмечают, что в условиях нехватки ресурсов необходима кооперация усилий бизнес-сообщества – в первую очередь в форме информационного обмена, позволяющего его участникам реализовывать меры "раннего предупреждения".
По данным МВД за последние четыре года число преступлений, совершаемых в сфере информации и телекоммуникаций увеличилось почти в шесть раз. Основную долю среди них составляют финансовые преступления. Однако качество информационного обмена между бизнесом и Центром мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) ЦБ, постепенно повышается. О том, что сейчас находится в фокусе внимания ФинЦЕРТ и какие меры ЦБ планирует предпринять для дальнейшего снижения ущерба от киберпреступлений замначальника главного управления безопасности и защиты информации Банка России Артем Сычев рассказал в интервью ТАСС.
- Расскажите о работе в сфере кибербезопасности, которую ведет Банк России в контексте законодательного регулирования.
- Работа ведется по нескольким направлениям. Во-первых, Банк России продвигает принятие в Госдуме поправок в закон о Национальной платежной системе в части антифрода (поправки предусматривают, что финансовые организации, платежные системы и т. д. должны сообщать всю информацию об инцидентах в ЦБ, а регулятор, в свою очередь, будет информировать остальных игроков – Прим.ТАСС).
Четвертая тема связана с новым видом мошенничества, который начал набирать обороты с прошлого года – злоумышленники без ведома владельца номера меняют сим-карту, и все уведомления, которые к ней привязаны, в том числе, банковские, приходят на их телефон.
Второе направление – это блокировка фишинговых сайтов (сайты, созданные мошенниками с целью кражи персональных данных, в том числе - пин-кодов и CVC кодов банковских карт - Прим.ТАСС) за пределами Рунета. У нас сейчас есть возможность блокировать, точнее, инициировать снятие с делегирования сайтов в доменах .ru, .su и .рф, а вот с другими доменами мы этого делать пока не можем. Блокировка фишинговых сайтов с зарубежным хостингом или ресурсов, не имеющих российской лицензии, например, форекс-дилеров, – это вопрос, прежде всего, защиты прав потребителей. Если иностранное юрлицо предоставляет услуги, для оказания которых в России необходима лицензия, а получать ее и работать по установленным в России правилам компания и не думала, ее сайт целесообразно сделать недоступным для пользователя на территории нашей страны. Этот вопрос прорабатывался на многих уровнях, и правовая конструкция, позволяющая это делать, сейчас есть в законе №149-ФЗ "Об информации, информационных технологиях и о защите информации", где прописана внесудебная процедура блокировки сайтов через внесение их в реестр Роскомнадзора (единый реестр доменных имен, указателей страниц сайтов в сети "Интернет" и сетевых адресов, позволяющих идентифицировать сайты, содержащие информацию, распространение которой в Российской Федерации запрещено – Прим.ТАСС). Но ее целесообразно дополнить.
- Это наподобие того, как заблокирован ресурс Linked.in?
- Технически да. Мы понимаем, что это не панацея, но здесь цель – максимально оградить российского пользователя от недобросовестных лиц. Разработка проекта изменений в закон поручена Минкомсвязи, мы уже направили министерству свои предложения в этой части.
Третье (направление работы) – это принятие поправок в законодательство об ужесточении наказания за хищение денежных средств с использованием информационных технологий. Мы принимали участие в обсуждении этого документа, вносили в него свои корректировки. В мае законопроект был внесен в Госдуму.
Четвертая тема связана с новым видом мошенничества, который начал набирать обороты с прошлого года – злоумышленники без ведома владельца номера меняют сим-карту (делают дубликат сим-карты пользователя - Прим. ТАСС), и все уведомления, которые к ней привязаны, в том числе, банковские, приходят на их телефон.
Задача в том, чтобы оператор связи мог уведомить банк о смене сим-карты у его клиента. Технически это не очень сложно – по подобному принципу работает оповещение оператора, когда абонент переходит к другому оператору со своим номером. Базу перенесенных номеров по закону ведет ЦНИИС (Центральный научно-исследовательский институт связи – Прим.ТАСС). Очевидно, что технически возможно выстраивание точно такой же схемы в отношении замены сим-карт и получении доступа к этой информации кредитными организациями. Мы обсуждали это на консультативном совете при Председателе Банка России. Сейчас более-менее вырисовывается конструкция, как получение банками информации о замене сим-карт ввести в правовое поле. Подготовлен законопроект, который мы обсуждаем с Минкомсвязью.
- Вы сказали, что с прошлого года началось увеличение числа таких случаев – есть какая-то статистика?
- Количество случаев и украденных денег пока небольшое, но важна динамика: за прошлый год она выросла примерно на 30%. Кроме того, надо отметить еще одну особенность: в отличие от большинства мошеннических схем с банковскими картами, эта схема является целевой - злоумышленники покушаются на счета конкретных людей с заведомо большими остатками средств.
- В области информационного обмена – какие тенденции вы сейчас фиксируете, на что обращаете внимание его участников?
- Есть две тенденции, которые мы сейчас видим. Во-первых, это рассылки по банкам вредоносных программ с использованием программного обеспечения cobalt strike. Это инструмент двойного назначения, который может использоваться как для проведения тестов на проникновение, так и для взлома. Особенность этих рассылок в том, что они ориентированы исключительно на банки. Вредоносная программа позволяет злоумышленникам получить удаленный контроль над процессингом банка, который управляет карточными лимитами. Злоумышленник может повышать карточный лимит и тут же обналичивать деньги. Для банка это грозит существенной потерей собственных средств.
Вторая новая тенденция – это смещение "угла атаки". Если раньше в адресатах таких рассылок мы видели в основном работников бухгалтерии, финансистов, то сейчас эти рассылки адресованы сотрудникам IT-подразделений банков и имеют вид сообщений от телеком-компаний об изменении в конфигурациях каналов связи или, например, с новыми условиями договора или технической поддержки, и так далее. Дальше алгоритм такой же, как и раньше: сотрудник банка открывает вложенный файл либо ссылку и запускает действие вредоносной программы.
- То есть злоумышленники могут пытаться действовать даже через сотрудников банковской информационной безопасности?
- Уже пытаются и даже подделывают рассылки ФинЦЕРТа. Но, надо сказать, что банки стали намного внимательнее относиться к нашим рассылкам, особенно к тем, которые предупреждают об угрозах в адрес конкретных кредитных организаций. Не в последнюю очередь этот интерес связан с тем, что уведомления мы сейчас составляем на основе информации, получаемой в том числе от МВД России и ГосСОПКи (Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак в структуре ФСБ – ред.). От них иногда приходят очень интересные материалы, на основании которых мы предупреждаем конкретный банк, а потом анализируем информацию и в обезличенном виде направляем выводы всем участникам информационного обмена.
Важно отметить, что сейчас статистика по киберпреступлениям у нас и правоохранительных органов совпадает. Это показатель того, что мы совместными усилиями добились единого подхода в оценке криминогенной ситуации в части покушений на хищения денежных средств банков и их клиентов.
- Сколько таких рассылок было сделано?
- Только за 2016 год целевых рассылок, когда речь шла об атаках на конкретные банки, было порядка 30. Если говорить о массовых атаках: веерных рассылках вредоносов, DDoS-атаках (массированная атака типа "отказ в обслуживании - Прим.ТАСС) и так далее, то таких рассылок было 144. Также мы разослали 28 общих предупреждений с системными рекомендациями.
Сейчас рассылки ФинЦЕРТ получают 444 организации, их которых – 363 это банки. Остальные – это разработчики, интеграторы, даже некоторые региональные органы власти. По количеству участников мы начинаем уверенно опережать некоторые мировые ЦЕРТы (от англ. CERT – Computer emergency response team - группа реагирования на компьютерную опасность – Прим.ТАСС).
- Это российский обмен, а как ведется международный?
- У нас среди участников есть коммерческие банки стран ШОС, мы взаимодействуем с национальными центральными банками Белоруссии и Казахстана, сейчас налаживаем связь с Арменией. Есть контакты с Малазией. Также продолжаем работу в области международного сотрудничества.
- В прошлом году прогнозировалось усиление DDoS-атак. Как обстоят дела в этом направлении?
- Судя по тому, что мы наблюдаем, их число сильно упало. Атаки с использованием бот-сетей, включающих так называемый "интернет вещей", пока не фиксировались. Но, на мой взгляд, это не значит, что он больше не проявится – все дело в отработке и применении отработанной технологии. Но это вопрос не только защиты критической инфраструктуры, он гораздо шире. Возникает еще и вопрос взаимодействия с телеком-провайдерами, причем, не только на государственном, но и на межгосударственном уровне. Потому что с масштабной DDoS-атакой, при всем уважении к защитникам информации, в одиночку никто никогда не справится.
- Каким образом может строиться взаимодействие на межгосударственном уровне и как это повлияет на устойчивость национального финансового рынка?
- Есть и международные провайдеры. Приведу пример - у Швеции с Норвегией один телеком-провайдер, на котором "сидят" все банкоматы. Там возникала ситуация, когда действия технического персонала на оборудовании оператора связи – они были совершены без какого-либо умысла - привели к тому, что полтора часа банкоматы двух стран не работали. В результате пострадавшими оказались потребители финансовых услуг, хотя банки - владельцы банкоматов ничего не нарушали. При этом владелец банкомата не может переложить часть ответственности на провайдера услуг, хотя и зависит от работоспособности его сетей и сервисов.
- С телеком-операторами вы уже работаете, теперь логично с изготовителями программного обеспечения обсудить это взаимодействие?
- Мы прорабатываем вопрос по созданию добровольной системы сертификации. Основная мысль – это повышение качества услуг, связанных с обеспечением безопасности. Будет решаться параллельно несколько задач: сертификация систем безопасности в финансовых организациях и функционала безопасности, реализуемого в приложениях, связанных с банковской деятельностью, в том числе, пользовательских – мобильным и интернет-банком, системой "Клиент-банк" и других. Работа сложная, требующая детального обсуждения с ФСТЭК (Федеральная служба по техническому и экспортному контролю – ред.) и ФСБ. Есть несколько вариантов использования текущего законодательства.
- Уже понятно, что это будут за требования?
- За основу взяли опыт Совета по стандартам безопасности индустрии платежных карт, с учетом действующего в РФ законодательства, основываясь на законе о техническом регулировании и стандартизации. Любой банк, который эмитирует или обслуживает карты международных платежных систем, обязан проводить аудит и сертификацию программного обеспечения. Требования к качеству работы аудитора или сертификационной лаборатории с точки зрения безопасности тоже существуют, и мы хотим, чтобы когда такой внешний аудитор работал в российской финансовой организации, была уверенность в том, что он выполняет свою работу качественно.
Беседовала Мария Румянцева