«Мы в своей работе придерживаемся принципа двух «Д»: добровольность и доверие»

— Безусловно, до сих пор крайне актуальны атаки типа «отказ в обслуживании», т.е. DDoS-атаки. Они перестали носить массовый характер, но сложность их организации стала совсем другой. Есть, например, атаки, помогающие замести злоумышленникам следы каких-то других действий. В прошлом году и в начале этого года мы также сталкивались с атаками, целью которых было создание негативного отношения к банковской системе и посеять панические настроения, поэтому такие атаки для Центробанка являются очень значимым индикатором.

Еще я бы отметил так называемые таргетированные атаки, когда под определенную организацию готовится вредоносный файл, при этом особое внимание уделяется методам его доставки в корпоративную сеть организации. Обычно доставка таких вредоносов происходит через почту, мошенники маскируют их под обычные письма. В данном случае наблюдается определенный симбиоз технической составляющей – непосредственной разработки вредоносного кода – и методов социальной инженерии – подготовка такого письма для сотрудников организации, которое они с большой долей вероятности откроют.

Третье направление, которое я считаю крайне важным, — это так называемые информационные атаки. Когда в социальных сетях, в мобильных мессенджерах и других информационных ресурсах, расположенных в сети Интернет, специально поднимается волна, для того чтобы создать вокруг какой-то организации негативное информационное поле. Этот вопрос напрямую не относится к ИБ, но если не отслеживать такие вещи, бизнес может сильно пострадать. Банк при таком негативном фоне может лишиться и вкладов, и клиентов. Поэтому у нас есть рекомендации для финансовых организаций, как можно с этим бороться.

Если говорить про атаки, я считаю, что эти три большие группы особенно актуальны. Конечно, это не исключает массу других видов атак, просто, на сегодняшний день они не так распространены.

— Практически да.

— Рекомендации мы разрабатываем вместе с ними. В Банке России создан Технический комитет 122, в рамках которого действует подкомитет номер один, где обсуждаются темы по информационной безопасности. Его участниками являются представители кредитных организаций, консалтинговых компаний и специалисты по информационной безопасности, а также представители ФСБ и ФСТЭК России. В рамках этого подкомитета идет выработка стандартов по информационной безопасности и рекомендаций по разным направлениям деятельности гособеспечения безопасности. Я уже упомянул рекомендации по предотвращению утечек и мониторингу таких информационных атак. Есть рекомендации, связанные с обеспечением безопасности на всех этапах жизненного цикла автоматизированных систем, еще по ряду направлений безопасности.

Мы даем рекомендации в том числе и по ресурсному обеспечению: с какими предложениями идти к руководству, чтобы обосновать бюджет на безопасность или штат. Сейчас технический комитет ведет работу над несколькими рекомендательными документами: по квалификационным требованиям к персоналу, обеспечивающему информационную безопасность, и рекомендации по аутсорсингу ИБ.

Мы видим, что запрос на передачу на аутсорсинг такой чувствительной функции, как ИБ, созрел. Но тут важно предусмотреть массу нюансов: что именно можно передавать, как и о чем должны договариваться стороны, что должно быть отражено в соглашениях. Все эти вопросы как раз и будут отражены новом документе.

— Он уже прошел стадию публичного обсуждения. Собственно, технический комитет за него проголосовал и, согласно процедурам Росстандарта, мы этот документ уже перенесли на следующую стадию проработки. Это уже процедура Росстандарта, чисто техническая. Дальше мы ожидаем, что, ориентировочно, в III квартале этот документ получит статус государственного стандарта.

— Знаете, на самом деле мы ожидали гораздо большего. То есть активность сторон оказалась не очень высокой. Действительно, много было чисто редакционных правок, а вот принципиальный вопрос был только один, и он касался применения сертифицированных средств обеспечения безопасности. Обязательность либо необязательность – здесь мы опять же не изобрели ничего нового. В этом вопросе мы обязаны следовать той позиции, которой придерживается государство. При этом мы постарались предусмотреть достаточно большую вариативность. Я постараюсь изложить нашу позицию неказенным языком. У вас есть определенный риск и нужно принять решение о применении тех или иных средств защиты. Безусловно, приоритет должен быть отдан сертифицированным средствам. Но, если это невозможно или экономически нецелесообразно, а также «стоимость» риска гораздо ниже стоимости самих средств, очевидно, здесь может быть принято решение об использовании альтернативных вариантов.

— Давайте сформулируем вопрос по-другому: «Как измерить качество проведения такой экспертизы?». Сейчас на рынке много компаний, которые пытаются играть на этом поле, но, к сожалению, за их плечами нет реальных специалистов, людей с опытом. Часто они просто приобретают некий инструментарий, который позволяет автоматизировать процедуры проведения таких тестов, получают отчеты и выдают их за результаты своей работы. Конечно, за этим нет глубокой проработки вопроса. С другой стороны, есть компании, которые оказывают эти услуги профессионально, вкладываясь в подготовку персонала, – они действительно способны проводить серьезные исследования. Поэтому вопрос, как оценить качество подобных услуг, очень насущный. Сейчас мы проводим консультации с федеральными органами о проработке определенных требований к подобным компаниям и к квалификации специалистов, которые оказывают подобные услуги.

— Мы пока в этом необходимости, честно говоря, не видим. Большая часть вопросов, связанная с платежами, регулируется рядом требований, обязательных к применению в РФ. Если говорить о платежной системе «Мир», то ее оператор НСПК недавно вошла в состав Совета по стандартам безопасности данных индустрии платежных карт (Совет PCI CSS). Дальше перед ними будет стоять задача привнести отечественную специфику в документы, которое выпускает это сообщество.

На мой взгляд, это гораздо эффективней, чем создавать что-то, что уже было создано.

— Центральный банк имеет статус компетентной организации у нескольких координаторов доменных зон, которые имеют отношение к РФ. Это доменные зоны RU, SU, РФ и некоторые другие. Что это дает? ЦБ может обращаться к регистраторам с просьбой о снятии с делегирования определенных доменов в этих зонах. Основанием для этого является наше экспертное мнение о том, что данный ресурс выступает в качестве фишингового либо рекламирует или предлагает услуги, которые в РФ подлежат обязательному лицензированию, однако лицензия при этом отсутствует. За последнее время мы закрыли несколько ресурсов, которые маскировались под банки, при этом в действительности банками не являлись. В качестве своих лицензий они предоставляли информацию о лицензиях давно ликвидированных либо несуществующих банков.

Есть другой вариант, когда поддельный сайт делают максимально похожим на сайт реальной финансовой организации. Отличие может быть самым незначительным – одна буква в адресной строке. Злоумышленники используют эти поддельные сайты, чтобы получать у пользователей персональные данные и данные для доступа к их интернет-банкингу.

В начале этого года наше внимание привлек всплеск активности по созданию фейковых сайтов, мимикрирующих под сайты страховых компаний. Это было связано с появлением услуги по электронной выдаче полиса ОСАГО. Конечно, здесь мошенники сразу решили порезвиться, хотя продолжалось это недолго, честно сказать. Мы очень плотно работаем с Российским союзом автостраховщиков. В том числе поэтому выявление таких сайтов и их блокировка происходят очень быстро. С начала года было снято с делегирования более 300 таких сайтов, а по еще большему числу мы написали заявку на блокировку. К сожалению, блокировка в этом случае происходит не всегда, поскольку сайты могут находиться в доменных зонах, не входящих в пределы российской юрисдикции. Хостятся такие сервера, как правило, в Европе, Юго-Восточной Азии или в США. В этом случае возможности быстро закрыть сайт у нас нет, поэтому мы вынуждены действовать через государственную систему обнаружения, предотвращения атак. Мы отправляем им информацию, а дальше они по своим каналам стараются решить эту проблему.

Проблема с поддельными сайтами существует и является крайне серьезной. Я думаю, тут следует действовать по аналогии с законом о блокировке сайтов, связанных, например, с суицидом, наркотиками и т.д., ведь нанесение финансового ущерба тут явное. Осталось только эту задачу реализовать. Могу сказать, что по инициативе Центробанка этот вопрос обсуждался на госсовете, посвященном защите прав потребителей, и сейчас мы вместе с Минкомсвязи прорабатываем вариант законодательного закрепления досудебной процедуры блокировки таких сайтов. Ведущую роль здесь, конечно, будет играть Минкомсвязи, поскольку это их профильная деятельность, а Роскомнадзор будет выдавать указания операторам по блокировке. Мы выступаем как компетентная организация, которая может сказать, что та или иная финансовая организация действует без лицензии или конкретный сайт является явно фишинговым и его используют в незаконных целях.

— Это вторая задача. Ее мы тоже будем решать, но не в первую очередь. Она носит чисто технический характер. Необходимо, чтобы прежде всего существовала определенная поддержка со стороны законодательных органов.

— Естественно мы обмениваемся информаций, кроме этого, у нас довольно плотные взаимоотношения с Беларусью и Казахстаном. Коллеги участвуют в нашем информационном обмене и подключены к нашим информационным рассылкам.

Мы пытаемся наладить отношения с коллегами из Европейского центрального банка.  При этом мы работаем с коллегами из Юго-Восточной Азии и Малайзии. С французами тоже обмен определенный есть, может, не такой интенсивный, как нам бы хотелось, но на это есть объективные причины. Кроме того, количество персонала у нас не такое большое, чтобы можно было выделить отдельных людей, отвечающих за международное сотрудничество.

— Организация, подобная FinCERT, совершенно точно есть в Израиле. Что-то подобное существует в Финляндии – организация, финансируемая государством, но живущая своей самостоятельной жизнью, ее основные клиенты – как раз финансовые учреждения. О подобном информационном обмене пытаются думать в других странах Европы. Но совершенно точно могу сказать, что такого масштаба и охвата по направлениям деятельности, как в FinCERT, больше нет ни у кого.

— Да, и это подтвердили консультанты с международным именем. Они сказали: «Мы, к сожалению, не можем привнести никакой дополнительный опыт — вы уникальны».

— Мы в своей работе придерживаемся принципа двух «Д»: добровольность и доверие. Мы никого не заставляем участвовать в информационном обмене, тем не менее среди участников только кредитных организаций уже более 400. Сейчас к нам активно присматривается на предмет подключения московское правительство, есть несколько субъектов федерации, областные администрации.

Главным итогом я считаю то, что нас читают, с нами делятся, нам есть, что сказать, нам есть, что проанализировать. Мы будем и дальше развиваться в эту сторону. Планов по развитию у нас очень много.

— Мы начали отдельно проводить технические исследования по просьбе МВД и Следственного комитета. Это крайне сложная работа – она требует не только определенного технического обеспечения, но и действительно глубокой технической экспертизы у специалистов. Прежде всего это дела, связанные с финансовыми вопросами, в основном с хищением денежных средств.

Про то, что касается доменов, мы с вами уже поговорили, — там тоже поле непаханое, есть куда стремиться.

Отдельно могу сказать, что мы сейчас прорабатываем тему формирования глобальной всероссийской антифрод-системы. Сейчас Министерство финансов и депутаты обсуждают определенные инновации в законодательстве. Если эти изменения будут приняты и вступят в силу, нам будет что противопоставить преступности и в этой части.

Безусловно, мы будем дальше расширять аналитику, очевидно, подключив собственные источники получения информации. Информационный обмен, конечно, остается, но мы хотим работать на опережение.

Отдельная задача для нас — координация действий банков, когда идет массовая DDoS-атака или массовая рассылка вредоносов. Мы видели несколько таких волн за последний год.

— Конечно, могут! Про органы исполнительной власти и субъекты Российской Федерации я вам уже сказал. В информационном обмене участвуют в том числе организации, оказывающие услуги в области информационной безопасности, и, кстати, они чаще поставляют нам информацию, нежели от нас ее получают. Вполне приличный объем информации мы получаем от разработчиков банковского программного обеспечения. Все это позволяет нам формировать достаточно информативные аналитические материалы.

— Не вижу проблем, чтобы с ними взаимодействовать. Тем более что большая часть атак, связанных с информационными системами, приблизительно похожа, исключение составляют разве что атаки, направленные на АСУ ТП.

Банковская сфера очень привлекательна для киберпреступников по совершенно простой причине: монетизировать результаты атаки здесь гораздо проще и гораздо быстрее. Соответственно, финансовые организации сейчас лидируют по сравнению с другими отраслями по уровню информационной безопасности. Отчасти на это повлияло выстроенное   регулирование в финансовой сфере, отчасти – привычка финансистов внимательно относиться к разным вопросам своей деятельности. Все это привело к тому, что выполнение требований по безопасности для большинства отечественных финансовых организаций по факту стало обязательным. Даже не де-юре, а де-факто. Сейчас уровень ИБ везде приблизительно одинаковый и относительно высокий. Есть, конечно, отдельные случаи, но это, как правило, организации, которые в итоге оказываются в списке с отозванными лицензиями.

— Потому что деньги счет любят. Информационная безопасность по сути — это одна из частей операционного риска для любой финансовой организации.

Когда финансовая организация ведет свой бизнес, она должна учитывать не только кредитные риски, риски ликвидности, но и операционные, в том числе риск нарушения доступности. Нормальное функционирование информационных систем и информационная безопасность очень плотно между собой связаны. Трудно представить банк, куда бы не пришла информатизация. Тот, кто не думает о безопасности в этой части, не думает о самом бизнесе.

С другой стороны финансовые организации нельзя рассматривать как обычный бизнес. Они могут конкурировать качеством своих продуктов, качеством сервиса, а вот безопасность и выполнение финансовых нормативов обязательна – это не предмет для конкуренции. Банк не может принять решение не вкладывать в информационную безопасность, потому что в конечном счете пострадают его клиенты.

Даже очень небольшой банк, предоставляющий своим клиентам качественный быстрый сервис, хорошо их обслуживающий, имеющий ликвидность и при этом обеспечивающий безопасность, может быть вполне достойным конкурентом очень крупному банку. Но клиенты и того и другого банка должны быть уверены, что они хорошо защищены. Обязанность ЦБ следить за этим.

— Нет, насчет лишения лицензии я сильно сомневаюсь. Если банк лишают лицензии – это значит, что все остальное в банке плохо, не только информационная безопасность. Но влияние Центрального банка в части соблюдения требований ИБ будет нарастать. Уже сейчас большинство проверок, которые проводит Центробанк в кредитных организациях, содержит часть, связанную с информационной безопасностью.

Если посмотреть на международную практику, наши коллеги из других стран идут по тому же пути. Вопрос устойчивости банков к кибератакам – это не что-то специфическое, сейчас уже обсуждаются практические шаги, в том числе как наладить обмен представителям разных стран, как выработать единые требования ко всем банкам. В некоторых вещах мы идем впереди, но в целом и в Европе, и в Юго-Восточной Азии все очень серьезно. Это вопросы устойчивости всей финансовой системы страны.

— Странно это слышать, потому что на самом деле у нас есть как минимум две крупных площадки – это Уральский форум и FINOPOLIS, где эти вопросы обсуждаются, причем на достаточно серьезном уровне. Эти площадки разные по аудитории. FINOPOLIS больше делает акцент на бизнес, Уральский форум – на технические аспекты. Замечу, оба эти мероприятия проходят не в Москве. Это наше осознанное решение – проводить их в регионах, мы хотели, чтобы людей ничего не отвлекало, они могли действительно собраться и поговорить.

Кроме этого, есть две ассоциации — Ассоциация российских банков и Ассоциация региональных банков «Россия», со своими комитетами. На этих площадках можно обсудить любые вопросы — мы всегда готовы к диалогу.

В планах на этот год у нас автоматизация работы FinCERT, возможно, мы подумаем об открытии онлайн-площадки.

Я особо хочу подчеркнуть, что в этом году состоится уже третий FINOPOLIS. И вопросы информационной безопасности там будут активно обсуждаться, так что мы приглашаем всех принять в нем участие, особенно тех, у кого есть потребность обсудить какие-то насущные проблемы, в том числе представителей других отраслей. У нас есть, что сказать друг другу.