Шифровка из Центробанка
Разработаны первые меры борьбы с киберугрозами
Спустя десять дней после совещания на тему киберугроз финансовому сектору с участием премьера Дмитрия Медведева последовали первые практические предложения о методах борьбы с ними. Ключевые — защита финансовых данных на более раннем, чем сейчас, этапе их обработки и создание единой базы данных лиц и компаний, участвующих в незаконном обналичивании.
Что именно намерены делать финансовые власти в этом отношении, вчера на заседании комитета ТПП по финансовым рынкам и кредитным организациям озвучили консультант Центра мониторинга и реагирования на компьютерные атаки в финансовой сфере (FinCERT) Банка России Александр Чебарь и заместитель начальника главного управления безопасности и защиты информации Банка России Артем Сычев. Основное предложение — защищать данные путем шифрования и электронной подписи на более раннем этапе: не в момент их прохождения через расчетную систему Банка России, а раньше, на этапе, когда данные находятся еще в банке, проводящем ту или иную операцию.
Как пояснили "Ъ" в ЦБ, решение было принято, во-первых, с учетом анализа мирового опыта — именно такая практика применяется почти во всех крупных платежных системах,— во-вторых, с учетом анализа имевших место фактов хищений денежных средств у коммерческих банков. "Сейчас идет обсуждение этого вопроса, как только будет сформирована общая позиция, она примет форму нормативного документа",— сообщили в ЦБ. Это должно способствовать снижению уровня хищений денежных средств за счет усложнения для атакующих условий атаки. Как указывают в ЦБ, в последнее время эти атаки сместились от взлома карты или банк-клиента конкретного физлица или компании к взломам самих банковских систем.
Банкиры рассказывают, как это работает на практике. Вброс идет от любого источника — это может быть фишинговое письмо или письмо с троянским вирусом. Например, по словам начальника управления информационной безопасности Бинбанка Евгения Калашникова, были случаи, когда вредоносный вирус проникал в базу банка через службу персонала под видом резюме соискателя. Далее большинство банков отправляет платежи в ЦБ партиями, так называемыми реестрами. "Реестры идут в формате обычного XML-файла, из которого видно, кто, кому и сколько переводит",— отмечает руководитель службы комплексных рисков МДМ-банка Андрей Добарин. "Канал, по которому отправляются реестры, не защищен, и этим пользуются мошенники,— продолжает руководитель ИТ-департамента Морского банка Дмитрий Киреев.— В отправленные реестры с легитимными платежами внедряется фиктивный платежный документ. Он вместе с легитимными реестрами отправляется в платежную систему Банка России, где принимается к исполнению, заверяется электронной подписью и направляется в другие банки. После этого вирус обрушивает всю автоматизированную систему банка, куда проник. А в это время деньги из реестра-фальшивки уходят на сотню-другую карточных счетов в других регионах и снимаются через банкоматы".
По словам Александра Чебаря, чаще всего подобные карты оформляются на подставных лиц и являются картами премиум-класса, позволяющими снимать большие суммы. В связи с этим в дополнение к установлению защиты (с электронной подписью и шифрованием) по всем реестрам платежей, направляемым в ЦБ, планируется предпринять еще один шаг — создать единую базу данных, содержащую сведения обо всех случаях снятия наличных. В пресс-службе ЦБ сообщили, что сейчас Банк России сотрудничает с органами исполнительной власти в разработке законопроекта, который позволит такую базу создать.
Озвученные вчера меры стали первыми шагами по реализации поручения Дмитрия Медведева об активизации борьбы с киберугрозами, ущерб от которых постоянно растет. По данным ЦБ, начиная с четвертого квартала 2015 года кибератакам подвергся 21 банк, в общей сложности мошенники попытались вывести 2,87 млрд руб. При этом остановлено было трансакций на 570 млн руб., и еще 1,2 млрд руб. было заблокировано на счетах банков. Итого в общей сложности было похищено около 1 млрд руб. У МВД схожая статистика — 2,81 млрд руб. пытались похитить мошенники; сколько удалось похитить реально, МВД не раскрывает. Изменились за год и аппетиты кибермошенников, отметил вчера замначальника управления "К" МВД России Евгений Михеев. Если первые хищения были 30-40-60 млн руб., то последние — от 0,5 млрд до 1 млрд руб. Впрочем, есть и гораздо более категоричные оценки. В декабре первый зампред правления Сбербанка Лев Хасис оценивал общие потери государства, бизнеса и граждан от киберпреступлений в 2015 году в объеме около 70 млрд руб.
Впрочем, несмотря на устрашающие цифры, рост нагрузки, а главное, отсутствие опыта в этой сфере для многих банков выглядят чуть ли не страшнее рисков кибератак. "Тот вариант, что предлагает ЦБ,— это переложить электронную подпись и шифрование на банки,— говорит начальник управления информационной безопасности Златкомбанка Александр Виноградов.— Для этого у компании, которая разрабатывает АБС для банка, согласно законодательству, должна быть лицензия ФСБ. Для ее получения в штате компании должно быть два специалиста, прошедших специальное обучение в течение 500 часов и имеющих минимум три года стажа в области разработки средств шифрования". "На рынке подобных специалистов — единицы. Поэтому уйдет минимум три года, пока новое правило сможет реально заработать",— считает господин Виноградов. "ЦБ фактически снимает с себя ответственность за происходящее,— отмечает Андрей Добарин.— Реализация предложенных ЦБ мер — это небыстро и очень дорого". По словам экспертов, подобная АБС может обойтись банку порядка 4-5 млн руб.
В ЦБ заверяют в обратном: "Сегодня в банках все вопросы электронной подписи решаются штатными специалистами, и никаких дополнительных специалистов для этого не потребуется". Кроме того, там обещают для банков переходный период, его срок пока обсуждается. Впрочем, даже после этих заверений банкиры настроены не слишком оптимистично. "Внедрение подобной системы не защитит полностью от кибератак,— рассуждает господин Киреев.— Злоумышленники, проникшие в сеть банка, смогут найти технологии для взлома реестров в АБС".