Хакеры выпали из рассылки
Реформа ФинЦЕРТа оставила банки без информационной поддержки
Реформа центра мониторинга и реагирования на компьютерные атаки ЦБ (ФинЦЕРТ), задуманная для его усиления и повышения эффективности, привела к обратным результатам: сокращению и снижению качества предоставляемой банкам информации по информационной безопасности. В частности, это затронуло такую чувствительную область, как хакерские атаки на банки и их клиентов. Проблема в том, говорят на рынке, что у служб, на которые разделили ФинЦЕРТ, уже более полугода нет руководителей, а ушедших специалистов не удалось заменить в полной мере. Между тем, отмечают эксперты, самих атак меньше не становится, по итогам года они должны вырасти на 10-15%.
Как стало известно “Ъ”, в последние месяцы резко снизилось количество информационных бюллетеней, которые ФинЦЕРТ рассылает по банкам. По данным участников рынка, если в прошлом году на каждый рабочий день приходилось в среднем два и больше бюллетеня, то в первые два месяца этого года их количество сократилось до одного в день, а начиная с марта — до двух-трех в неделю.
Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) как специальное структурное подразделение Банка России был создан в 2015 году. На базе ФинЦЕРТа появилась создана система информационного обмена между участниками финансового рынка, правоохранительными органами, провайдерами и операторами связи, системными интеграторами, разработчиками антивирусного ПО и другими компаниями, работающими в сфере информационной безопасности. В ней участвуют более 800 организаций, в том числе все российские банки.
Работа ФинЦЕРТа вызывала нарекания банковского сообщества, и в ноябре прошлого года служба была реформирована (см. “Ъ” от 12 ноября 2020 года). Тогда в Банке России поясняли, что «изменения связаны с необходимостью усиления основных бизнес-процессов».
В результате реформы, как рассказали “Ъ” участники рынка, службу разделили на три независимых подразделения: центр мониторинга и анализа информационной безопасности, центр взаимодействия и реагирования, а также управление надзора и наблюдения. Все они входят в структуру департамента информационной безопасности ЦБ.
Однако, по отзывам банкиров, лучше работать структура в обновленном варианте не стала, скорее даже наоборот.
Так, по словам представителя одного крупного банка, снизилось не только число рассылаемых бюллетеней, но и качество информации в них. В частности, стало меньше данных об атаках на кредитные организации и используемых схемах.
Например, в конце апреля в документе был описан случай вывода средств, когда мошенники получили доступ к формированию платежных поручений от имени банка и успешно отправили их в платежную систему ЦБ. Однако, по словам банкиров, из бюллетеня было сложно понять сам механизм атаки.
По информации “Ъ”, основной проблемой реформы ФинЦЕРТа стал кадровый вопрос. Как рассказал источник, знакомый с ситуацией, прошло более полугода после начала реформы, но ни у одного из трех подразделений так и нет руководителя. При этом часть квалифицированных специалистов покинула службу, и «не всех из них удалось адекватно заменить».
В Банке России лишь пояснили, что «количество бюллетеней уменьшилось, так как уменьшилось число компьютерных атак». Однако участники рынка возражают, что интенсивность нападений на банки не снижается и отсутствие качественной информации об этом не идет на пользу.
По словам главного эксперта «Лаборатории Касперского» Сергея Голованова, в 2021 году целевых атак на инфраструктуру банков стало больше, чем в 2020 году. «Их клиентов продолжают атаковать посредством фишинга и социальной инженерии»,— добавляет он.
Управляющий RTM Group Евгений Царев отмечает, что при атаке на клиентов-физлиц появилась новая тенденция — нападению подвергаются клиенты какого-то одного конкретного банка. Ведущий эксперт направления «Информационная безопасность» ИТ-компании «Крок» Александр Черныхов уточняет, что в 2021 году сохраняются «ключевые тренды», проявившиеся еще в 2020 году, при этом ожидается увеличение количества атак на 10–15.