Собирать доказательную базу по киберпреступлениям в финансовой сфере и доводить соответствующие дела до суда вскоре станет проще. ЦБ и правоохранительные органы (ФСБ, Следственный комитет и МВД) разработали для банков документ, регламентирующий порядок сбора доказательств при расследовании эпизодов, связанных с хищениями средств и данных с помощью атак на серверы финансовых компаний. Только за девять месяцев 2016 года в России таким образом было украдено около 5 млрд руб., и до сих пор привлекать к ответственности преступников удается крайне редко.
Документ, который может сыграть значимую роль в борьбе с кибератаками,— проект стандарта Банка России "Сбор и анализ технических данных при реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств" (есть в распоряжении "Ъ"). Документ разработан для банков. Для тех из них, кто присоединился к Fincert (Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере; создан при ЦБ), а таких более 500 игроков, включая всех крупных, требования стандарта будут обязательными для исполнения. "Работа над этим документом фактически завершена, МВД вносит последние технические правки",— пояснил "Ъ" заместитель начальника главного управления безопасности и защиты информации Банка России Артем Сычев. Он добавил, что "собранные в соответствии с этим регламентом доказательства киберпреступлений будут переданы органам следствия и использованы ими в качестве доказательной базы в суде".
Вопрос по своевременному расследованию киберпреступлений в финансовом секторе стоит особенно остро. По словам Артема Сычева, по итогам девяти месяцев 2016 года ущерб от киберпреступлений в России составил около 5 млрд руб. "Все российские банки каждый день подвергаются кибератакам",— заявил вчера первый зампред Банка России Сергей Швецов. Так, 8 и 9 ноября, по данным ЦБ, были атакованы более пяти крупных российских банков и сам Банк России. Максимальная мощность атак составила около 2 ГБ/с. Обошлось без последствий (нарушений сервисов не зафиксировано ни в одном атакованном банке), сообщила пресс-служба ЦБ. Однако и виновные в кибератаке пока не найдены и не привлечены к ответственности.
Участники рынка подтверждают: документ крайне важен, так как благодаря ему большее количество киберпреступлений в сфере хищения денежных средств с банковских счетов дойдет до суда. Сейчас при выявлении мошенничества (кражи денежных средств со счета клиента или банка) по заявлению потерпевшего возбуждается уголовное дело, которое расследуют специалисты МВД, при необходимости этим занимаются СК РФ и ФСБ. "Уровень подготовки оперативных работников и следователей не всегда достаточен для понимания используемого механизма атаки,— отметил глава НП специалистов информационной безопасности Дмитрий Левиев.— Приглашенные технические эксперты также не всегда могут установить перечень необходимых действий для фиксации свидетельств уголовно наказуемого деяния". В России в правоохранительных органах не более тысячи специалистов, которые умеют работать с подобными преступлениями, и на каждого приходится около пяти преступлений в день, говорит Дмитрий Левиев.
Оперативно собирать доказательства могли бы сами банкиры, но в банках еще меньше специалистов по этим вопросам, и, как следствие, сроки сбора доказательств, даже если такой сбор и производится, далеки от оперативных, указывают участники рынка. "Те же трояны живут в операционной памяти компьютера,— поясняет начальник управления информационной безопасности ОТП-банка Сергей Чернокозинский.— Их необходимо выявлять максимально оперативно, причем не только выявлять, но и отслеживать путь их проникновения". Ожидание приезда специалиста может быть критичным: вирус может самоуничтожиться, стереть следы проникновения или же нанести существенный урон автоматизированной системе банка, продолжает он. "При расследовании хищений денежных средств с использованием удаленных каналов обслуживания для сбора доказательства требуется детализированная техническая информация, позволяющая однозначно установить все действия и операции, совершаемые мошенниками,— говорит и начальник отдела информационной безопасности банка из топ-5.— Например: дата, время совершения операции, устройство, с которого была совершена операция, сведения о подтверждении совершения операции, а также о счетах зачисления украденных средств и их владельцах, местах и способах обналичивания и т. п., иначе дело не дойдет до суда или рассыплется в суде за отсутствием состава преступления".
"Собственно, стандарт — это попытка обобщить опыт работы ЭКЦ МВД, ЭКЦ ФСБ, профессионального сообщества кредитно-финансовой сферы, экспертов в области информационной безопасности и судебной практики с целью сбора в едином месте методологического подхода к решению задачи сбора и фиксации свидетельств и доказательств",— указывает Дмитрий Левиев.
Указанный стандарт — лишь часть глобальной работы ЦБ и правоохранительных органов по созданию законодательной и нормативной базы для борьбы с кибератаками. Предполагается, что эффект от введения стандарта в действие будет усилен поправками к Уголовному кодексу (УК), ужесточающими ответственность за киберпреступления, сейчас находящимися на согласовании в МВД и Минюсте. Эти поправки вводят в ст. 158 УК РФ новый вид хищения — "кража с банковского счета или электронных денежных средств" — и дополняют ст. 183 УК РФ составом "сбор информации путем обмана". Сейчас ответственность за такие преступления наступает по статье 159.6 "Мошенничество в сфере компьютерной информации". Она предполагает меньшую ответственность, так как там установлен высокий порог преступлений, совершенных в крупном и особо крупном размере (1,5 млн и 6 млн руб. соответственно). Кроме того, по общей статье привлечь к ответственности априори сложнее, чем по специальной, указывают юристы. Судя по всему, препятствий к принятию поправок не будет. В МВД их поддерживают. Как заявил начальник отдела управления "К" (расследует киберпреступления) МВД Максим Толкачев на недавнем IV Национальном платежном форуме, уголовную ответственность необходимо ужесточать: она не должна быть условной и ограничиваться штрафами, когда приводит к хищениям миллионов или миллиардов рублей.
Что такое Fincert
Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Fincert заработал летом 2015 года. Центр был создан при ЦБ во исполнение решения Совета безопасности о создании центра реагирования на мошеннические действия в финансовой сфере. Предполагается, что банки-участники направляют в ЦБ сведения о выявленных компьютерных атаках (на карточные счета, системы дистанционного обслуживания, банковские сайты). ЦБ анализирует данные, формулирует суть проблемы и оперативно направляет участникам рынка и правоохранительным органам результаты анализа. На 1 июля участниками Fincert было 511 банков.