С 1 июня 2015 года в ЦБ РФ начало работу новое подразделение - центр мониторинга и реагирования на компьютерные атаки в финансовой сфере.
По словам заместителя начальника Главного управления безопасности и защиты информации Банка России Артема Сычева, основными задачами центра будут мониторинг инцидентов, аналитика и обобщение информации, оперативное доведение аналитики до участников рынка, а также взаимодействием с правоохранительными органами.
Кроме того деятельность центра будет тесно связана с системами дистанционного обслуживания, с сайтами банков, с внутренними системами банков и многим другим.
Как отметил Сычев, количество электронных платежей в России ежегодно увеличивается в среднем на 10%, однако, растет и количество атак на банки с целью кражи денег — примерно на 20% в год.
В настоящее время центр работает на принципах добровольного предоставления информации - обязанности передачи информации в центр пока что не закреплены на уровне нормативных актов.
Возглавил центр информационной безопасности Дмитрий Фролов, ранее работавший в ФСБ, а затем семь лет работавший в ЦБ РФ в управлении, специализирующимся на защите информационных технологий.
Как вы прокомментируете создание в ЦБ центра реагирования на кибератаки в финансовой сфере? Поможет ли это эффективней бороться с атаками на сайты банков и предупреждать случаи хищения денег? Открыты ли финорганизации к сотрудничеству?
Создание данного подразделения можно оценить, как позитивный шаг в сторону предупреждения возможных проблем и повышения уровня безопасности всей сети Интернет. К нам, как к хостингу периодически приходят письма с просьбой ограничения доступа к сайтам наших клиентов, которые занимаются незаконной деятельностью, цель которой состоит в похищении персональных данных пользователей сети интернет. Отправителями данных жалоб являются либо пользователи сети, попавшие в ловушку злоумышленников, либо подобные зарубежные организации (например немецкие cyscon, clean-mx). Мы со своей стороны незамедлительно реагируем на подобные жалобы, так как полностью поддерживаем принципы безопасности. Поэтому введение правовых документов никак не повлияет на принципы нашей работы. Но есть и менее законопослушные хостинговые компании, которые не реагируют на подобные жалобы. Это, как правило, небольшие компании. Введение законодательных актов подтолкнёт их к повышению общей безопасности.
Не стоит забывать, что при осуществлении атаки основной объём трафика идёт с частных компьютеров обычных пользователей, заражённых вирусом. И только провайдер сможет ограничить доступ для данных пользователей, что нельзя произвести оперативно из-за их огромного количества.
Инициатива по созданию центра мониторинга и реагирования на компьютерные атаки в финансовой сфере оценивается положительно. Чем плотнее будет защита банковской системы с точки зрения IT-технологий, тем меньше будет прецедентов взлома и хакерских атак. Здесь должны быть самые прогрессивные системы и стратегии, чтобы Центр работал действительно эффективно. Усиление контроля в этой точки придаст российскому банковскому сектору привлекательность впоследствии.
Создание FinCERT – важнейшее событие как для банковской информационной безопасности, так и для рынка ИБ в целом. Его создание является значимым шагом на пути заметного увеличения эффективности борьбы с киберпреступлениями в финансовой сфере. При этом, что чрезвычайно важно, существенно вырастут и возможности ЦБ по предупреждению инцидентов. Ведь инцидент проще предотвратить, чем «разбираться» с его последствиями.
Эффективность FinCERT напрямую зависит от информационного обмена (как между самими банками, так и с другими CERT`ами и SOC`ами). Сейчас он только выстраивается, но так как в нем заинтересованы все стороны, этот процесс отличается достаточной активностью и, вероятно, уже совсем скоро он позволит вывести уровень борьбы с киберпреступлениями на новый уровень.
На наш взгляд, данная инициатива ЦБ очень полезна и, главное, - своевременна. В связи с развитием дистанционных каналов обслуживания в банках и МФО, активность кибермошенников также возросла, и, следовательно, увеличились потери финансовых организаций и их клиентов. Сейчас появляется ряд сервисов для микрофинансовых организаций, которые агрегируют данные нескольких МФО и позволяют обмениваться информацией о сомнительных операциях и пресекать потенциальные мошенничества. Так, если бы регулятор взял на себя эту функцию, эффективность такого взаимодействия была бы значительно выше.
Как вы прокомментируете создание в ЦБ центра реагирования на кибератаки в финансовой сфере?
Централизованный сбор данных об инцидентах в сфере информационной безопасности может быть крайне полезен для банковского сообщества. Повсеместное внедрение подобной практики позволит оценить глобальную картину защищенности банков и способность каждого из них реагировать на инциденты ИБ.
Еще одним весомым аргументом в пользу внедрения систем реагирования на инциденты в финансовых организациях является возможность отслеживать динамику повышения или снижения активности атакующих элементов. Как следствие, банк получит инструмент для оценки эффективности применяемых мер обеспечения безопасности, которые вырабатываются директивно как со стороны ЦБ, так и других регуляторов.
С появлением этого центра у финансовых компаний появляется возможность оценить опыт тех участников банковского рынка, которые применили новейшие технологии для собственной безопасности, помимо прописанных в стандартах или требованиях.
Поможет ли это эффективней бороться с атаками на сайты банков и предупреждать случаи хищения денег?
Данная мера вряд ли будет эффективной в части защиты от целенаправленной атаки, но совершенно точно позволит получить больше информации об эксплуатируемых уязвимостях в ПО, которые в дальнейшем могут быть переданы производителю.
Возможности технологии быстрого реагирования на инциденты подразумевают своевременное оповещение о начале массовой атаки на банковские системы или сайты. Соответственно, банки, которые еще не подверглись атаке, получают самое ценное – время для принятия защитных мер, ведущие к минимизации возможных потерь.
Открыты ли финорганизации к сотрудничеству?
Банковская сфера никогда не отличалась особой открытостью. В связи с большими репутационными рисками финорганизации крайне неохотно делятся информацией о своей инфраструктуре, не говоря уже о данных по инцидентам. Утечка информации о серьезной атаке в открытые источники может создать банку угрозу крупных финансовых потерь. Это может стать камнем преткновения для быстрого развития данного центра и его повсеместного использования, особенно, частными финансовыми организациями.