Артем сычев: «под ударом преступников оказываются коммерческие банки»

- kbrbank

Артем сычев: «под ударом преступников оказываются коммерческие банки»

В интервью для Bankir.Ru помощник главы защиты управления информации и главного безопасности Банка России Артем Михайлович Сычев поведал о новых угрозах безопасности банков, опыте работы FinCERT и главных итогах Уральского форума по информационной безопасности. — Артем Михайлович, сколько банков В первую очередь года оказались под ударом мошенников, и не планирует ли Банк России ужесточить требования к обеспечению информационной безопасности в банках? На 1 марта 2016 года мошенники совершили покушение на хищение средств в отношении 19 кредитных организаций

— На 1 марта 2016 года мошенники совершили покушение на хищение средств в отношении 19 кредитных организаций. Не смотря на то, что для нас ответственнее не какое количество атак было, а какое количество средств постарались похитить. На данный момент Банк России разрабатывает комплекс мер, стимулирующих банки повысить уровень информационной безопасности. Цель этих мер — понизить результативность атак мошенников.

Дабы они затрачивали как возможно больше средств на преодоление защиты, а итог приобретали минимальный.

— Не предусматривает ли данный комплекс мер перевод информационного сотрудничества FinCERT с банками на необходимую базу вместо необязательной?

— Мы принципиально не планируем этого делать, дабы не утратить рациональное зерно этого сотрудничества. FinCERT так же, как и прежде будет взаимодействовать с кредитными организациями на правилах доверия и добровольности.

— Какие конкретно меры нормативно-правового характера планирует внедрять Банк России для улучшения обстановки в сфере ИБ?

— Банк России прорабатывает создание совокупности сертификации исполнения поднадзорными организациями требований ИБ. Соответствующий замысел мероприятий по внедрению и разработке данной совокупности будет в скором будущем представлен на рассмотрение управления Банка России. Практическая реализация этого замысла включает в себя внесение трансформаций в отдельные нормативные акты Банка России. Создание самой совокупности сертификации может занять около года.

Мы прорабатываем данный вопрос с учетом лучшего мирового опыта, что практически всем банков уже знаком, исходя из этого каких-то неожиданностей кредитным организациям ожидать не следует.

— Сравнительно не так давно угрозы для информационной безопасности банков были обсуждены на Уральском форуме по информационной безопасности, одним из активных участников и организаторов которого вы являетесь. Как бы вы подвели итоги форума этого года?

— В текущем году на форуме стало ясно, что антифрод стал де-факто стандартом для русских банков. На это повлияли, само собой разумеется, и общемировые тенденции, но в Российской Федерации мы начали об антифроде сказать именно на Уральском форуме, и неспешно банки до этого доросли. Кроме этого и FinCERT, и сам принцип информационного обмена между регулятором и банками выросли из дискуссий на форуме.

Из новых тем, каковые очевидно проявились в текущем году, возможно выделить необходимость проработки вопросов аутсорсинга информационной безопасности для средних и малых банков. Продолжилось обсуждение необходимости расширения рамок информационного обмена. И обращение шла не только о банках, но и об МФО.

— Как вы вычисляете, с телекоммуникационными компаниями также нужен информационный обмен?

— Вместе с телекоммуникационными компаниями мы заинтересованы, тем более что они на данный момент деятельно продвигают собственные денежные сервисы. Данный вопрос также очень сильно пересекается с банковской тематикой. Денежные сервисы это область регулирования Банка России. На Уральском форуме весьма без шуток обсуждался аутентификации клиента и вопрос идентификации в электронном пространстве.

И в этом смогут быть нужны технологии, каковые имеется у телекомоператоров.

— Вы имеете в виду ЕСИА? ЕСИА не имеет возможности всецело решить задачи банков. Кроме идентификации клиентов, банки заинтересованы в скоринге клиентов, оценке их платежной способности

— ЕСИА — это лишь один из вариантов, что возможно использован для идентификации. На форуме предлагались и иные варианты, от трансформации регулирования этого вопроса с учетом европейского опыта и заканчивая идеей об применении разработки блокчейн для сквозной идентификации.

ЕСИА не имеет возможности всецело решить задачи банков. Кроме идентификации клиентов, банки заинтересованы в скоринге клиентов, оценке их платежной способности. И тут не хватает лишь получения информации из бюро кредитных историй либо из пенсионного фонда. Для этого возможно было бы приобретать данные от национальных органов, от ФНС, а иначе, имеется и другие источники, каковые возможно было бы к этому подключить.

К идентификации клиента это имеет опосредованное отношение. Но на форуме эти вопросы деятельно обсуждались.

— Какое отношение имеют вопросы идентификации к обеспечению безопасности?

— Самое прямое. Банк обязан убедиться, что за получением сервиса к нему обратился как раз тот, кто есть его клиентом. Потому, что у банков таких сервисов возможно большое количество, более того, это смогут быть сервисы в банковской группы: это смогут быть и страховые сервисы, и пенсионные, то для предоставления таких сервисов клиента нужно каким-то образом передать в группы.

И при передаче клиента кроме этого нужно быть уверенным, что тот, кого передают, это как раз тот, кто есть клиентом банка.

Одним ответом ЕСИА не исчерпывается целый спектр вопросов, что связан с аутентификацией и идентификацией. На форуме мы посвятили полдня дискуссии разных вариантов идентификации. Возможно определенно заявить, что одного закона об электронной подписи не хватает, опыт ЕС это убедительно показывает.

Еще одна тема, которая была поднята на форуме с новой стороны, это информационные атаки. Мы третий раз проводим на форуме сутки практической безопасности. И любой раз мы видим, что неприятность все глубже и глубже. Эта неприятность получает сейчас другие свойства.

В случае если раньше хакера интересовало какое-то узкое направление, то на данный момент оно значительно шире. Потому, что денежные организации пошли по пути сокращения собственных издержек на отделения и деятельно переходят в электронные каналы, эта неприятность получает новое уровень качества.

Еще один очевидный факт, это явное смещение фокуса атак в сторону хищений у кредитных организаций. Под ударом выясняются как раз банки

Мобильный банк — весьма наглядный пример. С массовым распространением данной технологии показалось большое количество неприятностей, а также с платформой «Андроид». Это массовая платформа, которая приводит к повышенному интересу преступников, что ведет к наличию для данной платформы большего количества вирусов по сравнению с другими платформами.

Применение для того чтобы популярного продукта для денежных сервисов — важный вызов с позиций информационной безопасности.

Еще один очевидный факт, обсуждавшийся на форуме, это явное смещение фокуса атак в сторону хищений у кредитных организаций. Под ударом оказываются как раз банки.

Информационную безопасность маленьких банков смогут дать на аутсорсинг. На протяжении Уральского форума Артем Сычев, помощник главы ГУБиЗИ Банка России, заявил, что у ЦБ нет и не будет в скором будущем экспертов, каковые смогут разобраться в тонкостях банковских информационных совокупностей.

— На форуме большое количество обсуждались стандарты безопасности…

— Центробанк — это регулятор, и его инструментарий — это или нормативные документы, устанавливающие, а также, меры действия, или советы.

С позиций регулирования мы ограничены нормативной базой, регулирующей вопросы защиты информации при переводе денежных средств. Имеется положение 382-П, имеется возможность испытаний в данной области. Но в денежной сфере передача платежей — лишь малая часть всего, что имеет отношение к безопасности.

А все другое до тех пор пока покрывается стандартами, это советы, каковые не являются необходимыми к применению.

Мы сами кроме этого живем по этим рекомендациям. Отечественные стандарты — это не сферический конь в вакууме, перед тем как их производить, мы пробуем их на себе, и они в обязательном порядке проходят процедуру дискуссии в сообществе. на данный момент в составе Технического комитета №122 имеется представители не только банков, но и страховых компаний, и бирж, и МФО.

Мы стараемся учитывать специфику бизнес-моделей различных организаций. Так, применительно к микрофинансовым организациям стандарты делятся на стандарт для больших и для малых организаций.

В то время, когда идет хищение с корсчета кредитной организации, никто не атакует конкретный АРМ платежной системы. Атакуют инфраструктуру кредитной организации, в том направлении вбрасывается вирус, преступники захватывают управление данной инфраструктурой. В большинстве случаев две-три семь дней преступники замечают, что происходит в банке, где, так сообщить, возможно поживиться, как возможно подложить платежный документ. Неприятность в том, что именно к данной инфраструктуре никто не предъявляет требований.

Однако, действующая редакция закона «О техническом регулировании» разрешает делать необходимыми к выполнению требования национальных стандартов.

Из выступления на Уральском форуме:

«Никто не атакует АРМ КБР. Он никому не нужен. Атака направлена на инфраструктуру кредитной организации.

Наряду с этим вброс делается через фишинговое письмо, письмо с трояном и без того потом. И уже дальше происходит захват управления всей инфраструктурой, особое внимание — к АРМ КБР. Потом подкладывается фиктивный платежный документ, что отправляется в платежную совокупность Банка России, для которого он легитимный. Документ принимается к выполнению.

В случае если мы «отбиваем» платежку либо отказываем на основании того, что на счете не хватает средств, то преступники обваливают не только АРМ КБР банка, но и всю его инфосистему, потому, что под их управлением оказываются и контроллеры домена, и почтовые серверы, и все другое. ИТ-подразделение кидается бороться за живучесть кредитной организации, в следствии деньги улетают. А в информационную совокупность, которая еще не вычищена по окончании атаки, ставится еще одно средство, которое в следствии оказывается под контролем преступников».

Разговор на форуме шел о том, что, во-первых, нужно внести трансформации в законодательство, дабы Банк России взял право устанавливать такие технические требования. Во-вторых, нужно стандарт Банка России перевести в разряд ГОСТа. Это разрешит установить ответственность за невыполнение требований по информационной безопасности, а также методом применения меры действия.

Желаю подметить, что тут речь заходит не столько о исполнении требований безопасности, сколько о том, что невыполнение этих требований ведет к значительным проблемам с собственным капиталом и ликвидностью денежных организаций.

Из выступления на Уральском форуме:

«С регулированием этого вопроса все обстоит совсем печально. Требования, каковые предъявляет ЦБ к банкам, зиждятся на законе 161 ФЗ, в соответствии с которым ЦБ имеет возможность по согласованию с ФСБ и ФСТЭК предъявить требования по защите информации при переводе денежных средств. Но, как я уже сообщил, атаке подвергается не защищенный АРМ КБР, а инфраструктура кредитной организации.

В отношении данной инфраструктуры имеется лишь требования стандарта, каковые не являются необходимыми.

Банки приняли эти стандарты и совершили самооценку, но мы видим, что довольно часто эти самооценка ни на чем не основана. На словах и на бумаге все отлично — имеется прописанные регламенты. Но на деле эти банки кроме того не смогут продемонстрировать, как они хотя бы мониторят трафик АРМ КБР.

Банк России не только как регулятор, но и как оператор платежной системы не имеет объективной картины по безопасности в этих кредитных организациях».

— Получается, что вы должны ожидать, пока такие неприятности появятся, а позже уже наказывать?

— Возможно так, а возможно и по-второму. На форуме мы кроме этого обсуждали создание совокупности сертификации. Мы можем это сделать на базе закона о техническом регулировании.

Из выступления на Уральском форуме:

«Стоит задача организовать совокупность сертификации в поднадзорных организациях. Базой будет закон о техническом регулировании, что разрешает это сделать. Имеется задача перевести стандарты Банка России в разряд ГОСТов.

Для этого нужно переделывать базисный стандарт, совмещая в нем как твёрдые технические требования, так и требования к СМИБ.

Эта совокупность (сертификации) не будет трудиться, в случае если у нас не будет возможности оказывать влияние на санкции к кредитным организациям по результатам аудита».

— Если вы создаете различные стандарты для больших и небольших некредитных организаций, не будет ли логичным кроме этого установить различные стандарты для больших и малых банков?

— В банках должна быть выстроена совокупность оценки рисков и компенсации этих рисков адекватными средствами. У любого банка имеется базисные требования к капиталу, базисные требования к персоналу. Исполнение отечественных требований возможно обеспечено различными инструментами.

ЦБ: хищение средств в банках — это реализация самых очевидных схем. какое количество денег нужно одномоментно вывести из банка, дабы нарушить его денежную стабильность? Каковы последствия хищений для кредитных организаций и как ЦБ оценивает риски информационной безопасности на протяжении инспекционных испытаний.

— На форуме банки жаловались, что у них не достаточно ресурсов, дабы обеспечить исполнение требований безопасности в филиалах…

— Дело не в дефиците ресурсов, а в том, как организована работа. Был случай, в то время, когда в одном банке, благодаря рекомендациям FinCERT, были распознаны неприятности, каковые имели возможность привести к краже денег. Банк помой-му принял меры для предотвращения.

Нас благодарили. А через два дня деньги были выведены через один из филиалов этого банка, где ничего сделано не было. Разумеется, что это неприятность того, как настроено управление филиалами, а не нехватки ресурсов.

Что касается небольших банков, то мы не просто так в текущем году обсуждали тему аутсорсинга информационной безопасности.

Из выступления на Уральском форуме:

«У больших банков имеется ресурсы, дабы заниматься безопасностью на системном уровне. У небольших банков таких ресурсов нет и не будет в скором будущем, даже в том случае, если их начнут наказывать за нарушение требований информационной безопасности. Ответом на это может стать аутсорсинг безопасности».

— Для аутсорсинговых компаний вы кроме этого станете производить стандарты?

— До тех пор пока еще рано об этом сказать. Разумеется, мы отправимся простым методом: сперва будут выработаны советы, позже что-то из этих рекомендаций станет частью стандарта, а позже уже что-то будет включено в нормативный документ.

— Вы собираетесь устанавливать какие-то стандарты либо как-то сертифицировать вендоров, каковые разрабатывают банковское ПО? Мы вправе предъявлять определенные требования денежным организациям

— Это не является предметом регулирования со стороны Банка России. Мы думаем, что мы вправе предъявлять определенные требования денежным организациям, а они уже, со своей стороны, на основании этих требований должны предъявлять собственные требования разработчикам.

— На форуме говорили кроме этого о проблеме «красной кнопки», о возможности останавливать транзакцию при атаки преступников и возвращать собственные деньги. Как я осознаю, с данной темой кроме этого связана тема принятия закона о фроде…

— В Минфине на данный момент находится закон, и мы весьма сохраняем надежду, что он начнет собственный перемещение. Данный закон, во-первых, позволит найти, что такое несанкционированный платеж, а во-вторых, он обрисует процедуру возврата денег.

на данный момент таковой «красной кнопки» нет, но стаж работы FinCERT вместе с другими подразделениями Банка России разрешает достаточно оперативно реагировать на инциденты с хищениями в кредитных организациях. Своевременно поданное обращение разрешает скоро распознать, куда разошлись деньги, и принять меры чтобы деньги не были обналичены.

— Вы уже увеличили штат FinCERT, как давали слово на форуме?

— У нас не так скоро все делается, но решение принято, и оно будет реализовано. В случае если сказать об эффективности FinCERT, то за три последних месяца 2016 года удалось не допустить хищение порядка полутора миллиардов рублей.

— А какое количество смогли увести преступники за три последних месяца?

— Совершенно верно мы еще не подсчитывали, но эта сумма меньше.

— На форуме было поведано о трех случаях, в то время, когда банки сами инсценировали кражу денег со квитанций, дабы скрыть вывод капитала обладателями банка. Вы уже обучились давать предупреждение такие случаи?

— Мы обучаемся это делать. Банки все различные, и случаи различные.

— Как отличать настоящие атаки преступников от вывода денег?

— Это вопрос не только анализа техники атаки, но и работы с экономическими показателями, со статистикой, с отчетностью банков.

— У вас имеется собственные эксперты по отчетности?

— Мы это делаем вместе с другими подразделениями Банка России.

Из выступления на Уральском форуме:

«Вместе с МВД мы изучили экономическую составляющую таких правонарушений. Координатор, организующий атаку, приобретает не более 30% денег. Как раз исходя из этого у нас имеется обоснованные опасения, что такие атаки употребляются в первую очередь для сокрытия ранее идеальных денежных правонарушений. Выводить деньги, чтобы получить 30%, не весьма выгодно.

А вот организовать на себя атаку и заявить, что банк больше не имеет возможности обслуживать клиентов, притом что банк заблаговременно вывел деньги при помощи вторых разработок, это в полной мере вероятно».

— По тем случаям фрода, каковые случились уже в новом году, у вас оказались подозрения, что это возможно замаскированный вывод капитала? Те случаи, что были, это или разгильдяйство персонала, или полное непонимание, что такое безопасность

— До тех пор пока нет. До тех пор пока те случаи, что были, это или разгильдяйство персонала, или полное непонимание, что такое безопасность.

Бывают случаи, в то время, когда уводятся деньги у филиала банка, а сотрудники филиала кроме того что нам опасаются сказать, они еще и собственному головному офису опасаются согласиться. И главный офис определит от Центробанка, что в его филиале были уведены деньги. А если бы они сказали нам оперативно, то возможно было бы все остановить.

— какое количество банков на данный момент сотрудничает с FinCERT? Как деятельно они предоставляют вам данные?

— Более двухсот банков. Само собой разумеется, не все деятельно сотрудничают, большое количество имеется «молчунов». Но в целом процесс отправился.

FinCERT кроме этого сам занимается мониторингом информации, и ежедневно проходит пара десятков сообщений о распознанных угрозах или уязвимостях. Из этого потока мы отбираем то, что имеет яркое отношение к банкам. Да и сами банки на данный момент начали нас деятельно информировать.

Любой случай требует перепроверки и аналитики — именно это и есть главной нагрузкой на FinCERT.

— В то время, когда инцидент уже случился, FinCERT принимает участие в расследование проишествия?

— У нас на данный момент имеется практика, в то время, когда мы выезжаем на место, дабы разобраться. Это не расследование в чистом виде. Для того чтобы функционала у нас нет.

Однако, мы и дальше будем усиливать собственную компетенцию в части лабораторных изучений.

— В связи с тем что с конца года начнется массовый выпуск карты «Мир», должен быть совершен, как я осознаю, массовый переход к применению отечественных средств криптозащиты. Мы к этому готовы? Мы сохраняем надежду, что банкам отечественные HSM будут экономически удачнее банкам, чем западные аналоги

— Не нужно торопить события. В других государствах такие совокупности выстраивались десятилетиями. Дабы таковой переход состоялся, нужно, дабы показались новые стандарты. За год это нереально. на данный момент корневой HSM, на котором трудится карта «Мир»,— отечественного производства. Он поддерживает два стандарта криптографии: отечественный и зарубежный.

Потом выбор за банками. Мы сохраняем надежду, что банкам отечественные HSM будут экономически удачнее банкам, чем западные аналоги.

Более широкая задача. на данный момент на базе Технического комитета идет отработка отечественных стандартов для платежной индустрии, каковые включали бы в себя криптографию. Это небыстрый процесс, нужно сперва совершить тестирование, а позже уже закрепить в документации. Нет и ни при каких обстоятельствах не было установок, дабы перейти на новый стандарт за одни сутки.

Будет происходить постепенная замена оборудования. У нас уже имеется опыт того, как это происходило с ККМ, в том месте же на данный момент везде трудится отечественная криптография, и всех это устраивает.

— Как вы оцениваете с позиций информационной безопасности столь актуальную на данный момент разработку блокчейн?

— на данный момент Центробанк изучает эту разработку, а также с позиций безопасности.

— Какие конкретно самые громадные угрозы с позиций информационной безопасности вы видите в скором времени?

— В то время, когда разработки развиваются, довольно часто забывают, что, во-первых, около любой технологии имеется люди, а во-вторых, что эти люди смогут быть по большому счету неосведомленными в вопросах безопасности. А кто-то возможно, напротив, через чур осведомленным и сумеет эти технологии применять в собственных преступных целях.

Из выступления на Уральском форуме:

«Мы на данный момент видим, что преступники уделяют повышенное внимание трем направлениям.

Первое: вербовка и поиск инсайдеров.

Второе: проработка схем монетизации.

Третье: поиск уязвимостей в платежных совокупностях мобильных операторов».

 

Анонс:

19 апреля 2016 года состоится первый в Российской Федерации форум « Блокчейн и открытые платформы – 2016». Организатор мероприятия – ИА Bankir.Ru, модератор – главред Антон Арнаутов.

Функции Центрального банка. Подготовка к ЕГЭ по обществознанию.

Интересные записи

Похожие статьи, которые вам, наверника будут интересны: