Тема обеспечения защиты информационных систем кредитных организаций – одна из самых актуальных на сегодняшний день. В наше непростое время банкам особенно важно предупреждать инциденты в сфере информ­безопасности. Неотраженная хакерская атака может обернуться для кредитной организации как прямыми финансовыми потерями, так и опосредованными – через подрыв доверия клиентов. Предотвратить ее проведение можно с помощью комплекса мер, и не в последнюю очередь благодаря обмену информацией между банками о прецедентах в сфере ИБ. С целью организации такого информационного поля при Главном управлении безопасности и защиты информации Банка России в июле 2015 года был создан FinCert. Как он помогает банкам справляться с вызовами в сфере информационной безопасности? Каковы результаты его работы? На эти и другие вопросы в интервью NBJ ответил заместитель начальника ­Главного управления безопасности и защиты информации Центрального банка РФ Артем СЫЧЕВ.

NBJ: Артем Михайлович, первый вопрос, который хотелось бы вам задать: какова ваша экспертная оценка «средней температуры по больнице», то есть общего состояния информационной безопасности в российских банковских организациях?

А. СЫЧЕВ: В разных банках ситуация разная. Одни банки повышают эффективность своей работы в этой сфере, другие, наоборот, несколько снизили внимание к теме информбезопасности. Если же говорить о «средней температуре по больнице», то, по моей экспертной оценке, она держится на уровне, близком к норме, и тревоги не вызывает. 

NBJ: То есть, несмотря на большое количество других проблем, финансово-кредитные организации не перестают уделять внимание ИБ?

А. СЫЧЕВ: Обеспечение информационной безопасности – одно из важных условий стабильного функционирования банка или финансовой компании. Поэтому в данном случае речь идет о необходимости обеспечивать определенный уровень информационной защиты.

За последнее время было несколько успешных хакерских атак на банки, в результате которых они понесли финансовые потери. Но дело не только в прямых потерях. Пренебрежение стандартами ИБ, отказ от проведения системной работы в этой сфере – это одно из свидетельств нарастания общих проблем в кредитной организации. Поэтому регулятор подобное положение дел не может оставлять без внимания.

Но участники рынка, которые хотят развивать свой бизнес, продолжают уделять внимание информбезопасности, в том числе прислушиваются к нашим рекомендациям. Это касается как внутренних технологий организаций, так и их сервисов для клиентов. 

NBJ: По вашим наблюдениям, на какие объекты чаще всего направлено острие атаки злоумышленников? Как говорят эксперты рынка, это не столько счета клиентов, сколько информационные банковские системы. Так ли это?

А. СЫЧЕВ: Действительно, злоумышленники все чаще в качестве главной цели своих атак ставят не хищение средств клиентов банка, а дестабилизацию работы финансовых институтов, удар по их имиджу. По касательной это может подорвать доверие потребителей и к другим кредитным ­организациям.

Например, в конце 2015 года жертвой подобной DDoS-атаки стал один региональный банк. Хакеры взломали главную страницу сайта банка. При этом никакие финансовые сервисы кредитной организации и счета его клиентов не пострадали. Целью злоумышленников было испортить мнение потребителей. Дескать, смотрите: банк не заботится о своей безопасности, о сохранности ваших денег, раз такие атаки являются ­результативными. 

Подчеркну, что речь шла именно о веб-сайте банка, а это в современном мире лицо организации. Представьте себе, что вы проходите мимо отделения той или иной финансово-кредитной организации и видите, что, например, дверь в офис висит на одной петле или сотрудники сидят развалившись, нога на ногу… Возникнет у вас желание доверить деньги такому банку, воспользоваться его услугами? 

NBJ: Нет, потому что встречают все-таки по одежке.

А. СЫЧЕВ: Конечно. Поэтому, когда речь идет о классических банковских услугах, мы смотрим на «физический» офис банка, а когда об электронных продуктах – на его сайт. Если банк не в состоянии обеспечить безопасность своего сайта, то где гарантия, что он в состоянии обеспечить сохранность ваших средств?

Второе направление, на которое следует обращать внимание для предотвращения возможных атак злоумышленников, – это вброс вредоносного программного обеспечения. Причем все чаще вредоносное ПО целенаправленно «затачивается» под конкретный банк, который хотят атаковать.

NBJ: Вот как? И здесь используется индивидуальный подход?

А. СЫЧЕВ: Да. При этом, проникнув в информационные системы банка, это ПО в дальнейшем позволяет злоумышленникам осуществить захват управления в сети кредитной организации, фальсифицировать платежные документы. Затем эти платежные документы подписываются легальной электронной подписью банка и «улетают» в систему Банка России. ЦБ РФ их принимает к исполнению, а дальше выясняется, что это фиктивные заявки, за которыми нет клиентских платежей. Таким образом, если банк не смог вовремя предотвратить атаку и выявить вредоносное ПО в своей сети, в итоге может пострадать его ­капитал.

NBJ: Грустная история.

А. СЫЧЕВ: Да, но на этом она не заканчивается. Обычно злоумышленники, видя, что их атака удалась и желаемый результат достигнут, начинают заметать следы. Для этого они могут попытаться обрушить ИТ-систему банка...

NBJ: Видимо, руководствуясь той же логикой, которой руководствовался герой одного из романов Г. Честертона: «Где лучше всего спрятать упавший лист? В лесу упавших листьев». 

А. СЫЧЕВ: Совершенно верно. Служба информатизации, естественно, будет стараться поднять ИТ-систему, тем самым невольно помогая преступникам замести следы внедрения вредоносного ПО. После восстановительных работ обнаружить источник внедрения разрушительной программы очень сложно, если вообще возможно. 
 
NBJ: Национальный Банковский Журнал регулярно проводит круглые столы по теме информационной безопасности в финансовых и кредитных организациях, и нам неоднократно доводилось слышать жалобы участников на то, что наши правоохранительные органы не обладают набором специалистов, которые были бы профессионально подкованными для расследования такого рода преступлений. То есть, как говорят многие банкиры, желание ловить и наказывать компьютерных мошенников у правоохранителей, может, и есть, а вот компетенции не ­хватает… 

А. СЫЧЕВ: Те люди, которые работают по подобным делам, – это достаточно квалифицированные опытные специалисты, и у нас нет оснований ставить под сомнение их профессионализм. Но вот когда мы опускаемся, как принято говорить, на землю, то тут картина может поменяться.

NBJ: Каким образом?

А. СЫЧЕВ: Поставьте себя на место руководителя банка, который подвергся успешной атаке со стороны злоумышленников. Он подает заявление об инциденте либо по месту юридического адреса банка, либо по месту жительства. Соответственно, в обоих случаях он вынужден обратиться в низовое отделение полиции. А там, вполне вероятно, работает обычный участковый или следователь, который никогда с такими проблемами не сталкивался. 

NBJ: И как тут быть?

А. СЫЧЕВ: В таких случаях для расследования инцидентов привлекают сотрудников БСТМ (Бюро специальных технических мероприятий. – Прим. ред.). Там как раз работают профессионалы очень высокого уровня, но беда в том, что их немного. Это первая ­проблема. 

А вторая проблема в том, что подобные дела требуют проведения серьезной технической экспертизы, а она может быть произведена только в специальной ­лаборатории.

NBJ: И стоит в нее огромная очередь пострадавших...

А. СЫЧЕВ: Вот именно. Причем ждать этой самой экспертизы им приходится от полугода до года. Как вы сами понимаете, злоумышленники в это время не почивают на лаврах, а еще больше запутывают следы. 

Банк России предпринимает конкретные шаги для решения этой проблемы. Так, мы обсуждаем возможность создания подобной лаборатории в рамках работы Центра мониторинга и реагирования на инциденты в сфере ИБ. Но надо очень тщательно взвесить плюсы и минусы создания подобной структуры.

NBJ: Плюсы очевидны, и главный из них – сокращение той очереди, о которой мы говорили. А в чем минусы?

А. СЫЧЕВ: Давайте обратимся к международной практике. В Малайзии, например, есть такая структура. Она осуществляет экспертизы инцидентов в сфере электронных технологий, причем на коммерческой основе. Ее деятельность закреплена законом, она обеспечена поддержкой со стороны правоохранительных органов, и, что особенно важно, результаты экспертизы, проведенной этим бюро, принимаются как неоспоримые доказательства в судах. 

NBJ: Прекрасная картина. Что в ней не подходит нам? 

А. СЫЧЕВ: Теоретически, если мы организуем такое бюро, то в законодательстве как раз ничего существенно менять не надо. Вопрос в другом: как эти материалы будут оцениваться в судах и нет ли риска возникновения ситуаций, когда мегарегулятор может быть обвинен в конфликте интересов. С одной стороны, ЦБ является регулятором финансового рынка, а с другой стороны, он проводит техническую ­экспертизу. 

Так что тема требует серьезного обсуждения как внутри Банка России, так и с заинтересованными сторонами, участниками рынка.

Третий момент, о котором я хотел бы упомянуть и по которому мы очень плотно работаем с МВД, – это обмен информацией и взаимодействие по линии борьбы с киберпреступностью. Мы предоставляем полиции большой объем аналитики и технической информации по DDoS-атакам, по тем хищениям, которые имели место. И коллеги из МВД точно так же уведомляют нас о готовящихся атаках – конечно, в тех случаях, когда они располагают подобной ­информацией.

NBJ: Есть ли конкретные примеры этого взаимодействия?

А. СЫЧЕВ: Безусловно. Подобный случай произошел в самом начале 2016 года. У одного банка пытались похитить деньги со счетов. МВД по своим каналам увидело, скажем так, подготовительные мероприятия и дало нам знать об этом. В результате начавшуюся было атаку удалось быстро купировать, связаться с банками, через которые злоумышлен­ники пытались вывести средства, похищенные на начальной стадии атаки.

NBJ: А на какой стадии и в каких случаях к этому подключается ФСБ?

А. СЫЧЕВ: Мы с Федеральной службой безопасности сотрудничаем постоянно. FinCERT является, по сути, государственной системой обнаружения и предотвращения компьютерных атак, поэтому нет ничего удивительного в том, что между ним и ФСБ налажено очень плотное взаимодействие. Приведу пример: получив информацию от ФСБ о готовящейся крупной DDoS-атаке, мы связались с рядом кредитных организаций и предупредили их об этом. В частности, о предполагаемых технических характеристиках, о тех местах, на которые будет направлено острие атаки. Единственное, что мы не угадали, – это время ее начала. Она стартовала позже, чем мы ожидали.

NBJ: В таких случаях, наверное, чем позже, тем лучше.

А. СЫЧЕВ: Да. Наши коллеги в банках успели подготовиться и благодаря этому не понесли никаких потерь: ни финансовых, ни технических (не было перебоев в работе серверов), ни имиджевых. 

NBJ: Давайте поговорим подробнее о работе FinCERT. Со времени его создания прошло уже более полутора лет. Каковы результаты? Удалось ли создать среду, в которой банки могли бы доверять друг другу, спокойно обмениваться информацией о случившихся или готовящихся атаках, а также о тех мерах, которые они предпринимают для их предотвращения или купирования? Я задаю этот вопрос потому, что всем известно: банки не любят выносить сор из избы, особенно когда речь идет об ИБ...

А. СЫЧЕВ: Насчет их нелюбви к демонстрации «сора» я с вами полностью согласен. Но есть два момента, которые лично для меня являются знаковыми. 

Поймите правильно, мы никого силком в эту самую среду не загоняем, мы не настаиваем на взаимодействии и не требуем, чтобы с нами и с коллегами по цеху в обязательном порядке делились информацией по этим вопросам. При этом за первые полгода работы центра число участников такого взаимодействия достигло 150. Это важный результат нашей работы, на который стоит обратить внимание. 

Второй момент: наша рассылка о типовых особенностях атак и типовых уязвимостях все чаще вызывает благодарность у банков. Они имеют возможность изучать нашу аналитику и актуальные рекомендации, устранять у себя рассматриваемые уязвимости. В общем, все больше участников рынка начинают осознавать, как важно и нужно такое взаимодействие. 

При этом я не стану утверждать, что к нам пошла прямо-таки лавина информации. Но уже то, что к нам постоянно приходят новые банки, дает возможность совершенствовать аналитические материалы и, соответственно, повышать эффективность ­рекомендаций.

NBJ: Это не мешает «злым языкам» упрекать центр в том, что он реагирует преимущественно постфактум.

А. СЫЧЕВ: Мы в курсе подобных критических замечаний. Что тут сказать: это вполне естественно, люди хотят видеть результат быстро. Но мы государственная структура и действуем исключительно в рамках правового поля. Однако мы предпринимаем определенные шаги, чтобы повысить эффективность и оперативность нашей работы. Например, одной из задач для нас является обмен между кредитными организациями информацией о тех лицах, через которых выводят похищенные средства. Но для этого необходимо изменить законодательство. Прежде всего речь идет об основополагающих документах: законе «О банках и банковской деятельности» и законе «О Центральном банке», поскольку затрагивается банковская тайна. Кроме этого, у нас есть опыт по противодействию спам-рассылкам. 

NBJ: Что это означает на практике?

А. СЫЧЕВ: Есть доменное имя, за которым стоит некий сервер, с которого идет рассылка спама или фишинга. Для того чтобы этот сервер перестал быть виден в интернете, нужно, чтобы регистратор доменного имени отозвал имя сервера. 

В России, как и во всем мире, регистраторы несут ответственность за очистку доменов. Мы информируем их о происходящем, и они достаточно оперативно отзываются на наши сигналы. При этом стоит сказать, что часто подобные вредоносные домены маскируются под домены Центрального банка, крупных банков и компаний. 

NBJ: Смело, однако же, действуют ­­мошенники.

А. СЫЧЕВ: Да уж, они не стесняются и не робеют. Достаточно часто злоумышленники осуществляют рассылки писем со следующим содержанием: ваша карта заблокирована Банком России, чтобы выяснить подробности, обратитесь по такому-то номеру. Что происходит дальше с доверчивыми клиентами, легко догадаться. А вот как потом решать проблемы с исчезновением денег с их ­счетов... 

NBJ: Артем Михайлович, часто можно услышать такое мнение: самая уязвимая точка при атаке на банковские системы – это импортное ПО. Насколько справедливо, по вашим наблюдениям, это утверждение? Имеет ли оно под собой какие-либо основания или в данном случае люди руководствуются ­эмоциями?

А. СЫЧЕВ: По моему опыту, могу сказать, что «дырявым» с равной степенью вероятности может оказаться и импортное, и отечественное ПО. А общее правило таково: чем сложнее система, тем больше в ней может оказаться «дыр». Некоторые импортные производители, конечно, грешат тем, что оставляют в своих программных продуктах так называемые закладки, но это не значит, что отечественные разработки не имеют уязвимостей. 

Наша позиция по этому вопросу такая: идеального ПО нет и, наверное, быть не может. И требуется смотреть не на страну производства программного обеспечения, а проверять защищенность всего ПО, причем на всех этапах его жизненного цикла – от разработки до снятия с эксплуатации.

NBJ: На практике это означает, что банкам необходимо регулярно проводить тестирования?

А. СЫЧЕВ: Методик много. Это и тестирования, и анализ исходных кодов, и выстраивание требований к безопасности, и четкое формулирование технических заданий. Все это изложено в наших методических рекомендациях в области стандартизации. Что касается  увеличения расходов банков из-за дополнительных требований регулятора, то ситуация здесь не критична: затраты существенно не возрастут, а возможно, даже ­сократятся.

NBJ: Почему?

А. СЫЧЕВ: В результате изменений банковские системы должны стать более защищенными, а риски враждебного проникновения в них, кражи средств клиентов и подрыва репутации банков – минимальными.

NBJ: В принципе, все логично. На защиту собственного дома тоже надо тратиться, особенно если профессионализм преступников растет. Вот как раз об этом я бы и хотела поговорить. Банкиры признают, что хакеры с каждым годом становятся все более искусными и хитрыми. Вы получаете обратную связь от кредитных организаций. Фиксируете ли вы эти перемены к худшему?

А. СЫЧЕВ: Хакеры всегда были профессиональными и умелыми. Другое дело, что в последнее время изменилась их мотивация. 15 лет назад мы, банковские безопасники, имели дело в основном с одиночками-энтузиастами...

Сейчас все гораздо сложнее. Мы вынуждены бороться с целой индустрией, в которой очень четко разделены полномочия между различными ее «сотрудниками». Тот, кто ставит задачу, никогда ничего сам не делает; тот, кто обналичивает деньги, никогда не занимается «заливкой» в системы вредоносного ПО; тот, кто занимается этой «заливкой», никогда не получает деньги наличными и даже не встречается с теми, кто выводит деньги. Очень четко прописано, кто и сколько получает за свою «работу»: «обнальщик», скажем, получает от 20% суммы, которую он ­обналичивает...

NBJ: Солидное вознаграждение. Впрочем, наверное, в данном случае учитывается уровень риска, который принимает на себя преступник. 

А. СЫЧЕВ: Безусловно. Тот, кто изготавливает карты, через которые выводятся средства, получает 5–7%. Есть отдельные люди, которые занимаются поиском и изучением уязвимостей в системах. Они получают плату в зависимости от того, какую конкретно уязвимость им удалось обнаружить, и эта плата может варьироваться от 10 тыс. рублей до нескольких десятков тысяч долларов.

NBJ: Можно ли, работая в связке с правоохранительными органами, ликвидировать подобную индустрию?

А. СЫЧЕВ: Полностью, конечно, нет. 

И поэтому мы свою главную цель видим в другом: маржа, которую получает эта индустрия, должна быть как можно ниже. Иными словами, нужно сделать так, чтобы в России было невыгодно этим заниматься.