Банкиры часто сетуют на то, что общее ухудшение экономической ситуации в нашей стране привело к активизации деятельности злоумышленников в сфере компьютерных технологий. Попытки взломать банковские информационные системы, перехватить управление банкоматами, похитить важную для банков информацию – все эти риски стали уже привычными для участников рынка. О том, как можно их минимизировать и какую роль в этом может сыграть взаимодействие между ЦБ, банками и правоохранительными органами, рассказал в интервью NBJ заместитель начальника отдела Управления «К» МВД России.

NBJ: Александр, расскажите, пожалуйста, когда и с какими целями было создано Управление «К», какими законами регулируется его деятельность.

А. ВУРАСКО: Управление «К» было создано в 1998 году. К этому времени и к обществу, и к государственным органам пришло осознание, что угрозы в сфере компьютерных технологий есть и что бороться с ними исключительно силами МВД невозможно. К настоящему моменту все понимают, что огромное количество преступлений – честно говоря, практически все – совершаются с помощью информационных технологий. Даже банальные мошенники, которые раньше искали жертв с помощью объявлений в газетах или на рынках, ушли в интернет. С учетом этого было создано специализированное управление, причем как в центральном аппарате, так и во всех регионах России.  

NBJ: Киберпреступность, надо полагать, очень широкое понятие. Не могли бы Вы конкретизировать, какие преступления попадают в сферу внимания Управления?

А. ВУРАСКО: Мы обычно делим подобные преступления на два глобальных сегмента: первый из них – это преступления, совершенные с использованием информационных и телекоммуникационных технологий, второй – преступления в сфере информации и телекоммуникации. Мы занимаемся, что естественно, вторым из этих сегментов, то есть расследованием высокотехнологических преступлений. Прежде всего это преступления, квалифицированные по статьям 28 главы Уголовного кодекса: неправомерный доступ к компьютерной информации, создание, внедрение и распространение вредоносных программ для электронно-вычислительных машин. Также они обычно квалифицируются по статьям 158 «Кража» и 159 «Мошенничество». Плюс к этому мы занимаемся защитой авторских и смежных прав в интернете, борьбой с детской порнографией в интернете и противодействием незаконному распространению специальных технических средств. 

NBJ: Насколько часто в Управление обращаются банковские организации и как строится процесс обращения? Они подают заявления в обычные территориальные подразделения МВД и потом, если устанавливается, что преступление имеет признаки высокотехнологичного, заявления передаются в Управление?

А. ВУРАСКО: Бывает по-разному: и так, как Вы описали, и по-другому. Достаточно часто банки обращаются к нам напрямую, поскольку мы стараемся поддерживать с ними тесные контакты. Руководство Управления достаточно часто проводит совещания, в которых принимают участие и руководители банков, и сотрудники банковских служб безопасности. Обычно речь идет об организациях, входящих в ТОП-100, и это, как мне кажется, вполне закономерно. Ведь чем крупнее банк, тем больше он заботится о своей информационной безопасности и, соответственно, тем охотнее взаимодействует с Управлением. Также должен сказать, что достаточно часто к нам обращаются и граждане – клиенты финансово-кредитных организаций, пострадавшие в результате мошеннических действий.

NBJ: Какие преступления являются наиболее частыми в банковской сфере? Иными словами, что чаще всего злоумышленники пытаются «ломать»? Информационные системы, банкоматы или что-то еще?

А. ВУРАСКО: У нас, конечно, статистика ведется, но по несколько иным критериям. В первую очередь, по статьям Уголовного кодекса, и вычленить из этой общей массы преступления, совершенные именно по отношению к банкам, очень сложно. Другое дело, что преступления в банковской сфере отличаются качественно: ими практически никогда не занимаются одиночки, создаются достаточно серьезные структурированные группы.

NBJ: А еще лет 10–15 назад говорили, что как раз такого рода мошенничества и кражи – удел хакеров-энтузиастов, то есть одиночек.

А. ВУРАСКО: Да, но с тех пор многое изменилось. На сегодняшний день ясно, что один человек не в состоянии охватить весь производственный цикл, именно поэтому создаются хорошо распределенные группы, в которых каждый участник имеет свою специализацию. Если речь идет о скимминге, то одни люди в подобной группе изготавливают «накладки», другие устанавливают и снимают их, третьи обрабатывают полученную информацию, четвертые занимаются списыванием денежных средств, пятые – их обналичиванием. 

NBJ: И нам доводилось слышать, что зачастую эти люди даже не знакомы друг с другом.

А. ВУРАСКО: Совершенно верно, и в этом как раз заключается одна из главных проблем, которая возникает при расследовании подобных преступлений. Нам приходится, во-первых, пресекать деятельность всей группы сразу, а во-вторых, доказывать взаимосвязь всех звеньев цепочки. Вы сами понимаете, что если мы уберем только «обнальщиков», то на их место организаторы группы легко и непринужденно найдут новых людей, а сама группа от этого никак не пострадает. То же самое происходит, если выдернуть другое звено, но не весь «куст». 
В качестве примера могу привести одно расследование, которое было завершено в прошлом году: все необходимые документы уже переданы в суд, поэтому о нем можно говорить открыто. Речь шла о действительно очень серьезной группе…

NBJ: Серьезной по количеству участников, результатам деятельности, то есть размеру похищенных средств, или по каким-либо еще критериям?

А. ВУРАСКО: И по количеству участников, и по количеству похищенных средств, и по количеству направлений деятельности. Костяк группы составляли идеологи и организаторы – два-три человека, они формулировали задачи и передавали их на разработку отдельным, совершенно независимым друг от друга подгруппам. 

Чем занималась эта группа? Практически всеми противозаконными действиями, которые можно совершать в банковской сфере, начиная с простейших и заканчивая довольно сложными. Конечно же, скиммингом – изготовлением и распространением «накладок», получением необходимой информации, использованием ее для списания средств с карт клиентов и далее по стандартной схеме. Чтобы было понятно, насколько серьезно они подходили к делу, могу сказать, что они арендовали в Подмосковье дом, устанавливали там банкоматы и…

NBJ: Тренировались «на кошечках»?

А. ВУРАСКО: Да. Вторым направлением их деятельности было изготовление, внедрение и распространение вредоносных программ для дистанционно-банковского обслуживания. Третьим направлением был перехват управления банкоматами – при этом они сами разрабатывали и «железо», и программную часть. В результате перехвата управления они заставляли банкоматы выдавать всю имевшуюся в них наличность. Четвертое направление – целевые атаки на банки.

NBJ: Это, наверное, самое сложное и опасное для жертв.

А. ВУРАСКО: Да, потому что к совершению подобных преступлений группы обычно готовятся очень тщательно. Они внимательно анализируют всю информационную структуру банка, находят в ней слабые звенья, тем или иным способом внедряются внутрь информационной системы и изучают ее изнутри. Преступники в таких случаях обычно ведут себя очень аккуратно и сдержанно, никуда не торопятся…

NBJ: Обживаются в системе?

А. ВУРАСКО: Вот именно. Поскольку их интересует, как устроена защита, насколько эффективно она работает, они даже могут время от времени устраивать небольшие инциденты в сфере ИБ – исключительно для того, чтобы посмотреть, как будет на них реагировать служба безопасности. В общем, они предпочитают выждать время, чтобы затем в один отнюдь не прекрасный для банка день нанести удар по информационной системе банка. 

NBJ: А реально ли от него защититься?

А. ВУРАСКО: На сто процентов – практически нет. Если вашу информационную систему захотят взломать, то ее взломают. Тут вопрос в другом: будут ли подобные действия злоумышленников экономически выгодными – они же действуют не из любви к искусству, а четко просчитывая, какую выгоду они могут получить, – и покроет ли эта выгода расходы, которые им неизбежно придется понести в рамках подготовки к атаке. 

Теми направлениями, которые я уже перечислил, деятельность группы не исчерпывалась. Помимо атак на информационные системы отдельных банков, она осуществляла атаки и на системы межбанковского обмена информацией. То есть она формировала подложные платежные поручения от имени того или иного банка, причем так искусно, что сам банк об этом даже представления не имел. Несколько сотен миллионов рублей им удалось таким образом украсть. И к тому моменту, когда мы «накрыли» эту группу, у них все было готово для того, чтобы увести со счетов различных банков в общей сложности еще 1,5 млрд рублей. 

NBJ: Возможно ли проведение столь успешных атак, в случае если в банки, выбранные в качестве жертв, не внедрены «свои» люди?

А. ВУРАСКО: Это возможно. С другой стороны, нередки и примеры, когда преступники активно задействуют инсайдеров. Вопреки расхожему убеждению, совершенно необязательно, что речь в таких случаях идет о сотрудниках высшего или среднего звена. Иногда инсайдерами бывают и простые операционисты, которые по заданию заказчика ищут «мертвые» счета или, напротив, счета, по которым постоянно проводятся операции на крупные суммы. 

NBJ: А насколько перспективными являются те дела, о которых Вы рассказали, с точки зрения наказания преступников? Часто ведь можно услышать, что наша уголовная практика в этой сфере несовершенна и мало только «взять» группу – надо еще добиться, чтобы ее участники получили реальные сроки заключения.

А. ВУРАСКО: Я бы не сказал, что тут есть какие-то неразрешимые препятствия в случаях, когда расследование проведено тщательно и группа «взята» полностью. Конечно, сам процесс расследования занимает много времени: требуются и технические экспертизы, и многочисленные следственные эксперименты, и, конечно же, тома уголовного дела увеличиваются в геометрической прогрессии. 

Но, в принципе, если доказательная база собрана, то таким преступникам светят вполне реальные и весьма существенные сроки – поскольку, как Вы понимаете, речь идет об организованной преступности, а не о неком бедном студенте, который со скуки взял и взломал информационную систему банка. Естественно, приговор тому или иному участнику группы выносится с учетом того, какую роль в ее деятельности он играл. 

NBJ: Наверное, у каждой из таких групп свой почерк? Говорят же, что убийц и воров часто вычисляют по тому, каким способом они совершают преступления. Как обстоит с этим дело в сфере киберпреступности?

А. ВУРАСКО: В принципе, да. Это особенно заметно при расследовании преступ-лений, совершенных с помощью вредоносного программного обеспечения. Как правило, группы идентифицируются именно по тому, какие «вредоносы» они используют. Есть группы, которые сами пишут подобное ПО и не передают его никому другому. Есть группы, которые пишут «вредоносы» и продают их всем желающим. Есть и те, кто предпочитает комбинированный вариант: и сам использует собственное вредоносное ПО, и продает его «налево». Соответственно, группы можно идентифицировать по видам программного обеспечения, которое они используют.

NBJ: Я так понимаю, что, когда речь идет о технических экспертизах, невозможно установить «среднюю температуру по больнице», то есть среднюю продолжительность экспертизы?

А. ВУРАСКО: Это действительно невозможно, хотя бы потому, что даже две вредоносные программы могут очень сильно различаться. Естественно, чем сложнее программа, тем лучше она защищена, тем больше времени может потребоваться для ее исследования.

NBJ: Этот вопрос – продолжительность экспертизы – насколько я понимаю, очень актуален для банков. Их представители часто сетуют на то, что результатов экспертиз приходится очень долго дожидаться, а время, как известно, деньги, особенно когда речь идет о киберпреступлениях, направленных против финансовых организаций.

А. ВУРАСКО: Я совершенно согласен с тем, что в этом вопросе нужны перемены. Руководство Управления «К» как раз выступает за то, чтобы под эгидой Банка России был создан центр компьютерных экспертиз, который будет действовать исключительно в рамках расследования преступлений, совершенных против банковских организаций. Естественно, этот центр в случае создания будет плотно взаимодействовать и с нашим Управлением, и с теми компаниями, которые имеют лицензию на проведение аналогичных технических экспертиз. Но его появление позволило бы существенно разгрузить это направление и сократить очередь.

NBJ: Здесь, наверное, есть и еще один аспект: чем больше времени проходит между моментом совершения преступления, например между обвалом банковской информационной системы, и моментом проведения экспертизы, тем больше у преступников шансов выйти сухими из воды. Они же вряд ли все это время будут сидеть, сложа руки, – они будут пытаться замести следы.

А. ВУРАСКО: Естественно, чем больше проходит времени, тем меньше сохраняется следов. Иногда не сохраняются логи соединений, иногда оказываются безвозвратно утерянными вредоносные программы, с помощью которых осуществлялось внедрение. Вы правы, предполагая, что все это отрицательно влияет на эффективность расследования. Как раз поэтому мы всеми руками за то, чтобы наряду с нашим Управлением и с компаниями, имеющими лицензию на проведение технических экспертиз, появился соответствующий центр под эгидой Банка России. 

NBJ: Как известно, наша страна уже скоро два года как живет в режиме санкций и, что еще печальнее, в режиме эскалации различных геополитических конфликтов. На этом фоне время от времени звучат утверждения, что некоторые страны, находящиеся в очень напряженных отношениях с Россией, либо инициируют хакерские атаки против наших банков и крупных компаний, либо, по крайней мере, поощряют их. По Вашему опыту, есть ли основания для подобных утверждений?

А. ВУРАСКО: Я бы не стал говорить о том, что тут есть какая-то политическая мотивация. На самом деле в силе остается довольно старый тренд, который можно сформулировать следующим образом: не порть атмосферу там, где ты живешь. Иными словами, наши хакерские группы в качестве объектов атаки чаще всего выбирают зарубежные банки, и точно так же зарубежные хакерские группы предпочитают направлять удары против наших банков. Согласитесь, что это вполне логично. Да, механизмы межведомственного сотрудничества действуют, но процессуальные нормы в странах различаются, существенное время занимает переписка с зарубежными коллегами и т.д. То есть злоумышленники получают то, что они очень высоко ценят, – время и, конечно же, используют его себе во благо. 

NBJ: Центр технических экспертиз под эгидой Банка России пока только в планах, зато уже создан центр, который аккумулирует информацию об инцидентах в ИБ в банковской сфере – FinCert. Сотрудничает ли с ним Управление «К» и, если да, довольны ли Вы уровнем и качеством этого сотрудничества?

А. ВУРАСКО: Да, конечно же, мы сотрудничаем с FinCert, более того, мы активно поддерживали идею его создания, когда этот вопрос еще только обсуждался в экспертном сообществе. В то же время есть и ряд проблем. FinCert будет максимально эффективно действовать, если все или почти все банки будут передавать в него полную информацию об инцидентах в сфере ИБ. В случае если кто-то передает, а кто-то нет, кто-то передает полностью, а кто-то частично, страдает качество аналитики, не вырисовывается объективная картина происходящего.

NBJ: Тут иначе, как в старом анекдоте, не скажешь: «колхоз – дело добровольное».

А. ВУРАСКО: В том-то и дело. В результате мы видим, что ряд банков действительно очень плотно взаимодействует с FinCert, ряд банков делает это от случая к случаю, а ряд финансово-кредитных организаций вообще не пользуется этим инструментом. Поэтому у нас с Банком России родилась такая идея: возможно, имело бы смысл разработать законопроект, в соответствии с которым банки будут обязаны отчитываться перед FinCert.

NBJ: Сомнительно, что в экспертном сообществе эта инициатива получит поддержку. 

А. ВУРАСКО: Сложно сказать. С одной стороны, конечно, речь идет о том, чтобы перевести добровольный механизм в механизм принуждения. А с другой стороны, чем больше проходит времени, тем лучше участники рынка понимают, что FinCert – это очень оперативный организм, который помогает быстро реагировать на угрозы в сфере ИБ, аккумулировать информацию о рисках в этой сфере, описывать типовые сценарии атак и т.д. Кстати, последнее очень важно. На самом деле, новые типы атак появляются не так часто, как это может показаться.

NBJ: Давайте в заключение нашей беседы поговорим о том, что наверняка интересует всех, – о конкретных примерах расследования киберпреступлений, совершенных в банковской сфере. Один такой пример Вы уже привели, но наверняка за почти 20 лет работы Управления «К» были и другие интересные случаи.

А. ВУРАСКО: Конечно. Например, несколько лет назад была нейтрализована преступная группа, которая устанавливала в различных городах банкоматы несуществующего и никогда не существовавшего банка. Два таких банкомата нашли в Москве, один – в Сочи, при этом злоумышленники действовали очень правильно с точки зрения психологии. Свои автоматы они устанавливали в торговых центрах, где люди в поисках наличности часто готовы воспользоваться услугами любого банкомата. Функционал выдачи средств в автоматах отсутствовал, вместо кассет с деньгами там находился GSM-передатчик.

NBJ: И как хищения осуществлялись на практике?

А. ВУРАСКО: Человек подходил к лжебанкомату, вставлял карту, набирал PIN-код, после чего банкомат «говорил»: извините, произошел сбой, деньги выдать не могу. Человек забирал карту, но к этому моменту данные магнитной полосы уже оказывались считанными. Ну а что происходило потом – думаю, легко догадаться…

Другой пример связан с вредоносными программами, ориентированными на мобильные платформы. В день их появляется даже не сотни, а тысячи и десятки тысяч, и злоумышленники внедряют семейства «вредоносов» в мобильные устройства. 

NBJ: Семейства возникают в результате модификаций «вредоносов»?

А. ВУРАСКО: Да. Часто один и тот же производитель подобных программ сам модифицирует их и таким образом создает семейство вредоносного ПО. Понятно, что в данном случае речь идет скорее о том, чтобы получить доступ к личным счетам клиентов через онлайн-банкинг. В связи с этим мы рекомендуем соблюдать хотя бы простейшие меры предосторожности: например, иметь второй мобильный телефон, который использовался бы исключительно для получения паролей для входа в онлайн-банк.  

Как Вы можете убедиться, видов киберпреступлений действительно достаточно много, и надо признать, что злоумышленники зачастую действуют очень искусно и грамотно. В контексте этого важно то, о чем я говорил выше: если банковские организации будут оставлять «сор в избе» и не будут обмениваться информацией в сфере ИБ, то расследования подобных инцидентов сильно осложнятся. А практика показывает, что полностью защититься от нападок злоумышленников ни один банк не в состоянии, поэтому ключ к успеху как раз в слаженности работы по противодействию преступлениям.