Аналитика и комментарии

11 января 2018

борьба, которую нельзя вести поодиночке

Российские банки уже несколько лет подряд остаются излюбленным объектом нападения со стороны хакерских группировок, использующих компьютерные технологии в качестве инструмента совершения преступлений. Что могут этому противопоставить финансово-кредитные организации, как развивается взаимодействие между ними, Центральным банком РФ и Управлением «К» МВД России? Как меняется вектор хакерских атак и почему правила информационной безопасности россиянам нужно знать наравне с правилами дорожного движения? На эти и другие вопросы в интервью NBJ ответил заместитель начальника отдела Управления «К» МВД России Александр ВУРАСКО.

NBJ: Александр, скажите, пожалуйста, какие изменения в характере киберпреступлений, в масштабе этого явления или, возможно, в инструментарии, который используют злоумышленники, произошли с момента нашей предыдущей беседы, и насколько они существенны?

А. ВУРАСКО: Серьезных изменений в тех вопросах, о которых вы говорите, не произошло, а вот ситуация, если так можно выразиться, на «рынке» киберпреступности существенно изменилась. Связано это с тем, что за последнее время правоохранительным органам удалось пресечь деятельность многих преступных групп, которые осуществляли атаки на банковские организации. Это, безусловно, стало большим успехом, но я считаю, что было бы неправильным слишком радоваться этому или расслабляться. Опыт показывает, что освободившееся место достаточно быстро занимают другие «игроки»  и в целом борьба с киберпреступлениями – это вечная тема, которая по мере развития интернет-технологий и все большего их проникновения в повседневную жизнь людей только обостряется.

NBJ: В рамках нашей прошлой беседы вы говорили, что подобные преступные группы – это очень разветвленные организации с глубоко уходящими «корнями». То есть их сложно обезвредить как раз потому, что арест исполнителей далеко не всегда означает ликвидацию группы. В данном случае можно говорить о том, что преступные группировки «вырваны с корнем»?

А. ВУРАСКО: Да, мы можем констатировать, что нам удалось добраться в том числе и до организаторов. Об этом свидетельствует то, что обе группы полностью прекратили свою деятельность. Главное же для банков, которые были объектами атак, организованных этими группами, что на смену последним никто пока не пришел. Это объясняется вполне объективными причинами: содержание таких групп – дело дорогое, ведь речь идет не о банальном скимминге, а о написании сложного программного обеспечения, которое не обходится без привлечения высокопрофессиональных специалистов. Плюс к этому благодаря действиям правоохранительных органов выяснилось еще и то, что участие в подобных группах – дело весьма рискованное как для их организаторов, так и для исполнителей.

NBJ: Тем не менее периодически становится известно, что крупнейшие российские банки подвергаются массированным хакерским атакам, причем эти атаки являются таргетированными и, как говорят эксперты, похожими по почерку. Может, все-таки свято место не бывает пусто, и его заняли вновь пришедшие преступные группировки?

А. ВУРАСКО: Надо сказать, что атаки на банковские системы идут постоянно, и тут нет ничего удивительного. Злоумышленники все время прощупывают почву, причем во многих случаях подобные атаки проводятся не с целью хищения денежных средств, а для того чтобы посмотреть, как тот или иной банк будет реагировать на них, какие действия он будет предпринимать. Знаете, как можно отличить атаки, нацеленные на хищение денег, от атак, направленных на обнаружение уязвимостей в системах безопасности финансово-кредитных организаций?

NBJ: Конечно, нет.

А. ВУРАСКО: Все очень просто: атаки, направленные на хищение средств, обычно осуществляются очень тихо, как говорится, без шума и пыли. Вскрываются они, только когда обнаруживается, что деньги уже ушли со счетов. Надо признать, что чаще всего жертвами такого плана атак становятся именно региональные банки. Если говорить о крупнейших игроках рынка (входящих в топ-100), то им подобные атаки угрожают гораздо реже.

NBJ: Потому что у них лучше построены системы безопасности?

А.ВУРАСКО: Да, но не только поэтому. Гораздо выгоднее атаковать клиентов этих организаций, поскольку они исчисляются сотнями тысяч и даже миллионами. Мы уже год назад говорили о том, что преступные группировки – это тоже своего рода коммерческие организации, ориентированные на получение прибыли, поэтому вполне естественно, что они разрабатывают различные типы атак для разных банков. Если у финансово-кредитной организации несколько тысяч клиентов, то какой смысл писать вредоносное программное обеспечение, чтобы обобрать их? Проще и выгоднее взломать банковские системы.

NBJ: То есть здесь тоже действуют законы рыночной экономики?

А. ВУРАСКО: Конечно. И это касается не только деятельности тех преступных групп, которые специализируются на проведении атак против банковских организаций. Давайте я приведу вам пример из другой сферы: 80% смартфонов работает на системе Android, и только 20% – на системе IoS (Apple). Вполне естественно, что «вредоносы» пишутся именно под Android – зачем тратить свои усилия на 20%, если можно охватить сразу 80%? И с банками получается та же самая история.

NBJ: Если говорить о «вредоносах», то вот они-то наверняка меняются и модифицируются, не так ли?

А. ВУРАСКО: Все верно. Во-первых, полностью автоматизированными стали банковские трояны: если раньше такими программами приходилось управлять в ручном режиме, то теперь они, однажды попав в компьютер жертвы, начинают жить своей жизнью. Во-вторых, стали появляться трояны, ориентированные на клиентов не одного банка, как это чаще всего было раньше, а на клиентов десятков банковских организаций. В-третьих, мы фиксируем переход киберпреступлений в разряд услуг.

NBJ: Даже так? И что это означает на практике?

А. ВУРАСКО: Можно арендовать банковский ботнет, чтобы похитить деньги со счетов. Иными словами, злоумышленники ищут людей, которые хотят взламывать банковские системы или счета клиентов, но не знают, как им это сделать. И вот как раз им преступники предлагают свои услуги.

NBJ: Прямо как в банковском секторе: там на аутсорсинг передаются функции по обеспечению информационной безопасности, а здесь – функции по осуществлению преступных действий.

А. ВУРАСКО: В принципе, я бы не сказал, что это – революционная перемена. И раньше фиксировались прецеденты, когда люди, получившие в свое распоряжение базы данных клиентов, продавали их третьей стороне. Теперь это наблюдается и в области вредоносного ПО. Новые коммерческие схемы в киберпреступной среде появляются постоянно, и очевидно, что эта тенденция сохранится в дальнейшем.

NBJ: Как вы считаете, можно ли назвать сложившуюся на сегодняшний день систему взаимодействия между МВД России, Центральным банком РФ и банковским сообществом отлаженной, продолжает ли она свое развитие и приносит ли плоды?

А. ВУРАСКО: Да, безусловно. В качестве примера я могу привести нашу инициативу о создании при ЦБ РФ Центра компьютерных экспертиз. Также был подготовлен законопроект, предусматривающий внесение поправок в Уголовный кодекс РФ, в соответствии с которыми хищения, совершенные с помощью компьютерных технологий, должны будут квалифицироваться не как мошенничество, а как кража. Это автоматически влечет за собой ужесточение наказания, причем весьма существенное. Сейчас практика такова, что зачастую люди, уличенные в хакерстве, выходят из зала суда, отделавшись условными сроками. Если же им будет инкриминироваться совершение кражи, то речь пойдет о реальных сроках тюремного заключения, и, соответственно, «кадровый резерв» преступных группировок может серьезно сократиться.

NBJ: Кстати, тут возникает еще один важный, на мой взгляд, вопрос: готова ли наша судебная система к тому, чтобы рассматривать подобные дела и выносить адекватные приговоры тем лицам, которые входят в состав преступных кибергрупп?

А. ВУРАСКО: Вопросы обеспечения информационной безопасности крайне важны, и для их решения потребуется участие и правоохранительных органов, и судов, и банков, и, конечно же, частных лиц. Сейчас ко всем пришло осонание того, что хакеры – это не какие-то юноши с горящими взорами, которые забавы ради взламывают информационные системы компаний, банков или государственных учреждений. Это серьезные люди, к тому же объединенные в группы, и, что также имеет большое значение, подавляющее их большинство составляют специалисты. Те, кто пишет вредоносные программы, не осуществляют самостоятельно их внедрение; те, кто занимается их внедрением, не касаются вывода средств и т.д. Доходит до того, что даже организаторы таких групп не в курсе, кто конкретно какие задачи выполняет, – более того, зачастую они даже не знакомы друг с другом, поскольку не общаются лично.

NBJ: Целая преступная индустрия, которая в своей деятельности наверняка широко использует такой инструмент, как социальные сети.

А. ВУРАСКО: Как раз нет. Организаторы и участники преступных группировок крайне редко, чтобы не сказать никогда, используют соцсети – для общения у них есть более сложные каналы. В соцсети же перебрались в основном мелкие мошенники, и это, кстати, очень большая проблема для Управления «К», потому что все жалобы на их действия поступают к нам.

NBJ: И в чем же проблема?

А. ВУРАСКО: В том, что подобные действия не являются преступлениями, совершенными с использованием информационных технологий. Интернет для таких преступников не инструмент, а среда, в которой они действуют. Чтобы вы лучше понимали, о чем идет речь, приведу простейший пример: злоумышленник размещает на портале бесплатных объявлений информацию о продаже мотоцикла, покупатель добросовестно переводит ему деньги, но не получает товара. Является ли это преступлением в сфере информационных технологий? Нет. Это самое обыкновенное мошенничество – с аналогичным успехом это объявление могло быть размещено в одном из печатных СМИ или на доске объявлений у двери подъезда. И все бы было ничего, если бы как раз подобные преступления не составляли порядка 80 % всех жалоб, поступающих к нам в управление.

NBJ: Иными словами, проблема в том, что пока нет четкого разделения между тем, что является киберпреступлением, и просто преступлением?

А. ВУРАСКО: Именно так. И признаюсь честно, очень сложно убедить людей в том, что такое разделение необходимо. По привычке, когда люди видят, что в совершении преступления использовался интернет, они идут к нам.

NBJ: Возможно, то разделение, о котором вы говорите, следует более четко прописать в законодательстве?

А. ВУРАСКО: Не думаю, что это поможет решить проблему: по законодательству у наших граждан есть право жаловаться куда угодно на что угодно. Возможно, общество просто не готово к тому, чтобы информационные технологии так быстро и основательно проникли в его жизнь. А вот злоумышленники как раз оказались к этому готовы. Когда этот дисбаланс сможет выправиться? Я думаю, для этого потребуется минимум несколько лет. Здесь можно провести такую аналогию: с появлением автомобилей в повседневном обиходе со временем всем людям в той или иной степени пришлось учить правила дорожного движения. Теперь же всем необходимо в той или иной степени знать правила информационной безопасности – но все осложняется тем, что эти правила постоянно переписываются и будут переписываться дальше, причем достаточно часто. А существует еще и такое известное всем явление, как инерция мышления.

NBJ: По вашим наблюдениям, у российских банков она тоже существует?

А. ВУРАСКО: Знаете, наши банки находятся в уникальной ситуации, поскольку анализ атак и анализ вредоносного ПО показывает, что большая часть новых схем атак «обкатывается» как раз на российских финансово-кредитных организациях.

NBJ: Неясно даже, радоваться или огорчаться такой «чести».

А. ВУРАСКО: Я думаю, что все-таки это скорее хорошо, чем плохо. Поскольку банки вынуждены постоянно жить в состоянии «войны», они создают действительно очень эффективные системы информационной безопасности. Во всяком случае, те из них, кто имеет для этого достаточный объем средств. Системы ИБ нельзя установить раз и навсегда: их приходится постоянно поддерживать и модернизировать, поскольку злоумышленники не дремлют. Соответственно, перед каждым банком встает вопрос, что для него выгоднее: постоянно вкладываться в совершенствование систем безопасности или периодически компенсировать ущерб своим клиентам.

NBJ: Но все же почему именно наши банки становятся тестовой средой для злоумышленников?

А. ВУРАСКО: Я думаю, причина заключается в том, что в России на удивление хорошо развита ИТ-инфраструктура и очень высок уровень проникновения мобильного банкинга. Естественно, это создает привлекательные для киберпреступников условия, ведь они тоже заинтересованы в эффекте масштаба. В начале нашей беседы я говорил о том, что, когда речь идет об атаках на крупные банки, преступные группировки предпочитают «бить» по клиентам, поскольку таким образом они могут заработать больше денег. Здесь действует та же мотивация: раз у нас миллионы людей пользуются мобильным банкингом, то логично, что хакеры тестируют свои решения в этой области именно в России.

NBJ: В завершение нашей беседы скажите, пожалуйста, как вы оцениваете уровень взаимодействия Управления «К» с созданным при Центральном банке РФ Центром мониторинга инцидентов в сфере информационной безопасности – FinCERT?

А. ВУРАСКО: Это очень полезное сотрудничество для всех вовлеченных в него сторон. И я должен сказать, что уже есть первые результаты: как раз плотно взаимодействуя с FinCERT, мы занимались расследованием многих инцидентов в банковской сфере, и нам удалось предотвратить хищения средств со счетов ряда банков. Благодаря деятельности FinCERT в банки, против которых готовились атаки, были направлены сообщения и рекомендации о том, что необходимо предпринять для недопущения этих атак. Целый ряд транзакций был приостановлен, и в результате удалось спасти несколько сотен миллионов рублей, которые в противном случае попали бы в руки злоумышленников.

NBJ: Тем не менее некоторые представители силовых структур озвучивали весьма впечатляющую сумму хищений – порядка 1,5 млрд рублей.

А. ВУРАСКО: У них свои данные, мы же ориентируемся на статистику ЦБ РФ. В то же время никто, конечно же, не оспаривает тот факт, что порой атаки проходят, увы, успешно.

NBJ: А сами банки выходят на ваше управление или они уже приучены взаимодействовать с МВД России через FinСERT?

А. ВУРАСКО: Конечно, они выходят и самостоятельно. Следует отметить, что, к сожалению, есть определенные препятствия на пути развития их взаимодействия с FinCERT, и главное из них заключается в том, что банки опасаются передавать информацию о произошедших в их системах информационной безопасности инцидентах регулятору. Это не является тайной: об этом банкиры открыто говорят на различных площадках.

беседовала Анастасия Скогорева
Поделиться:
 

Возврат к списку