Чем так опасна и для банков, и для их клиентов социальная инженерия? Как будут рассчитываться киберриски и всем ли участникам банковской системы придется в обязательном порядке создавать под них резервы? Какую роль будут играть оценки внешних аудиторов и как будет относиться к ним регулятор в лице Центрального банка? На эти и другие вопросы ответил в интервью NBJ первый заместитель директора департамента информационной безопасности Банка России Артем СЫЧЕВ.

NBJ: Артем Михайлович, складывается такое впечатление, что в уходящем году было меньше успешных атак на банковские системы и пользователей банков. Во всяком случае, стало намного меньше громких информационных сообщений по этому поводу, чем еще год назад. Соответствует ли это действительности?

А. СЫЧЕВ: Да, и тому есть две причины. Первая из них заключается в том, что дело с выявлением атак у нас обстоит все лучше и лучше, а вторая – в том, что все в мире развивается по спирали и на каждом витке развития старые инструменты начинают использоваться по-новому. Если мы оглянемся назад, то увидим, что в 2009-2012 годах был всплеск интереса со стороны злоумышленников к хищению средств, в первую очередь клиентов – юридических лиц. Причем удар тогда направлялся преимущественно на счета компаний малого и среднего бизнеса.

NBJ: Потому что они рассматривались злоумышленниками как легкая добыча?

А. СЫЧЕВ: Да. Банки тогда предприняли соответствующие меры: установили антифрод-системы, научились останавливать мошеннические платежи и т.д. Поняв, что эта сфера теперь защищена, злоумышленники перенесли свое внимание на сами банки, и на 2015 год пришелся пик атак на банки. Кредитно-финансовые организации с учетом этого стали уделять больше внимания вопросам своей информационной защиты, начали пересматривать свои подходы к информационной безопасности.

Что получилось в результате этого? Злоумышленники снова переключились, но теперь на клиентов – физических лиц, и за последние два года мы видим в итоге очень активно развивающуюся схему мошенничества с использованием социальной инженерии. Я хочу обратить внимание на то, что подобного рода атаки имели место и раньше, но проблема не имела тех масштабов, как сейчас. 

NBJ: То есть теперь слабым звеном считаются те, кого принято называть «физиками»?

А. СЫЧЕВ: Совершенно верно. Злоумышленники понимают при этом, что физические лица – отнюдь не такой жирный кусок, как банки или клиенты – юридические лица, и что этим куском насытиться не получится. Поэтому они начинают постепенно возвращаться к тому, с чего начали – к атакам на юридических лиц, но при этом уже не ограничиваются, как раньше, «забросом» трояна, а прибегают, например, к массовым рассылкам спама, звонкам с уведомлением о возможности получения кредита за небольшую комиссию. Человек, поверив данному сообщению, выплачивает такую комиссию несколько раз, прежде чем осознает, что его просто обирают злоумышленники. Как я уже сказал, это стало довольно масштабным явлением, и поэтому Центральный банк как регулятор рынка на данный момент считает реализацию мер противодействия такому явлению, как социальная инженерия, одной из самых важных задач.

NBJ: Наверняка эта задача не менее важна и для банков, но тут возникает вопрос, что в принципе можно с этим сделать?

А. СЫЧЕВ: Решение здесь прежде всего лежит в плоскости повышения уровня осведомленности, причем не только банков, но и их клиентов, и наших сограждан в целом. Чем лучше мы будем вести просветительскую работу по этому вопросу, тем проще финансово-кредитным организациям будет защищать своих клиентов и тем меньше будут риски для пользователей банковских услуг. Вторая мера – это разделегирование мошеннических сайтов, в том числе фишинговых. И, наконец, это наша внутренняя работа по выстраиванию взаимодействия с правоохранительными органами. Чтобы эта работа была более эффективной, необходимо иметь статистику подобных правонарушений, методологию, как расследовать такие действия, как их документировать и как подобные дела направлять в суд.

NBJ: Но тут возникает вопрос о нашем законодательстве: достаточно ли оно проработано для того, чтобы такие преступления находили адекватную оценку в судебных инстанциях?

А. СЫЧЕВ: С законодательством ситуация за последние несколько лет существенно улучшилась. Во-первых, были внесены изменения в Уголовно-процессуальный кодекс, в законы «О банках и банковской деятельности» и «О Центральном банке». 167-ФЗ ввел давно востребованную процедуру о внесудебном возврате денег в тех случаях, если они были выведены со счета юридического лица без его согласия и при условии, что эти деньги еще не были зачислены на счета других получателей, которые обычно являются подставными лицами. Конечно, такая законодательная норма не покрывает собой все риски и проблемы, но для Российской Федерации это уникальная процедура.

NBJ: То же самое можно сказать и о любом другом законе, не так ли?

А. СЫЧЕВ: Конечно. Но тут надо учитывать, что в принципе юридически очень сложно организовать процедуру возврата средств, и особенно это сложно в ситуациях, когда имеет место не ошибка, а результат действий злоумышленников. Нам нужна процедура внесудебного возврата зачисленных на счета, используемые злоумышленниками, средств. Мы понимаем, что для того, чтобы полностью пройти этот путь, нам понадобятся в лучшем случае два-три года. Это немалый срок.

NBJ: Вернемся к тому вопросу, с которого начинали беседу. Итак, успешных атак в этом году было меньше, чем, например, в 2017 году, и вы объяснили в силу каких причин. Но не связана ли эта положительная динамика и с работой ФинЦЕРТа (Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере. – Прим. ред.), и если да, то в какой мере?

А. СЫЧЕВ: В этом действительно есть немалая заслуга ФинЦЕРТа, но, говоря об этом, давайте отметим, что главным условием успешного функционирования центра является доверие между всеми участниками информационного обмена – банками, регулятором и правоохранительными органами. Хорошо известно, что доверие не возникает само по себе, оно базируется на результатах этого взаимодействия. Так вот, за время работы ФинЦЕРТа было несколько случаев, когда информация, предоставленная правоохранительными органами, помогла предотвратить хищения средств в банковских организациях. Также были случаи, когда информация, которую мы получаем от банков по каналам информационного обмена, помогла выявить мошеннические операции в других банках.

NBJ: То есть, если бы не было ФинЦЕРТа, борьба с киберпреступностью стала бы более сложной?

А. СЫЧЕВ: Я думаю, теперь никто не ставит под сомнение справедливость этого тезиса. И участники информационного обмена понимают, что, если бы не существовало такой системы, их финансовые потери были бы куда более внушительными. В начале нашей беседы я говорил о том, что повысился уровень выявляемости злонамеренных действий – это стало возможным потому, что мы вскрываем методологию злоумышленников. Коллеги, работающие в банках, выявляют угрозы по ряду критериев, а правоохранительные органы затем со своей стороны проводят расследование и привлекают виновных к ответственности. Как вы можете убедиться, сформировалась цепочка, в ней нет разорванных звеньев, через которые раньше легко могли ускользнуть злоумышленники.

В то же время, говоря об информационном обмене, следует упомянуть еще один аспект: Центральный банк как регулятор рынка, используя интернет-приемную Банка России, активно работает в этом контексте не только с юридическими, но и физическими лицами, которые стали или могли стать жертвами мошеннических действий, совершенных киберпреступниками.

NBJ: Недавно в СМИ появилась информация о том, что скоро участниками процесса информационного обмена также могут стать и небанковские финансовые организации – МФО, НПФы, ломбарды и т.д. Соответствует ли эта информация действительности, и если да, то почему эти компании не были подключены к информационному обмену сразу же после появления ФинЦЕРТа? Почему регулятор сначала решил обкатать этот механизм исключительно на банках?

А. СЫЧЕВ: Говорить о том, что в информационном обмене участвуют сейчас исключительно банки, некорректно. Наш ФинЦЕРТ является одним из лидеров в мире по количеству участников – на сегодняшний день их число превышает 700, в то время как банков сегодня насчитывается менее 500. Помимо банков в информационном обмене участвуют некредитные финансовые организации, органы государственной власти, организации, оказывающие услуги в сфере информационной безопасности, Пенсионный фонд России, телеком-операторы, отечественные производители программного обеспечения, организации, которые занимаются профессиональными расследованиями киберпреступлений, и т.д. Естественно, что процесс их присоединения к ФинЦЕРТу происходил постепенно, и вполне логично, что и далее число участников этого обмена будет увеличиваться, в том числе за счет присоединения к ФинЦЕРТу микрофинансовых организаций, негосударственных пенсионных фондов, ломбардов, иных организаций, оказывающих финансовые услуги.

NBJ: Артем Михайлович, еще одна тема, которая волнует участников системы, во всяком случае мы можем судить об этом по их выступлениям на круглых столах, организованных нашим изданием, – это тема учета киберрисков при расчете достаточности резервного капитала. Поясните, как будут рассчитываться эти риски, по каким критериям они будут определяться и что будет в первую очередь следует учитывать при определении их размеров?

А. СЫЧЕВ: Схема очень непростая, поэтому я, отвечая на ваш вопрос, ограничусь указанием на то, что при расчете будут учитываться следующие факторы: информация о потерях кредитных организаций вследствие реализации киберрисков, оценки, которые банки будут получать по итогам анализа их защищенности, и результаты внешнего аудита информационной безопасности. На самом деле эта схема окончательно еще не закреплена, дискуссия по ней пока продолжается.

NBJ: Банки, если мы правильно понимаем, переживают, что в результате дополнительного резервирования средств давление на их капиталы может серьезно возрасти. Обоснованы ли такие опасения?

А. СЫЧЕВ: Все зависит от того, как обстоят дела с информационной безопасностью в конкретном банке. Если он серьезно занимается своей информационной защитой, то ему не следует опасаться негативных последствий для себя. Скорее всего, результат применения этой методики будет положительным.

NBJ: Значит ли это, что на рынке есть банки, которым вообще не придется создавать резервы?

А. СЫЧЕВ: Очевидно, что тем участникам банковской системы, которые не уделяют вопросам ИБ достаточного внимания, придется раскошелиться. Тут выбор очень простой: либо ты занимаешься безопасностью на должном уровне, либо ты «холдируешь» средства на реализацию киберрисков, и они у тебя лежат мертвым грузом до того момента, пока эти риски не реализуются и не возникнет необходимость покрывать убытки.

NBJ: Почему в принципе понадобился переход к такому жесткому регулированию деятельности банков с точки зрения ИБ? Требование доформировать резервы, если с информационной безопасностью дела обстоят небезупречно, трудно отнести к мягкому регулированию, не так ли?

А. СЫЧЕВ: Тут есть два момента. Первый – точно такой же подход прописан в базельских документах, то есть в международных стандартах банковской деятельности. Соответственно, здесь мы ничего нового не изобретаем. Второй подход – утилитарный. Он заключается в том, что  когда вы не занимаетесь должным образом информационной безопасностью, то создаете риски для своей организации. Дальше у вас как у банка, о чем я уже говорил, есть два варианта реагирования: либо вы резервируете средства, либо предпринимаете меры и действия, направленные на снижение киберрисков.

Ничего другого в этом случае не дано, и здесь каждый банк выбирает для себя тот путь, который представляется ему оптимальным исходя из его финансовых возможностей, отношения к ИБ и т.д. И ЦБ РФ как регулятор выстраивает свое взаимодействие с банками исходя из того, какой путь они выбирают. Если мы видим, что банк, пострадавший от реализации киберриска, «взялся за ум» и стал всерьез заниматься обеспечением своей кибербезопасности, то это повод оказать ему помощь, в первую очередь методологическую. И уж в любом случае это не повод наказывать такой банк за ранее допущенные ошибки и просчеты.

NBJ: Раз уж вы упомянули внешний аудит, то расскажите, как он должен проводиться и есть ли у Банка России список рекомендованных компаний для его проведения или банки в данном случае вольны выбирать аудиторов самостоятельно?

А. СЫЧЕВ: Как должен проводиться внешний аудит, описано в двух документах – государственных стандартах, в одном из которых содержатся требования по обеспечению информационной безопасности, а во втором – методика оценки этих требований. Это и есть методология, которая ложится в основу и работы по обеспечению безопасности, и проверки качества этой работы.

Что же касается списка рекомендуемых компаний для проведения внешнего аудита, то ЦБ подобный список выпускать не будет. В то же время мы прекрасно понимаем, что ключевой вопрос здесь – это качество оказываемых аудиторских услуг, и ведем переговоры с нашими коллегами из профильных государственных органов о том, как формировать систему оценки качества таких услуг.

NBJ: То есть вы все же будете проверять внешних аудиторов?

А. СЫЧЕВ: Не проверять в полном смысле этого слова, а создавать систему, которая, как нам представляется, должна содержать в себе механизм добровольной сертификации аудиторов. ЦБ же в этом контексте будет играть наблюдающую, но не определяющую правила игры роль.

NBJ: Вы имеете в виду, что было бы желательно создать саморегулируемую организацию для таких компаний?

А. СЫЧЕВ: Я имею в виду, что этот подход требует очень детальной проработки

совместно с нашими коллегами из ФСТЭК и ФСБ. При этом сроки его выработки ограничены: требования к обязательному проведению внешнего аудита систем информационной безопасности в банках вступают в силу уже в следующем году.

NBJ: И все же поясните, насколько Центральный банк будет опираться на результаты внешнего аудита при определении размеров киберрисков в том или ином банке и, соответственно, при выставлении предписаний о доформировании резервов под киберриски? Эти результаты будут играть определяющую или вспомогательную роль в данном процессе?

А. СЫЧЕВ: Здесь все будет точно так же, как и в случае с выполнением стандарта PCI DSS. Платежные системы не просто воспринимают отчеты внешних аудиторов как заключительное слово в последней инстанции, они оставляют за собой право перепроверить эти результаты и посмотреть, совпадают или нет их оценки состояния информационной безопасности с оценками внешних аудиторов. Точно так же дело обстоит и в данном случае: у Банка России есть полномочия по надзору за деятельностью кредитных организаций и платежных систем, соответственно, мы можем взять результаты и проверить их на реальное положение дел.

NBJ: То есть тут будет действовать принцип «доверяй, но проверяй»?

А. СЫЧЕВ: Конечно.

NBJ: Может ли здесь быть та же ситуация, что и в случае с рейтингованием банков? Не секрет ведь, что в национальном банковском секторе есть банки, которые имеют по два, а то и по три рейтинга, присвоенные им разными агентствами. Иными словами, достаточно ли им будет одного внешнего аудитора или они смогут привлекать двух-трех?

А. СЫЧЕВ: А зачем? Если для того, чтобы избежать проверки со стороны Центрального банка, то это бессмысленно – мы все равно будем проверять, как обстоит дело с обеспечением информационной безопасности в поднадзорных субъектах. Так что привлечение двух и более внешних аудиторов приведет только к тому, что банки станут нести дополнительные и совершенно ненужные расходы на оплату подобных услуг.

NBJ: Внешний аудит априори подразумевает допуск внештатных специалистов к критической информационной инфраструктуре банков. В связи с этим, естественно, возникает вопрос о том, как должны контролироваться действия таких пользователей систем и как вообще должна быть выстроена система разделения прав доступа, в том числе и для штатных сотрудников. Есть ли у Центрального банка методологические рекомендации по этому вопросу для банков?

А. СЫЧЕВ: Это важный вопрос, но мы по нему отдельных рекомендаций не вырабатываем, поскольку у банков существует большой опыт проведения таких оценок и они уже хорошо знают, как обеспечить контроль за действиями пользователей хотя бы потому, что вынуждены ежегодно проходить процедуру соответствия на выполнение требований стандарта PCI DSS. С другой стороны, мы для этих компаний выписали жесткое условие – наличие соответствующей лицензии ФСТЭК. Понятно, что это не панацея от всех бед, но серьезное ограничивающее условие.

NBJ: Артем Михайлович, поделитесь вашим экспертным прогнозом, каким, вероятнее всего, будет  2019 год с точки зрения ситуации с информационной безопасностью в российских банках и финансовых компаниях? Есть ли основания надеяться на то, что он будет таким же сравнительно тихим, как и ушедший, 2018 год?

А. СЫЧЕВ: Я бы не был столь оптимистичен, учитывая то, о чем говорил вам в начале нашей беседы. Тенденция и главное опасение этого года – социальная инженерия.

NBJ: Чума нашего века?

А. СЫЧЕВ: Да. Это как раз старый инструмент, применяемый в новых условиях, и он обладает страшной разрушительной силой. Причина этого в том, что сначала мало кто способен понять, что такой инструмент только внешне выглядит старым и привычным, а на деле он обрел новое качество. Чтобы проиллюстрировать данный тезис, приведу исторический пример, точнее, предложу вам ответить на вопрос: знаете ли вы, почему войска османов так быстро покоряли европейские страны и, по сути, на протяжении долгого времени никто не мог оказать им серьезного сопротивления?

NBJ: Потому что Европа была раздробленной и входящие в нее страны постоянно воевали друг с другом.

А. СЫЧЕВ: Не это было главной причиной их поражения. Османы научились по-новому применять тяжелую артиллерию. Вместо того чтобы обрабатывать ею войска противника в чистом поле, они подводили ее вплотную к городам и пробивали крепостные стены. Города обычно были готовы к осаде, этот метод ведения войны стал к тому времени всем хорошо известен, но они подготовились к такому быстрому разгрому обороны и вторжению неприятеля.

В некотором смысле сейчас мы видим ту же самую ситуацию: знаем, что такое социальная инженерия, все так или иначе сталкивались с ней. Вам же наверняка хоть раз в жизни предлагали предсказать судьбу на вокзале? Но теперь этот инструмент используется иначе, более масштабно, более разрушительно и с большим успехом для того, кто держит его в своих руках.

NBJ: И это основная тенденция этого года или более долгосрочного периода?

А. СЫЧЕВ: Боюсь, что не только этого года. Я думаю, что для того, чтобы пришло осознание серьезности этого риска, понадобится два-три года. И я очень хотел бы, чтобы мой прогноз не сбылся, но подозреваю, что через два-три года мы станем свидетелями нового всплеска атак на банки – именно на банки, а не на их клиентов. Вообще каждый цикл в той спирали, которую я описал в начале нашей беседы, исчисляется в среднем двумя-тремя годами. Злоумышленники не стоят на месте. Если они видят, что банки закрылись от них на одном участке обороны, то они подобно османам будут искать уязвимые точки в обороне и бить по ним.

NBJ: А к чему следует готовиться банкам в этом году с точки зрения законодательных и регуляторных инноваций?

А. СЫЧЕВ: Мы бы очень хотели, чтобы в 2019 году дошли до принятия два очень важных, с нашей точки зрения, законопроекта. Первый из них – об обмене информацией между телеком-операторами и банками, прежде всего по вопросам замены сим-карт и всему, что связано с подобными действиями. И второй из них – законопроект о блокировке сайтов фишингового характера по внесудебной процедуре. Суть здесь очень простая: сайты, которые мы можем блокировать и снимать с делегирования, находятся в доменных зонах.ru,.rf и.su. А вот то, что находится за пределами этих зон, заблокировать и снять с делегирования гораздо сложнее, это требует трудоемких и затратных по времени процессов, а срок жизни подобных сайтов обычно очень короткий. Свою задачу мы видим в том, чтобы злоумышленники не могли использовать эти сайты и с их помощью получать доступ к средствам и персональным данным граждан.

NBJ: С прогнозами понятно, а что бы вы пожелали читателям нашего журнала, сотрудникам банков и финансовых компаний в наступившем году?

А. СЫЧЕВ: Пусть этот, 2019 год будет интенсивным, инновационным и безопасным.