Предоставление банками информации о хищениях денежных средств должно быть обязательным
Регулятор обсуждает, как заставить кредитные организации направлять информацию в недавно созданный Центр по борьбе с киберугрозами.
Предоставление банками информации о хищениях денежных средств со счетов клиентов в Центре по борьбе с киберугрозами (FinCERT) должно быть не добровольным, а обязательным. Этот вопрос в настоящее время обсуждается специалистами по безопасности и защите информации Центробанка, рассказал «Известиям» источник, близкий к Банку России. В случае обязательного участия банков в FinCERT у них появится еще одна форма отчетности. Для реализации проекта потребуется не менее года — ЦБ должен четко определить тип и формат передаваемых банками сообщений о кибератаках, а также техническую сторону взаимодействия.
— FinCERT начал работу 1 мая, ЦБ представил его общественности 30 июня, — отмечает источник. — Пока Центр не смог завоевать доверие банков. Планировалось, что в FinCERT будет аккумулироваться информация о кибератаках на банки и их клиентов, потенциальных киберугрозах, а собранные данные — рассылаться банкирам. К работе по созданию Центра были привлечены силовики — Министерство внутренних дел, Федеральная служба безопасности, Федеральная служба по техническому и экспортному контролю (ФСТЭК). Задача FinCERT — минимизировать несанкционированные списания с карт граждан.
О росте угрозы электронного мошенничества, связанного с банками, заявил 30 июня замруководителя главного управления безопасности и защиты информации ЦБ Артем Сычев. По его словам, число электронных мошенничеств растет ежегодно на 20%, при этом число самих электронных платежей — всего на 10%.
— И эта разница в темпах на 10 процентных пунктов крайне беспокоит регулятора, — отметил Сычев. — Получается, что кибермошенники уже не просто досадная графа в статистике ЦБ — это прямая и явная угроза для отрасли электронных платежей. В сфере информационной безопасности как нигде крайне важна осведомленность о тактике и методах противника. В условиях, когда жертвы разобщены и не обмениваются информацией об угрозах, кибермошенники чувствуют себя вольготно: если на одном банке сработает разработанная атака, можно смело применять ее и на других, поток прибыли иссякнет не скоро. И наоборот, если «безопасники» знают, какими средствами и методами мошенники собираются атаковать, успешная защита становится делом техники. Проблема лишь в том, что узнают они об этом обычно в ходе расследования случившегося инцидента. Поэтому возникла необходимость создания FinCERT.
ФинЦМиР/FinCERT и создавался для мониторинга инцидентов, связанных с обеспечением защиты информации в кредитно-финансовой сфере; сбора и анализа информации о выявленных уязвимостях в обеспечении защиты информации; анализа и прогнозирования рисков и проблемных ситуаций, связанных с обеспечением защиты информации и т.д. По данным ЦБ, киберпреступники в 2014 году пытались вывести с банковских счетов 6 млрд рублей; количество подобных инцидентов в банках РФ выросло примерно на 30%, до 64 тыс. атак. Представители МВД в 2014 году заявляли, что цифры ЦБ занижены более чем в 10 раз.
Пока создание центра никак не повлияло на ситуацию с безопасностью. Как утверждает источник, близкий к ЦБ, банки не начали передавать данные в FinCERT. Сами представители банков признаются (по понятным причинам на условиях анонимности), что никто не хочет афишировать свои проблемы перед конкурентами и регулятором.
— Банкирам не хочется привлекать внимание ЦБ к своим проблемам, также у банков есть опасения, что предоставляемая информация о кибератаках утечет и может быть использована против них. Кроме того, банкирам неясно, какие именно данные нужно передавать в FinCERT и с какой периодичностью. Пока FinCERT не собрал от банков никакой информации по киберугрозам. И ЦБ пойдет на принудительные меры, — отмечает один из собеседников.
Сейчас, если банк заметил кибератаку, он не рапортует об этом регулятору, а от замалчивания страдают клиенты и другие банки.
— Именно поэтому в ЦБ поднят вопрос об обязательном участии банков в FinCERT, — говорит источник, близкий к регулятору. — ЦБ сейчас собирает с банков информацию о кибератаках в режиме отчетности. Новая форма отчетности для банков в FinCERT, скорее всего, будет предполагать направление формализованных сообщений в ЦБ в режиме онлайн по специальным каналам связи (по аналогии с направлением сообщений в Росфинмониторинг).
— FinCERT работает на принципах добровольного предоставления информации, — заявили «Известиям» в пресс-службе ЦБ. — В настоящее время Банк России не планирует закреплять обязанности передачи информации в центр на уровне нормативных актов.
По словам источника, регулятор сделает участие банков в FinCERT обязательным, как только четко определит тип и формат передаваемых банками сообщений о кибератаках, а также техническую сторону взаимодействия. При этом, по мнению специалистов по безопасности, чем дольше ЦБ будет медлить с решением этих вопросов, тем больше времени FinCERT не сможет показать свою эффективность.
Руководитель аналитического центра Zecurion Владимир Ульянов прогнозирует, что банки будут в обязательном порядке отчитываться в FinCERT в 2016 году. Директор Digital Security Илья Медведовский уверен, что в любом случае предоставлять данные в центр банки заставят.
— На первых порах участие в центре, действительно, сделано добровольным. ЦБ и сейчас придерживается давно обработанной схемы: создать новацию, обкатать ее, получить практику применения, выявить недостатки и потом ввести для банков обязательные требования по исполнению новации. То же будет и с FinCERT. ЦБ прекрасно владеет методом кнута и пряника и постепенно сделает участие в нем банков обязательным. В этом сомнений нет, — говорит Медведовский.
Дмитрий Волков, руководитель отдела расследований инцидентов информационной безопасности Group-IB указывает, что FinCERT сам еще не определил правила игры.
— ЦБ предстоит провести работу с представителями рынка, чтобы построить процессы, которые будут работать и приносить практический результат, — отмечает Волков. — Без этой работы существует риск, что банки начнут сдавать формальную и бесполезную отчетность. Мало просто передавать данные о количестве атак и потенциальном ущербе. Агрегированная статистика никак не поможет банкам бороться с киберпреступностью и снизить количество мошенничества. В инцидентах надо разбираться, анализировать изменения, делать правильные прогнозы и на основе этих данных давать своевременные рекомендации. Кроме того, реакция FinCERT должна быть оперативной. Если какой-то банк столкнулся с новой атакой, то ему необходимо время на проведение собственного разбирательства, подготовку отчета в FinCERT, потом сотрудники FinCERT должны разобраться в переданных материалах, дать рекомендации и довести их до других банков. Процесс может занять месяц и дольше, и в этом случае рекомендации уже будут неактуальны и бесполезны. Тут необходим совершенно новый подход.
При этом эксперты уверены, что банки в любом случае будут скрывать некоторый объем информации.
— Банки могут предоставлять неверную отчетность в FinCERT из-за репутационных рисков, — не исключает Ульянов. — Но у ЦБ есть целый арсенал воздействия на банки-нарушители, который будет применяться: предписания, штрафы, внеплановые проверки. Когда ЦБ обнаруживает, что банк сдал ему недостоверную отчетность, регулятор начинает более пристально анализировать, как банк соблюдает антиотмывочный 115-ФЗ, крайняя мера за нарушение которого — отзыв лицензии.
Эксперты не сошлись во мнении, насколько обременительным будет предоставление дополнительной информации в центр. Ульянов отмечает, что предоставление еще одной формы отчетности не будет обременительным для банков, а затраты на решение технических вопросов взаимодействия с FinCERT составят несколько сотен тысяч рублей в год.
— Небольшие банки будут нести существенные затраты в силу отсутствия соответствующих процессов, специалистов и пр., — уверен руководитель направления противодействия мошенничеству Центра информационной безопасности компании «Инфосистемы Джет» Алексей Сизов.