апрель    2024

Пн	Вт	Ср	Чт	Пт	Сб	Вс
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30

показать все 

22.04.2024

Сообщество цифровых управленцев «я-ИТ-ы» проводит ЗАКРЫТУЮ встречу в рамках выставки «Связь-2024»!

Читать далее 

18.04.2024

Ассоциация разработчиков «Отечественный софт» отметила 15-летие

Читать далее 

17.04.2024

РДТЕХ представил Технологическую карту российского ПО 2023

Читать далее 

16.04.2024

RAMAX Group получила партнерский статус уровня Gold по продукту Tarantool

Читать далее 

показать все 

18.04.2024

5 способов повысить безопасность электронной подписи

Читать далее 

18.04.2024

Как искусственный интеллект изменит экономику

Читать далее 

18.04.2024

Неочевидный САПР: выход ПО за рамки конструкторской деятельности

Читать далее 

18.04.2024

Скоро некому будет делать сайты и заниматься версткой

Читать далее 

18.04.2024

Цифровая трансформация в энергетике: как запустить проект с максимальным финансовым эффектом?

Читать далее 

05.04.2024

Мотивируй, не то проиграешь!

Читать далее 

22.03.2024

В 2024 году в России и мире вырастут объемы применения AR/VR 

Читать далее 

25.02.2024

Цифровые технологии: надежды и риски

Читать далее 

05.02.2024

Будут ли востребованы услуги технической поддержки софта Oracle в России в ближайшие годы?  

Читать далее 

31.01.2024

Здания с признаками интеллекта. Как Сергей Провалихин автоматизирует дома и производства

Читать далее 

показать все 

Главная / Архив номеров / 2014 / Выпуск №10 (43) / Артем Сычев: «Сводная информация об инцидентах позволит снизить результативность кибератак на 15-20%»

Рубрика: БИТ.Банки /  Интервью

Артем Сычев:
«Сводная информация об инцидентах позволит снизить результативность кибератак на 15-20%»

Как меняется вектор кибератак на финансовые учреждения? Что появилось нового в рекомендациях Банка России по обеспечению информационной безопасности в банках? Чему необходимо уделить особое внимание? На эти и другие вопросы «БИТа» отвечает заместитель начальника ГУБиЗИ Банка России Артем Сычев

Досье

Артем Михайлович Сычев, заместитель начальника ГУБиЗИ Банка России. Кандидат технических наук, степень защитил в 1999 году по тематике межсетевых экранов. Более 15 лет работает в области информационной безопасности банковской системы. Принимал активное участие в разработке комплекса документов в области стандартизации информационной безопасности Банка России.

– Артем Михайлович, на ваш взгляд, в чем специфика изменений требований в области информационной безопасности банков нынешнего периода? Какие новые тенденции в области ИБ возникают сейчас?

– Я хотел бы выделить несколько направлений. Сейчас нас явно беспокоит изменение вектора кибератак – он в основном направлен на увеличение числа хищений денежных средств. Но если раньше объектом атак чаще всего были физические лица – клиенты банков, то теперь атакам подвергаются мощности кредитных организаций, их филиалы и иные финансовые учреждения. Причем форматы угроз самые разные – это и атаки с использованием вредоносного ПО в целях выведения из строя филиала банка, и атаки, связанные с частными платежными системами. Еще до недавнего времени такого количества подобных нападений мы не наблюдали.

Совершенствуется и механизм атак. Надо заметить, что в основе их экономической составляющей всегда лежала возможность получить большую прибыль при относительно невысоких затратах на инструментарий, с помощью которого совершаются нападения. Раньше это хорошо срабатывало при атаках на корпоративных клиентов и клиентов с большими остатками на счетах, но банки научились противостоять таким нападениям. Прибыль от подобных действий стала уменьшаться, а, следовательно, сократилось и количество подобных атак, что подтверждает статистика Банка России. Снижение доходности одного вида атак привело к тому, что преступное сообщество стало использовать иные механизмы противоправных действий.

Именно поэтому Центробанку сейчас очень важно, чтобы банки больше обращали внимание не только на безопасность применительно к платежным технологиям, но и на обеспечение информационной безопасности всех своих бизнес-процессов. Логично, что подобный подход должен предъявляться и к другим финансовым учреждениям – микрофинансовым и страховым компаниям, которые также находятся под надзором ЦБ.

Из последних положительных тенденций можно отметить объединение банков в целях обмена информацией об инцидентах и происшествиях, что позволило снизить результативность атак. Данный факт подтверждается и статистикой МВД.

Кстати, совместно с коллегами из МВД мы предпринимаем различные шаги, направленные на ускорение решений целого ряда вопросов, связанных с несовершенством в нашей стране уголовного и уголовно-процессуального законодательства.

Например, есть проблема с определением того, что считать местом совершения преступления в случае несанкционированного выведения денег со счета. Согласно Постановлению Пленума Верховного суда местом совершения преступления является место, где преступник получил деньги на руки. На практике же ситуация может быть такой – пострадавший клиент банка находится, скажем, в Тюмени, а деньги выводились и снимались в банкомате в другой стране. Таким образом, если клиент приходит с заявлением в российское МВД, его вполне законно могут перенаправить в ту страну, где происходило снятие денег, чтобы уголовное дело возбуждалось там, а не по месту жительства клиента или расположения отделения банка, где этот клиент обслуживается. Я думаю, что в 2015 году данный вопрос может быть решен, если будут внесены все необходимые поправки либо в Уголовно-процессуальный кодекс, либо, возможно, придется разрабатывать какой-то межведомственный акт, который исправит положение.

Вторая очень важная проблема – скимминг, установка специального оборудования на банкомат в целях захвата данных банковской карты. Здесь для того, чтобы доказать умысел на хищение денежных средств, нужно иметь все звенья цепи – от заказчика преступления и установщиков этого оборудования до человека, который непосредственно деньги получил. Это невозможно сделать без отражения в статье Уголовного кодекса ответственности за установку скиммингового оборудования.

По факту сейчас криминализированы изготовление и сбыт соответствующего оборудования, но мы прекрасно понимаем, что оно производится, допустим, в Китае и ввозится сюда уже после продажи на территории других государств, например, Болгарии или Молдовы. А так как установка этого оборудования не криминализирована, то в лучшем случае мошеннику может быть предъявлено обвинение в мелком хулиганстве за порчу банкомата, а чаще всего и это не вменяется в вину, так как при установке скимминговой накладки банкомат остается не поврежденным.

Чтобы было понятнее, насколько несовершенство законодательной базы мешает эффективной работе против этого вида мошенничества, приведу цифры, которые сообщил Сбербанк России и которые подтверждаются нашей собственной статистикой. За 2013 год в банкоматной сети Сбербанка было выявлено более 2500 фактов установки скиммингового оборудования. При этом в 60 случаях банку удалось добиться возбуждения уголовных дел, а довести дело до суда получилось только в семи случаях. Одна из причин – невозможно доказать всю скимминговую цепочку в том числе из-за отсутствия криминализации установки скиммингового оборудования.

Здесь я бы хотел вернуться к теме взаимодействия участников рынка в целях обмена информацией. В этом году на VI Уральском форуме «Информационная безопасность банков» данная тема детально обсуждалась. Стало очевидно, что необходимо организовать обмен информацией между Банком России, кредитными организациями и правоохранительными органами о любых криминальных проявлениях в информационных технологиях.

У нас есть обращение от Ассоциации российских банков, которое мы детально проработали, и, надеюсь, что в 2015 году на площадке Банка России будет создан некий центр, назовем его условно «Центр противодействия киберпреступности в финансовой сфере». У нас для этого есть и желание, и возможности, и примеры зарубежного опыта, где подобное взаимодействие формируется государством, в том числе и органами финансового надзора. Например, в Финляндии все кредитные организации участвуют в таком информационном обмене, получая доступ к общей статистике и аналитике. В Германии подобной деятельностью занимается объединение под названием «Киберпол». Замечу, что по нашей статистике подобное взаимодействие позволяет в среднем снизить результативность атак на 15-20%.

– На какие изменения, внесенные летом в Положение Банка России 382-П и в Стандарт по обеспечению ИБ Банка России, кредитным учреждениям необходимо обратить особое внимание?

– ЦБ может регулировать вопросы информационной безопасности разными путями. Закон предоставил ему право формировать требования к обеспечению защиты информации при переводе денежных средств. Кроме того, Банк России может формировать рекомендации, не являющиеся обязательными для кредитных организаций, но тем не менее подсказывающие, что можно сделать для усиления безопасности. В первом случае это Положение Банка России 382-П, во втором – группа документов в области стандартизации, которые разрабатывались на базе Комитета по стандартизации 122.

На мой взгляд, важным является требование, внесенное в Положение Банка России 382-П, которое мы отрабатывали совместно с МВД. Это обязательное логирование в автоматизированных системах действий клиентов кредитных организаций с тем, чтобы в дальнейшем эти данные можно было использовать как доказательную базу для расследований противоправных действий. Установлено, что именно должно логироваться и как долго храниться. Эти изменения внесены и уже работают.

Еще одно важное изменение касается выпуска и обслуживания на территории РФ платежных карт, обязательно содержащих чип.

Что касается Стандарта, я бы здесь сделал упор на две рекомендации. Первая касается того, как реагировать на инциденты. В кредитных организациях мы хотим видеть единую методологию реагирования на инциденты. Это позволит единообразно обмениваться информацией о происшедших инцидентах, что в свою очередь даст возможность оперативно принимать меры по профилактике правонарушений.

Вторая рекомендация касается обеспечения безопасности на этапе жизненного цикла банковских приложений. Мы видим определенные проблемы при использовании банковского программного обеспечения – очень часто разработчики ПО не используют в своих продуктах функционал безопасности. Поэтому данная рекомендация предлагает алгоритмы, по которым банки могут работать в подобных случаях.

Хотел бы заметить, что эти рекомендации очень хорошо коррелируются с документами, которые разрабатывает Федеральная служба по техническому и экспертному контролю в части обеспечения безопасности приложений как таковых.

Плюс мы предлагаем методологию по контролю безопасности вообще банковских систем. Это некоторое обобщение, в том числе практики PCI DSS по обязательному сканированию на уязвимости, международного опыта. Мы попытались этот опыт систематизировать применительно к банковским технологиям вообще. И надеемся, что этот материал позволит банкам объединиться и начать требовать с разработчиков ПО качественного обеспечения безопасности. Завершение этой важной работы я считаю нашим серьезным прорывом.

– Каковы приоритетные направления вашей работы в 2015 году?

– У нас готовятся рекомендации по требованиям к безопасности при виртуализации и использовании облачных технологий. Прошел обсуждение в Техническом комитете документ с рекомендациями по ресурсному обеспечению деятельности в области информационной безопасности банков.

В 2015 году мы планируем начать работу по адаптации базового Стандарта для остальных участников финансового рынка – для страховых, микрофинансовых компаний, бирж.

Готовятся расширенные рекомендации по обеспечению безопасности используемых в банковской системе DLP-решений. В них будут затронуты вопросы не только анализа трафика, но и сформулированы рекомендации по анализу поведения работников банков в социальных сетях.

– В одном из выступлений вы рассказывали о DDoS-атаках, которым подверглись Банк России, крупные кредитные организации и госорганы в конце 2013 – начале 2014 года. Там вы впервые использовали термин «кибертерроризм». Чем вызвано появление такого определения?

– Вернемся к экономической сути виртуальных атак на банки. Как правило, DDoS-атаки на кредитные организации сопровождают действия по выводу средств с клиентских счетов. И, да, в этом случае можно говорить о киберпреступности – в основе ее лежит желание злоумышленника украсть деньги.

В случае же, когда DDoS-атаки были направлены на Центральный банк и на крупнейшие кредитные организации страны, экономическая суть была иная. Нападающих не интересовало хищение денег. Им нужен был другой эффект – добиться устрашения клиентов банков, подорвать доверие к финансовым организациям, создать негативный имидж, полностью уничтожить их положительную репутацию. В этом стремлении много общего с целями терроризма, за исключением того, что сегодня законодательством терроризм определяется в физическом пространстве и содержит понятие «угроза жизни». Поэтому я считаю, что в конкретном случае вполне применим термин «кибертерроризм».

Я уж не говорю о высоком уровне интенсивности и подготовленности, когда эти атаки планомерно велись на ресурсы всех крупных банков в течение полутора недель в декабре 2013 года. А уже в начале 2014-го мощнейшая атака с использованием огромного количества бот-сетей была предпринята на Центробанк и государственные органы. Такого потока, который на нас тогда обрушился, мы не испытывали никогда!

Конечно, мы справились с ситуацией, методология защиты была отработана еще при первых атаках, это позволило нам довольно быстро отразить второй поток. Но характер нападения иначе как террористическим назвать было нельзя.

Беседовала Агунда Алборова

В начало⇑

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи