Артем Сычев: «Сводная информация об инцидентах позволит снизить результативность кибератак на 15-20%»
 
                 
Поиск по сайту
 bit.samag.ru     Web
Рассылка Subscribe.ru
подписаться письмом
Вход в систему
 Запомнить меня
Регистрация
Забыли пароль?

Календарь мероприятий
август    2020
Пн
Вт
Ср
Чт
Пт
Сб
Вс
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31

показать все 

Новости партнеров

04.08.2020

В Москве стартовал Акселератор сферы услуг

Читать далее 

03.08.2020

Поддерживаю.РФ приглашает разработчиков программного обеспечения

Читать далее 

03.08.2020

Сильные технологические компании, антикризисные бизнес-кейсы и эксклюзивная аналитика по технологиям в ритейле на Retail Hub 2020

Читать далее 

30.07.2020

В августе в Москве состоится обучающий интенсив «Мама-предприниматель»

Читать далее 

показать все 

Статьи

15.05.2020

Жить под водой, мечтая о солнце

Читать далее 

06.04.2020

Как продвигать и продавать в новой реальности?

Читать далее 

06.04.2020

Испытание или шанс?

Читать далее 

08.03.2020

Бэкап: облака или софт?

Читать далее 

08.03.2020

Считаем эффективность ИТ-проектов

Читать далее 

13.02.2020

Чат-бот CallShark не требует зарплаты, а работает круглосуточно

Читать далее 

24.12.2019

До встречи в «Пьяном Сомелье»!

Читать далее 

21.12.2019

Искусство как награда Как изготавливали статуэтки для премии IT Stars им. Георгия Генса в сфере инноваций

Читать далее 

04.12.2019

ЛАНИТ учредил премию IT Stars памяти основателя компании Георгия Генса

Читать далее 

04.06.2019

Маркетолог: привлекать, продавать, продвигать?

Читать далее 

показать все 

Артем Сычев: «Сводная информация об инцидентах позволит снизить результативность кибератак на 15-20%»

Главная / Интервью / Артем Сычев: «Сводная информация об инцидентах позволит снизить результативность кибератак на 15-20%»


Артем Сычев:
«Сводная информация об инцидентах позволит снизить результативность кибератак на 15-20%»

Как меняется вектор кибератак на финансовые учреждения? Что появилось нового в рекомендациях Банка России по обеспечению информационной безопасности в банках? Чему необходимо уделить особое внимание? На эти и другие вопросы «БИТа» отвечает заместитель начальника ГУБиЗИ Банка России Артем Сычев

Артем Сычев
Досье
Артем Михайлович Сычев, заместитель начальника ГУБиЗИ Банка России. Кандидат технических наук, степень защитил в 1999 году по тематике межсетевых экранов. Более 15 лет работает в области информационной безопасности банковской системы. Принимал активное участие в разработке комплекса документов в области стандартизации информационной безопасности Банка России.

– Артем Михайлович, на ваш взгляд, в чем специфика изменений требований в области информационной безопасности банков нынешнего периода? Какие новые тенденции в области ИБ возникают сейчас?

– Я хотел бы выделить несколько направлений. Сейчас нас явно беспокоит изменение вектора кибератак – он в основном направлен на увеличение числа хищений денежных средств. Но если раньше объектом атак чаще всего были физические лица – клиенты банков, то теперь атакам подвергаются мощности кредитных организаций, их филиалы и иные финансовые учреждения. Причем форматы угроз самые разные – это и атаки с использованием вредоносного ПО в целях выведения из строя филиала банка, и атаки, связанные с частными платежными системами. Еще до недавнего времени такого количества подобных нападений мы не наблюдали.

Совершенствуется и механизм атак. Надо заметить, что в основе их экономической составляющей всегда лежала возможность получить большую прибыль при относительно невысоких затратах на инструментарий, с помощью которого совершаются нападения. Раньше это хорошо срабатывало при атаках на корпоративных клиентов и клиентов с большими остатками на счетах, но банки научились противостоять таким нападениям. Прибыль от подобных действий стала уменьшаться, а, следовательно, сократилось и количество подобных атак, что подтверждает статистика Банка России. Снижение доходности одного вида атак привело к тому, что преступное сообщество стало использовать иные механизмы противоправных действий.

Именно поэтому Центробанку сейчас очень важно, чтобы банки больше обращали внимание не только на безопасность применительно к платежным технологиям, но и на обеспечение информационной безопасности всех своих бизнес-процессов. Логично, что подобный подход должен предъявляться и к другим финансовым учреждениям – микрофинансовым и страховым компаниям, которые также находятся под надзором ЦБ.

Из последних положительных тенденций можно отметить объединение банков в целях обмена информацией об инцидентах и происшествиях, что позволило снизить результативность атак. Данный факт подтверждается и статистикой МВД.

Кстати, совместно с коллегами из МВД мы предпринимаем различные шаги, направленные на ускорение решений целого ряда вопросов, связанных с несовершенством в нашей стране уголовного и уголовно-процессуального законодательства.

За 2013 год в банкоматной сети Сбербанка было выявлено более 2500 фактов установки скиммингового оборудования. При этом в только 60 случаях банку удалось добиться возбуждения уголовных дел, а довести дело до суда получилось всего лишь в семи случаях

Например, есть проблема с определением того, что считать местом совершения преступления в случае несанкционированного выведения денег со счета. Согласно Постановлению Пленума Верховного суда местом совершения преступления является место, где преступник получил деньги на руки. На практике же ситуация может быть такой – пострадавший клиент банка находится, скажем, в Тюмени, а деньги выводились и снимались в банкомате в другой стране. Таким образом, если клиент приходит с заявлением в российское МВД, его вполне законно могут перенаправить в ту страну, где происходило снятие денег, чтобы уголовное дело возбуждалось там, а не по месту жительства клиента или расположения отделения банка, где этот клиент обслуживается. Я думаю, что в 2015 году данный вопрос может быть решен, если будут внесены все необходимые поправки либо в Уголовно-процессуальный кодекс, либо, возможно, придется разрабатывать какой-то межведомственный акт, который исправит положение.

Вторая очень важная проблема – скимминг, установка специального оборудования на банкомат в целях захвата данных банковской карты. Здесь для того, чтобы доказать умысел на хищение денежных средств, нужно иметь все звенья цепи – от заказчика преступления и установщиков этого оборудования до человека, который непосредственно деньги получил. Это невозможно сделать без отражения в статье Уголовного кодекса ответственности за установку скиммингового оборудования.

По факту сейчас криминализированы изготовление и сбыт соответствующего оборудования, но мы прекрасно понимаем, что оно производится, допустим, в Китае и ввозится сюда уже после продажи на территории других государств, например, Болгарии или Молдовы. А так как установка этого оборудования не криминализирована, то в лучшем случае мошеннику может быть предъявлено обвинение в мелком хулиганстве за порчу банкомата, а чаще всего и это не вменяется в вину, так как при установке скимминговой накладки банкомат остается не поврежденным.

Чтобы было понятнее, насколько несовершенство законодательной базы мешает эффективной работе против этого вида мошенничества, приведу цифры, которые сообщил Сбербанк России и которые подтверждаются нашей собственной статистикой. За 2013 год в банкоматной сети Сбербанка было выявлено более 2500 фактов установки скиммингового оборудования. При этом в 60 случаях банку удалось добиться возбуждения уголовных дел, а довести дело до суда получилось только в семи случаях. Одна из причин – невозможно доказать всю скимминговую цепочку в том числе из-за отсутствия криминализации установки скиммингового оборудования.

Здесь я бы хотел вернуться к теме взаимодействия участников рынка в целях обмена информацией. В этом году на VI Уральском форуме «Информационная безопасность банков» данная тема детально обсуждалась. Стало очевидно, что необходимо организовать обмен информацией между Банком России, кредитными организациями и правоохранительными органами о любых криминальных проявлениях в информационных технологиях.

У нас есть обращение от Ассоциации российских банков, которое мы детально проработали, и, надеюсь, что в 2015 году на площадке Банка России будет создан некий центр, назовем его условно «Центр противодействия киберпреступности в финансовой сфере». У нас для этого есть и желание, и возможности, и примеры зарубежного опыта, где подобное взаимодействие формируется государством, в том числе и органами финансового надзора. Например, в Финляндии все кредитные организации участвуют в таком информационном обмене, получая доступ к общей статистике и аналитике. В Германии подобной деятельностью занимается объединение под названием «Киберпол». Замечу, что по нашей статистике подобное взаимодействие позволяет в среднем снизить результативность атак на 15-20%.

– На какие изменения, внесенные летом в Положение Банка России 382-П и в Стандарт по обеспечению ИБ Банка России, кредитным учреждениям необходимо обратить особое внимание?

– ЦБ может регулировать вопросы информационной безопасности разными путями. Закон предоставил ему право формировать требования к обеспечению защиты информации при переводе денежных средств. Кроме того, Банк России может формировать рекомендации, не являющиеся обязательными для кредитных организаций, но тем не менее подсказывающие, что можно сделать для усиления безопасности. В первом случае это Положение Банка России 382-П, во втором – группа документов в области стандартизации, которые разрабатывались на базе Комитета по стандартизации 122.

На мой взгляд, важным является требование, внесенное в Положение Банка России 382-П, которое мы отрабатывали совместно с МВД. Это обязательное логирование в автоматизированных системах действий клиентов кредитных организаций с тем, чтобы в дальнейшем эти данные можно было использовать как доказательную базу для расследований противоправных действий. Установлено, что именно должно логироваться и как долго храниться. Эти изменения внесены и уже работают.

В кредитных организациях мы хотим видеть единую методологию реагирования на инциденты. Это позволит единообразно обмениваться информацией о происшедших инцидентах, что в свою очередь даст возможность оперативно принимать меры по профилактике правонарушений

Еще одно важное изменение касается выпуска и обслуживания на территории РФ платежных карт, обязательно содержащих чип.

Что касается Стандарта, я бы здесь сделал упор на две рекомендации. Первая касается того, как реагировать на инциденты. В кредитных организациях мы хотим видеть единую методологию реагирования на инциденты. Это позволит единообразно обмениваться информацией о происшедших инцидентах, что в свою очередь даст возможность оперативно принимать меры по профилактике правонарушений.

Вторая рекомендация касается обеспечения безопасности на этапе жизненного цикла банковских приложений. Мы видим определенные проблемы при использовании банковского программного обеспечения – очень часто разработчики ПО не используют в своих продуктах функционал безопасности. Поэтому данная рекомендация предлагает алгоритмы, по которым банки могут работать в подобных случаях.

Хотел бы заметить, что эти рекомендации очень хорошо коррелируются с документами, которые разрабатывает Федеральная служба по техническому и экспертному контролю в части обеспечения безопасности приложений как таковых.

Плюс мы предлагаем методологию по контролю безопасности вообще банковских систем. Это некоторое обобщение, в том числе практики PCI DSS по обязательному сканированию на уязвимости, международного опыта. Мы попытались этот опыт систематизировать применительно к банковским технологиям вообще. И надеемся, что этот материал позволит банкам объединиться и начать требовать с разработчиков ПО качественного обеспечения безопасности. Завершение этой важной работы я считаю нашим серьезным прорывом.

– Каковы приоритетные направления вашей работы в 2015 году?

– У нас готовятся рекомендации по требованиям к безопасности при виртуализации и использовании облачных технологий. Прошел обсуждение в Техническом комитете документ с рекомендациями по ресурсному обеспечению деятельности в области информационной безопасности банков.

В 2015 году мы планируем начать работу по адаптации базового Стандарта для остальных участников финансового рынка – для страховых, микрофинансовых компаний, бирж.

Готовятся расширенные рекомендации по обеспечению безопасности используемых в банковской системе DLP-решений. В них будут затронуты вопросы не только анализа трафика, но и сформулированы рекомендации по анализу поведения работников банков в социальных сетях.

– В одном из выступлений вы рассказывали о DDoS-атаках, которым подверглись Банк России, крупные кредитные организации и госорганы в конце 2013 – начале 2014 года. Там вы впервые использовали термин «кибертерроризм». Чем вызвано появление такого определения?

– Вернемся к экономической сути виртуальных атак на банки. Как правило, DDoS-атаки на кредитные организации сопровождают действия по выводу средств с клиентских счетов. И, да, в этом случае можно говорить о киберпреступности – в основе ее лежит желание злоумышленника украсть деньги.

В случае же, когда DDoS-атаки были направлены на Центральный банк и на крупнейшие кредитные организации страны, экономическая суть была иная. Нападающих не интересовало хищение денег. Им нужен был другой эффект – добиться устрашения клиентов банков, подорвать доверие к финансовым организациям, создать негативный имидж, полностью уничтожить их положительную репутацию. В этом стремлении много общего с целями терроризма, за исключением того, что сегодня законодательством терроризм определяется в физическом пространстве и содержит понятие «угроза жизни». Поэтому я считаю, что в конкретном случае вполне применим термин «кибертерроризм».

Я уж не говорю о высоком уровне интенсивности и подготовленности, когда эти атаки планомерно велись на ресурсы всех крупных банков в течение полутора недель в декабре 2013 года. А уже в начале 2014-го мощнейшая атака с использованием огромного количества бот-сетей была предпринята на Центробанк и государственные органы. Такого потока, который на нас тогда обрушился, мы не испытывали никогда!

Конечно, мы справились с ситуацией, методология защиты была отработана еще при первых атаках, это позволило нам довольно быстро отразить второй поток. Но характер нападения иначе как террористическим назвать было нельзя.

Беседовала Агунда Алборова

В начало⇑

Выпуск №05 (98) 2020г.
Выпуск №05 (98) 2020г. Выпуск №04 (97) 2020г. Выпуск №03 (96) 2020г. Выпуск №02 (95) 2020г. Выпуск №01 (94) 2020г.
Вакансии на сайте Jooble

           

Tel.: (499) 277-12-41  Fax: (499) 277-12-45  E-mail: sa@samag.ru

 

Copyright © Системный администратор

  Яндекс.Метрика