ЦБ переходит в кибернаступление

Как стало известно “Ъ”, в Центральном банке скоро может появиться новая структура, которая будет отвечать за координацию борьбы банков с киберугрозами. «Проект положения о создании центра реагирования на инциденты на базе главного управления безопасности и защиты информации ЦБ уже разработан и ждет одобрения руководства»,— отмечает один из собеседников “Ъ”. Но финальное решение о создании такой структуры должно быть принято на более высоком уровне. По данным источников “Ъ”, близких к Совбезу РФ, вопрос о создании центра реагирования на киберугрозы для кредитно-финансовых организаций, скорее всего, будет обсуждаться на заседании 5 или 6 декабря. В ЦБ отказались от комментариев. Но его представители уже не раз публично говорили о планах по созданию структуры, куда банки будут оперативно передавать информацию о выявленных мошенничествах и киберугрозах. В частности, об этом в середине ноября упоминал замглавы главного управления безопасности и защиты информации (ГУБЗИ) ЦБ Артем Сычев. Тема также обсуждалась 27 ноября на форуме AntiFraud Russia 2014. «Банки не должны проводить оперативно-разыскную деятельность, поэтому на первом этапе будет достаточно наладить мониторинг, взаимодействие и координацию между участниками рынка»,— отметил начальник управления ГУБЗИ ЦБ Дмитрий Фролов.

По словам гендиректора Group-IB Ильи Сачкова, знакомого с идеей регулятора, управление будет аккумулировать информацию о киберпреступлениях от всех российских финансовых организаций, оповещать об угрозах участников рынка и передавать информацию в управление «К» МВД для проведения расследований. Еще одной задачей центра будет разработка рекомендаций по отражению хакерских атак и попыток мошенничества, говорят источники “Ъ”. Участие банков в работе центра будет добровольным.

В мире уже существует большое количество центров реагирования на компьютерные инциденты (CERT) — как национальных, работающих при поддержке госструктур, так и частных. Как правило, все они работают в тесном сотрудничестве с правоохранительными органами, поясняет руководитель отдела расследования компьютерных инцидентов «Лаборатории Касперского» Руслан Стоянов. В России работают RU-CERT (создан НИИ развития общественных сетей), GOV-CERT.RU (создан ФСБ) и частный CERT-GIB (принадлежит Group IB).

ЦБ сейчас собирает с банков информацию о кибератаках в режиме отчетности. Ежемесячно предоставлять регулятору сведения о выявленных инцидентах при осуществлении перевода денежных средств, в частности в виде кражи (в том числе несостоявшейся), банки должны с лета 2012 года. По словам господина Фролова, данные свидетельствуют о том, что в первой половине 2014 года банки выявили 193 тыс. несанкционированных списаний с более чем 41 тыс. платежных карт на общую сумму 962 млн руб. Основная часть этой суммы приходится на кражи в интернете и через мобильные устройства. Рост количества подобных инцидентов за полугодие ускорился с 15% до 20%.

Реальный масштаб проблемы еще больше, считают эксперты. По мнению представителя управления «К» Евгения Михалева, цифры ЦБ занижены как минимум в 10–12 раз. А это значит, что речь может идти о миллиардах рублей потерь клиентов российских банков. «Банкиры очень скрытны в этом вопросе,— отметил он в ходе форума.— Подтверждение тому — недавний инцидент, когда банк в течение 22 дней отрицал факт хищения денежных средств и лишь на 23-й обратился в правоохранительные органы». Проблема — в высоких репутационных рисках. «Как минимум в двух случаях большинство банков не станет передавать информацию в ЦБ — если хищение предотвращено в банке и деньги не ушли и если клиент не стал писать заявление о хищении»,— подтвердил один из банкиров.

Будут ли банкиры более откровенны с регулятором в случае запуска новой структуры, судить преждевременно. «Для того чтобы этот центр реагирования был эффективным, нужно выработать четкий механизм получения им информации об инцидентах от банков»,— отмечает консультант по интернет-безопасности Cisco Алексей Лукацкий. Но должна быть и обратная связь, настаивают банкиры. «В случае создания такого центра мы, скорее всего, были бы заинтересованы взаимодействовать при условии, что сможем получать и от него оперативную информацию об инцидентах в других банках, чтобы минимизировать свои риски»,— говорит вице-президент Альфа-банка Вилен Тимирязев.

Он приводит в пример ситуацию, когда банк, столкнувшийся с установкой скиммингового оборудования на своем банкомате, не предупреждает об этом другие банки, и в итоге их клиенты также могут стать жертвой скимминга. «Если бы банки знали об этом своевременно, они бы могли оперативно заблокировать скомпрометированные карты, проинформировать об этом клиентов и тем самым исключить возможные хищения их данных и денег»,— поясняет он.

Подобный механизм есть и сейчас — на уровне платежных систем, но в нем нет третьего звена — правоохранительных органов. «В России такой институт развивается и поддерживается Ассоциацией участников MasterCard, которая также участвует и в деятельности European ATM Security Team и где действуют комитет по безопасности и управлению рисками, форум безопасности и экспертная банкоматная группа»,— поясняет президент Ассоциации участников MasterCard Алексей Малиновский. Теперь с учетом того, что операционные и платежно-клиринговые функции для Visa и MasterCard, на которые приходится 80% карточного рынка, будет осуществлять Национальная система платежных карт при ЦБ, создание центра именно на базе Банка России выглядит наиболее логично. «Возможность отслеживать все операции международных платежных систем могла бы позволить центру в дальнейшем взять на себя и оперативные функции — например, отслеживать операции лиц, ранее уличенных в мошенничестве, и сигнализировать банку, выдающему средства, о том, что эта операция может носить неправомерный характер и приостановлена до выяснения обстоятельств»,— считает банкир из банка топ-5.

Но только создания центра недостаточно, считает эксперт Ассоциации региональных банков «Россия» Тимур Аитов. Сейчас приостановить операцию при одном лишь подозрении, что она может носить мошеннический характер, по закону нельзя, поясняет он, поэтому, чтобы борьба со злоумышленниками была действительно эффективной, необходимо еще и внести поправки в законодательство, но, видимо, это будет уже следующий этап.