Вероника Горячева о том, почему кредитные организации недовольны ФинЦЕРТом

Недавний опрос о пользе информационной рассылки ФинЦЕРТа (подразделения ЦБ, отвечающего за кибербезопасность), проведенный Ассоциацией банков России (АБР), привел к неожиданному результату. Всего 4% опрошенных назвали получаемую от регулятора информацию достаточной для предотвращения киберинцидентов. При этом в числе средних и крупных банков полностью удовлетворенных вообще не оказалось. Почти половина опрошенных банкиров указали на нехватку информации. Среди крупных банков категорическое недовольство высказал 21% опрошенных.

Безусловно, ко всякому опросу следует относиться с осторожностью. Тем более что АБР опросила лишь 48 из 415 кредитных организаций. К тому же уточняющие вопросы, что конкретно не устраивает и чем плохи рассылки, банкирам не задавались. Но я решила восполнить пробел и обратилась к знакомым специалистам по информационной безопасности.

Оказалось, что и защитники ФинЦЕРТа, и противники придираются к одному и тому же. Например, до сих пор существуют проблемы с интеграцией получаемой информации у ряда вендоров, из-за чего машиночитаемая версия импортируется некорректно. Приходится вручную разбирать ежемесячно 20–30 бюллетеней, тогда как реакция на возможные инциденты должна быть почти мгновенной. При этом банкиры говорят о большом количестве «спама» в бюллетенях — о ловящихся антивирусом вредоносных программах, всевозможной технической информации и т. п.,— среди которого легко пропустить критически важную информацию о реальной угрозе.

В результате о части угроз банкиры узнают не от ФинЦЕРТа, а по сарафанному радио.

Например, о возобновлении в середине прошлого года атак с использованием «блэкбокса» (взлом банкомата, возможный из-за слабой защищенности ПО сейфовой части, см. “Ъ” от 10 августа 2018 года). Кроме того, банкиров огорчает, что в рассылках ФинЦЕРТа нет смежных с кибербезопасностью тем — например, о приеме банкоматами фальшивок (см. “Ъ” от 29 августа).

Но и ЦБ есть что возразить: собеседник “Ъ”, близкий к регулятору, подчеркивает: банки сами порой не спешат сообщать об инцидентах. Причина в том, что ФинЦЕРТ совмещает функции и обеспечения защиты от киберугроз, и надзора за кредитными организациями, поэтому за выявленную уязвимость можно еще получить и предписание.

Самое удивительное в этом бесконечном диалоге в высокотехнологичной и динамичной сфере кибербезопасности как раз то, насколько он затянулся.

Сейчас идут разговоры о выводе надзорных функций из ФинЦЕРТа в отдельное управление, которое будет сформировано для этого. Но официальных подтверждений нет — в ЦБ на этот вопрос отвечать отказываются.