О том, что 5 декабря в отношении российского банковского сектора все же были предприняты кибератаки, участники рынка узнали задним числом от "Ростелекома". Центр ЦБ по борьбе с киберугрозами Fincert по неизвестным пока причинам о происходящем умолчал. В условиях, когда банки находились в напряженном ожидании после предупреждения ФСБ, такая политика регулятора вызвала у экспертов недоумение, граничащее с разочарованием в Fincert.
Фото: Антон Белицкий, Коммерсантъ / купить фото
В пятницу "Ростелеком" сообщил, что 5 декабря он зафиксировал и отразил DDoS-атаки на пять крупнейших банков и финансовых организаций России. Ровно за неделю до этого о возможных нападениях предупреждала ФСБ, однако собственно 5 декабря факт зафиксированной и отраженной DDoS-атаки признали лишь в группе ВТБ (см. "Ъ" от 6 декабря). Почему "Ростелеком" раскрыл информацию о других атаках лишь спустя четыре дня, в компании не поясняют. Там лишь отметили, что атаки были выявлены с помощью сервиса "Мониторинг трафика и защита от DDoS-атак" (дополнительная платная услуга для корпоративных клиентов), не приводя других подробностей.
Но гораздо больше вопросов возникает не к "Ростелекому", а к основному официальному борцу с киберугрозами в финансовом секторе — ЦБ. Именно при нем с лета 2015 года работает центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Fincert. Задачи центра — сбор информации от финансовых учреждений о кибератаках, анализ и обратная связь с участниками рынка. Однако, как выяснил "Ъ", никакой информации от Fincert о кибератаках 5 декабря банки не получали.
Официально участники рынка ситуацию не комментируют, на условиях анонимности поясняя, что получили от ЦБ "настоятельные рекомендации" воздержаться от обсуждения данного вопроса. Неофициально же банкиры не скрывают возмущения. "Об угрозе мы узнали от ФСБ, об атаке на ВТБ — из СМИ, о нападении на пять крупнейших игроков — от "Ростелекома",— подчеркивает глава службы IT-безопасности банка из топ-100.— А где же был Fincert, который регулярно шлет нам послания о необходимости сохранения бдительности... буквально сегодня было очередное". Получается, что специально созданный центр информирует банки о чем угодно, но не о том, что их волнует, добавляет другой источник "Ъ" в крупном банке, никакой информации о происшедших атаках от Fincert не было. Среди участников рынка даже зародились предположения, что в Fincert тоже ничего не знали об атаках.
В Банке России объяснить ситуацию вокруг атак и бездействия Fincert отказались. В "Ростелекоме" не захотели ответить, был ли центр проинформирован об атаках. Когда "Ъ" запрашивал ЦБ о кибератаках по итогам дня 5 декабря, там также отказались от комментариев. Источники "Ъ" утверждают, что "Ростелеком" об атаках в Fincert сообщал, но рынку центр информацию не передал, сочтя угрозу недостаточно серьезной.
Как следует из сообщения "Ростелекома", по итогам анализа выяснилось, что часть трафика генерировалась с домашних маршрутизаторов пользователей, которые принято относить к IoT-устройствам (интернет вещей). Отраженные атаки принадлежат к типу TCP SYN Flood. В этом случае клиент посылает большое количество запросов на подключение к серверу в короткий срок, создает большую очередь из незавершенных, полуоткрытых подключений к серверу, в результате чего обычные клиенты не могут установить соединение. Самая продолжительная атака длилась более двух часов, пиковая мощность составляла 3,2 млн пакетов в секунду.
Эксперты в целом согласны с невысокой оценкой угроз и сходятся во мнении, что зафиксированные "Ростелекомом" атаки, скорее всего, не имеют отношения к тем, о которых предупреждала ФСБ. Руководитель направления Solar JSOC компании Solar Security Эльман Бейбутов отметил, что там также фиксировали обнародованные "Ростелекомом" DDoS-атаки. "Связь этих атак с предупреждением ФСБ считаю маловероятной,— отмечает он.— Об этом говорят структура и география атаки — преимущественно Мексика, Колумбия и Бразилия, которые не совпадают с данными ФСБ: атаки ожидались из Нидерландов. Плюс по их мощности и продолжительности нельзя говорить об их высокой опасности или заметной существенности".
Тем не менее сами банкиры считают, что Fincert даже в таком случае должен был донести информацию об атаках до банков и дать свои рекомендации. Молчание в таких ситуациях, поясняют участники рынка, вызывает вопросы и не добавляет доверия.