Киберзащита данных — основополагающее условие для развития доверительных отношений банков с клиентом. И хотя большинство кредитных организаций постоянно совершенствует систему информационной безопасности, привлекая опытных хакеров, киберпреступность остается серьезной проблемой многих банков: только в 2017 году преступники похитили у них свыше 1 млрд руб. В текущем году ситуацию взял на контроль ЦБ РФ, обязав кредитные организации страны предоставлять регулятору информацию о проведении платежей во время кибератак.
Центробанк потребовал от кредитных организаций модернизации антивирусного программного обеспечения, которое должно быть настроено таким образом, чтобы информация о кибератаках отражалась одновременно со сведениями о клиентских операциях
Фото: Виктор Коротаев, Коммерсантъ / купить фото
Преступники не дремлют
Меры ЦБ РФ связаны с активизацией киберпреступников в последние годы. Массовые атаки шифраторов WannaCry, NotPetya, Bad Rabbit и их аналогов позволили злоумышленникам только в 2017 году похитить из отечественных банков более 1 млрд руб. Согласно оценке заместителя председателя правления Сбербанка Станислава Кузнецова, «мошенников, которые сегодня занимаются преступлениями на постоянной основе с использованием методов социальной инженерии, сегодня около 800–900 человек по всей стране. Но это только те, которых видим мы».
Стараниями систем информбезопасности банков и правоохранительных органов преступники оперативно выявляются: например, в марте текущего года был обезврежен глава успешно атаковавшей банки группировки Cobalt: в 2017 году эта организация предприняла 240 попыток атак на российские банки, из которых 11 прошли успешно и принесли преступникам свыше 1 млрд руб. дохода. Хакеры из этой группировки работали по проверенной схеме: сотрудник банка получал на корпоративную или на личную почту письмо, открывал его и заражал сначала компьютер, а потом всю внутреннюю сеть банка. После этого вирус перекидывался на систему управления банкоматами. При этом на ряд банкоматов поступала команда выдать деньги, которые снимали подосланные преступниками курьеры — так называемые дропы или мулы.
Несмотря на усиленную работу правоохранителей, хакеры разрабатывают новые, еще более изощренные программы: в апреле стало известно, что банкам может грозить рассылка фишинговых писем с вложением в виде шпионского трояна Dimnie. Некоторые организации его уже получили. Программа работает так: пользователь открывает вредоносное вложение из письма, запуская тем самым троян, который скачивает дополнительные модули и собирает логины и пароли от аккаунтов жертвы в различных интернет-сервисах и ПО — в список поражения попадают, в том числе, электронная почта, социальные сети и криптовалютные кошельки. По мнению экспертов, Dimnie обладает встроенной шпионской программой, которая выявляет все набранные на клавиатуре ПК комбинации клавиш, за счет чего киберпреступникам передается информация об учетных записях жертв в корпоративных системах.
Расходы банков вырастут
Причин, почему банки, несмотря на старания усовершенствовать систему информбезопасности, остаются беззащитными перед кибератаками, по мнению экспертов, три. Во‑первых, до сих пор не выработаны необходимая законодательная база и единые стандарты безопасности, которые бы унифицировали работу кредитных организаций в этой сфере. Во‑вторых, сказывается недостаток финансирования на эти цели со стороны самих банков: кредитные организации экономят средства на кибербезопасность или закладывают их на другие нужды. В‑третьих, в ряде кредитных организаций отсутствует корпоративная культура в сфере кибербезопасности.
По словам заместителя председателя правления Сбербанка Станислава Кузнецова, в отсутствие единых требований к системе информационной безопасности финансовые организации формируют «свои собственные внутренние системы — систему стандартов, систему противодействия атакам, систему компетенций и систему управления рисками. Благодаря этому ситуация с безопасностью в таких кредитных структурах становится более-менее прозрачной и предсказуемой».
«Совершенно иную картину мы видим в менее крупных банках, в том числе российских, которые не готовы инвестировать значительные средства в собственные системы обеспечения безопасности и риск-менеджмента. Там ситуация с безопасностью просто плачевна, с подтверждениями чему нам приходится все чаще сталкиваться и в СМИ, чуть ли не еженедельно сообщающих о новых многомиллионных потерях в результате кибератак», — утверждает Станислав Кузнецов.
В связи с возросшей угрозой кибератак и ужесточением требований регулятора, по прогнозам экспертов, в 2018 году расходы на ИБ в организациях, включая кредитные, вырастут на 50 %. Это подтверждается результатами опросов: в случае кибератак более половины банков (52 %) оценивают свои потери в 2–10 млн руб., около четверти (23 %) — в 10–50 млн руб., и 25 % банков — менее чем в 2 млн руб. Эти расходы представители кредитных организаций считают обоснованными, так как считают хакерские атаки серьезной опасностью.
«Киберпреступники — организованное сообщество. К ним справедливо применяется
термин „войска“: у них строгая иерархия, их сообщество состоит из подразделений, они имеют серьезную конспирологическую защиту. Это очень серьезный, грамотный, обученный противник, который представляет большую угрозу для банковской системы, построенной на IT-платформах и электронных средствах. Поэтому обеспечение кибербезопаности входит в топ‑3 главных проблем банковской системы, и с развитием технологий она будет вставать все более остро. Это надо принять и бороться с этим», — убежден первый заместитель председателя совета директоров АО «Альфа-банк» Олег Сысуев.
По его словам, «ничем другим, кроме как эффективными расходами на создание защитных систем, привлечение кадров, покупку специалистов, которые имеют опыт работы по этой специальности, проблему не решить».
По его словам, Альфа-банк накопил большой опыт борьбы с киберпреступностью, отбил немало хакерских атак: сейчас за обеспечение информационной безопасности и настройку софта кредитной организации отвечает большой штат специалистов в составе специального подразделения.
Не менее серьезно к обеспечению информационной безопасности подходит и Сбербанк. Заместитель председателя правления кредитной организации Станислав Кузнецов говорит, что Сбербанк решает проблему с помощью «белых» и «красных» хакеров, которые помогают отыскать и ликвидировать в системе уязвимые места.
«Они специально тестируют наши системы — и открыто, и скрытно. У нас это поставлено на промышленный поток, на этапах до внедрения, во время внедрения и после. Это требования современных стандартов. Мы должны опережать „инновационные“ попытки „плохих“ хакеров и создавать правильную защиту у себя», — говорит Станислав Кузнецов.
В 2017 году служба кибербезопасности кредитной организации пресекла более 300 тыс. попыток хищения средств физических и юридических лиц напрямую и с помощью вирусного ПО, предотвратив ущерб на сумму более 20 млрд руб. Интересно, что в 2016 году в Сбербанке было предотвращено попыток хищения на сумму около 16 млрд руб.
Поддержанию кибербезопасности способствует и сотрудничество банков с МВД, ФСБ и Интерполом. Например, Сбербанк с помощью штата квалифицированных специалистов формирует «базу данных» о мошенниках и передает ее в правоохранительные органы, которые проводят оперативно-разыскные мероприятия. В частности, в ноябре 2017 года эксперты дочерней структуры Сбербанка «Бизон» в составе группы Interpol Global Complex For Innovations в течение нескольких дней смогли выявить мошенническую подсеть на территории Китая.
В ситуацию включился регулятор
Реакцией на угрозу новых кибератак стала новая мера, введенная Центральным банком России. Регулятор добивается проведения модернизации антивирусного программного обеспечения в банках страны. В соответствии с требованиями Центробанка РФ, софт кредитных организаций должен быть настроен таким образом, чтобы информация о кибератаках отражалась одновременно со сведениями о клиентских операциях. Свои требования регулятор основывает на том, что грамотно построенная система информационной безопасности в банках исключает возможность хакерского вмешательства при проведении операций. При слабой же защите происходят сбои в работе клиентских сервисов, и осуществить транзакцию становится невозможно.
Аналитик ГК «Финам» Леонид Делицын считает эту меру логичной, а роль ЦБ РФ в этой схеме работы с остальными банками — аналогичной роли правоохранительных органов в расследовании преступлений.
«Одно из требований ЦБ к банкам касается предоставления документации обо всех видах проникновения в информационную систему. Предполагается, что кредитные организации в случаях хакерских атак будут оформлять протоколы и направлять полные материалы об этих фактах в ЦБ, который будет работать подобно следователям, которые документируют место преступления и составляют отчеты. Это позволяет разрабатывать и внедрять типовые решения, в противном случае все средства банков уйдут на изобретение велосипедов», — убежден эксперт.
По информации Леонида Делицына, крупнейшие российские банки ежегодно тратят на IT более 10 млрд руб. в год. Но реальные расходы некоторых кредитных организаций на эти цели превосходят эту цифру примерно в десять раз: например, у Сбербанка они увеличились с 43 млрд до 102 млрд руб., у ВТБ — с 16 млрд до 40 млрд руб., включая контракты в сфере ИБ — с 800 млн руб. до 1,4 млрд руб. Таким образом, если ранее стандартные решения обходились банкам в 50–100 млн руб., то сейчас этих сумм явно недостаточно для обеспечения соответствия стандартам ЦБ РФ и обеспечения должного уровня информационной безопасности.
«Так как революция в сфере финансовых технологий вынуждает банки ускорять ввод новых сервисов, а у разработчиков не всегда есть время для обеспечения безопасности операций и данных, отрасль может ждать волна консолидации. Регулятор рекомендовал около десятка специализированных поставщиков решений, которые могут настроить банкам систему информационной безопасности на аутсорсе, соответственно, банки увеличивают расходы», — объясняет аналитик.
Требование ЦБ РФ нацелено на создание в 2019 году нового национального стандарта по методике оценки соответствия защиты информации финансовых организаций. Предполагается, что он будет действовать с 1 июля 2019 года и определит методику защиты информации в банках. Авторы этой инициативы рассчитывают таким способом помочь банкам сформировать единый принцип работы системы информационной безопасности, сохранить свои данные, а значит, и доверие клиентов.
«В РФ на сегодняшний день пока нет единых национальных стандартов в области ИБ, обязательных для всех участников рынка. И это именно то, чего мы ожидаем от Центрального банка. Нам нужны стандарты, нам нужны правила, которые будут едины для всех кредитных учреждений и для всех сегментов рынка. Для примера — в упомянутом мной Евросоюзе уже достаточно давно приняты соответствующие законы, причем не только в рамках национальных законодательств, но и на уровне ЕС», — резюмирует Станислав Кузнецов.
По словам эксперта, выработка единого стандарта кибербезопасности — лишь часть большой работы по решению глобальной проблемы. Не менее важным в этом направлении является взаимообмен информацией о киберугрозах и хакерских атаках между кредитными организациями, важной для предупреждения рисков.
«Например, в России до сих пор не существует единой системы, которая позволяла бы осуществлять (непосредственно между банками либо централизованно, через ЦБ) автоматизированный обмен информацией о скомпрометированных картах, паролях, фамилиях, телефонах и любых других деталях, необходимой для предотвращения мошенничества. У каждого из банков есть свой собственный стоп-лист, который никак не сопрягается со стоп-листами других кредитных организаций. Благодаря этому преступник может, например, многократно использовать один и тот же номер телефона для мошенничества, „работая“ по очереди с различными банками, — никто его не заблокирует. Резюмируя, скажу — сегодня две ключевые задачи обеспечения кибербезопасности банка — во‑первых, защищать себя самого, свои системы, свое ядро, не допускать остановки процессов обслуживания, иными словами — не пропускать ударов „в самое сердце“, направленных на операционную систему, на базу данных, на ЦОДы с данными своих клиентов. И вторая задача — защищать клиентов при любых обстоятельствах, независимо от уровня их финансовой и компьютерной грамотности», — заключает Станислав Кузнецов.