Внедренная ЦБ с июля этого года в рамках борьбы с киберугрозами платформа АСОИ не дает возможности моментально получать критически важную информацию. Например, о выводе средств мошенниками через банк узнать можно лишь в личном кабинете платформы, а в такой ситуации критичны даже минуты. Участники рынка считают необходимым изменить метод оповещения на СМС или иной моментальный и обратились с соответствующей просьбой к ЦБ.
Председатель Центрального Банка России Эльвира Набиуллина
Фото: Александр Миридонов, Коммерсантъ / купить фото
ЦБ намерен проработать вопрос об информировании кредитных организаций об инцидентах, когда необходима моментальная реакция службы информационной безопасности банка. Об этом сообщил замглавы департамента информационной безопасности ЦБ Артем Сычев на конференции-семинаре Банка России совместно с Академией информационных систем, Ассоциацией АБИСС. Обсуждая с регулятором особенности платформы АСОИ, банки указали, что в настоящее время в личный кабинет «сыпется» как критически важная информация (например, когда через банк выводят похищенные деньги), так и информационные бюллетени ЦБ и т. д.
АСОИ — новая платформа для оперативного обмена ЦБ с банками. До недавнего времени взаимодействие банков с ФинЦЕРТ происходило по электронной почте. Однако уже 2 июля участники рынка получили от регулятора письма с инструкцией по работе с платформой. По задумке ЦБ, АСОИ должна быть информационно-сервисным порталом участников, автоматизировать обработку сведений об инцидентах, позволить вести базу по уязвимостям, архив расследования инцидентов и т. д. Информацию от ФинЦЕРТ банки-участники получают в личном кабинете (см. “Ъ” от 2 августа).
По словам главы управления информбезопасности ОТП-банка Сергея Чернокозинского, банки получают в АСОИ от ЦБ до десяти сообщений в день. «Специалисты банка не могут сидеть у компьютера и до бесконечности нажимать F5, чтобы обновить информацию в личном кабинете и выявить требующую немедленного реагирования»,— сетовали банкиры на конгрессе. Примером медленного оповещения может служить ситуация с ПИР-банком. Во время атаки на него злоумышленники вывели 58 млн руб. через 22 банка. Само хищение произошло 3 июля вечером. Банки, на счета в которых хакеры вывели средства, получили информацию лишь в 16:00 на следующий день, но не все увидели ее сразу. Притом что в случае атак счет идет на минуты, отмечают эксперты.
Наиболее простым решением проблемы могло бы стать СМС-информирование, считают банкиры. Впрочем, многие уверены, что необходим более гибкий подход. По словам главы управления информбезопасности «Ренессанс-кредита» Дмитрия Стурова, оптимально было бы наличие возможности самостоятельно настраивать способ получения информации в зависимости от ее критичности: не требующую оперативного реагирования можно через ЛК АСОИ или электронную почту, более оперативную — СМС или мессенджеры. «При этом СМС нужно как сигнал, чтобы заглянуть в личный кабинет или прочесть имейл»,— отметил он. Подобная система оповещения уже выстроена у многих компаний, специализирующихся на информбезопасности. По словам директора центра мониторинга и реагирования на кибератаки Solar JSOC Владимира Дрюкова, в их компании информация о базовых атаках отправляется заказчикам по почте, для извещения о более критичных угрозах используются уведомления через СМС или мессенджеры. «В случае критичных, массовых или развивающихся атак мы пытаемся проинформировать заказчика по телефону с постепенной эскалацией звонка на вышестоящие контактные лица при недозвоне»,— добавил он.
По словам начальника управления информационной безопасности Златкомбанка Александра Виноградова, идея оперативного оповещения банков, в том числе в виде СМС, замечательная, однако она будет функционировать лишь при работе ФинЦЕРТ в режиме 24/7, а не только в официальные рабочие часы. Артем Сычев в ответ на запрос “Ъ” пообещал, что ФинЦЕРТ, когда будет готов, перейдет на такой режим работы.