Руководители ведущих российских банков уже осознали опасность и масштабы киберпреступности и приняли определенные меры, благодаря которым прибыльность виртуального мошенничества перестала расти. Такое же понимание необходимо, когда речь идет о противодействии внутренним угрозам информационной безопасности в финансово-кредитных организациях. О том, какие вызовы в сфере ИБ наиболее актуальны на сегодняшний день, рассказал в интервью NBJ заместитель начальника главного управления безопасности и защиты информации (ГУБЗИ) Банка России (ЦБ) Артем СЫЧЕВ.

«МЕНЯЕТСЯ МОТИВАЦИЯ У ТЕХНИЧЕСКИ ГРАМОТНЫХ ЛЮДЕЙ, КОТОРЫХ ВОВЛЕКАЮТ В ПРЕСТУПНУЮ ДЕЯТЕЛЬНОСТЬ»

NBJ: Артем Михайлович, каковы в настоящее время основные характеристики киберпреступности?

А. СЫЧЕВ: Если провести анализ ситуации с хищением денежных средств в кредитных организациях, а также анализ вирусной активности и других проявлений киберпреступности, то станет очевидно: на стороне преступного сообщества вращаются огромные деньги.

Монетизация поиска уязвимостей системного и прикладного программного обеспечения привела к тому, что в преступную деятельность вовлекаются новые люди. На сегодняшний момент мы видим распределение киберпреступного сообщества по конкретным специальностям. Инструментарий начинает продаваться, и им массово пользуются люди, которые раньше и не помышляли о занятии противоправной деятельностью.

Нас беспокоит трансграничный характер киберпреступности, и мы выносим эту проблему на обсуждение с участием государственных органов. Большая часть атак на наши средства безопасности, которые мы можем фиксировать, идет с иностранных IP- адресов. Российские правоохранительные органы зачастую не имеют возможности предотвращать эти атаки. Если говорить о профессиональных вирусописателях, то известно – и это подтверждают крупнейшие аналитики, – что вирусы, направленные на российские банки или на их клиентов, как правило, разработаны теми, кто спокойно живет в других государствах.

Кроме того, меняется мотивация технически грамотных людей, которых вовлекают в преступную деятельность. Если раньше, лет шесть-восемь назад, это были дарования, которые пробовали свои силы в программировании и поиске уязвимостей ради спортивного интереса или славы, то на данный момент основная мотивация – это получение прибыли. Идет формирование преступного мира в киберпространстве. Для банковских систем всех стран это вызов, к которому нужно относиться очень серьезно.

NBJ: Какие первоочередные задачи в сфере обеспечения ИБ в настоящее время стоят перед Банком России в связи с вышеизложенным?

А. СЫЧЕВ: Задачи в этой сфере за последнее время кардинально не менялись, поскольку одна из главных проблем остается прежней – мошенничество в сфере высоких банковских технологий. Соответственно, необходимо выстраивать противодействие преступному элементу. Однако все время появляются дополнительные аспекты, новые механизмы мошенничества вслед за передовыми банковскими технологиями, такими как бесконтактные платежи или мобильный банкинг.

Что касается наших внутренних задач, то мы, прежде всего, обязаны обеспечить информационную безопасность наших сетей и платежной системы Банка России. Мы используем системный подход и постоянно отслеживаем ситуацию. Тот опыт, который накоплен в части анализа рисков и угроз, мы стараемся вложить в содержание комплекса документов в области стандартизации, во всем известный cтандарт Банка России, который мы продолжаем развивать и обсуждать с банковским сообществом.

Банк России в последнее время обратил очень серьезное внимание на то, как обеспечивать безопасность на всех этапах жизненного цикла автоматизированных систем и программного обеспечения (ПО). Это немного меняет традиционные подходы и требует довольно серьезного отношения разработчиков программного обеспечения к так называемому безопасному программированию.

Большое значение мы придаем интеграции наших действий с работой правоохранительных органов и органов обеспечения государственной безопасности - МВД, ФСБ, прокуратурой.

NBJ: Для этого наверняка потребуется модернизировать Уголовный кодекс?

А. СЫЧЕВ: Уголовный и Уголовно-процессуальный кодексы на данный момент указывают ряд составов преступлений, относящихся к так называемым инновационным технологиям. Вместе с тем, по нашему мнению и по мнению коллег из кредитных организаций, этого недостаточно. Мы исходим из того, что за преступным деянием должно следовать соответствующее наказание, должен реализовываться принцип неотвратимости наказания. К сожалению, это не всегда возможно. Порой даже доведенные до суда уголовные дела не получают соответствующего завершения - это одна из причин того, почему идет массовое вовлечение в преступные сообщества новых кадров.

Мы бы хотели обратить внимание законодателя на определенные проблемы. Наша совместная задача - уточнение законов с точки зрения решения проблем информационной безопасности. Есть необходимость совершенствования уголовного и уголовно-процессуального законодательства в части преступлений, при которых используются компьютерные технологии в качестве инструмента для достижения криминальных целей.

NBJ: Какие поправки в УК и УПК требуются?

А.СЫЧЕВ: По УК мы хотели бы конкретизировать состав преступления по 272 статье («Неправомерный доступ к компьютерной информации» - прим. ред.) и по 274 статье («Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей» - прим. ред.), привязав их непосредственно к банковской деятельности. Это достаточно серьезный вопрос. Также мы внесли предложение по отдельному составу преступления, связанного с проблемой скимминга. Суть там очень простая. На данный момент скиммера нельзя привлечь к уголовной ответственности за использование скиммер-инструментов, потому что он формально никогда не берет украденные деньги в руки - он лишь ставит оборудование для хищения данных с карты. Нужно эти моменты в законодательстве уточнить.

Для банковской системы остро стоит следующий вопрос. Представьте, что клиент банка находится во Владивостоке. Если деньги похищают, то их обналичивают, как правило, в другом регионе. Формально возбуждать уголовное дело придется в регионе, где деньги были обналичены. Это является очень серьезным сдерживающим фактором в работе правоохранительных органов. Поэтому Банк России подготовил соответствующие предложения для профильного комитета Государственной думы. Местом совершения преступления, как мы считаем, нужно признавать тот регион, где клиент обслуживается.

«АТАКА БЫЛА НАЦЕЛЕНА НА ВЫВЕДЕНИЕ ИЗ СТРОЯ СЕРВЕРОВ, КОТОРЫЕ ПРЕДОСТАВЛЯЮТ ОСНОВНУЮ КОНТАКТНУЮ ИНФОРМАЦИЮ ДЛЯ КЛИЕНТОВ»

NBJ: Недавно появилось сообщение о массированной DDoS-атаке на сайты Банка России и ряда кредитных организаций. Расскажите, пожалуйста, подробнее про эту атаку и ее последствия.

А. СЫЧЕВ: Группа злоумышленников, называющая себя Anonymus Кавказ, объявила о серии атак с целью нарушить работоспособность банковской системы. По нашей информации под атаку попал не только Центральный банк, но и Сбербанк РФ, ВТБ, Альфа-Банк, Газпромбанк. Думаю, что это была политическая акция. Сама атака была не слишком мощной, но хорошо подготовленной и, как принято говорить, таргетированной. Так что ее последствия могли быть очень серьезными.

NBJ: Чего добивались хакеры? Взломать сайты ЦБ и банков и внести туда чуждое содержание? Или они хотели взломать финансовые сервисы кредитных организаций?

А. СЫЧЕВ: На наш взгляд, их задача заключалась в том, чтобы обеспечить недоступность публичных интернет-ресурсов банков, а также Банка России. Атака не была нацелена на финансовые сервисы кредитных организаций для физических и юридических лиц. Следует отметить, что серьезных прерываний деятельности коммерческих банков и Банка России не было. За это следует сказать спасибо информатизаторам и службам информационной безопасности организаций, которые подверглись атакам.

В чем суть данной акции? Дело в том, что банковская система - это прежде всего доверие (клиентов к банку, банка к контрагенту и т.д.). Атака была нацелена на выведение из строя серверов, которые предоставляют основную контактную информацию для клиентов. По идее, если банк не может обеспечить собственную безопасность в Интернете, это серьезный удар по его репутации. К чести и сотрудников ЦБ, и коллег из кредитных организаций хакерам не удалось достичь своей цели.

NBJ: Насколько мощной была эта атака?

А. СЫЧЕВ: Зафиксировано, что против нас работало порядка 400 машин. Единовременно было инициировано около 200 соединений. Это была технически хорошо подготовленная атака на конкретный сервис, конкретный скрипт. Это значит, что на стороне тех, кто ее организовывал, работают грамотные специалисты. Предыдущая подобная атака была произведена в декабре 2012 года, и она носила немного другой характер. В тот раз хакеры стремились переполнить канал.

NBJ: А это были атаки с российских IP-адресов?

А. СЫЧЕВ: Нет, атаки шли исключительно с зарубежных IP-адресов. Однако у нас есть основания полагать, что заказчики находятся на территории Российской Федерации.

NBJ: Какие выводы были сделаны?

А. СЫЧЕВ: Однозначные: эта атака имеет все признаки определенного состава преступления, предусмотренного Уголовным кодексом. Если есть группа, которая хочет помешать работе банковского сообщества, и это определено как уголовное преступление, то задача правоохранительных органов - найти виновных и довести дело до суда.

В связи с произошедшей атакой мы обратились с заявлением в Следственный комитет. Такое же обращение поступило в правоохранительные органы и со стороны Сбербанка РФ.

«КРИМИНАЛЬНЫЙ ЭЛЕМЕНТ НАЧИНАЕТ АКТИВНО ИСКАТЬ НОВЫЕ ИСТОЧНИКИ ПОЛУЧЕНИЯ ДОХОДА»

NBJ: Давайте перейдем собственно к банковскому сектору. Что касается атак с целью получения финансовой прибыли, насколько сейчас велика эта проблема и какова динамика числа атак?

А. СЫЧЕВ: Статистика, которой мы располагаем, говорит о том, что наметилась определенная тенденция к сокращению числа таких преступлений. Предпринятые действия со стороны правоохранительных органов, Банка России и кредитных организаций привели к тому, что маржинальность этого вида деятельности для злоумышленников слегка снизилась. Однако очевидно, что они нащупывают другие источники и слабые места в финансовой системе в целом и в банковском секторе в частности.

NBJ: Раньше эксперты сообщали, что доходы мошенников в этой сфере растут, а данный криминальный бизнес становится более прибыльным и привлекательным.

А. СЫЧЕВ: Доходы в любом бизнесе до бесконечности расти не могут. Они достигают пика, после которого происходит их стабилизация. Это приводит к тому, что криминальный элемент начинает активно искать новые источники получения дохода. Это заметно, если проанализировать любые другие виды мошенничества. В свое время были популярны так называемые нигерийские письма. Потом они пропали, но в последние полтора года начали постепенно возвращаться, но уже в иной модификации.

Другой пример - мошенничество путем рассылки SMS-сообщений. Раньше пользователи платежных карт финансово-кредитных организаций получали SMS-уведомления о том, что карта заблокирована службой безопасности банка. Почти все финансовые институты к настоящему моменту разъяснили своим клиентам, что они не рассылают таких SMS, а информируют иными способами. Что же касается подобных сообщений, то под ними, как правило, скрывается  мошенническая деятельность. В ответ на данную превентивную меру преступники тут же перестроились. Они теперь прикрываются именем Центрального банка. Но Банк России тоже не сидит на месте: по этим фактам мы работаем с правоохранительными органами и проводим разъяснительную работу.

NBJ: За счет чего удалось остановить рост доходов кибермошенников?

А. СЫЧЕВ: Наконец-то проблема стала понятна очень многим руководителям финансово-кредитных организаций, и они приняли определенные меры. Ассоциация российских банков составила рекомендации относительно того, как действовать в этой ситуации. Есть опыт крупных игроков рынка по реализации совместных с правоохранительными органами мероприятий по обезвреживанию преступных группировок. Это тоже принесло определенный положительный эффект. Проблема постепенно вышла в средства массовой информации, что способствует повышению осведомленности клиентов кредитных организаций в вопросах информационной безопасности. Поэтому уровень защиты клиентов коммерческих банков тоже чуть-чуть подрос. Все это в совокупности привело к тому, что увеличение доходности кибермошенничества как преступного бизнеса остановилось. В то же время по общей статистике вновь резко возросла актуальность проблемы скимминга.

NBJ: В связи с этим не планирует ли Банк России обязать все кредитные организации перейти на чиповые карты?

А. СЫЧЕВ: Такая идея рассматривается, но по моему личному мнению, это не решит проблему. Спустя какое-то время (год-полтора) мошенники научатся делать оборудование, которое будет спокойно считывать чиповые карты. Больших технических препятствий здесь нет. Опыт США показывает, что отсутствие чипов не делает электронные платежи менее безопасными. Хотя, с другой стороны, есть положительный опыт Сингапура, Великобритании, где в обращении находятся чиповые карты.

NBJ: И у них нет проблемы скимминга?

А. СЫЧЕВ: Такой статистики у меня нет. Но повторюсь: чип не панацея, он не устранит проблему раз и навсегда. Он может ее отложить на некоторое время - как всегда, идет борьба брони и снаряда. Вопрос надо рассматривать с разных сторон, учитывая в том числе и внесение изменений в уголовное законодательство.

NBJ: А как вообще сейчас обстоят дела с формированием доказательной базы при расследовании преступлений, связанных с покушением на хищение или хищением средств через ДБО?

А. СЫЧЕВ: Банк России и МВД озабочены этой проблемой. Именно поэтому были внесены соответствующие изменения в Положение Банка России № 382-П.

NBJ: Мы говорим о внешних угрозах, а каков сейчас уровень внутренних угроз и осознание этого уровня руководителями банков?

А. СЫЧЕВ: Внутренний фрод, к сожалению, существует. Рекомендации банковскому сообществу известны. Они есть и в составе комплекса документов по стандартизации Банка России (ИБ ИББС). Это контроль прав пользователя, распределения прав пользователей и действий персонала, ролевые модели, антивирусная защита и т.д.

NBJ: То есть внутренние угрозы еще не наносят столь значимого ущерба, чтобы руководители банков приняли меры и в этом направлении?

А. СЫЧЕВ: Видимо, дело пока не дошло до определенных финансовых пределов. Кроме того, на мой взгляд, служба экономической безопасности должна работать очень тесно со службой информационной безопасности. Информационная безопасность и экономическая безопасность должны быть если не братьями-близнецами, то, во всяком случае, очень близкими родственниками. Логика тут простая: экономическая безопасность может оказаться слепой и глухой без информбезопасности. А информбезопасность без экономической безопасности рискует оказаться безрукой и беззубой.

«ЦЕНТРАЛЬНЫЙ БАНК ВНИМАТЕЛЬНО СЛЕДИТ ЗА ВСЕМИ СОВРЕМЕННЫМИ ТЕХНОЛОГИЯМИ»

NBJ: Вы еще относительно недавно трудились в Россельхозбанке. Как Вы применяете полученный там опыт, будучи уже на службе в Банке России?

А. СЫЧЕВ: Центральный банк отличается от любого другого коммерческого банка только тем, что у него нет клиентов - физических лиц. Все остальные процессы похожи. Банк России всегда формировал стандарты и требования по информационной безопасности, привлекая к обсуждению банковское сообщество. Мы постоянно пытаемся понять, насколько тот или иной норматив или требование достигнет нужного эффекта и при этом не приведут ли наши требования к росту затрат со стороны кредитных организаций. Это важно.

NBJ: Что поменяется в очередной редакции стандарта Банка России и когда она появится?

А. СЫЧЕВ: Мы решаем две задачи. Первая из них - синхронизация стандарта с вновь вышедшими требованиями по обеспечению безопасности системы обработки персональных данных, с документами ФСТЭК и Роскомнадзора. Вторая задача - собственно актуализация методики оценки соответствия, поскольку часть вопросов этой методики уже устарела.

NBJ: Изменения в методику вносятся по итогам практики применения прежнего стандарта?

А. СЫЧЕВ: Да, причем следует отметить, что инициатива изменений в стандарт исходила от Банка России. Однако предложения и пожелания, что и как надо менять, внесли коллеги из банков исходя из собственной практики, именно они выполнили в данном случае основную работу.

NBJ: Как сейчас обстоит дело с темой персональных данных в банковской сфере?

А. СЫЧЕВ: Тема отработана: понятно, как действовать. Нас сейчас больше волнует инициатива Роскомнадзора по внесению изменений в законодательство в плане наказаний. В целом мы поддерживаем Роскомнадзор в его стремлении как-то упорядочить эту работу, но согласны не со всеми формулировками, предложенными им.

Кроме того, пользуясь своим правом, которое определено 5 частью 19 статьи Федерального закона № 152-ФЗ «О персональных данных», мы приступили к согласованию с регуляторами перечня актуальных угроз безопасности при обработке персональных данных в информационных системах. Наша цель состоит в том, чтобы обеспечить адекватность мер информационной безопасности тем рискам, которые действительно характерны для банков. На текущий момент более 300 игроков финансового рынка приняли на вооружение стандарт Банка России. Мы хотели бы увязать между собой реализацию мероприятий по стандарту, по защите информации при осуществлении переводов денежных средств, не возлагая при этом излишнюю нагрузку на кредитные организации.

NBJ: Что такое безопасное программирование и в какой мере банковское сообщество и разработчики уделяют внимание данной теме?

А. СЫЧЕВ: Если не вдаваться в подробности, то безопасное программирование - это учет требований безопасности еще на этапе архитектурной разработки и программирования. Разработчику следует учитывать уже заранее известные всем пробелы. На эту тему есть свои стандарты, и на самом деле программисты с ними знакомы. Другое дело, что в условиях отечественного рынка программного обеспечения разработчики не часто стремятся их использовать. Причина проста: зачем брать на себя лишнюю нагрузку, если никто этого не требует.

NBJ: А насколько безопасное программирование поможет решить вопрос информационной безопасности? Ведь мошенники постоянно ищут бреши во всех системах защиты.

А. СЫЧЕВ: Конечно, безопасное программирование не является панацеей. Это только часть тех задач, которые должны быть решены на всех этапах жизненного цикла банковских приложений и систем. Разработанное программное обеспечение должно работать в некой среде. Причем риски нарушения информационной безопасности могут быть вызваны уязвимостями не только в программных продуктах, но и в операционных системах и т.д. Поэтому вторая задача - это обеспечение периодического контроля защищен­ности именно информационной среды в целом.

Обязательно должны быть реализованы процедуры контроля на этапе первичных испытаний, перед вводом в промышленную эксплуатацию: необходимы периодические проверки эксплуатации, обязателен контроль на этапе внесения кардинальных изменений в систему. Отдельно следует уделять внимание мерам обеспечения информационной безопасности на этапе вывода системы из эксплуатации.

NBJ: Как Вы относитесь к «облакам»?

А. СЫЧЕВ: На наш взгляд, одна из проблем безопасного использования облачных технологий заключается в том, что на рынке представлен небольшой выбор сертифицированных отечественных продуктов по обеспечению безопасности «облаков» и виртуальных технологий. Кроме того, очень много нерешенных вопросов в основном правового характера - передача и обработка персональных данных, обеспечение банковской тайны, взаимоотношения между банком и исполнителем. С этим еще предстоит разбираться.