ЦБ обяжет банки сообщать в FinCERT о кибератаках в течение трех часов

Банк России разработал обязательный для всех банков регламент кибербезопасности, призванный защитить кредитные организации от хакерских атак — в документе, в частности, вводится обязанность банка в течение трех часов сообщать о готовящейся или свершившейся атаке.

Основная новация документа —  ЦБ установил четкую обязанность банков информировать FinCERT (Центр мониторинга и реагирования на компьютерные атаки в финансовой сфере, подконтрольный Банку России) о выявленных и возможных инцидентах, связанных с нарушением требований к обеспечению защиты информации при переводе средств через платежную систему Банка России, в том числе о несанкционированных переводах денежных средств, то есть о кибератаках, пишет «Коммерсант». Срок информирования — в течение трех часов с момента инцидента или выявления нарушения доступа к информации.

Отправлять сообщения банки обязали на электронную почту fincert@cbr.ru вне зависимости от того, участвует банк в информационном обмене с FinCERT или нет (это участие ЦБ оставил на усмотрение банков).

Согласно тексту проекта положения, банки должны обеспечить исполнение требований к 30 июня 2017 года. «В свете участившихся угроз мы сочли необходимым разработать и обнародовать документ, регламентирующий требования безопасности для всех участников платежной системы», — сообщил собеседник «Коммерсанта» из ЦБ.

Кроме того, в документе в качестве обязательных для исполнения закреплены еще несколько дней назад бывшие в статусе рекомендаций четыре основных теперь уже требования. В частности, о том, что к компьютеру, подключенному к платежной системе, не должно быть доступа из локальной сети банка. Или о необходимости постоянного мониторинга происходящего на компьютере, с которого уходят платежи в ЦБ, на предмет несанкционированного вмешательства в программное обеспечение, подключения к сторонним серверам и т. д. В ЦБ пояснили подобное оперативное преображение рекомендаций в требования так: «Мы не настаиванием на выполнении рекомендаций FinCERT в случаях, когда дело касается самого банка. Например, по защите от DDoS-атак, — указывает источник издания в ЦБ.— Но когда дело касается платежной системы ЦБ, то мы будем требовать соблюдения правил информационной безопасности. И к нарушителям будем применять соответствующие санкции».

Основными направлениями деятельности центра FinCERT, созданного летом 2015 года, являются мониторинг инцидентов, аналитика и обобщение информации, оперативное доведение результатов анализа до участников рынка, а также взаимодействие с правоохранительными органами.

По словам опрошенных «Коммерсантом» банкиров, ранее многие банки не сообщали в Банк России о хакерских атаках, когда речь шла не о глобальных суммах. Главная причина — репутационные риски, поскольку в случае утечки информации возможен отток клиентов. Кроме того, банки опасались обвинений со стороны регулятора в несоблюдении информационной безопасности.

Теперь «молчунам» грозит наказание. Как пояснили в ЦБ, меры могут быть применены довольно строгие, вплоть до отключения от системы банковских электронных срочных платежей (БЭСП) в отдельных случаях. В каких именно, он не уточнил.

В пресс-службе ЦБ сообщили изданию, что четкий порядок действий в случае атаки будет определен «договором информационного обмена» с каждым банком в отдельности.

Согласно первому итоговому отчету FinCERT, наиболее популярным видом атак за прошедший год (с 1 июня 2015 года по 31 мая 2016 года) на банки стала массовая рассылка зараженных писем. В отчете отмечается, что большинство успешных атак на банки произошло из-за человеческого фактора: непредусмотрительные сотрудники открывали письма, пришедшие из подозрительных источников. При этом сотрудники осознанно обходили механизмы защиты, отключая советующие надстройки. Это позволяло злоумышленникам загрузить в систему банка вредоносное программное обеспечение.

С июня 2015 по май 2016 года FinCERT зафиксировал более 20 крупных кибератак на платежные системы кредитных организаций. В ходе этих атак преступники пытались похитить 2,87 миллиарда рублей, удалось предотвратить хищение более 1,5 миллиардов рублей. По фактам хищений возбуждено 12 уголовных дел, удалось обезвредить несколько преступных групп.

Для обмана физических лиц киберпреступники часто используют фишинговые сайты (сайты-двойники). На таких сайтах с целью хищения денег или персональных данных граждан предлагаются продукты или услуги от лица различных организаций и госорганов, такие как проверка штрафов ГИБДД, оформление кредита онлайн и т.п. За год при содействии FinCERT заблокирована работа порядка 120 фишинговых доменов в зоне RU. Ежемесячно FinCERT выявляет и инициирует закрытие порядка 25–30 фишинговых сайтов, говорится в отчете.

Другим распространенным способом мошенничества является SMS-рассылка от имени ЦБ или кредитных организаций (особенно популярны рассылки с использованием номеров 8-800). При звонке по указанному в сообщении номеру отвечают мошенники, которые собирают информацию о гражданах: фамилию, имя, отчество, адрес, номер банковской карты, PIN-код, CVV-код. Эта информация используется ими для отъема денег у граждан или продается другим злоумышленникам, сообщил FinCERT.