Нужен ли банкам свой CERT?

Тема разобщенности кредитно-финансовых организаций между собой и с правоохранительными органами в противодействии киберпреступлениям в финансовой сфере кочует от одного отраслевого мероприятии к другому. Не стала в этом плане исключением и пятая ежегодная конференция AntiFraud Russia, состоявшаяся в Москве.

Представители правоохранительных органов, принявшие участие в этой конференции, по-прежнему обращают внимание на то, что стремясь сохранить доброе имя банки предпочитают не выносить сор из избы и утаивают информацию об ИБ-инцидентах от клиентов, коллег и регуляторов. Как следствие латентность киберпреступлений в кредитно-финансовой сфере практически лишает все заинтересованные стороны возможности иметь достоверную картину о положении дел. Так, по оценкам председателя комитета по безопасности некоммерческого партнерства «Национальный платежный совет» Бориса Мирошникова, всю имеющуюся по этому направлению статистику по количеству ИБ-инцидентов и размерам причиняемого киберпреступлениями ущерба следует умножать на десять.

Начальник отдела БСТМ МВД России Евгений Михалев рассказал о том, что даже сотрудникам управления «К» МВД РФ бывает сложно получать от банков информацию о случившихся у них ИБ-инцидентах. По его словам, кредитно-финансовые организации нередко либо вообще не обращаются в полицию, либо затягивают подачу заявлений до таких сроков, когда, как показывает практика, вернуть украденные деньги уже нереально. В то же время оперативное реагирование, как заявляют эксперты, позволяет не только догонять преступников по горячим следам, но и контратаковать те средства, которые они использовали при совершения киберпреступления.

Банкиры, со своей стороны, пеняют на несовершенство законодательства. Даже если клиенту (или самому банку) удается быстро спохватиться по поводу грозящего потерями инцидента, не всегда хватает законных оснований для того, чтобы оперативного прервать цепочку движения похищенных денег из того банка, откуда деньги мошенническим способом увели, к банку (или банкам), через который деньги проводятся злоумышленниками для запутывания следов.

По мнению представителей банков наказания для киберпреступников по российским законам по-прежнему остаются чрезмерно мягкими. Даже если злоумышленников удается привлечь к судебной ответственности, им, как заявляют некоторые представители кредитно-финансовых структур, зачастую оказывается выгодно, перетерпев назначаемые судом наказания, сохранить украденное и неплохо жить после выхода на свободу. В то же время банки вынуждены тратить все больше средств на совершенствование своей ИБ-защиты.

Одним из механизмов преодоления разобщенности участников процесса обеспечения ИБ кредитно-финансовых учреждений может стать создание Центра компьютерной безопасности (ЦКБ или отраслевой Computer Emergency Response Team, CERT), деятельность которого была бы специализирована под профиль бизнеса кредитно-финансовых структур.

Как отметил начальник управления информационной безопасности КБ «Златобанк» Александр Виноградов, пожеланий по поводу спектра услуг такого Центра и условий его функционирования высказано много, и прежде всего банки хотели бы получать от Центра актуальную информацию об инцидентах, но вот передавать свои собственные данные в Центр, как показывают результаты обсуждений и практика борьбы с киберпреступностью, они желанием не горят, даже если данные будут передаваться в обезличенном виде, т. е. без указания названий банков, имен пострадавших клиентов и т. п., а только с информацией о характере инцидента, механизмах и технологиях, задействованных в нем, территориальной локализации инцидента и т. п.

Важным препятствием для передачи подобного рода сведений (кроме упомянутого опасения потерять лицо) представители банков считают возможность попасть под обвинение в нарушении действующих законов, в первую очередь требований неразглашения банковской тайны.

Сотрудничать с ЦКБ банки можно было бы заставить усилиями регуляторов. Однако нужно учитывать, что на территории России работают также и финансовые структуры, не подчиняющиеся Банку России — главному отраслевому регулятору в этой области. Можно было бы организовать работу и на добровольной основе, сделав услуги ЦКБ действительно полезными для банков. Отмечается, что к работе с ЦКБ следует привлекать и операторов связи, потому как, например, через короткие телефонные номера сегодня осуществляется много денежных хищений.

Поле для деятельности в направлении создания ЦКБ для кредитно-финансовых организаций широкое, но пока совсем не паханное. Начать, как полагает г-н Виноградов, следует с создания механизмов блокировки движения и возврата денежных средств в интересах борьбы с мошенничеством в кредитно-финансовой среде.

Тем не менее, по мнению начальника управления главного управления безопасности и защиты информации Банка России Дмитрия Фролова, в преодолении разобщенности кредитно-финансовых организаций и силовых структур в противодействии киберпреступлениям не следует забегать вперед реальных потребностей финансового бизнеса. В первую очередь кредитно-финансовым структурам сегодня нужен мониторинг взаимодействия и координация деятельности в сфере ИБ. Г-н Фролов отметил, что уже есть пригодные для использования в этих целях базы данных, в формировании которых участвуют банковские объединения, управление «К» МВД РФ и Центра информационной безопасности ФСБ РФ.

Г-н Мирошников обратил внимание на ряд важных практических аспектов, определяющих целесообразность и своевременность создания отраслевого ЦКБ. Он напомнил, что для банков есть свой порог критичности размеров хищений, и только при его превышении им выгоднее заявлять о них, нежели умалчивать.

По его словам, у управления «К» тоже есть свой «порог срабатывания», определяемый не только количеством квалифицированных кадров и бюджетом управления, но также регламентированный властными распоряжениями. На практике, для того чтобы управление «К» включило (дорогостоящий!) механизм расследования, ущерб от инцидента должен исчисляться миллионами, а не тысячами, и тем более не сотнями или десятками рублей.