Замначальника главного управления безопасности и защиты информации ЦБ РФ Артем Сычев в интервью РБК рассказал о том, как видеокамеры и бытовые роутеры атаковали сайт Центробанка, какие игроки финансового рынка не способны противостоять мошенникам и в чем будет состоять ужесточение требований к безопасности мобильного и онлайн-банкинга.
Кибератаки: миф или реальность
— В начале декабря прошлого года ЦБ и правоохранительные органы предупреждали о рисках массированной кибератаки на финсектор. Она так и не состоялась?
— Декабрь прошел спокойно. То, что мы заранее сделали несколько предупреждений, сориентировали банки, помешало активным действиям злоумышленников.
— Чего именно удалось избежать?
— Декабрь традиционно отличается максимальным количеством случаев покушений на хищение средств как у физических, так и у юридических лиц. Причина: в конце года увеличиваются остатки на счетах, идут большие платежи, выплачиваются премиальные физлицам, что провоцирует мошенников. В 2016 году декабрьского пика мошенничества удалось избежать. Информационных атак в этот раз мы тоже не наблюдали, хотя обычно на предновогодних настроениях происходит вброс информации о проблемах банков, провоцирующий срочное изъятие денег клиентами. Помните, в 2014 году была мощная атака на Сбербанк, когда граждане в массовом порядке изымали из него деньги. Сейчас совместные усилия правоохранителей, нас как Центрального банка, а также самих кредитных организаций позволили не допустить таких проблем.
— От кого поступает информация о готовящихся кибератаках?
— В минувшем году мы объединили несколько разных источников, включая данные правоохранительных органов. Фактически сейчас Центральный банк выступает центром по противодействию проблемам безопасности в финансовой сфере. Работа ведется на базе межведомственной рабочей группы под руководством первого зампреда ЦБ Георгия Лунтовского. В состав этой рабочей группы входят представители ФСБ, МВД, прокуратуры, Минкомсвязи, Росфинмониторинга. Дополнительные сведения дает информационный обмен с банками, который осуществляет Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (Finсert — структурное подразделение главного управления безопасности и защиты информации Банка России. — РБК).
— В целом в 2016 году по сравнению с 2015 годом количество киберпреступлений разных типов росло или сокращалось?
— Мы видели увеличение числа покушений на кражи в первой половине года. Потом были задержания банды карточных мошенников, количество преступлений сократилось. За минувший год число участников информационного взаимодействия в рамках Fincert увеличилось более чем вдвое — до 330. Что касается DDoS-атак, то их число росло во второй половине года, а еще один такой небольшой всплеск мы ощутили в январе этого года. По третьему направлению — рассылке вредоносного программного обеспечения — мы видели всплеск преступлений в середине года и поняли, что к концу года их число будет расти.
— Декабрьским заявлениям предшествовала информация об использовании интернета вещей в ноябре для DDoS-атак на финансовые организации, с тем чтобы блокировать их нормальную работу. Как это работает?
— В ноябре прошлого года были атакованы веб-сайты восьми организаций, в том числе Центрального банка. Целью атак было нарушение работы сервисов и, как следствие, подрыв доверия к этим организациям. Данные атаки были примечательны тем, что это было первое масштабное использование в России интернета вещей. В основном в атаке были задействованы интернет-видеокамеры и бытовые роутеры. Анализ действий злоумышленников показал, что теоретически они могут нарастить мощность таких атак, и тогда отдельно взятая кредитная организация может не справиться с ней. Именно поэтому ЦБ совместно с Минкомсвязью провело отдельное совещание на эту тему с участием кредитных организаций, крупнейших операторов связи, где наметили шаги для противодействия таким угрозам.
Противостояние
— Что именно планируется предпринять?
— Мы договорились об обмене информацией с Минкомсвязью, поделились с ними опытом по построению Центра мониторинга и реагирования на компьютерные атаки. Возможно, они организуют у себя нечто подобное, чтобы, опять же, информационный обмен был успешным. Ну и дадут рекомендации своим подопечным.
— Насколько банковский сектор способен противостоять киберугрозам?
— Уровень обеспечения безопасности в кредитно-финансовой сфере адекватен имеющимся рискам. Во всяком случае даже те DDoS-атаки, которые были в ноябре, декабре, январе, не нанесли никакого вреда кредитным организациям. Прерывания сервисов не было, финансовых и репутационных потерь также удалось избежать. Из тех проблем, которые мы имели в начале прошлого года с хищениями средств по картам, очень многие сделали выводы, модернизировали свои АБС. Всего же за прошлый год девять кредитных организаций подверглись серьезным покушениям на хищение. Злоумышленники пытались похитить около 2,2 млрд руб. При этом удалось остановить хищения на общую сумму порядка 1,4 млрд руб. Возбуждены уголовные дела.
— Планируете ли вы активно включать в борьбу с киберугрозами иные финансовые организации, кроме банков?
— Да, планируем: все небанковские финорганизации. У нас на подходе страховые компании, микрофинансовые, профессиональные участники рынка ценных бумаг. Подготовлены два стандарта по деятельности финансовых организаций в части информационной безопасности: один — для крупных, другой — как раз для микрофинансистов. Я думаю, что в первом полугодии эти стандарты будут введены в действие.
— Данные стандарты будут похожи на банковские?
— Мы исходим из необходимости формировать защитные меры; исходя из видов бизнеса, его рисков формировать те или иные защитные меры. Например, нас сейчас волнует ситуация с продажами электронных полисов ОСАГО на интернет-ресурсах, которые не принадлежат реальным страховым компаниям, — это мошенничество. Не так давно Банк России получил полномочия, которые позволяют максимально эффективно противостоять фишинговым сайтам, инициировать их блокировки. Однако и страховые компании также должны быть озабочены защитой своей репутации, отслеживать появление вредоносных ресурсов и информировать о них своих клиентов, Банк России, правоохранительные органы.
— Способы проведения кибератак постоянно модифицируются. Какие изменения они претерпели в последнее время?
— В последний месяц мы получаем сведения о том, что кибератакам подвергается достаточно большое число крепких региональных банков. Эти банки начали получать сообщения от хакеров, которые, угрожая атаками, вымогают у кредитных организаций деньги на борьбу с ними; как правило, сумма не превышает 15 тыс. руб. Подобные угрозы в адрес банков поступали и в европейской части России, и на Северном Кавказе, и в Сибири. Мы рекомендуем игнорировать такие письма, информировать о них Центральный банк.
Частный интерес
— Граждан больше всего волнуют не потери банков, а свои собственные потери, особенно от карточного мошенничества. Есть ли у вас данные, сколько банки возместили клиентам средств в связи с мошенническими операциями?
— Таких оценок нет. Мы планируем обязать банки раскрывать сведения о таких операциях, в том числе по разным статьям, например возмещения в связи с атаками, а также с техническими сбоями. Сейчас обсуждаем с банками детали этого нововведения. Думаю, что мы в этом году новую форму отчетности для банков выпустим, а заполнять ее надо будет со следующего. Нам эта отчетность нужна, чтобы разговаривать с МВД о масштабах проблем, побуждая их к повышенному интересу к делам такого рода. Вот вы знаете, известен ли кому-либо масштаб ущерба от СМС-рассылки «ваша карта заблокирована, позвоните туда-то»?
— Мне нет, а вам?
— Пока нам понятен только примерный масштаб самой проблемы. Мы в день получаем по три-четыре обращения граждан на эту тему. Банкам присылают такие обращения каждый день по несколько штук. Если экстраполировать это на количество происшествий, о которых нас не уведомляют, то масштаб реально большой. Я бы сказал, что тысячи таких СМС рассылаются в год, а значит, это очень серьезная проблема. Сколько из этих покушений оказались результативными, мы пока не знаем. В конце прошлого года Банк России запустил информационную кампанию, в том числе в региональных СМИ, чтобы предупредить людей об этом виде мошенничества.
— Поможет ли в этом случае повышение ответственности за проведение мошеннических операций по картам? Вы поддерживаете готовящийся законопроект?
— Да. В нем предполагается ужесточение уголовного наказания за такие операции до восьми лет. Сейчас наказания за такие преступления очень мягкие: два года условно по хищениям на несколько сотен миллионов. Вот и выходит, что можно так вот, условно, прожить спокойно всю жизнь на эти деньги.
— Проблема хищения денег у граждан касается не только мошеннических операций по картам. Риски возникают и при пользовании недостаточно защищенными системами онлайн-банкинга. Планируете ли вы взять эти системы под контроль и когда?
— Мы в этом году, в феврале, впервые начали проводить проверки систем дистанционного банковского обслуживания ДБО. Цель — исследование состояния защиты информации при совершении платежных операций. Всего в этом году мы планируем провести более ста подобных проверок.
— Что именно будет проверять ЦБ?
— Цель проверок — изучение реального состояния в сфере применения технологий информационной безопасности при проведении платежных операций. Это означает, что оцениваться будет весь технический процесс, связанный с платежами.
— Планируется ли установить какие-то особые требования или рекомендации для банков по итогам этих проверок?
— В середине года должны быть выпущены дополнения к существующему нормативу (достаточности капитала, учитывающего также операционный риск, к которому относится и мошенничество. — РБК). Также рассматривается вариант создания отдельного норматива, повышающего внимание банков к операционному риску. Этот вопрос находится в стадии обсуждения, но, говоря более простыми словами, вариантов два: требования к увеличению капитала банков либо начисление дополнительных резервов на величину существующего риска. Как правило, риск в таких случаях возможно оценить в объеме среднесуточного остатка по корреспондентскому счету банка. Вот и считайте, что для банка будет выгоднее: либо замораживать деньги, либо более разумную сумму все-таки прямо на увеличение защиты денег клиентов.
— Как будут отбираться банки для проверок?
— Это прерогатива надзора. Мы будем участвовать в таких проверках.
Ресурсный вопрос
— Хватает ли у банков ресурсов для соответствия всем перечисленным нововведениям? Насколько актуален вопрос передачи вопросов безопасности хотя бы частично на аутсорсинг?
— Мы считаем, что для многих организаций это будет являться выходом из ситуации. Ведь помимо недостаточности ресурсов может быть и отсутствие кадров. В общем и целом для ряда организаций эти вопросы можно снять путем использования аутсорсинговых услуг. Для этого мы готовим отдельные рекомендации — как раз по аутсорсингу. Честно говоря, этот документ достаточно бурно обсуждается и сложно продвигается: очень сложно формализовать рекомендации по требованиям к качеству и другим характеристикам аутсорсинга.
— Планируется ли установить минимальные требования к квалификации банковских специалистов в области кибербезопасности?
— Проблема квалификации таких специалистов стоит довольно остро. Особенно для высокотехнологичных и активно развивающихся банков. Скоро будет второй круг обсуждения рекомендаций по квалификационным требованиям специалистов безопасности. Очень надеюсь, что в середине года мы их выпустим. После этого мы будем двигаться в сторону формирования образовательного стандарта.
— Много вопросов на фоне санкций вызывает и использование российского и зарубежного программного обеспечения для борьбы с киберугрозами. Что безопаснее?
— Если говорить о средствах безопасности, то в финансовой сфере на 80% используются отечественные разработки: автоматизированные банковские системы, средства дистанционного обслуживания. Проблема в том, что все это в конечном итоге работает на системах управления базами данных и операционных системах не российского производства. Мы не планируем выпуск документов по импортозамещению. Однако сотрудничаем в этом вопросе с Минкомсвязью.
Как судят за хакерство
Статья 272 УК, под которую подпадает хакерская деятельность, предусматривает до семи лет лишения свободы за «неправомерный доступ к охраняемой законом компьютерной информации». Норма применяется сравнительно редко; за первую половину 2016 года по ней были осуждены 57 человек, в том числе у 24 человек это основная статья обвинения, следует из данных судебного департамента Верховного суда. Против 18 человек дела о хакерстве были по разным причинам прекращены судом – например, в связи с раскаянием или применением амнистии.
За весь 2015 год суды приговорили по статье о хакерстве 207 человек; лишение свободы в колонии и штраф получили единицы из них. Еще четверых оправдали, в отношении 67 прекратили дела.
Большинство приговоров ежегодно приходится на взломы с корыстными целями или крупным ущербом (часть 2 статьи 272). Несколько реже наказывают за хакерскую деятельность в составе группы или с использованием служебного положения.
За решеткой единицы
В колонию хакеры попадают в единичных случаях. Чаще всего нарушителей статей УК о компьютерной безопасности (в их число входят, помимо незаконного доступа к информации, распространение вирусов и нарушение правил хранения информации, причинившее крупный ущерб) приговаривали к ограничению свободы, условному лишению свободы или штрафу, следует из данных судебного департамента. Лишь один россиянин в начале 2016 года получил реальный срок по одной из этих статей, и это был срок длительностью до года. Еще в общей сложности 20 человек были освобождены от наказания по амнистии.
В абсолютном большинстве случаев дела о взломах, распространении вирусов или организации утечек слушались в особом порядке. Он подразумевает признание вины, ускоренное рассмотрение дела и сравнительно мягкое наказание - не более двух третей максимального срока или штрафа.
РБК ожидает ответа на запрос в МВД о количестве уголовных дел, возбужденных по статье о неправомерном доступе к компьютерной информации. Маргарита Алёхина
Беседовала Марина БОЖКО