Обеспечение кибербезопасности в кредитно-финансовой сфере

Кибератаки на кредитные организации становятся бичом банковской сферы. Какие изменения в связи с этим вносятся в законодательство, что уже сделано и какая работа ведется Центром мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Департамента информационной безопасности Банка России (ФинЦЕРТом) для противодействия кибермошеничеству – читайте в этой статье.

ФинЦЕРТ – это специализированное подразделение Банка России, которое входит в состав недавно созданного Департамента информационной безопасности. Оно создано для взаимодействия Банка России, кредитных и некредитных финансовых организаций, компаний-интеграторов, разработчиков антивирусного программного обеспечения, провайдеров и операторов связи, а также для правоохранительных и иных государственных органов, курирующих информационную безопасность отрасли с целью координации работ по противодействию злоумышленникам.

Новое в законодательстве

В июне 2018 г. вышел Федеральный закон № 167-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в части противодействия хищению денежных средств". В связи с этим в законодательстве произошли следующие основные изменения:

1. Создана правовая основа для механизма приостановки незаконных платежей и возврата денежных средств их настоящим владельцам. Раньше подобная процедура во многом зависела от воли и профессионализма сотрудников банков. Теперь это легальная, подробно описанная процедура, внесудебная и оперативно работающая.
2. Выполнена легализация в полном объеме антифрода, мониторинга для выявления мошеннических действий в сфере электронных платежей. Ранее эта работа не имела нормативно-правовой основы и не носила обязательного характера, а проводилась по усмотрению руководства банков.
3. Сформирована правовая база для информационного обмена об участниках схем хищений денежных средств с использованием платежных услуг.
4. Расширены полномочия Банка России по регулированию информационной безопасности (ИБ) не только в кредитных организациях, поднадзорных субъектах национальной платежной системы, но и во всех некредитных финансовых организациях, вплоть до микрофинансовых организаций, сельскохозяйственных кредитных потребительских кооперативов, ломбардов, страховых, инвестиционных компаний, брокеров и пенсионных фондов.

Цели и задачи ФинЦЕРТа

На современном этапе основная цель ФинЦЕРТа – создание центра компетенции по вопросам обеспечения кибербезопасности. Для этого нами организован информационный обмен с кредитными организациями, разработчиками программного обеспечения, операторами связи, компаниями-интеграторами и другими организациями, заключившими соглашения о взаимном сотрудничестве по вопросам противодействия компьютерным атакам.

Основными задачами ФинЦЕРТа являются:

• организация и координация информационного обмена по вопросам противодействия компьютерным атакам;
• мониторинг, реагирование и анализ данных о фактах компьютерных атак на кредитно-финансовые организации и подготовка аналитических материалов;
• проведение компьютерных исследований и оказание содействия правоохранительным органам в расследовании преступлений в сфере компьютерной информации;
• проведение различных мероприятий по повышению уровня финансовой грамотности различных слоев населения и сотрудничество с ведущими вузами страны по подготовке специалистов в области обеспечения ИБ;
• организация надзора в области обеспечения ИБ в организациях кредитно-финансовой сферы (КФС), включая мероприятия как дистанционного надзора (сюда относится обработка отчетности, мониторинг СМИ, обращения граждан через интернет-приемную Банка России, информация по инцидентам, поступающая в ФинЦЕРТ), так и контактный надзор – это организация и участие в инспекционных проверках по вопросам обеспечения ИБ и применения информационных технологий в организациях КФС.

Автоматизированная система обработки инцидентов

Одно из самых значимых событий в деятельности ФинЦЕРТ в прошлом году стало внедрение автоматизированной системы обработки инцидентов, более известной как АСОИ ФинЦЕРТ.

Система должна существенно облегчить выполнение требований ряда федеральных законов, включая 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации".

До внедрения АСОИ ФинЦЕРТ участники информационного обмена взаимодействовали с ФинЦЕРТ, используя каналы электронной почты, при этом обязательность информирования об инцидентах была предусмотрена только для участка платежной системы Банка России (речь идет об автоматизированном рабочем месте клиента банка России или АРМ КБР), информирование об остальных инцидентах носило фактически добровольный характер.

С 1 июля 2018 г. в соответствии с указанием Банка России № 4793-У "О внесении изменений в Положение Банка России № 382-П" для операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств предусмотрена обязательность информирования о выявленных инцидентах, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств (на всех технологических участках, участвующих в осуществлении переводов денежных средств, а не только на участке платежной системы Банка России).

Все вышеперечисленные изменения, а также замена слабо защищенного канала взаимодействия (электронной почты) на сервис личных кабинетов АСОИ ФинЦЕРТ, обладающий персонифицированным доступом и криптографической защитой канала связи, привели к существенному увеличению (более чем в четыре раза) потока сообщений о событиях и инцидентах, получаемого ФинЦЕРТ.

"Практика обеспечения безопасности производственного бизнеса акционерного общества промышленного профиля" читать >>>

АСОИ ФинЦЕРТ первой очереди состоит из информационного портала, сервиса личных кабинетов, специализированных технологических подсистем и защищенной инфраструктуры, что позволяет реализовать следующие процессы:

• получение данных от участника (это может быть информация об инцидентах в организации и ее клиентах, выявленных уязвимостях, угрозах, данных о раскрытии информации и другие запросы);
• передача информации участнику и его оперативное информирование об актуальных угрозах ИБ в КФС, в том числе путем направления соответствующих бюллетеней);
• оперативное взаимодействие между участниками и ФинЦЕРТ по соответствующим инцидентам и запросам;
• мониторинг атак на организации КФС;
• поддержка взаимодействия ФинЦЕРТ с регистраторами и хостерами по вопросам разделегирования или блокировки мошеннических и вредоносных ресурсов.

Основные направления деятельности

В рамках взаимодействия с участниками информационного обмена ФинЦЕРТ осуществляет сбор и анализ выявленного вредоносного программного обеспечения (ВПО), выявляет подозрительную активность, пресекает распространение фишинга и т.д.

Сбор и анализ вредоносного программного обеспечения

В рамках работы по сбору и анализу выявленного ВПО специалисты ФинЦЕРТ (в основном это сотрудники отдела технического анализа) классифицируют ВПО, определяют индикаторы компрометации. Затем выпускаются технические бюллетени с рекомендациями по противодействию выявленному ВПО и предложениями по минимизации сопутствующих рисков.

Среднее время реагирования на инциденты, включая подготовку бюллетеня, занимает от 40 до 90 минут. В ряде случаев, когда речь идет о критичной атаке и счет идет на минуты, выпускается несколько бюллетеней – первый выходит через несколько минут после обнаружения атаки.

 Выявление подозрительной активности

Также ФинЦЕРТ выявляет подозрительную активность с внешних IP-адресов участников информационного обмена, направляет информацию о выявленной активности участникам с целью принятия необходимых мер по нейтрализации возможных угроз, а также рассылает информацию хостерам с целью блокировки выявленных IP-адресов управляющих серверов.

По выявленным инцидентам осуществляется также взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).

В рамках взаимодействия с операторами сотовой связи ФинЦЕРТ направляет информацию о номерах телефонов, которые используются в мошеннических целях, а также номера телефонов, с которых осуществляются фишинговые рассылки.

ФинЦЕРТ также уведомляет операторов связи о выявленных случаях распространения мошеннических сообщений сторонними операторами, чтобы при получении аналогичных рассылок оперативно принимать меры противодействия.

Пресечение распространения фишинга

С конца 2016 г. Банк России в лице ФинЦЕРТ является компетентной организацией в российском сегменте Интернета по направлению пресечения распространения фишинга и рассылки ВПО (речь идет о сайтах с расширением su, ru, рф и геодоменах).

При поступлении информации о таких ресурсах ФинЦЕРТ направляет ходатайства в координационный центр о снятии с делегирования мошеннических доменов.

В прошлом году ФинЦЕРТ получил специальную премию Рунета за обеспечение безопасности в Интернете.

В рамках противодействия банкоматному мошенничеству мы взаимодействуем с международными организациями EAST и EGAF. ФинЦЕРТ направляет информацию производителям и участникам о выявленных уязвимостях на терминалах банковского самообслуживания и одновременно получает информацию об особенностях совершения компьютерных атак на банкоматы.

Защита репутационных рисков

Бывают случаи, когда организация подверглась компьютерной атаке и в средствах массовой информации стала появляться негативная информация о ее деятельности. В таких случаях для снижения в первую очередь репутационных рисков ФинЦЕРТ может оказать содействие в выпуске совместного пресс-релиза и тем самым снизить возможные финансовые потери, связанные с потерей доверия клиентов и деловых партнеров к данной организации.

Помощь кредитным организациям при хищении денежных средств

При хищении денежных средств у кредитной организации ФинЦЕРТ оказывает содействие в выявлении точек вывода и обналичивания денежных средств, оказывает помощь в организации взаимодействия с правоохранительными органами с целью возбуждения уголовных дел, а также оказывает иную помощь, содействие в возврате денежных средств.

Проект "ФИД-АНТИФРОД"

ФИД-АНТИФРОД – это отдельный модуль в АСОИ ФинЦЕРТ, прототип которого функционирует с конца сентября 2018 г.

Этот модуль позволяет обмениваться информацией о случаях и попытках осуществления переводов денежных средств без согласия клиента и дает кредитным организациям возможность получать данные о несанкционированных операциях.

Больше статей по теме "Безопасность банков" >>>

Фото: https://ru.freepik.com