Хакеры рассредоточились по банкам
С начала текущего года банка не поставили в известность компанию FinCERT о каждой пятой успешно проведенной хакерами атаке. У банкиров нет доверия к структуре, которая создана внутри ЦБ для того, чтобы обеспечивать информационную безопасность финансового сектора. Банки опасаются привлечения надзорного внимания регулятора. Нечестно работающие финансисты готовы потерять свои средства в ходе хакерских атак, тогда как вопросами глобальной информбезопасности, которой молчание наносит большой вред, они взволнованы куда меньше.
По словам участников банковского рынка и представителей правоохранительных органов, за год банки подверглись примерно 50 атакам группировки Cobalt, оказавшимся успешными. Как видно из последнего отчета FinCERT, являющемся специализированным структурным подразделением ЦБ по информационной безопасности, атаки группировки Cobalt - это «основной тренд». Как сказала главный специалист по компьютерной криминалистике Group-IB Веста Матвеева, с атаками Cobalt столкнулись самые разные по своему масштабу банки, а суммы похищенных средств варьировалась от нескольких миллионов до 0,5 млрд. И все же, несмотря на хищения средств, в 10 из 50 случаев банки не проинформировали ни FinCERT, ни правоохранительные органы.
По словам экспертов, главная причина отказа от разглашения информации об атаках связана с ее передачей из FinCERT надзорному блоку ЦБ. С 2017 года сотрудники FinCERT принимают активное участие в проверках, которые проводит главная инспекция Банка России. И они рассказывают надзору про все замеченные нарушения, выявленные в ходе расследования инцидентов. По словам заместителя начальника ГУБиЗИ Банка России Артема Сычева, будучи структурой ЦБ, FinCERT наладила плотное взаимодействие с надзором. Перед нами не стоит задача по выявлению проблемных вещей в банках, но при их обнаружении мы мы, естественно, уведомим об этом надзор. И такой вариант сотрудничества с надзорным блоком не причиняет никакого вреда работе FinCERT. По словам Сычева, FinCERT работает по принципу «добровольность и доверие», поэтому к ним применения санкций к не будет.
Но про надзорный блок ЦБ, по словам Сычева, этого не скажешь. Сокрытие крупного хищения денежных средств невозможно, а про факты хищения становится известно от контрагентов банка и до недобросовестных банков надзор все равно дойдет и при выявлении потери средств на уровне надзора, будет только хуже.
По мнению экспертов в сфере информбезопасности, вовсе необязательно задействование в схеме хищений Cobalt второго банка для вывода денег, деньги можно вывести через свои же банкоматы. В итоге информация об атаке может и остаться закрытой для FinCERT, а значит, и для других рыночных игроков.
Такая скрытность отдельных участников угрожает остальным игрокам. По словам директора по маркетингу компании Solar Security Валентина Крохина, хакеры заинтересованы в постоянном совершенствовании вредоносных программ, и очень важно оперативное уведомление FinCERT о каждой новой атаке, чтобы он предупредил рынок. Как сказала Веста Матвеева, благодаря информированию об инцидентах, неатакованные банки могут превентивно среагировать на эти угрозы, обратиться к экспертам в сфере информбезопасности и пользуясь соответствующими защитными технологиями. По словам специалистов по информбезопасности банков, им важно располагать информацией об успешно проведенных атаках на равные с ними по размеру и со схожими с ними бюджетами. Как говорят представители правоохранительных структур, если своевременно информировать о киберхищениях, быстро начинать расследования, нарабатывая много информации о совершенных преступлениях, можно существенно увеличить шансы на обнаружение преступных сообществ.
Как считают эксперты, проблема могла бы быть решена отделением FinCERT от ЦБ или созданием похожей независимой рыночной структуры. Иначе все равно будут находиться банки, готовые к потере собственных денег в угоду упорному молчанию, дабы избежать внимания регулятора. При этом «молчуны» подвергают себя риску перейти в категорию излюбленных жертв хакеров.
