Почему клиенты банков беззащитны перед хакерами?

Вопрос о том, как обеспечить кибербезопасность в финансовой сфере вышел на новый уровень. Если раньше преимущественно его решал каждый банк в частном порядке и самостоятельно, то в этом году банковскую защиту от кибератак перевели в государственный масштаб. Направление постепенно обретает черты подробного регулирования, требующему детальной отчетности подобно кредитованию или торговле ценными бумагами. Сегодня создается надежная система защиты банковского сектора, но хакеры пользуются обходными путями, их внимание теперь сконцентрировано на клиентов банков и криптовалюте.

С 1 июля началось действие поправок к положению 382-П, предусматривающими ввод ЦБ дополнительных требований к информбезопасности банков. Например, теперь у банков появилась новая обязанность, связанная с ежегодным проведением обязательных пентестов (тестов на проникновение). До этого, как сказали эксперты, в большинстве банков пентесты проводились только когда устанавливалось новое ПО. К тому же, раз в два года от банков требуется проведение внешнего аудита систем информбезопасности. Прежде почти все банки вполне устраивала самоаттестация, но уже позади остаются времена, когда вопросы кибербезопасности были частным делом банка.

Также ожидается изменение скорости реагирования на инциденты. До 1 июля подключаться к информобмену с ФинЦЕРТом можно было добровольно. И банки извещали регулятора об инцидентах обязательно и каждый месяц. Но сегодня порядок изменился: банкам придется оперативно оповещать о технических показателях инцидента (хищение средств или попытки этого) банки будут сообщать оперативно и ежеквартально рассказывать про экономическую сторону.

К сожалению, техническая проработка вопроса пока запаздывает. По словам исполняющего обязаности главы департамента информбезопасности ЦБ Артема Сычева, в жизни мы чаще сталкиваемся со взломом не машины, а человека.

И все же нельзя не отметить очевидность общего тренда, задаваемого регулятором: информбезопасность - это еще один и весьма объемный, раздел обязательной отчетности. К примеру, при хищении средств с карты банковского клиента регулятор требует, чтобы были раскрыты детали вывода денег — при помощи банкомата или терминала, по реквизитам или через системы ДБО. Важно указать, сколько средств похищено и сколько клиент получил обратно, были ли использованы методы социальной инженерии?

Такая отчетность была и раньше, но она отличалась меньшей подробностью, обязательностью и регулярностью.

Оперативный информобмен сопровождался внедрением ЦБ новой платформы АСОИ. До недавних пор банки взаимодействовали с ФинЦЕРТ по электронке. Но 2 июля участникам рынка регулятор разослал письма, в которых содержалась инструкция, рассказывающая, как работать с платформой, как подключаться к ней и т. д. Как сказал Артем Сычев, банки, а затем и некредитные финансовые организации будут подключать поэтапно.

Сами банки заинтересованы в повышении качества информобмена не только с регулятором, но и между собой. В июне АРБ запустила свою платформу — проект технически поддержала компания «БИЗон», являющаяся дочерней структурой Сбербанка. По словам заместителя председателя правления Сбербанка Станислава Кузнецова, благодаря платформе, участники рынка смогут наладить иинформобмен о киберугрозах. Например, сейчас, у одного крупного банка есть информация о вредоносном ПО, но: ею не могут воспользоваться другие игроки, а он не может поделиться ею с рынком. Однако с помощью платформы эта проблема снимается. Пилотный проект предусматривает подключение примерно 40 банков, по прошествии 3-х месяцев станет возможным присоединение к платформе всех желающих.

Но в ЦБ не намерен пускать информобмен между банками в "свободное плавание". По мнению регулятора, необходимо позаботиться об обеспечении участия в работе платформы Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России - который будет наблюдать за процессом.

Сиоит сказать, что новациями ЦБ в сфере кибербезопасности участники рынка не слишком обрадованы. По словам начальника управления информбезопасности Златкомбанка Александра Виноградова, запуск новации сопровождается серьезными требованиями по информбезопасности. К тому же с июля введены требования по биометрии, и все это совпало с отпускным сезоном, когда многие специалисты отсутствуют на рабочих местах. Новации сопровождаются серьезными финансовыми затратами для банкров.

Хакеры уже привыкли соревноваться с системой, так они не только повышают уровень мастерства, но и постоянно меняют ключевую цель. При появлении в цепочке прохождения платежа хорошо защищенного звена, происходит смещение атак в другую сторону, и сейчас этим звеном стали клиенты банков. По словам Грефа, Сбербанк как банк гордится тем, что хакерам ни разу не удалось его взломать. Но так ли надежно защищены наши клиенты? Если честно, они не защищены. К сожалению, степень защиты ДБО сложно назвать идеальной.

Сегодня, как сказал эксперт по информбезопасности центра мониторинга и реагирования на кибератаки Solar JSOC Алексей Павлов, есть большой простор для того, чтобы объектами атак стали небольшие корпоративные клиенты, так как проще запустить вредоносное ПО на машину бухгалтера и опустошить расчетный счет, чем ограбить банк. Свое развитие получил сегодня тренд, когда объектами атак злоумышленников становятся контрагенты крупных компаний - через них хакеры могут попасть в интересующую их компанию. Но самая перспективная цель для хакеров - не защищенный ни регулятором, ни законодателями рынок частных инвестиций.

К слову сказать, в России регулирование обращения криптовалют отсутствует, с юридической точки зрения их попросту нет. Поэтому любые разговоры про качественную кибербезопасность в сфере криптовалют безосновательны, что очень даже на руку злоумышленникам. Как сказал директор по спецпроектам Group-IB Руслан Юсуфов, еще в прошлом году было очевидно, что внимание некоторых хакерских групп, совершающих целенаправленные атаки на банки, переключится на криптоиндустрию — ICO-проекты, биржи криптовалют, фонды, обменники и т. п. Хакеры осуществляют перенастройку популярных банковских троянов вроде Vawtrak, Tinba, Marcher, TrickBot, Qadars, чтобы собирать логины и пароли пользователей криптовалют.

По подсчетам Юсуфова, если в прошлом году суммарный ущерб от целевых кибератак на криптоиндустрию чуть превысил $168 млн, за анварь-февраль текущего года похищено уже $1,36 млрд. По словам председателя комитета Госдумы по финрынку Анатолия Аксакова, принятие закона о криптовалюте, прошедшего первое чтение, запланировано на осеннюю сессию.