Защита без гарантий

Планы регулятора изложены в традиционном «Обзоре финансовой стабильности», который опубликован на сайте ЦБ. В нем говорится, что в перспективе онлайновый, мобильный и любой другой дистанционный банкинг в стране обязан будет соответствовать единым требованиям, оформленным в виде национальных стандартов. Их разработкой займутся Минфин, МВД, Минкомсвязи и Федеральная служба оп техническому и экспортному контролю (ФСТЭК), которые войдут в специальную межведомственную рабочую группу. Центробанк собирается также сертифицировать системы «банк-клиент» и их аналоги.

Со следующего года от степени безопасности дистанционных сервисов будут зависеть требования ЦБ к достаточности банковского капитала. Наконец, регулятор пролоббировал введение новой статьи в Уголовном кодексе, которая устанавливает уголовную ответственность за хищение электронных денег и средств с банковского счета.

«Злоумышленники используют все более изощренные методы, при этом кибератаки переориентируются с клиентских платежных приложений, предоставляемых финансовыми организациями, на информационную инфраструктуру самих финансовых организаций. Деятельность злоумышленников нередко носит организованный характер и не имеет национальных границ», — говорится в обзоре от ЦБ. По данным регулятора, злоумышленники активно пользуются методами социальной инженерии — побуждая клиентов самих сообщать информацию, необходимую для того, чтобы совершить перевод от их имени. В этой ситуации ЦБ рекомендует банкам устанавливать лимиты для операций с помощью платежных сервисов.

По статистике ЦБ, в этом году хакерских атак на российские банки стало гораздо больше. В сентябре их было почти 103 тысячи против 16 тысяч годом ранее. Ущерб от действий мошенников за первые девять месяцев года составил 1,25 миллиарда рублей. При этом банки не слишком удачно борются с атаками: защитить даже при помощи ЦБ удается не больше 3% средств, на которые покушаются мошенники. В корпоративном секторе дела обстоят лучше. С начала года зафиксировано только 365 попыток хищения денег компаний против 840 в 2015 году. Мошенники претендовали в сумме на 1,1 миллиарда рублей и почти треть этих средств удалось спасти. Также ЦБ зафиксировал несколько случаев, когда хакеры атаковали активы банков на корреспондентских счетах ЦБ. Мошенникам удалось похитить таким образом 1,8 миллиарда рублей, еще 1,1 миллиарда Центробанк смог защитить, приостановив переводы с корсчетов.

В обзоре говорится, что, помимо непосредственного финансового ущерба, действия мошенников чреваты тем, что деньги выводятся из легального оборота, работа банков становится нестабильной, а также страдает их репутация. В прошлом году ЦБ уже создал Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (FinCert). Через него информация о кибератаках на банки передается ФСБ и МВД, которые приступают к расследованию инцидента.

«Я не совсем понимаю, зачем это надо и что может дать. Большинство случаев мошенничества связано как раз с социальной инженерией. Клиентов просто обманывают и убеждают перевести деньги. Непонятно, как Центробанк может как-то повлиять на процесс. Если клиенту позвонили и попросили сказать пароль, ни ЦБ, ни коммерческие банки не смогут ничего сделать. Надо либо запрещать интернет-банкинг, либо заниматься просвещением населения, -— рассказал «Профилю» генеральный директор компании-производителя систем кибербезопасности Zecurion Алексей Раевский. — Интернет-банкинг и так неплохо защищен. Конечно, есть уязвимости, но это не глобальная дыра, которую нужно срочно латать. Вот FinCert — очень хорошая инициатива. К ней надо было обращаться еще лет 10 назад, но лучше поздно, чем никогда».

Замруководителя лаборатории по компьютерной безопасности компании Group IB Сергей Никитин считает, что инициатива ЦБ может принести пользу при условии, что банки обяжут перейти на современные платформы с электронными ключами и аутентификацию с помощью SMS. «Нужно понимать, что ни один банк в мире не может гарантировать, что у пользователя будет безопасная среда, что его компьютер не будет заражен вредоносной программой. Допустим, бухгалтер села проводить платеж, а ее компьютер заражен. И банк видит, что пароль настоящий, электронный ключ настоящий. Это почти невозможно определить. Поэтому банки перекладывают ответственность на клиента. Если пароль клиента был скомпрометирован, это его проблема, и деньги не возвращаются. Принципиальная проблема в том, что далеко не все банки внедрили необходимое электронное оборудование, такое как электронные ключи, — отметил он в беседе с «Профилем». — Регулирование принесет пользу, потому что клиенты будут видеть, что банк не спровоцировал специально сбой в системе платежей, чтобы украсть деньги. Сейчас такие обвинения иногда звучат. Проблему мошенничества нельзя до конца решить регулированием, но если банки переведут на современное оборудование, для всех участников процесса это будет лучше».

Заместитель председателя ЦБ Ольга Скоробогатова, выступая на прошлой неделе в Госдуме, заявила, что регулятор уже совершил все соответствующие процедуры применительно к себе самому. «Мы пользуемся всеми системами безопасности, которые прошли всю сертификацию, периодически проходим тестовые нагрузки и процедуры, чтобы обеспечить в случае непредвиденных ситуаций безопасность. В результате Банк России защищен от кибератак, а что касается финансовой системы в целом, то эта работа только начата», — сказала она.

Также на прошлой неделе ФСБ сообщила о грядущей масштабной атаке на российские банки: иностранные спецслужбы планировали дестабилизировать финансовую систему России, рассылая клиентам банков ложные сообщения об отзыве лицензий, банкротстве или невозможности снять наличные. Все это должно было заставить население массово закрывать вклады в крупнейших банках. Фальшивые сообщения должны были распространять по SMS и через социальные сети. «Эта недостоверная информация может сопровождаться комментариями от якобы взволнованных граждан, подтверждающих эту ложную информацию», — говорилось в сообщении ФСБ. В ЦБ тогда заявили, что ситуация находится под контролем. Названия банков, которые должны были быть атакованы, не раскрывались. Известно лишь, что «серверные мощности и командные центры для проведения кибератак расположены на территории Нидерландов и принадлежат украинской хостинговой компании BlazingFast».

В понедельник компания заявила, что если атака действительно планировалась, то, возможно, сорвать ее удалось благодаря огласке. «Мы постоянно проводим мониторинг, чтобы предотвращать случаи, которые могут возникнуть. В данной ситуации думаю, что после такого афиширования ситуации, даже если хакеры и собирались, вряд ли они что-то будут делать», — сказал представитель BlazingFast, добавив, что за последнее время компания не фиксировала аномальной активности среди своих клиентов.