Слабое звено банкинга

О новых рекомендациях Центробанка, поступивших в кредитные организации, пишет «Коммерсантъ». Регулятор не доволен действующими механизмами шифрования внутрибанковских данных, в первую очередь, тех, которые касаются проведения платежей. По нынешним правилам, они собираются в отдельный реестр, шифруются и только затем направляются в ЦБ. Это создает опасность вмешательства извне на этапе циркуляции данных внутри банка. Чтобы исключить такую вероятность, сведения предлагается шифровать уже на этапе составления реестров.

Изменения затронут автоматизированную банковскую систему (АБС). Она установлена на компьютерах банка, которые участвуют в обработке и проведении платежей. Именно АБС отправляет сформированные реестры платежей в специальное хранилище — автоматизированное рабочее место клиента Банка России (АРМ КБР), а оттуда они поступают непосредственно в ЦБ. По правилам регулятора, АРМ КБР должно быть полностью изолировано от остальной сети банка, а данные должны поступать на него через защищенные съемные носители. Однако на практике, как говорят специалисты, банки часто нарушают это условие и используют промежуточную папку на файловом сервере корпоративной сети, чем пользуются хакеры.

Последняя крупная атака случилась в ноябре прошлого года. Тогда нападению поочередно подверглись Сбербанк, Росбанк, Альфа-банк, Банк Москвы, а также Московская биржа. Инцидент выглядел как обычная DDoS-атака (при которой на сервер подается большое количество мусорных запросов, в результате чего он не успевает их обрабатывать), но злоумышленники использовали разные объекты активно развивающегося в последнее время «интернета вещей», в основном веб-камеры. При этом атаки не были направлены на АРМ КБР, и хищения банковских средств не произошло. По всей видимости, преступники хотели посеять панику среди клиентов банков, сайты которых не работали в течение определенного времени. DDoS-атаки случаются достаточно часто, в том числе и в банковском секторе, но масштаб этого случая заставил ФСБ возбудить уголовное дело, о чем было объявлено в конце прошлой недели. Сейчас в его рамках проводится предварительное следствие, а подозреваемым грозит до семи лет заключения.

В начале декабря ФСБ заявляла о еще одной готовившейся масштабной кибератаке на российскую финансовую систему. Серверы хакеров, по данным спецслужб, располагались на территории Нидерландов и принадлежали украинской хостинговой компании BlazingFast. Злоумышленники собирались разослать SMS клиентам крупнейших банков и опубликовать в соцсетях «провокационные публикации, педалирующие тему кризиса кредитно-финансовой системы в России». «В частности, планировалось распространение информации о банкротстве и отзыве лицензии у ряда ведущих банков федерального и регионального уровней в нескольких десятках городов России», — говорилось в заявлении ведомства. Оперативникам тогда удалось нейтрализовать угрозу во многом благодаря своевременной огласке.

Однако Центробанк куда больше обеспокоен даже не этими отдельными случаями, а целой серией инцидентов, которая началась еще в конце 2015 года и продолжалась в течение почти всего 2016 г. Тогда хакеры покушались более чем на пять миллиардов рублей, однако смогли украсть «всего» два миллиарда. Часть этих средств были выведены с корреспондентских счетов в ЦБ путем подмены входных данных для АРМ КБР. Избежать еще больших потерь удалось благодаря своевременному блокированию счетов банками. И хотя в самом регуляторе украденные два миллиарда назвали «тысячными долями процента в масштабах всей банковской системы», уязвимость всерьез обеспокоила Центробанк.

Теперь там предлагают шифровать платежи на более раннем этапе — не только на устройствах АРМ КБР (которые связаны с ЦБ и передают ему информацию), но и на всех компьютерах АБС. «По нашему мнению, это усложнит для злоумышленников условия атак и снизит уровень хищений денежных средств», — рассказали «Профилю» в пресс-службе Центробанка. Там утверждают, что, разрабатывая новые меры, они опирались на «мировой опыт и современные тенденции», прежде всего, на действия международных платежных систем, где такая практика применяется уже не первый год.

ЦБ поручил банкам до 10 февраля оценить, насколько быстро они смогут перейти на новые стандарты. Регулятор уверяет, что согласует с кредитными организациями сроки комфортного для них переходного периода. Между тем, в самих банках уже говорят о том, что внедрение нового программного обеспечения обойдется им дорого. Кроме того, это приведет к необходимости разрабатывать по сути новые АБС, ведь в нынешних не предусмотрена возможность шифрования реестра платежей. ИТ-специалисты беспокоятся еще и о том, что банки потеряют возможность дополнительно контролировать выгруженные из АБС реестры и сверять их с попавшими в АРМ КБР для поиска фиктивных. Наконец, нынешнее требование ЦБ — уже не первое за последнее время. Ранее регулятор уже обязал банки тщательнее следить за передачей данных о платежах в АРМ КБР, и это тоже повлекло дополнительные расходы, а теперь они могут увеличиться еще.

В группе ВТБ признают важность защиты информации на уровне АРМ КБР, но пока не готовы подсчитывать будущие расходы, поскольку информации о нововведениях пока недостатоно. «Пока об этой инициативе ЦБ известно только в общих чертах, без подробностей и деталей. Пока сложно сказать, будет ли какое-то стандартное типовое решение, которое Центробанк будет предлагать, или же обязанность найти решение для каждой конкретной АБС будет возложена на сами банки. Но вместе с тем, конечно же, необходимость решения проблем на уровне АРМ КБР назрела давно. Действительно, это одно из самых слабых звеньев в системе защиты банковской информации. Так что мы будем вместе с ЦБ работать над наиболее адекватными стратегиями защиты», — рассказал «Профилю» представитель одного из банков.

Гендиректор компании-производителя систем кибербезопасности Zecurion Алексей Раевский согласен с тем, что шифрование на уровне АБС повысит общую защищенность банковской системы. «Это как со стеной в доме. Если где-то у вас стена толщиной пять сантиметров, а где-то — метр, то пять сантиметров будут самым незащищенным местом во всем доме. Если вы укрепите это место, стена в нем станет надежнее, и залезть в здание будет труднее. Но могут появиться другие слабые места. Пока об этом сложно говорить. Укреплять АБС в любом случае нужно. Другое дело, что это действительно может привести к дополнительным расходам банков, ведь единых стандартов АБС до сих пор нет», — отметил Раевский в разговоре с «Профилем».

В декабре ЦБ уже объявлял об ужесточении требований безопасности в отечественном банковском секторе. Тогда это касалось онлайнового банкинга, который тоже все чаще подвергается атакам и становится объектом мошенничества. До сих пор в России не существовало единых требований к дистанционному банкингу и его услугам, и вот теперь Центробанк решил разработать их совместно с Минфином, МВД, Минкомсвязи и Федеральной службой по техническому и экспортному контролю (ФСТЭК). Пока о новых стандартах в этой области тоже почти ничего не известно, однако ясно, что в первую очередь они будут нацелены на предотвращение случаев мошенничества с использованием методов социальной инженерии (так киберкриминалисты называют методы, с помощью которых злоумышленники обманом побуждают жертву самостоятельно сообщить всю необходимую информацию, получив которую, хакеры совершают перевод средств на свои счета от имени пострадавшего клиента банка).

Подобные действия чреваты не только очевидным финансовым ущербом, но еще и тем, что средства выводятся из легального оборота, работа банков становится нестабильной, а их репутация серьезно страдает. Эксперты тогда говорили, что нововведение может принести плоды, но только при условии, что банки обяжут перейти на современные платформы с электронными ключами и двухфакторной авторизацией посредством SMS. В самом ЦБ утверждают, что уже завершили все необходимые процедуры и пользуются только современными и безопасными протоколами.

Помимо этого, ЦБ еще в 2015 году создал специальную структуру, которая должна бороться с кибератаками на банки — Центр мониторинга и реагирования на компьютерные атаки в кредитно финансовой сфере (FinCert). Через него информация об атаках на банки передается ФСБ и МВД, которые уже приступают к расследованию эпизода. FinCert ставит перед собой задачу минимизировать случаи несанкционированного списания денег с банковских карт. В начале прошлого года стало известно, что финансирование структуры увеличат, а штат удвоят (с восьми человек до шестнадцати). «В Европе на обслуживание таких организаций в среднем тратится 3-4 миллиона бюджетных средств в год, в Малайзии подобная структура имеет бюджет в 40 миллионов долларов в год. А все инвестиции в FinCert на сегодняшний день — это зарплата сотрудникам, а также покупка «по два компьютера на каждого»», — говорили в ЦБ. По словам Алексея Раевского, подобную организацию надо было создавать еще 10 лет назад, но «лучше поздно, чем никогда».