Он станет центром компетенций по обеспечению киберустойчивости организаций кредитно-финансовой сферы и займется созданием автоматизированной системы противодействия хищению денежных средств. Об этом рассказал зампред Банка России Дмитрий Скобелкин на X Уральском форуме "Информационная безопасность финансовой сферы".
Для банков и операторов платежной инфраструктуры с 1 июля передача сообщений о компьютерных атаках в Банк России станет обязательной. Сейчас обмен такими сведениями доброволен, большинство (425) кредитных организаций к нему присоединилось, однако сохраняются проблемы с полнотой и оперативностью сведений от пострадавших и, соответственно, с доведением информации об актуальных угрозах и уязвимостях до всех участников рынка, чем пользуются хакеры. В 2017 году они похитили с платежных карт российских банков 0,96 миллиарда рублей.
Объем хищений постепенно снижается, злоумышленники тестируют в России свои технологии и быстро уходят в другие юрисдикции, понимая, что там работать легче, констатировал замначальника Главного управления безопасности и защиты информации Артем Сычев. В 2016 году хакеры украли с карт россиян 1,08 миллиарда, в 2015 году - 1,15 миллиарда.
Со счетов юрлиц хакеры в прошлом году пытались похитить 1,57 миллиарда рублей (в предыдущие два года - 1,9 миллиарда и 3,8 миллиарда, данные презентации Артема Сычева). Цифры по деньгам компаний включают также остановленные атаки, обычно они соотносятся с успешными как 50/50.
Отдельной графой проходят хищения у самих банков. Только группировка Cobalt Strike в результате 11 успешных атак похитила в прошлом году 1,156 миллиарда рублей, рассказал Дмитрий Скобелкин.
Через вирусные рассылки Cobalt Strike захватывает управление процессингом в банке, после чего злоумышленники "рисуют" деньги из воздуха и снимают их в банкоматах до тех пор, пока в них не кончится наличность. Группа осуществила не менее 21 волны атак в России в 2017 году, им подверглись 240 кредитных организаций. Полные данные по несанкционированным операциям за прошлый год будут представлены в пятницу.
Из 11 пострадавших от Cobalt Strike 3 организации не участвовали в межбанковском информационном обмене и не фильтровали рассылку злоумышленников. Если бы обмен был всеохватным и более быстрым, потери были бы меньше. Банк России планирует перевести его в режим реального времени и детализировать состав информации. Причем новые форматы сообщений позволят автоматически грузить в системы антифрода банков (они тоже станут обязательными) сведения, которые получил, проверил и "возвратил" Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) Банка России, сказал Сычев. По словам Скобелкина, достоверности данных от банков будет уделяться особое внимание.
В этой же системе регулятор хочет собирать и рассылать по банкам сведения о счетах нальщиков, которые пытаются обналичивать похищенные хакерскими группировками деньги.
Все это позволит выстроить единый фронт защиты от хакеров, которую увенчает механизм остановки и возврата несанкционированных платежей (законопроект принят в первом чтении Государственной думой). Банк России хочет дополнить его возможностью блокировать деньги, которые мошенники успели через банковскую систему вывести за рубеж.
Для этого планируется подключать Росфинмониторинг, являющийся участником международной группы подразделений финансовой разведки "Эгмонт" (объединяет свыше 150 юрисдикций) - в рамках группы налажены каналы молниеносной передачи информации, отметил Дмитрий Скобелкин. По его словам, оба регулятора готовятся к заключению соответствующего соглашения.
В дополнение к введенному с января национальному ГОСТу по базовым мерам защиты информации финансовых организаций Банк России планирует ввести в действие с 1 июля 2019 года стандарт на методику оценки этой защиты. Банки со слабыми системами доплатят резервированием капитала за недооценку киберрисков.