Похвастаться отлаженными системами киберзащиты пока могут только крупные игроки на банковском рынке.
Центробанк обязал банки усилить борьбу с хакерами. Теперь банки должны разработать внутренние регламенты борьбы с хакерскими атаками. Результаты мониторинга кибербезопасности кредитной организации рекомендовано оценивать не реже чем раз в квартал. Об этом говорится в письме за подписью первого зампреда Центробанка Алексея Симановского, направленном в банки. Причина такого решения — увеличение числа кибератак на системы финансовых организаций и рост финансовых потерь клиентов из-за хакерских программ. Мера адресована в первую очередь средним и крупным банкам, которые, по словам участников рынка, подчастую в той или иной степени пренебрегают безопасностью.
Как отмечает в письме Симановский (копия документа есть у «Известий»), указания направлены банкам в связи с участившимися случаями воздействия на программное обеспечение компьютеров, банковских автоматизированных систем и информационно-телекоммуникационных сетей кредитных организаций — с использованием вирусов.
В результате, как говорится в письме, банки и их клиенты несут финансовые потери — растут риски в целом банковской системы. Новые рекомендации ЦБ предполагают защиту интересов кредиторов и вкладчиков, а также повышение качества управления рисками (операционными, правовыми, стратегическими, риском потери деловой репутации и риском ликвидности).
По оценкам исследовательской компании Digital Security, в системе дистанционного обслуживания банков есть масса уязвимостей — не все кредитные организации устанавливают первоклассную защиту, так как она не является неотъемлемой частью системы. Обычно защита предлагается банкам отдельно за дополнительную плату. Стараясь сэкономить, ряд банков внедряет незащищенные системы ДБО на свой страх и риск, и клиенты используют их на тех же условиях. Когда же случаются инциденты, банки стараются переложить ответственность на клиентов — якобы это они допустили установку на своих компьютерах вредоносного ПО или утечку конфиденциальной информации.
Согласно данным Центробанка, в месяц происходит более 20 тыс. кибератак на банки, в том числе на системно значимые — Сбербанк и ВТБ. В МВД сообщали, что за 9 месяцев 2013 года количество уголовных дел по преступлениям, совершенным с использованием интернета, выросло на 12,6%, до 6 тыс. В прошлом году задержаны 13 киберпреступников, в результате атак которых российские банки потеряли 70 млн рублей, особенно правоохранители гордятся поимкой хакера с псевдонимом Paunch, это менеджер по рекламе и туризму из Тольятти, который разработал пакеты Blackhole и Cool Exploit Kit.
Специализирующаяся на компьютерных преступлениях консалтинговая компания Group IB оценивает ежегодные доходы хакеров в России в $2,3 млрд, а число пострадавших от хакеров россиян — в 30 млн человек. Подавляющее большинство атак (около 80%) нацелено на клиентов банков. Мошенники ищут уязвимые места в клиентских онлайн-интерфейсах банков и «пробивают» их на доступ к логинам, паролям, электронным ключам и сертификатам пользователей. Также злоумышленники с помощью троянов перехватывают платежные поручения клиентов, и зачисление средств происходит уже на счет мошенников.
В крупных банках заверяют, что в целом готовы к новым требованиям регулятора, и с удовольствием описывают свои системы безопасности.
— В банке «Хоум Кредит» принята модель угроз и модель нарушителя информационной безопасности, в которых классифицированы актуальные угрозы ее нарушения, основанные на результатах оценки рисков информационной безопасности, — говорит начальник отдела контроля информационной безопасности банка «Хоум Кредит» Артем Деркач. — Определены типовые признаки инцидентов информационной безопасности. Разработан регламент реагирования на такие инциденты, в котором определен порядок действий при обнаружении нарушений и ответственные лица.
— Большинство крупных компаний, предоставляющих своим клиентам доступ к веб-сервисам, в той или иной степени уделяют внимание защите от внешних атак, — отмечает начальник управления информационной безопасности банка «Ренессанс Кредит» Дмитрий Стуров. — В основе такого документа должен лежать риск-ориентированный подход, то есть сама организация должна определить, какие угрозы для нее являются наиболее актуальными, и выбрать для себя необходимый набор технических и организационных мер. Единого комплекса мер для всех быть не может, так как в конечном итоге всё зависит от многих факторов — архитектуры сети, применяемых стандартов, решений и других технических особенностей.
Банкиры на условиях анонимности указывают, что далеко не все банки соответствующим образом усилили направление информационной безопасности.
— Небольшие банки вряд ли станут тратиться на дорогое обеспечение, — заявил один из банкиров. — Репутационные риски стоят для них не так остро, а масштабы бизнеса не предполагают крупных потерь. Пострадавшими в этой ситуации оказываются клиенты, которым в том числе через суд приходится возвращать потерянные средства.
Cобеседники «Известий» считают, что ЦБ не преувеличивает масштаб проблемы. По словам директора департамента информационных технологий СДМ-банк Олег Илюхина, требования регулятора не являются «излишне жесткими». В письме ЦБ не указано, какое именно наказание последует за неисполнение требований. Однако собеседники «Известий» считают, что это повлечет проверки регулятора, которые могут иметь самые разные последствия — чиновники могут обратить внимание на другие сферы деятельности банка, например, уличить его в нарушении богатого на санкции «антиотмывочного» законодательства, крайняя мера которого — отзыв лицензии.
