Текст обзора:
Киберриск становится все более значимым в деятельности финансовых организаций и потенциально может иметь последствия для финансовой стабильности, если мишенью кибератак становятся системно значимые банки, центральные банки или объекты финансовой инфраструктуры (включая платежные системы). Злоумышленники используют все более изощренные методы, при этом кибератаки переориентируются с клиентских платежных приложений, предоставляемых финансовыми организациями, на информационную инфраструктуру самих финансовых организаций. Деятельность злоумышленников нередко носит организованный характер и не имеет национальных границ.
По данным, полученным на основании обязательной отчетности об инцидентах, связанных с обеспечением защиты информации, наблюдается рост числа сообщений о несанкционированных операциях по переводам денежных средств со счетов физических лиц, совершаемым посредством ДБО (дистанционного банковского обслуживания).
Рост числа сообщений об инцидентах обусловлен быстрым увеличением числа физических лиц – пользователей услуг Интернета и мобильного банкинга. Во многих случаях кибермошенничество в отношении физических лиц осуществляется достаточно простыми способами, как правило, с использованием методов социальной инженерии (методов, побуждающих клиентов сообщать информацию, необходимую для осуществления переводов денежных средств от их имени). Действенным способом минимизации ущерба по несанкционированным переводам со счетов физических лиц является установление банками ограничений при совершении переводов с использованием ДБО – в частности, введение лимита и дополнительного подтверждения трансакций клиентами. Снижению рисков, связанных с несанкционированными переводами денежных средств с банковских счетов, способствует проверка качества платежных приложений и их сертификация.
В начале 2016 г. были зафиксированы целенаправленные атаки, связанные с подменой входных данных для АРМ КБР (автоматизированное рабочее место клиента Банка России), в результате которых были совершены покушения на хищение денежных средств с корреспондентских счетов, открытых в Банке России, в объеме 2,87 млрд рублей. При этом предотвращено хищение 1,67 млрд руб., из которых 1,1 млрд руб. временно заблокировано финансовыми организациями, в которых злоумышленники открывали счета с целью осуществления несанкционированных переводов, и 0,57 млрд рублей. Банком России приостановлены переводы денежных средств с корреспондентских счетов.
К основным видам ущерба от деятельности злоумышленников можно отнести:
– непосредственный финансовый ущерб, связанный с несанкционированными переводами денежных средств;
– выведение денежных средств из легального оборота;
– нарушение стабильности в деятельности финансовых организаций;
– нанесение репутационного ущерба финансовым организациям и формирование недоверия к их деятельности.Основными причинами повышенных киберрисков, по мнению Банка России, являются:
– наличие уязвимостей в применяемых финансовыми организациями информационных системах и платежных приложениях;
– недостатки в обеспечении информационной безопасности, отсутствие должного соблюдения финансовыми организациями требований, установленных нормативными актами и отраслевыми стандартами;
– отсутствие необходимой координации деятельности финансовых организаций по противодействию массовым (веерным) и типовым кибератакам.Для обеспечения финансовой стабильности и поддержания доверия к финансовым организациям важно быстрое принятие уполномоченными органами и самими финансовыми организациями мер, направленных на снижение существующих киберрисков.
Меры по противодействию кибератакам в системах информационной безопасности и риск-менеджмента финансовых организаций. Причинами повышенных рисков кибератак являются, в частности, недостаточная проработка финансовой организацией внутренних процедур управления этими рисками, отсутствие планов действий в случае кибератак, некомпетентность сотрудников. В этой связи следует привести Систему управления риском кибератак в соответствие c требованиями к системам управления рисками, установленными Банком России для банков и небанковских финансовых организаций. Специализированные требования к информационной безопасности установлены в стандартах Банка России и рекомендациях в области стандартизации по обеспечению информационной безопасности.
Важным элементом эффективной системы управления риском кибератак является проведение ее аудита и регулярной самооценки. Финансовым организациям также рекомендуется проводить оценку поставщиков услуг в сфере информационных технологий и тестирование IT-продуктов и услуг в целях выявления уязвимостей и недекларируемых возможностей.
Крупные банки создают центры автоматизированного отслеживания и реагирования на инциденты (SOC, Security Operation Center) с учетом лучших практик их построения, обсуждаются возможности аутсорсинга и централизации отдельных функций SOC. В условиях стремительной цифровизации финансовых услуг банки со слабыми системами информационной защиты могут быть не готовы противостоять кибератакам и защищать средства своих клиентов.
Координация деятельности финансовых организаций при противодействии кибератакам и расследовании инцидентов. С целью обеспечения координации деятельности финансовых организаций и правоохранительных органов по противодействию массовым (веерным) и типовым кибератакам в 2015 г. Банком России создан Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (FinCert).
В настоящее время:
– организован информационный обмен с ФСБ России, МВД России и Государственной системой обнаружения, предупреждения и ликвидации последствий кибератак на информационные ресурсы Российской Федерации (Гос- СОПКА);
– обеспечено присоединение около 300 финансовых организаций к информационному обмену через сервисы FinCert;
– обеспечено участие в деятельности FinCert органов государственной власти (ФСБ России и МВД России), платежных систем, разработчиков программного обеспечения, операторов связи;
– организовано регулярное оповещение участников информационного обмена о выявленных уязвимостях защиты информации.При получении от участника информационного обмена сообщения об угрозе Fincert проводит ее анализ, включая экспертизу вредоносного программного обеспечения, и по результатам анализа рассылает информационный бюллетень. В I-III кварталах 2016 г. осуществлено 164 рассылки о выявленных актуальных угрозах реализации кибератак и уязвимостях программного обеспечения, инициировано блокирование 362 доменов, использованных для целей сбора информации конфиденциального характера, распространения вредоносного программного обеспечения и спама. В Отчете FinCERT за период с 1 июля 2015 г. по 31 мая 2016 г. опубликованы статистика по кибератакам, техническое описание основных типов кибератак, а также даны рекомендации финансовым организациям по мерам противодействия этим атакам.
Развитие законодательства и стандартов в области обеспечения кибербезопасности. Применение современных инструментов снижения киберрисков и адекватных методов расследования, позволяющих идентифицировать злоумышленника, совершившего кибератаку, невозможно без развития специализированного законодательства.
В целях повышения уровня координации финансовых организаций по противодействию кибератакам при участии Банка России подготовлены изменения в законодательство, направленные на:
– законодательное закрепление права финансовой организации приостанавливать перевод денежных средств при выявлении признаков совершения перевода денежных средств без согласия плательщика;
– установление порядка действия финансовой организации при выявлении признаков совершения перевода денежных средств без согласия плательщика с целью возврата денежных средств законному владельцу и порядка возврата денежных средств при доказанности того факта, что перевод был осуществлен без согласия клиента;
– нераспространение правовых механизмов, направленных на защиту банковской тайны, на ситуации, когда раскрытие информации об операциях осуществляется в целях предотвращения совершения и выявления операций, совершаемых без согласия клиента.Также с участием Банка России подготовлен проект изменений в Уголовный кодекс Российской Федерации, предусматривающий введение новой статьи, которая устанавливает уголовную ответственность за такие виды деятельности, как хищение денежных средств, находящихся на банковском счете, электронных денежных средств, в том числе совершенных с использованием поддельных или принадлежащих другому лицу платежных карт, а также вмешательства в функционирование средств хранения, обработки или передачи компьютерной информации.
В рамках работы межведомственной рабочей группы по координации вопросов создания единой системы противодействия информационным угрозам в кредитно-финансовой сфере до 2018 г. планируется:
– создание правовых и технологических условий по проведению повсеместной проверки качества платежных приложений путем их сертификации или анализа на соответствие требованиям безопасности информации с целью контроля отсутствия уязвимостей и недекларированных возможностей;
– создание правовых и технологических условий повсеместного внедрения технологических механизмов защиты, реализующих дополнительное подтверждение поручений на перевод денежных средств при использовании недоверенных сред формирования платежных поручений, в первую очередь в системах дистанционного банковского обслуживания и при использовании сети Интернет;
– разработка и ввод в действие национальных стандартов Российской Федерации, устанавливающих детальные технические требования к обеспечению информационной безопасности в финансовых организациях, а также развитие отраслевого комплекса стандартов Банка России по вопросам обеспечения информационной безопасности;
– создание независимой системы подтверждения соответствия информационной безопасности в финансовых организациях требованиям национальных стандартов информационной безопасности (внешний аудит информационной безопасности);
– создание правовых условий для обязательного применения национальных стандартов информационной безопасности в финансовых организациях, а также обязательного подтверждения соответствия требованиям национальных стандартов;
– установление требований к достаточности капитала финансовых организаций на основе оценки операционного риска с использованием результатов внешнего аудита информационной безопасности и данных об инцидентах.Ожидается, что повышение эффективности управления киберрисками в финансовых организациях и скоординированные действия по предотвращению и расследованию кибератак, постоянное улучшение средств защиты и устранение уязвимостей новых технологий приведут к снижению киберрисков в финансовой сфере. Наряду с этим будут развиваться новые подходы к регулированию в области информационной безопасности для организаций, участвующих в предоставлении финансовых услуг. Особое внимание будет уделено повышению финансовой грамотности пользователей электронных банковских технологий.