Кибербезопасность 2021. Кто виноват и что делать?
XVIII Международный банковский форум
«Банки России — XXI век»
Форум является сегодня одним из самых крупных и представительных мероприятий в России, пользуясь заслуженным вниманием банковского сообщества, регуляторов финансового рынка, органов исполнительной и законодательной власти, средств массовой информации. В 2021 году одна из основных тем конференции была обозначена как «Финансовая индустрия в условиях глобальной нестабильности: Россия и международная практика». На пленарных сессиях и круглых столах форума традиционно выступили руководители Банка России, федеральных министерств и ведомств, члены Совета Федерации и депутаты Госдумы, топ-менеджеры банков, представители международных финансовых организаций.
Растущие с каждым годом потери от кибермошенничества вынуждают банки уделять вопросам защищенности и киберустойчивости повышенное внимание, а также стимулируют регуляторов усиливать требования к информационной безопасности в кредитных организациях.
Участники круглого стола обсудили меры по борьбе с кибермошенничеством и перспективы межведомственного взаимодействия, а также вопросы противодействия социальной инженерии. Одним из наиболее актуальных вопросов дискуссии стало импортозамещение программного обеспечения и ИТ-оборудования, включая связанные с этим риски кибербезопасности. Модератором дискуссии выступила Наталья Касперская, председатель правления Ассоциации разработчиков программных продуктов «Отечественный софт».
Открыл мероприятие Вадим Уваров, директор Департамента информационной безопасности Банка России. Он рассказал о работе ФинЦЕРТа — Центра мониторинга и реагирования на компьютерные атаки в кредитно- финансовой сфере — структурного подразделения Департамента информационной безопасности Банка России. На базе ФинЦЕРТа создана система информационного обмена между участниками финансового рынка, правоохранительными органами, провайдерами и операторами связи, системными интеграторами, разработчиками антивирусного программного обеспечения и другими компаниями, работающими в сфере информационной безопасности. На сегодняшний день в информационном обмене с ФинЦЕРТом участвует более 800 организаций, в том числе все российские банки.
Вадим Уваров перечислил главные вызовы, которые стоят перед финансовыми институтами страны на сегодняшний день. Он подчеркнул, что наряду с бурным ростом цифровизации банковского сектора в геометрической прогрессии выросло число обращений граждан с жалобами на участившиеся звонки от телефонных мошенников.
«Методы социальной инженерии по-прежнему остаются основным инструментом злоумышленников для хищения денег у граждан, хотя ее доля в общем объеме хищений денег снижается. Вместе с тем растет и объем операций, совершенных без согласия клиента, и количество этих транзакций. Если говорить о противодействии мошенническим звонкам с телефонных номеров, то количество номеров, отправленных нами на блокировку операторам сотовой связи, увеличилось в два раза. Параллельно мы занимаемся деятельностью в отношении блокировки мошеннических сайтов. В 2020 году мы инициировали блокировку 7680 сайтов, и в этом году цифра существенно выросла», — отметил эксперт.
Между тем процедура блокировки мошеннических сайтов в ближайшее время значительно ускорится благодаря принятому в июле 2021 года новому закону (соответствующий Указ подписал Президент РФ), который дает регулятору право обращаться в суд с заявлением об ограничении доступа к ресурсам, распространяющим вредоносное программное обеспечение. При этом в рамках нового закона мошеннические сайты будут блокироваться по инициативе Банка России во внесудебном порядке в течение нескольких дней. Раньше эта процедура могла занимать месяцы. Закон вступит в силу с 1 декабря 2021 года и позволит сократить финансовые потери наших граждан от действий злоумышленников.
В своем выступлении директор Департамента информационной безопасности Банка России особо отметил инициативную и последовательную совместную работу ЦБ и МВД России. В настоящее время они налаживают информационный обмен для раскрытия схем мошенничества с банковскими картами. Минфин России подготовил поправки в ст. 27 Федерального закона от 27 июня 2011 г. 161-ФЗ «О национальной платежной системе». Цель нововведений — совершенствование информационного взаимодействия Банка России и МВД России по вопросам, связанным с возбуждением и расследованием уголовных дел по фактам мошенничества при осуществлении переводов денежных средств (Проект Федерального закона «О внесении изменений в статью 27 Федерального закона «О национальной платежной системе»).
В настоящее время одной из острых проблем является мошенничество, связанное с добровольной передачей физлицами преступникам, использующим приемы социальной инженерии, критичных данных (номеров платежных карт, кодов, паролей), которые затем используются в целях осуществления несанкционированных операций, в том числе переводов денежных средств без согласия клиентов.
Эффективным способом профилактики, пресечения и раскрытия преступлений в сфере финансового мошенничества с платежными банковскими картами, по мнению разработчика поправок, могло бы стать оперативное взаимодействие МВД России с Банком России.
Необходимость новых поправок в законодательство обусловлена тем обстоятельством, что сроки возбуждения уголовных дел определены уголовно-процессуальным законодательством и требуют незамедлительного принятия решений. Однако сроки рассмотрения кредитными организациями обращений правоохранительных органов по фактам дистанционных хищений (до 30 дней) создают проблему, связанную с невозможностью проведения срочных оперативно- разыскных и процессуальных мероприятий. В результате длительного рассмотрения запросов принятие окончательных решений по материалам и по возбужденным уголовным делам этой категории затягивается до 3–4 месяцев, существенно падает раскрываемость возбужденных дел.
С принятием поправок информационный обмен между МВД России и Банком России будет осуществляться на основе двусторонних соглашений, которые определят форму и порядок взаимодействия. Предполагается, что оперативный обмен данными будет реализовываться посредством технологической инфраструктуры Банка России.
Резюмируя свое выступление, Вадим Уваров сделал особый акцент на азы информационной безопасности для населения: «Нам необходимо и очень важно повышать киберграмотность людей. Совместно с финансовыми организациями, прокуратурой и правоохранительными органами мы через все доступные каналы коммуникаций постоянно разъясняем, как безопасно пользоваться современными платежными инструментами. И следующее важное направление, это повышение уровня культуры в сфере кибербезопасности сотрудников банков, правоохранителей, преподавателей вузов. Для этого мы проводим курс практико- ориентированного обучения по информационной безопасности, в том числе в четвертом квартале 2021 года запущен модуль для сотрудников правоохранительных органов».
Сотрудник правоохранительных органов, заместитель начальника ГУЭБиПК МВД России, генерал-майор полиции Владислав Горкавцев подтвердил, что без помощи банковского сообщества им не обойтись: «Методика работы по киберпреступлениям у нас достаточно отработана и показывает реально свою эффективность. Главное, чтобы было активное, оперативное и очень плотное взаимодействие с финансовыми институтами. При этом важна инициатива с обеих сторон. И тогда у нас все получится», — подчеркнул он. Свой доклад спикер составил из цифр, опираясь на неумолимую статистику: «Мы судим по возбужденным уголовным делам. Могу сказать, что за 8 месяцев этого года возбуждено более 358 тыс. уголовных дел, рост составил около 13%. К сожалению, каждый год эта цифра растет. По линии экономики возбуждено более 20 тыс. уголовных дел, рост составляет почти 70%. То есть цифра достаточно значительная. Установленный ущерб по линии экономики по возбужденным делам — более 10 млрд рублей, возмещение средств у нас около 11 млрд рублей».
Чтобы повысить эффективность пресечения ИТ-преступлений, Владислав Горкавцев предложил предоставить банкам полномочия блокировать карточные счета при выявлении сомнительных операций, а также установить ответственность для клиентов кредитных учреждений за передачу платежных карт третьим лицам для совершения преступлений. Кроме того, предложено разработать алгоритм противодействия мошенникам, использующим подменные абонентские номера телефонов, предусмотрев ответственность для операторов связи, допускающих реализацию подобных преступных схем.
Сергей Велигодский, управляющий директор, Департамент кибербезопасности, ПАО Сбербанк, высказал свое мнение относительно статистических данных по кибермошенничеству: «На самом деле нет общей статистики ни у МВД, ни у ЦБ, и это та проблема, которую мы постоянно обсуждаем: отсутствие в России достоверных цифр по киберпреступлениям и о том, какой же у нас сегодня действительный уровень кибермошенничества. Например, по данным ЦБ, объем мошенничества за 2020 год составил 9 млрд руб., а по данным МВД — более 60 млрд руб. Но даже в этих условиях можно смотреть на тренды из официальной статистики, а тренды показывают ежегодный и стабильный рост и объема кибермошенничества, и количества киберпреступлений».
Представитель Сбербанка отметил, что сегодня существуют системные проблемы в борьбе с киберпреступностью, например, отсутствие в стране единого ответственного за организацию этой работы, устаревшие подходы к расследованию, системная уязвимость сетей связи перед подменой номера через IP-телефонию и т. д. Однако даже в этих условиях можно проводить эффективную работу на упреждение: «Мы вместе с операторами связи создали общую систему противодействия телефонному мошенничеству и сделали инфообмен по звонкам в режиме реального времени. На стороне оператора работают модели, которые выявляют мошеннические звонки, далее эта информация передается в банк и учитывается в нашей системе фрод-мониторинга. Мы также встроили определитель мошеннических звонков в мобильное приложение интернет- банка. Оба этих решения позволяют довольно эффективно противодействовать телефонному мошенничеству, что на фоне отсутствия в стране системной защиты от этой угрозы уже довольно неплохо. Однако, нужно быть честными, таких инструментов у банков немного».
Сергей Бочкарев, заместитель генерального директора АО «НСПК», в своем спич-раунде обозначил кибербезопасность как один из важнейших моментов функционирования национальной платежной системы. Как отметил спикер, НСПК как оператор платежной системы «Мир» с самого начала своего создания в 2014 году выстраивала с Центральным банком эшелонированную оборону от кибермошенничества. «Мы прекрасно понимали, что здесь у НСПК не может быть безопасности «на чуть-чуть», она должна быть «на все 100%». За 7 лет НСПК прошла огромный путь эволюции в вопросе безопасности, создавая собственные решения и уникальные проекты в сжатые сроки, тестируя новые техники и методики, анализируя огромный объем информации. «На сегодняшний день, если говорить про угрозы, понятно, что мы защищаемся и внутри, и снаружи. То есть мы ведем оборону 360 градусов. Мы как ИТ-инфраструктура стоим в центре платежного ландшафта. На сегодняшний день это и платежи по картам платежной системы «Мир», к которой подключено 260 банков, и внутрироссийский трафик по картам международных платежных систем, и Система быстрых платежей, где мы являемся операционным платежным и клиринговым центром», — констатировал Сергей Бочкарев.
По его мнению, противостоять киберугрозам участникам финансового рынка можно и нужно только сообща: даже если атакуют не банки, а финтех, «не нас, а других» — все равно эти разрушительные DDOS-атаки оказывают колоссальный эффект на рынок в целом.
Павел Крылов, руководитель направления по противодействию онлайн- мошенничеству компании Group- IB, высказал мнение, что традиционные способы мошенничества прошли фазу активной трансформации. По его мнению, телефонное мошенничество — это угроза номер один. Сегодня преступниками активно используются высокотехнологичные центры по проведению мошеннических звонков с подменой номеров. «Все мы — владельцы карт — на себе это уже прочувствовали», — подчеркнул он. Второе место среди киберугроз, как считает эксперт, занимают фишинговые атаки. Статистика по ним сегодня не однозначна: банки не очень аккуратно ее собирают, потому что не всегда очевидно, что атака произошла именно с фишингового сайта. Это могут быть рекламные и какие-либо иные и официальные ресурсы, на которых работают мошенники. В свою очередь, похищенные суммы иногда не столь значительны, поэтому жертвы таких мошеннических действий зачастую просто не сообщают о них.
Рост киберпреступлений во многом обусловлен тем, что с развитием технологий и средств коммуникаций трансформируется и деятельность мошенников. К примеру, сегодня активно внедряются партнерские программы и сервисы, которые используются для проведения нелегальных платежей в казино, а это десятки миллиардов руб лей. Основная особенность и опасность, резюмировал свое выступление Павел Крылов, состоит в том, за обычными исполнителями часто стоят профессиональные группы мошенников.
Дмитрий Гадарь, директор департамента информационной безопасности АО «Тинькофф Банк», отметил, что в области кибербезопасности остро стоит вопрос регулирования. «В плане регулирования информационной безопасности ЦБ движется в правильном направлении. Потому что появился ГОСТ, в котором хорошо описаны процессы, относящиеся к области информационной безопасности», — отметил эксперт. Он также заметил, что сегодня регулятор выносит на публичное обсуждение очень важные темы: киберучения, которые проводятся с каждым банком, и работа с площадкой «Хакер.one». Сейчас прорабатывается вопрос на базе Ростелекома о создании российского аналога «Хакер.one», которая будет хорошим техническим бустером по поднятию защищенности банковской инфраструктуры.
В то же время Дмитрий Гадарь отметил, что в последнее время заслуживает особого внимания такое направление, как лжеинвестиции. Алгоритм действий мошенников уже известен: в Facebook или в Телеграм публикуется некое «Поле чудес» — приходи и инвестируй 5 рублей, получи на них за 2 месяца 50% прибыли. И люди в это верят, хотя такая гипердоходность вообще невозможна. Это означает прежде всего финансовую безграмотность населения. Далее деньги у незадачливых «инвесторов» просто похищают, в том числе переводят в криптовалюту — на криптокошелек мошенника. А клиента приглашают в личный кабинет, где ему подробно обрисовывают, как его деньги растут. Пока, разумеется, он не пытается вывести какие-либо средства — сразу после этого «инвестор» наконец узнает, что остался не только без дохода, но и без сбережений.
Другие лжеинвестиции — это финансовые пирамиды, в которые люди охотно вкладываются и только потеряв деньги, идут жаловаться в полицию, потому что не успели вовремя из нее выскочить.
«Все это показывает уровень финансовой грамотности населения в целом», — считает Дмитрий Гадарь. И Тинькофф Банк, по его словам, активно занимается повышением финансовой грамотности текущих и потенциальных клиентов. У банка есть целый ряд интересных роликов в YouTube. Один из самых популярных — «Мошенники в огороде». Они сделаны с юмором и доходчивы, но это не снимает главной задачи — для обеспечения безопасности клиентов банкам необходимо масштабно инвестировать в повышение киберграмотности, финансовой грамотности населения. При этом надо не просто призывать опасаться мошенников, а рассказывать о том, как они работают. Если люди будут хотя бы в общих чертах понимать, как устроена финансовая отрасль, то вряд ли будут совершать действия, которые повлекут потерю собственных денежных средств.
Мария Шевченко, председатель Совета директоров Киви Банка, согласилась со многими выступающими, что вопрос с обеспечением безопасности P2P-платежей сегодня очень актуален: «Киви Банк ведет полномасштабную совместную работу с правоохранительными органами по выявлению мошеннических транзакций». Но, как отметила спикер, необходимо повышать не только внутреннюю, но и внешнюю информационную безопасность. А значит, остро встает вопрос импортозамещения оборудования и технологий — для создания безопасной инфраструктуры от внешних угроз. Но это непростая задача, требующая решения целого комплекса вопросов: это и отсутствие российских аналогов для большинства используемых зарубежных решений, и сложность встраивания нового ПО и оборудования в уже существующие инфраструктурные системы, и необходимость обеспечения бесперебойности и устойчивости к атакам в переходный период, и, наконец, важность поддержания качества сервисов на привычном для потребителя уровне, в том числе путем использования компаниями программных продуктов собственной разработки. Все это потребует внесения соответствующих изменений в проекты регуляторных документов.
И участие Банка России, как отметила Мария Шевченко, в данном процессе является ключевым, так как переход на новое ПО требует согласования с регулятором самих условий перехода, которые должны обеспечить бесперебойное функционирование финансовой системы.
По результатам работы круглого стола его участники сошлись во мнении о необходимости усилить меры противодействия киберпреступлениям и активно внедрять новые алгоритмы информационной безопасности, отведя особую роль регулятору при обмене информацией по кибербезопасности.