3809
Уральский форум «Кибербезопасность в финансах». Итоги. Тренды. Ожидания
Форум, организатором которого выступает Банк России в партнерстве с лидерами рынка информационной безопасности, является отраслевой дискуссионной площадкой по актуальным проблемам кибербезопасности.
Участники мероприятия обсудили тенденции и вызовы в сфере информационной безопасности, вопросы операционной надежности финансовых организаций в новых условиях, безопасное внедрение цифровых и платежных технологий и другие актуальные темы в рамках более 30 тематических секций и ряда панельных дискуссий, а также мастер-классов.
15 февраля программу конференции Форума открыли две параллельные сессии, посвященные управлению киберрисками и информационной безопасности некредитных финансовых организаций. Также в этот день участники мероприятия обсудили противодействие компьютерным атакам и звонкам с подменных номеров, поделились опытом проведения киберучений и рассмотрели проблемы обеспечения отрасли кадрами.
2022-й – год, в который реализовались все риски, которые только могли реализоваться
Как отметил в ходе сессии форума «Управление киберрисками» заместитель председателя Правления по информационной безопасности Московской биржи Сергей Демидов, это был год, в который реализовались все риски, которые только могли реализоваться.
По словам спикера, «мы видели, как менялся характер атак, как организовывалась их координация на международном уровне».
Свои изменения претерпел и фишинг. Здесь уже перестали появляться «никарагуанские дядюшки», предлагающие унаследовать сотни миллионов, фишинговые атаки стали гораздо более таргетированными.
Как заявил вице-президент, директор Департамента информационной безопасности Тинькофф банка Дмитрий Гадарь, если раньше можно было защищать только периметр, сейчас ситуация требует защиты внутренней инфраструктуры.
Еще один новый тренд – атаки через третьи стороны — т. е. атаки со стороны менее защищенных, чем банки, партнеров, которые становятся все более опасными.
Ольга Цихмистрова, возглавляющая направление рисков кибербезопасности в инфраструктуре Сбера, рассказала об уникальной методике работы с уязвимостями, разработанной банком. Реализация последней позволила Сберу значительно сократить срок устранения уязвимостей.
Необходимо говорить на одном языке с бизнесом – об этом заявил Александр Кондратенко, заместитель директора департамента – начальник управления рисками и развития процессов информационной безопасности Росбанка. Спикер отметил важность возможности говорить с бизнесом на одном языке в части вопросов, касающихся информационной безопасности, и поблагодарил Банк России за положения, позволяющие объединять риски информационной и операционной безопасности. По его мнению, именно благодаря регулятору можно далее эффективно развивать и выстраивать обмен информацией между участниками рынка, в т. ч. создав единую базу операционных рисков.
Информационная безопасность бесполезна без риск-ориентированного аудита – подчеркнул в своем выступлении директор по ИБ «Московской биржи» Сергей Демидов, отметив, что «наши аудиторы перешли на риск-ориентированный подход». По словам спикера, тот редкий случай, когда информационная безопасность «не нужна», – это ситуация, при которой организацией были инвестированы существенные средства в решения, позволяющие устранить лишь отдельные не слишком значительные риски, не обеспечивая информационную безопасность структуры в целом.
Рынок страхования киберрисков в России отстает от реалий времени
Этот факт отметила в ходе сессии «Страхование киберрисков» Ирина Алпатова, заместитель генерального директора «Альфа-страхование». Первый полис по киберстрахованию появился в 1998 году, таким образом, сегодня этому рынку исполняется четверть века. При этом современный мировой рынок киберстрахования оценивается от 7,5 млрд до 10 млрд долл. США.
Как ни странно, объем российского рынка киберстрахования не превышает сегодня 7 млн долл. И это при том, что количество кибератак в РФ за последний год выросло в 15 раз.
По словам Дарьи Соловьевой, Московская биржа, причина столь низкого показателя во многом заключается в отсутствии прозрачности самого рынка. Нет открытой статистики как по киберинцидентам, так и по страховым выплатам, мало информации по возможным комбинациям в рамках комплексных полисов и т. п. Притом что цены на такого рода страховые услуги резко возросли на фоне драматического роста атак.
Страховать киберриски нужно в рамках недопустимых событий – таким мнением поделился Александр Русецкий, заместитель технического директора Positive Technologies.
Как посоветовал эксперт, банкам и небанковским структурам нужно делать акцент на недопустимых событиях, которые могут полностью остановить их бизнес. Изначально следует описать их критерии, оценить последствия и вероятность. В результате мы получим описание двух-трех видов атак, последствия которых могут остановить бизнес компании. Именно их и нужно страховать, пользуясь изначально выставленным «префильтром».
В России киберриски страхуют только самые благополучные участники рынка – по оценке Владимира Новикова, директора по рискам «Сбербанк страхование», с точки зрения степени развития рынка страхования киберрисков мы находимся сейчас в самом начале «взлетной полосы». Те клиенты-пионеры, которые сегодня уже приобрели такие полисы, относятся к числу самых благополучных участников рынка, уже реализовавших максимум технологических мер защиты.
Ущерб физлиц от социальной инженерии. Страховать или нет?
Этот вопрос вызвал оживленную дискуссию участников сессии «Страхование киберрисков». За последние несколько лет кардинально изменились способы хищения денежных средств физических лиц – несмотря на усилия социальной рекламы, телефонное мошенничество остается наиболее действенным способом преступления.
При этом потеря денег с тех или иных электронных носителей остается практически единственным риском, который интересен страхователю – физическому лицу. По оценке Владимира Новикова («Сбербанк страхование»), российским страховщикам необходимо исходить именно из этих реалий.
Как подчеркнул Александр Кондратенко, замдиректора департамента – начальник управления рисками и развития процессов информационной безопасности Росбанка, на фоне разгула социальной инженерии необходимо прививать цифровую гигиену массовому клиенту. А страхование является, с этой точки зрения, лишь одним из ее компонентов.
По мнению же заместителя гендиректора по корпоративному страхованию «АльфаСтрахование» Ирины Алпатовой, страховать ущерб от социальной инженерии физических лиц как таковой нельзя, поскольку его очень тяжело объективно подсчитать, включая ущерб от компрометации персональных данных.
Киберпреступники продемонстрировали в 2022 году переход от количества к качеству
К такому выводу пришли участники сессии «Взаимодействие организаций финансовой сферы с ФинЦЕРТ Банка России», модератором которой выступил Вадим Уваров, Банк России.
Дмитрий Миклухо, старший вице-президент Промсвязьбанка, среди ключевых факторов выделил массовый переход на дистанционную работу, дефицит кадров и массовый уход вендоров решений ИБ с российского рынка.
По словам Александра Бабкина, заместителя начальника Департамента защиты информации, начальника Ситуационного центра информационной безопасности Газпромбанка, сначала атаки усилились организованными атаками на сервисы удаленной работы (включая разработку ПО). После апреля – начала мая 2022 года атаки стали еще более изощренными, но лето прошлого года ознаменовалось фактически полным отсутствием активности преступников в сфере социальной инженерии. В свою очередь осенью телефонное мошенничество возобновилось в полном объеме, участились случаи SMS-мошенничества, атак на кол-центры банка и т. п.
В целом Газпромбанк пережил трудный год успешно, поскольку оказался хорошо подготовлен.
По словам Кирилла Вальца (Сбербанк), во втором полугодии 2022 года в сфере кибермошенничества банк наблюдал переход от количества к качеству – атаки становились все более спланированными и изощренными. Также наблюдался резкий рост фишинговых ресурсов, использующих символику Сбера. В основном такие ресурсы базировались в странах Африки.
Как подчеркнула Анна Кулашова, управляющий директор Лаборатории Касперского в России и странах СНГ, за последний год количество DDoS-атак выросло в 8 раз. При этом спикер напомнила, что за любой такой атакой следует какая-либо более опасная активность преступников.
Представитель ФОИВ Андрей Раевский обратил внимание собравшихся, что недавнее внесение изменений в закон о персональных данных обязывает операторов ПнД информировать ФОИВ о всех случаях утечки данных. Речь идет о взаимодействии с порядка 7 млн структур, поэтому его планируется сделать максимально простым и прозрачным. В том числе будут использованы уже существующие каналы взаимодействия, при этом часть операторов будет информировать по каналам Роскомнадзора. По словам спикера, в ближайшее время соответствующий приказ должен быть зарегистрирован в Минюсте, при этом он вступит в силу уже в марте 2023 года.
Киберполигоны способствуют выработке боевой слаженности – таким мнением поделился Александр Бабкин, вице-президент, начальник департамента мониторинга информационной безопасности, Газпромбанк. Как показывают современные кибератаки, отдельная организация сегодня просто не в состоянии эффективно сопротивляться деятельности крупной преступной группировки. По словам спикера, на этом фоне такие инициативы Банка России, как проведение киберполигонов, способствуют боевой слаженности между участниками рынка и госструктурами при отражении различного рода кибератак. Кроме того, поучаствовав в двух-трех киберполигонах, специалист значительно повышает свою квалификацию и находит возможности переходить от пассивной защиты к активной.
Тренды российской кибербезопасности 2023
В заключение участники сессии «Взаимодействие организаций финансовой сферы с ФинЦЕРТ «Банка России» назвали ключевые тенденции отрасли.
Александр Бабкин (Газпромбанк) отметил несколько трендов: ожидаются атаки на банковский персонал, кроме того, мы станем свидетелями смещения векторов атак с банков на их партнеров.
Дмитрий Миклухо (ПСБ) считает, что уход западных вендоров систем безопасности может дать о себе знать, причем очень ощутимо.
Анна Кулашова (Лаборатория Касперского в России и странах СНГ) обратила внимание аудитории на тот факт, что злоумышленники стали публично заявлять об успешных атаках, в то время как раньше начинали с приватного требования «выкупа», тем самым делая ущерб репутации бизнес-структуры неизбежным.
В свою очередь Андрей Раевский (ФОИВ) провел аналог с известной рекламой: «Пора выйти из тени, передав данные об атаках регулятору».
Российские мобильные операторы заинтересованы в противодействии телефонному мошенничеству не меньше банков
Об этом заявили участники сессии «Взаимодействие операторов связи с кредитно-финансовой сферой и противодействие мошенничеству».
Как отметил Александр Егоркин, первый вице-президент Банка Газпромбанка, 90% фрода сегодня приходится на телефонное мошенничество.
В то же время, по словам Сергея Хренова, директора департамента предотвращения мошенничества и потерь доходов «МегаФон», за прошедший год ситуация с телефонным мошенничеством значительно улучшилась, к концу 2022 года поднявшаяся волна звонков с подменных номеров была сбита.
Основной преступный тренд сегодня – подмена номеров зарубежных операторов с попыткой выдать их за мобильные российские. Зачастую такую ситуацию трудно выявить, поскольку подменный номер может напоминать российский номер в роуминге.
Однако это в основном проблема малых операторов, поскольку крупные российские операторы уже создали общий верифицированный контур, с помощью которого успешно противостоят мошенникам. Так, Мегафон сегодня блокирует 7–10 млн таких звонков в неделю.
По мнению Петра Алфёрова, директора Департамента управления уровнем фрода и гарантированием доходов в ПАО «ВымпелКом», проблему может решить только единая система верификации вызовов с вовлечением регуляторов и крупнейших участников рынка телекома с их технологиями и инфраструктурой.
По словам Сергея Хуторцева, главы Главного радиочастотного центра, недостаточность нормативно-правового регулирования немало способствовала фактическому отсутствию у операторов связи реальной ответственности за умышленное или неумышленное способствование мошенничеству. Сегодня ситуация принципиально изменилась и продолжает трансформироваться. Так, например, система, которая начнет работать с марта 2023 года, обеспечивает контроль оператора связи за личностью абонента, способствуя созданию единой верифицированной базы абонентов.
А система «Антифрод» позволяет сделать в режиме реального времени запрос оператору, абонент которого якобы осуществляет данный вызов. В настоящее время к системе подключены четыре крупнейших российских оператора мобильной связи, между которыми осуществляется верификация вызовов. Ожидается, что до конца 2023 года к ней подключатся все российские операторы мобильной связи. Таким образом, телефонное мошенничество в России автоматически перейдет в разряд анахронизмов. Тем более что операторы, которые откажутся подключаться к системе, согласно закону просто не смогут продолжать свою деятельность на территории России.
При этом, по словам Владимира Бенгина, директора департамента обеспечения кибербезопасности Минцифры России, угроза мошеннических звонков через иностранные мессенджеры остается актуальной. На этом фоне он призвал российские банки «не приучать граждан к тому, что через такие мессенджеры к ним может обратиться банк».
Ключевые задачи в сфере обеспечения информационной безопасности финансового сектора
Председатель Банка России Эльвира Набиуллина открывает пленарную сессию Уральского форума «Кибербезопасность в финансах». 16 февраля 2023 года, Екатеринбург.
Борьба с социальной инженерией стала главной темой панельной дискуссии второго дня Уральского форума «Кибербезопасность в финансах», в которой приняла участие председатель Банка России Эльвира Набиуллина и был представлен стратегический документ − Основные направления развития информационной безопасности кредитно-финансовой сферы
По данным Банка России, объем операций без согласия клиента в 2022 году вырос на 4% по сравнению с 2021 годом и достиг 14 млрд рублей. При этом каждая вторая мошенническая операция пришлась на социальную инженерию.
На этом фоне Банк России планирует принять широкий комплекс мер по защите потребителя, включая персональную ответственность банковских менеджеров за потери населения от фрода.
По словам Германа Зубарева, заместителя председателя Банка России, основными направлениями деятельности регулятора в области ИБ на ближайший трехлетний период являются:
- защита потребителей и повышение их доверия к кредитно-финансовым структурам;
- достижение технологического суверенитета;
- управление киберрисками и контроль операционной надежности.
Как отметил модератор пленарной сессии депутат Госдумы Анатолий Аксаков, во всем мире киберпреступность растет на 15% ежегодно. При этом, если в 2015 году на обеспечение кибербезопасности было потрачено 3 млрд долл. США, то глобальный прогноз на 2025 год составляет уже 10,5 млрд долларов. При этом в России рост киберпреступлений за последний год был многократным, количество одних только DDoS-атак увеличилось в восемь раз.
Со своей стороны Станислав Кузнецов, заместитель председателя правления Сбербанка, отметил: несмотря на то что в марте 2022 года телефонное мошенничество в РФ почти сошло на нет, сегодня до 92% мошеннических звонков вновь осуществляется именно с территории Украины. По словам спикера, «столицей» телефонного мошенничества остается город Днепр (переименованный в Днепропетровск), при этом на территории страны действуют порядка 1100 преступных кол-центров.
Борьба с мошенничеством в финсекторе возможна только общими усилиями – такое убеждение высказал глава НСПК Владимир Комлев. По его мнению, порознь эффективно противостоять мошенничеству в финансовом секторе сегодня не может ни одна структура, будь то крупный коммерческий банк, ФинЦЕРТ или иная специализированная организация. Добиться реального перелома в противостоянии с преступниками можно только путем создания единой централизованной организации, объединяющей в себе технологическую инфраструктуру и компетенции крупнейших и наиболее продвинутых участников рынка и государства и обеспечивающей оперативный обмен информацией.
Между тем горячая дискуссия вокруг необходимости компенсации банками клиентам украденных мошенниками средств приняла неожиданный оборот. Как отметила глава Банка России Эльвира Набиуллина, банки должны отвечать перед клиентами за их потери от мошенничества в любом случае, потому что человек гораздо более беззащитен перед преступниками, чем банк, оснащенный всеми современными технологическими средствами противодействия. Поэтому закон о возмещении средств физлицам, ставшим жертвами мошенников, дающий клиенту два дня на обдумывание совершенного денежного перевода, должен также предусматривать ответственность банков за перевод денежных средств клиентов на преступные счета.
Как заявил Станислав Кузнецов (Сбер), уже в мае банк введет услугу, с помощью которой начнет возвращать клиентам переведенные на счета предполагаемых мошенников средства. По его словам, Сбер планирует запустить новый продукт, позволяющий банку даже в ситуации, когда деньги заблокированы на 10 дней согласно 115-ФЗ на счету Сбербанка, предположительно используемом мошенником, при получении доверенности от клиента сразу вернуть ему денежные средства и затем самостоятельно, через судебное решение, добиваться соответствующего решения о возврате.
Ограничение на снятие наличной валюты будет продлено после 9 марта 2023 года – об этом Эльвира Набиуллина (Банк России) заявила представителям СМИ в кулуарах Уральского форума «Кибербезопасность в финансах». Напоминаем – 9 марта 2022 года регулятор ввел ограничение на снятие свыше 10 тыс. долл. США с валютных вкладов и счетов на территории РФ. Новый порядок должен был действовать до 9 сентября, однако 1 августа 2022 года ЦБ продлил его действие до 9 марта 2023 года.
Проблема фишинга. Бизнес и государство должны играть на опережение
В ходе сессии «Фишинг и другие атаки на получателей финансовых услуг», продолжившей второй день конференции Уральского форума, эксперты из различных сфер бизнеса и госорганов обсудили наиболее эффективные сценарии противодействия этому виду преступлений.
Модератором сессии выступил Валерий Лях, директор департамента противодействия недобросовестным практикам Банка России.
Заместитель начальника управления контроля и надзора в сфере электронных коммуникаций Роскомнадзора Юрий Киселёв отметил, что в настоящее время существует эффективный механизм блокировки нарушающих закон сайтов. Так, в 2022 году было удалено 2300 материалов и заблокировано 8100 сайтов, что в 2,5 раза превышает результаты 2021 года. При этом возможность получения судебных решений в электронном виде значительно ускорила процесс блокировки. За игнорирование судебных решений по удалению запрещенных материалов компаниям грозят ощутимые санкции, вплоть до оборотных штрафов. В качестве примера спикер привел Google.
В то же время Владимир Бенгин, директор департамента обеспечения кибербезопасности Минцифры России, подчеркнул, что эффективность противодействия фишингу измеряется не числом заблокированных ресурсов, а объемом потерь и количеством пострадавших от этого вида преступлений. И судя по происходящему, проблема продолжает усугубляться.
В качестве эффективной меры спикер привел пример программы «Доменный патруль».
В 2022 году доля фишинговых ресурсов в Рунете упала до 15%, сократившись в четыре раза, поэтому определенный прогресс здесь все же наблюдается. Однако процесс нужно ускорять. Так, снизив срок жизни фишингового ресурса до двух дней, мы можем исключить выдачу ссылок на них в поисковых ресурсах. В идеале такие ссылки должны остаться исключительно в личной переписке пользователей в мессенджерах, но к этому нам еще предстоит прийти.
Вадим Чукреев, заместитель прокурора Свердловской области, привел пример эффективного расследования дела о билбордах с адресами мошеннических ресурсов, размещенных в области. Виновные были оперативно установлены в рамках всей преступной цепочки и привлечены к административной ответственности. Также за последнее время в Свердловской области возбуждено порядка 10 уголовных дел по фактам финансового мошенничества, фигуранты которых нанесли суммарный ущерб населению на сумму свыше 10 млрд рублей.
Наталья Пузырникова, заместитель председателя правления Газпромбанка, рассказала об организации антифишинговой работы в своем банке. Особое внимание уделяется обучению и тестированию персонала. Благодаря этим мерам успешных фишинговых атак на сам банк с прорывом внешнего периметра безопасности не наблюдалось уже достаточно давно. Чего, к сожалению, нельзя сказать о DDoS-атаках, число которых растет.
Говоря о трендах 2023 года, Игорь Калганов, генеральный директор Группы Т1, отметил, что мы продолжаем находиться под жестким прессингом кибермошенников. При этом ближайшие годы могут ознаменоваться атаками на банковский сектор и промышленность с помощью совершенно новых инструментов принципиально иного уровня, попавших в руки преступников, включая постквантовую криптографию. И к этому нужно готовиться уже сейчас.
Деловая программа Уральского форума «Кибербезопасность в финансах» также включала сессии и мастер-классы для студентов и молодых специалистов. Во время молодежных дней форума студенты, которые предварительно прошли отборочные туры, участвовали в мастер-классах и решали задачи от экспертов ведущих компаний в сфере информационной безопасности. А 16 февраля состоялось торжественное награждение команд-победителей.
Завершающий день форума был посвящен в том числе вопросам, связанным с безопасностью цифровых и платежных технологий, а также с аутсорсингом в области ИТ.
