2018/01/10 14:09:16

Интервью с заместителем начальника Главного управления безопасности и защиты информации Банка России Артемом Сычевым

Замначальника Главного управления безопасности и защиты информации Центробанка Артем Сычев в интервью TAdviser в декабре 2017 года рассказал о работе Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ), меняющемся ландшафте киберугроз и несовершенствах существующего законодательства с точки зрения информационной безопасности в финансовом секторе.

Артем Сычев

Артем, что сейчас представляет собой Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ)? Сколько человек в нем работает, и какими задачами он сейчас занимается?

Артем Сычев: В центре сейчас работает чуть больше 30 человек. Центр создан для информационного обмена об инцидентах и выявленных угрозах и рисках, чтобы мы могли быстро ориентировать участников рынка на проблемы, уязвимости и атаки, которые могут быть для них актуальны.

Сейчас в обмене более 500 организаций. Это не только банки, а разные организации кредитно-финансовой сферы, и также антивирусные вендоры и те, кто предоставляет услуги в области информационной безопасности. Есть и иностранные участники, и госорганы.

На сегодняшний момент можно говорить, что из них активными участниками информационного обмена являются больше 45% организаций. Это те, кто предоставляет информацию и нам.

Сейчас время реагирования на обнаруженную проблему в среднем составляет от 40 до 90 минут, и это в принципе относительно неплохой показатель на общем фоне даже мировых CERT (Computer Emergency Response Team – команда экстренного реагирования на инциденты), но наша цель – его существенно сократить. Это сложно сделать, потому что мы никогда не отправляем участникам обмена информацию, не перепроверив ее. Системы управления проектами: особенности рынка, ключевые технотренды. Обзор TAdviser 11.9 т

ФинЦЕРТ проводит технические исследования по разным направлениям, но это – только для правоохранительных органов и только по делам, связанным с финансовыми вопросами. Как вариант - попадается жесткий диск с вредоносами, и правоохранительным органам нужно понять, что этот вредонос делал с точки зрения финансовых технологий: например, повлиял он на проведение платежей, или нет и так далее.

У нас очень удачное сочетание технических знаний, понимания вопросов безопасности и, с другой стороны, понимания, как работает и как должна работать финансовая система. Это дает возможность правоохранителям понять, что было с технической точки зрения, и как это могло повлиять на транзакции, на финансовые результаты.

Отдельное направление связано с разделегированием доменов, которые занимаются фишинговой деятельностью либо деятельностью, которая на территории России подлежит лицензированию, но осуществляется в данном случае без лицензии. Мы научились противодействовать тому, чтобы подобные сервисы становились доступными гражданам.

Какие пробелы и сложности сейчас есть в обмене информацией о киберугрозах и инцидентах?

Артем Сычев: Сложность, пожалуй, одна – в том, чтобы количество желающих обмениваться этой информацией было гораздо больше, чем 45% наших участников.

С чем связано нежелание остальных обмениваться информацией?

Артем Сычев: Здесь есть два момента. ФинЦЕРТ в работе использует принцип «2Д»: добровольность и доверие. И стоит вопрос формирования этого доверия не только с нашей стороны, но и со стороны организаций в кредитно-финансовой сфере. Многие просто пока еще не поняли, что не только они что-то должны отдавать. Они взамен получают хорошую основу для модификации своих систем безопасности.

Второй фактор – это люди. Информационный обмен рождается не сам по себе, его организуют люди, и не всегда на том конце есть те, кто может его организовать. Это общеотраслевая проблема.

Как, по вашему мнению, сейчас меняется ландшафт киберугроз финансовой сфере в России? Какие атаки набирают популярность, а какие уходят в прошлое?

Артем Сычев: Проблема номер один на сегодняшний момент – это социальная инженерия. Причем, проблема в том, что если раньше основной целью социальных инженеров были, условно, дедушки и бабушки, а каналами – телефон и позже – СМС, то сейчас этот вектор существенно сместился в сторону населения в возрасте до 40 лет. Как ни удивительно, эту категорию граждан проще обмануть. Просто злоумышленники используют другой канал доступа к ним – соцсети, мессенджеры и другие. Эта категория граждан больше подвержена доверию информационным технологиям.

Если, например, в соцсети от друга пришло сообщение с просьбой одолжить денег, 80% пользователей не будет задумываться, с чего вдруг человек просит у них денег через соцсеть, почему он не позвонит, и перешлет деньги. А бабушки и дедушки многие верят, что государство их защитит, и в подобных случаях часто начинают теребить банк, правоохранительные органы и другие инстанции. Категория граждан до 40 лет к этому не приучена. Она начинает часто жаловаться об обмане в соцсетях, но не делает ничего для того, чтобы деньги вернуть. И, что самое интересное, эта категория граждан, как правило, не учится на чужих ошибках.

В этом году имел место ряд масштабных кибератак, включая вирусы WannaCry и Petya. Насколько существенный ущерб они нанесли российским банкам, и какие из этих атак, по вашему мнению, было наиболее сложно отразить?

Артем Сычев: Ущерба российским банкам от этих атак не было. Это были единичные случаи, когда один-два компьютера где-то подхватили подобные вирусы. Для российской финансовой сферы по большому счету это прошло фоном, и это хороший показатель того, что сфера в целом была к этому подготовлена.

В чем вы видите несовершенства текущего законодательства с точки зрения информационной безопасности в финансовой области?

Артем Сычев: Вся наша озабоченность выражена в законопроекте, который правительство некоторое время назад внесло в Госдуму. Он предполагает внесение изменений в ряд законодательных актов в части противодействия мошенничеству.

В этом законопроекте есть ряд направлений, которые нас крайне волнуют. Прежде всего, установление обязанности кредитной организации по организации антифрода. Сейчас это делается по доброй воле каждого банка. И это хорошо, конечно, но финансовая система имеет четыре звена: отправитель денежных средств, его банк, получатель денежных средств и его банк. Когда система антифрода работает только с одной стороны, а с другой нет, это нехорошая ситуация. Наша задача – чтобы это работало везде.

Еще одно направление – когда деньги воруют, их всегда выводят через какое-то лицо, физическое или юридическое. Вопрос в вовлечении этих лиц в такой криминальный бизнес довольно существенный, и важно, чтобы финансовые организации имели возможность обмениваться информацией о тех счетах, через которые эти краденые деньги пытаются вывести.

Еще одна новелла – формирование условий для возврата денежных средств, когда они были остановлены на территории банка-получателя. Сейчас это тоже представляет серьезную юридическую проблему. Оснований для возврата денег нет. Получается так, что банк-получатель «тормознул» деньги и знает, что эти деньги украдены, но вернуть законному владельцу их не может.

Четвертое – сейчас Центробанк имеет право устанавливать требования к информационной безопасности только в части платежей либо для некредитных финансовых организаций, чем мы и пользуемся активно. Но проблема в том, что атакуют обычно не системы платежей, а инфраструктуру банка, а к ней с точки зрения безопасности требования мы пока предъявить не можем, так как у нас нет таких прав.

Что интересно, и другие регуляторы таких требований предъявить не могут, потому что это не государственная система. В законопроекте заложено расширение полномочий Центробанка по регулированию вопросов информационной безопасности в финансовой сфере.