2019: ФинЦЕРТ назвал главный источник утечек банковских данных россиян
11 октября 2019 года стало известно, что в первом полугодии 2019 года специалисты обнаружили на черном рынке порядка 13 тыс. предложений купли/продажи данных россиян.
Главным источником утечек банковских и персональных данных являются не кредитные организации, а сами пользователи. Об этом сообщается в годовом отчете подразделения Центробанка РФ по кибербезопасности ФинЦЕРТ.
Согласно отчету, на долю банковских утечек приходится лишь 12% от всех данных, продававшихся на черном рынке в первой половине 2019 года (в общей сложности за указанный период времени было обнаружено порядка 13 тыс. предложений купли/продажи данных россиян).
Очень часто причиной утечки становятся сами пользователи и их устройства. Как правило, это финансово благополучные граждане, которым нравится использовать современные технологии, а также школьники, студенты, домохозяйки и пенсионеры.
Чаще всего мошенничества со счетами физических лиц осуществляются с помощью социальной инженерии (97 из 100 случаев). Типичная схема такова: преступники звонят потенциальной жертве и, представившись сотрудником банка, сообщают, будто ее деньги на карте «в опасности». Для перевода средств на «безопасный» счет жертва должна назвать пришедший в SMS-сообщении код. На самом деле, данный код подтверждает перевод денег на карту злоумышленника.
Помимо клиентов на удочку фишеров попадаются и сотрудники банков – как правило, им приходят фишинговые письма с вредоносным вложением. На долю инцидентов по вине сотрудников (как случайных, так и злонамеренных) приходится 70% от всех утечек из финорганизаций.
2017
Банкиры не доверяют FinCERT
С начала 2017 года кредитные организации не сообщили в FinCERT о каждой пятой успешной атаке хакеров
Банкиры не доверяют структуре, созданной внутри ЦБ РФ для обеспечения информационной безопасности, опасаясь привлечь надзорное внимание регулятора, пишет в ноябре «КоммерсантЪ».. За последний год группировка Cobalt осуществила порядка 50 успешных атак на российские банки, сообщили газете участники рынка и собеседники в правоохранительных органах
Напомним, ранее эксперты Trend Micro сообщили о смене тактики группировки, целью которой сейчас стали не клиенты банков, а сами финансовые организации.
За последний год группировка Cobalt осуществила порядка 50 успешных атак на российские банки, сообщили газете участники рынка и собеседники в правоохранительных органах. Напомним, ранее эксперты Trend Micro сообщили о смене тактики группировки, целью которой сейчас стали не клиенты банков, а сами финансовые организации.
В последнем отчете FinCERT называет атаки Cobalt «основным трендом». Группировка атаковала банки разного масштаба, похищая внушительные суммы, однако несмотря на понесенный ущерб, в 10 из 50 случаев банки предпочли не сообщать об инцидентах ЦБ и правоохранительным органам. По данным собеседников издания, максимальная сумма хищений по скрытым атакам составляла 20 млн рублей.
По словам экспертов, основная причина неразглашения информации об атаках — передача информации из FinCERT в надзорный блок ЦБ. С 2017 года сотрудники FinCERT активно участвуют в проверках главной инспекции Банка России. При этом они сообщают в надзор обо всех замеченных нарушениях, выявленных при расследовании инцидентов.
Подобная скрытность, полагают эксперты, представляет угрозу для других участников рынка
Хакеры постоянно совершенствуют свое вредоносное ПО, поэтому крайне важно информировать FinCERT о каждой новой атаке, чтобы он оперативно мог предупредить рынок. Таким образом неатакованные банки могли бы принимать меры по предотвращению атак, обращаясь к экспертам в области кибербезопасности и используя соответствующие технологии защиты.
418 кредитных организаций
По данным на 1 сентября 2017 г., в информационном обмене с ФинЦЕРТом участвовали 418 кредитных организаций. Заметный рост числа участников наблюдался в январе-феврале после серии рассылок злоумышленниками вируса Cobalt Strike в адрес кредитных организаций. При этом активными участниками являются 45% представителей банковской сферы.
А. Сычев добавил, что ФинЦЕРТ отметил активное присоединение а информационному обмену небанковских кредитных организаций. Всего участникам информационного обмена являются 526 организаций.
Нацбанк Беларуси приступил к созданию центра финансовой кибербезопасности FinCERT
Национальный банк Беларуси (НБ РБ) в 2017-2018 годах планирует запустить центр финансовой кибербезопасности – FinCERT. Основным направлением деятельности структуры станет мониторинг и противодействие кибератакам в банковской сфере.
Планируется, что центр станет своеобразным хабом для обмена данными между банками, кредитно-финансовыми организациями, разработчиками ПО, поставщиками оборудования, операторами связи и правоохранительными органами. Так, сейчас Нацбанк собирает предложения о формате организации работы и взаимодействия в центре от заинтересованных участников.
2018
ЦБ закрепил форматы направления сообщений банками в ФинЦЕРТ
6 ноября 2018 года появилась информация о том, что Банк России закрепил форматы направления сообщений банками в ФинЦЕРТ в пятом стандарте по информбезопасности. Предыдущие четыре стандарта были добровольными для присоединения, однако в данном случае избежать работы по стандарту технически не удастся. Подробнее .
ФинЦЕРТ заблокировал свыше 2,1 тыс. доменов за 8 месяцев 2018 г
20 сентября 2018 года стало известно, то ЦБ заблокировал свыше 2,1 тыс. доменов в 2018 году.
На самом деле количество доменов подлежащих блокировке (разделегированию), которые выявляет ФинЦЕРТ, и информацию о которых получает от банков, больше. По статистике центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России разделегированию в конечном итоге подлежат примерно 3 из 4-х доменов.
Руководитель ФинЦЕРТ отметил, что за последние два года наблюдается тренд на нецелевые атаки, поскольку изучение объекта атаки очень затратно для преступников, поэтому ими используются стандартные процедуры и производится массовая рассылка. Так, на кредитно-финансовые организации зарегистрировано 530 нецелевых и 160 целевых атаки. Некоторые организации по разным причинам подвергаются несколько раз.
По данным ФинЦЕРТ более 80% участников кредитно-финансовой сферы в разрезе банков уже подключены к платформе Банка России по обработке инцидентов (АСОИ ФинЦЕРТ). По словам А. Калашникова, есть ряд организаций, которые по каким-то причинам до сих пор не направили в ФИНЦерт информацию о тех, кто ответствен за информационный обмен, ряд организаций, которые уже получили учетные данные от ФинЦЕРТа для входа в АСОИ, но по тем или иными причинам не посещают личный кабинет.
C 26 сентября 2018 года начинается процесс отчетности и надзорного реагирования и основным интерфейсом взаимодействия будет АСОИ ФинЦЕРТ. Электронная почта останется на определенном этапе резервным каналом для кредитных организаций. Все участники которые к АСОИ пока не подключены, будут подключаться к платформе с аналогичным для банков функционалом.
Вхождение в состав департамента информационной безопасности ЦБ РФ
Основная статья: Департамент информационной безопасности ЦБ России
В мае 2018 г совет директоров ЦБ принял решение разделить Главное управление безопасности и защиты информации на два самостоятельных подразделения — ]. Департамент создан на базе Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (FinCERT).
Соглашение с МТС
МТС и Центральный банк Российской Федерации (Банк России) объявили в мае 2018 года о подписании соглашения о сотрудничестве в сфере информационной безопасности и противодействия компьютерным атакам.
Соглашение предусматривает информационное и организационное взаимодействие, направленное на предупреждение, выявление и пресечение правонарушений на финансовом рынке и в национальной платежной системе России, а также повышение уровня информационной безопасности сторон. МТС и Банк России будут сотрудничать через структурное подразделение Главного управления безопасности и защиты информации Банка России — Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ).
Как сформировалась существующая структура
«ФинЦЕРТ» был создан в Центробанке в 2015 г. Тогда же была оборудована
лаборатория компьютерной криминалистики и введена в работу АСОИ. Однако
вопросов, связанных с кибербезопасностью, меньше не стало.
В сентябре 2017 г. Центробанк ужесточил требования по
кибербезопасности кредитных организаций, потребовав от них разработать политику
сотрудничества со сторонними компаниями, нанятыми для обеспечения
информационной защиты.
В ноябре 2017 г. Центробанк предложил публичным компаниям
добавить в советы директоров специалистов по ИБ и ИТ. В феврале 2018 г. в
Центробанке было принято решение создать ДИБ. Тогда же регулятор составил
список угроз безопасности при работе с биометрическими данными в госорганах и
банках. В марте 2018 г. был предложен стандарт оказания ИБ-услуг для финансовых
организаций, соблюдение которого является добровольным.
Также в начале мая 2018 г. Центробанк опубликовал проект
стандарта обеспечения ИБ финансовых организаций России, который должен
нормировать обмен информацией о кибератаках, что сделает предоставляемые
банками данные более достоверными. ФСБ рассмотрело данный стандарт на предмет
соответствия требованиям к информации, поступающей в государственную систему
обнаружения, предупреждения и ликвидации последствий компьютерных атак
(ГосСОПКА). Стандарт предполагал, что «ФинЦЕРТ» будет обмениваться данными с ГосСОПКА.
Почему банки недовольны работой «ФинЦЕРТа»
Главная задача «ФинЦЕРТа» — обеспечивать ИБ кредитно-финансовых
организаций путем взаимного информирования и оповещения участников финансового
рынка об уязвимостях, угрозах и рисках, с которыми им приходится сталкиваться,
и о методах их предотвращения. Проще говоря, «ФинЦЕРТ» собирает от банков
информацию о кибератаках, анализирует ее и на этой основе информирует их об
актуальных угрозах кибербезопасности, а также разрабатывает рекомендации по
отражению хакерских атак. Также «ФинЦЕРТ» взаимодействует с правоохранительными
органами и оперативными службами ФСБ. Оперативный обмен информацией о
компьютерных атаках с банками ведется в том числе с помощью автоматизированной
системы обработки инцидентов (АСОИ).
На сегодняшний день предоставление информации в «ФинЦЕРТ» не
является для финансовых организаций обязательным и происходит на добровольной
основе. Тем не менее статус «ФинЦЕРТа» был спорным, по мнению участников рынка,
изначально, так как, обращаясь в «ФинЦЕРТ» с сообщением об инциденте, банк тем
самым давал повод для проверки и наказания самого себя, пишет «Коммерсант».
Поэтому о части инцидентов банки просто умалчивали.
Качество помощи тоже оставляет желать лучшего. Как
предположил один из собеседников «Коммерсанта», последней каплей могла стать история
с выводом средств через систему быстрых платежей в августе 2020 г. «ФинЦЕРТу»
понадобилось около двух недель, чтобы предупредить рынок об этой уязвимости, а
потом выяснилось, что обращения ряда банков об инцидентах с СБП, в том числе и
за 2019 г., не были рассмотрены вообще.
Участники рынка надеются, что в новой структуре функции ДИБ
будут разнесены по различным управлениям, а специализация работы позволит
работать более оперативно. Однако, как пишет «Коммерсант», это может сыграть
злую шутку, так как после реструктуризации проверки банков со стороны
регулятора могут ужесточиться.