Артем Сычев: «Хищения с банковских карт россиян сократились втрое»
Киберпреступники в первом полугодии 2017-го похитили с банковских карт россиян на две трети меньше денег, чем годом ранее. Атаки на банки тоже не принесли мошенникам значительных успехов — взломать удалось лишь одну кредитную организацию. Впрочем, технологии злоумышленников не стоят на месте, и теперь под угрозой оказался процессинг кредитных организаций. Об усилиях Банка России в сфере информационной безопасности, обмене данными о сим-картах с сотовыми операторами, угрозах для чипованных карт и борьбе с вирусами Misha и Petya в интервью «Известиям» рассказал замначальника главного управления безопасности и защиты информации ЦБ РФ Артем Сычев.
— Сколько средств было похищено с карт в первом полугодии?
— Если говорить о физлицах, к середине этого года уровень потерь составляет порядка 30% от уровня прошлого года. В прошлом году с карт было похищено чуть более 1 млрд рублей.
— За счет чего произошло такое снижение?
— Сработали три фактора. Меры, которые ЦБ принял с точки зрения изменения требований к обеспечению безопасности переводов денежных средств. Информационный обмен, организуемый ФинЦЕРТ (Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере, созданный при ЦБ. — «Известия»). И, наконец, существенные изменения в подходе правоохранительных органов и успехи, которых они добиваются.
— Эти атаки осуществляются сейчас из-за ошибок пользователей или мошенники используют уязвимости конкретных карт? Например, недавно злоумышленники научились копировать карты с чипами...
— Речь идет не об уязвимости карт, а об использовании злоумышленниками новых технологий для получения данных владельцев карт. Наша задача — сделать так, чтобы, даже если данные карты «утекли», их нельзя было использовать. Для этого, например, применяется токенизация — технология, позволяющая обезопасить электронные платежи с помощью систем шифрования данных.
— В 2015 году кибермошенники переключились с розничных счетов клиентов кредитных организаций на корсчета самих банков. У вас есть свежие оценки, сколько таких хищений произошло в этом году?
— По этому году у нас зафиксирован только один подобный случай. Меры, которые мы приняли и еще будем принимать, позволяют расчитывать, что мы эту проблему если и не закроем целиком, то существенно уменьшим.
— Какие именно меры?
— У нас определены требования, которые банки должны реализовать у себя. Соблюдение этих требований контролируется в рамках текущего надзора. Также мы вместе с банками работаем над четким разделением зон ответственности по мере формирования и движения платежного поручения.
— Какие тренды в сфере распространения вредоносного программного обеспечения вы видите?
— Сейчас злоумышленники активно пытаются внедрить вредоносное программное обеспечение Cobalt Strike, которое предназначено для захвата управления процессинговой системой. Схема такая: есть банк-эквайер, который обслуживает некоторое количество торговых точек. Для этого у него есть программное обеспечение, которое проводит транзакции, то есть процессинг. Атака идет именно на процессинг этого банка — его пытаются захватить, а потом вывести деньги банка. Если это удастся, банку будет нанесен ущерб.
Видно, что рассылки вредоносного программного обеспечения идут волнами, есть более или менее понятные промежутки между этими волнами. Результативных попыток у злоумышленников пока нет.
— Планировалось внести поправки, позволяющие Банку России обмениваться с другими федеральными органами информацией о лицах, которые участвуют в выводе похищенных средств. Какова их судьба?
— Мы работаем над принятием этих поправок: это существенно упростит задачу банков в остановке незаконно выведенных денег. Законопроект внесен в Госдуму.
— Как будет происходить такой обмен информацией?
— Мы не можем себе позволить работать вне правового поля, поэтому, перед тем как определять конкретный механизм, необходимо подготовить законодательную базу. Технически можно организовать такой обмен разными способами. Основная задача, чтобы обмен шел быстро и был доступен всем участникам финрынка. Но пока нет закона, говорить о конкретных технических реализациях я бы не хотел.
— Сколько банков и других организаций на данный момент подключилось к информационному обмену с ФинЦЕРТ Банка России?
— Сейчас у нас 460 участников, из них 383 банка. На Международном финансовом конгрессе, который недавно прошел в Санкт-Петербурге, мы заключили соглашение об информационном обмене с Пенсионным фондом России.
— Когда банки начнут получать информацию о сим-картах россиян, чтобы бороться с их заменой злоумышленниками?
— Когда закон будет. Наша цель как регулятора, чтобы эта услуга была равнодоступна всем участникам финансового рынка.
Почему мы говорим о необходимости делать это в законодательной области? Операторов у нас значительно меньше, чем банков, при этом нужно, чтобы у операторов связи была обязанность предоставить такой сервис. Мы понимаем, что для оператора связи это дополнительная нагрузка, поэтому эти затраты должны быть компенсированы. При этом нужно, чтобы была возможность устанавливать тарификацию единым образом, чтобы доступность сервиса была обеспечена для всех участников финансового рынка. Это вопрос Минкомсвязи, и такая единая тарифная сетка должна появиться.
Рассматриваются различные варианты, централизованная и децентрализованная схема. Сейчас этот вопрос прорабатывается с Минкомсвязи, банками и операторами связи.
— В централизованном варианте появится организация, которая собирает всю информацию?
— По аналогии с тем, как сейчас работает система обмена информацией о перенесенных номерах.
— Как обстоят дела с разработкой стандарта в сфере аутсорсинга услуг по кибербезопасности?
— Для многих небольших и средних банков вопросы, связанные с кибербезопасностью и IT в целом, весьма недешевые и сложные. Здесь вполне возможны варианты использования аутсорсинга.
ЦБ на эту тему готовит стандарт аутсорсинга информбезопасности, сейчас идет его обсуждение с банками. Ключевая проблема в том, что компании, которые занимаются информбезопасностью, не готовы к такому аутсорсингу, потому что это совершенно другая схема продаж. Это розничная продажа сервиса, которая требует существенных вложений на первом этапе, окупаемость такого проекта для аутсорсинговой организации — никак не меньше пяти лет. Нужно иметь инвестиционные длинные деньги на 5–10 лет, чтобы этот бизнес более или менее заработал. Одно дело продавать оборудование для информбезопасности, совершенно другое — на постоянной основе отвечать за сервис. Бизнесмены, которые занимаются информбезопасностью, пока ментально не готовы идти в такую схему, и это проблема.
— Банк России с недавнего времени ведет борьбу с фишинговыми сайтами. Сколько вы уже их заблокировали?
— В этом году по нашей инициативе заблокировали около 320 фишинговых сайтов. На тысячи идет счет доменов, которые мы отправляем в ГосСОПКА (государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак. — «Известия») и антивирусным вендорам, чтобы они включали их в свои стоп-листы.
— Вы также хотели изменить механизм работы с зарубежными доменами.
– Да. Мы подготовили и отправили в Минфин свои предложения, которые предусматривают возможность блокировки доменов, зарегистрированных в иностранных юрисдикциях.
— Финансовая система России серьезно пострадала от атак вирусов Misha и Petya?
— Misha — это модификация того же Petya. Во всей финансовой системе РФ было заражено около 30 машин — это единичные случаи. Банки привыкли работать в условиях имеющейся жесткой среды. Требования к наличию антивирусных механизмов, механизмов обновлений, контроля появились не вчера, а много лет назад.
ЦБ всегда к этому относился внимательно, проверял, реализуются ли меры. Привычка банков нормально следовать этим правилам привела к тому, что когда пошли атаки, их очень быстро выявили и купировали.
Всё новое — хорошо забытое старое. Например, в 1994 году была атака вируса OneHalf. Это такой же шифровальщик, только работал еще в операционной системе MSDOS и распространялся с помощью дискет. На тот момент это была угроза еще серьезнее, чем WannaCry. Но в итоге его научились выявлять и обезвреживать, а потом он просто исчез, потому что сменилась операционная система.