FinCERT: Банк России в тренде информационной безопасности

Банк России, организация весьма солидная и крайне весомая, старается идти в ногу со временем. Это касается и темы Информационной безопасности. Одним из перспективных шагов стало сознание нового структурного подразделения FinCERT. Это весьма логично, ведь в последнее время стали актуальными угрозы, не только внутреннего порядка, но и исходящие от недружественных действий на государственном уровне, включая санкции, открытые и тайные кибервойны. Так под угрозой оказались не только личные сбережения отдельных граждан и компаний, но и информационные ресурсы государственных корпораций.

FinCERT или Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере был создан решением Совета безопасности России для целей борьбы с современными киберугрозами в финансовой сфере. Работу в составе ЦБ РФ FinCERT начал 1 мая 2015 года. Центр займется сбором сведений о кибератаках на банки и их клиентов, а также о возможных киберугрозах. Собранные данные центр намерен рассылать банкам. К работе по созданию Центра привлечены различные силовые структуры - МВД, ФСБ, Федеральная служба по техническому и экспортному контролю (ФСТЭК). Другая задача FinCERT - уменьшить возможность незаконного списания средств с карт граждан.

Важно отметить, что, согласно указанию Банка России № 2831-У «Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств», банки с лета 2012 года уже предоставляют регулятору ежемесячно сведения о выявленных инцидентах при осуществлении перевода денежных средств, в частности в виде кражи (в том числе несостоявшейся).

Но уже в отличие от существующего SOC, который в ЦБ занимается защитой платежной системы Банка России,  FinCERT направлен вовне - на взаимодействие с объектами кредитно-финансовой сферы.

И, нужно сказать, что самая существенная и основная проблема, с которой сталкивается сейчас FinCERT - это доверие со стороны банков, которые пока не горят желанием делиться с центром мониторинга информацией об инцидентах. Оно и понятно, ссор из избы на люди никто выносить не хочет. Об этом говорит сразу несколько фактов. 

Но вернемся к тому, что делает FinCERT. Согласно презентации начальника Управления ГУБиЗИ Дмитрия Фролова, руководителя FinCERT, входящего в состав ГУБиЗИ, созданный и скоро уже как полгода работающий центр мониторинга имеет дело с 4-мя типами инцидентов:

• DDoS-атаки
• Вредоносное ПО
• Мошеннические SMS и звонки
• НСД к конфиденциальной информации.

Но список этот явно не формализованный, так как на презентации прозвучало, что можно даже об уязвимости в ДБО какого-либо банка написать и FinCERT должен посодействовать в устранении дыры. Кстати, как и НКЦКИ ФСБ, FinCERT с физлицами не работает - только с финансовыми организациями.

На первых этапах FinCERT собирает информацию. Делает он это из различных источников - СМИ, банки, мониторинг Интернет, ГосСОПКА (правда, непонятно как). Основной канал получения этих сведений на сегодня - электронная почта. В отличие от GOV-CERT, который явно указывает PGP-ключ для обмена с ним информацией в защищенном режиме, FinCERT использует ничем не защищенный обмен. О возможности применения PGP на форуме говорилось, но о том, что это за ключ и как его получить (а также удостовериться в его подлинности) информации нет.

Интернет-приемная ЦБ для этого малоприспособлена (проблемы те же, что и в GOV-CERT), а транспортные сервисы Банка России (как для 203-й формы отчетности) пока не заработали.

 Планы по автоматизации своей деятельности у Центра весьма большие - остается только верить, что они сбудутся в самой ближайшей перспективе. Так, например, у Банка России в планах стоит интеграция с  банком данных  угроз и уязвимостей ФСТЭК России.

Общая схема работы FinCERT достаточно стандартна для такого рода центров мониторинга и реагирования - они получают информацию, анализируют ее, и на основе анализа готовят оперативные рекомендации пострадавшей стороне, а также рассылают их по остальным присоединившимся к системе информационного обмена организациям. Также предусмотрены и плановые отчеты по инцидентам.

Внутри FinCERT сидят аналитики, которые занимаются анализом получаемой информации об угрозах. Для этого используются как бесплатные (тот же VirusTotal), так и платные (упоминались фиды от Лаборатории Касперского) источники и инструменты.  Единственное, что можно пока сказать, ни о какой стандартизации информационного обмена речи нет - данные об угрозах, а также индикаторы компрометации рассылаются в виде документов PDF или Word.