Банк России серьезно взялся за Анти-фрод и FinCERT

Не смотря на летний сезон и кажущееся затишье, Банк России за последнее время провел достаточной большой объем работ и подготовил ряд инновационных поправок и новых документов относящихся  к обеспечению информационной безопасности. В проектах новых регламентов разработанных совместно с МинФином, предусмотрены существенные изменения затрагивающие действующее положение П-382, а так же ФЗ-161 в рамках противодействия кибератакам и мошенничеству в финансовой сфере с использованием информационных технологий.  Помимо анти-фрод деятельности Банк России так же усиливает влияние ведомственного FinCERT о котором мы уже  ранее писали.

И так, начнем по порядку.

1. Банк России основательно берется за анти-фрод

МинФин совместно с ЦентроБанком разработал проект документа  рекомендаций в области стандартизации Банка России РС БР ИББС-2.Х-20ХХ «Предотвращение переводов денежных средств без согласия клиента (антифрод)» в котором банкам даются полномочия блокировать платежи клиентов, если у них возникнет подозрение, что к платежному процессу причастны хакеры. Осенью этого года, после окончания думских каникул, законопроект должен поступить на рассмотрение.

Ознакомиться с проектом документа модно на официальном сайте ТК122 в разделе документы.

Так же иногда владельцу карты предлагают пройти к банкомату  и совершить какие-то операции якобы в целях проверки работоспособности карты.  Даже если в процессе преступникам и не удастся ничего украсть с карты держателя, то его персональная информация, полученная обманным путем хорошо продается на теневом рынке.

В числе наиболее значимых новаций, которые предлагаются в проекте документа, стоит отметить механизм приостановки платежа. Он активизируется в том случае, если есть существенные подозрения, что банк-отправитель или клиент банка были атакованы хакерами. Денежный перевод в этом случае может быть осуществлен только тогда, когда сам клиент подтвердит его легитимность.

Даже, если в результате хакерской атаки платеж все-таки был отправлен, законопроект предусматривает действия по возврату незаконно выведенных средств.

Как прокомментировал заместитель начальника Главного управления безопасности и защиты информации Банка России Артем Сычев, все нововведения направлены на противодействие мошенничеству в финансовой сфере, часто так же именуемое как Фрод ( англ. fraud — «мошенничество»). 

Рассказывает Артем Сычев: Рассылка SMS-сообщений на мобильные телефоны является самым часто используемой атакой. Пользователь получает стандартное сообщение: "Ваша карта заблокирована", с ней подпись: "Служба безопасности ЦБ" и телефон для обратной связи. При звонке по указанному в сообщении номеру отвечают мошенники, цель которых весьма проста - сбор персональной информации граждан, а именно таких данных как: фамилия, имя, отчество, адрес, паспортные денные, номер банковской карты, PIN-код, CVV-код карты и т.д.

Источник из РБК, сообщает, что МинФин опубликовал на официальном портале размещения документов ряд поправок к ФЗ-161 "О национальной платежной системе"

К примеру, в ст. 9 закона гласит, что банк обязан вернуть средства, если клиент не пропустил срок для оспаривания операции (один день) и если банк не докажет нарушение условий пользования картой. Новые поправки дают банку право приостанавливать на два дня транзакции или блокировать карту, если есть подозрение, что операция совершается без согласия клиента, причем даже при условии, что был введен верный пин-код или использована реальная электронная подпись. При приостановлении операций клиенту направляется запрос, согласен ли он с операцией. Ответ на него и будет определять, проведет ее банк или нет.

2. FinCERT становится обязательным

На сей раз Регулятор занял активную позицию, разработал четкий и обязательный для всех банков регламент кибербезопасности, призванный защитить кредитные организации от хакерских атак. В документе, в частности, вводится обязанность банка в течение трех часов сообщать о готовящейся или свершившейся атаке  FinCERT (Центр мониторинга и реагирования на компьютерные атаки в финансовой сфере, подконтрольный Банку России) . 

Напомним. ранее  отправка данных в  FinCERT носила рекомендательный порядок.

Проект положения "О требованиях к защите информации в платежной системе Банка России"  был опубликован 1 августа на сайте Центробанка. 

Основная новация состоит в том, что ЦБ РФ установил четкую обязанность банков информировать FinCERT о всех выявленных и потенциально готовящихся инцидентах, связанных с нарушением требований к обеспечению защиты информации при переводе средств через платежную систему Банка России, в том числе о несанкционированных переводах денежных средств. Срок информирования определен в течение трех часов с момента инцидента или выявления нарушения доступа к информации. Отправлять сообщения банки обязали на электронную почту fincert@cbr.ru вне зависимости от того, участвует банк в информационном обмене с FinCERT или нет. 

Согласно тексту проекта положения, банки должны обеспечить исполнение укаанных требований не позднее чем к 30 июня 2017 года. "В свете участившихся угроз мы сочли необходимым разработать и обнародовать документ, регламентирующий требования безопасности для всех участников платежной системы",— сообщил собеседник "Ъ"  из ЦБ  РФ.

Теперь тем, кто будет игнорировать данное требование грозит наказание. Как пояснил "Ъ" тот собеседник из ЦБ РФ, меры могут быть применены довольно строгие, вплоть до отключения от системы банковских электронных срочных платежей (БЭСП) в отдельных случаях. В каких именно, конкретно не уточнил. 

"ЦБ может применить к банкам, не исполняющим его нормативные акты, ответственность, прямо предусмотренную ст. 74 закона "О Центральном банке",— пояснил начальник юридического управления СДМ-банка Александр Голубев.— Это может быть и штраф до 1% от размера уставного капитала, и ограничение определенных операций, и др.".

Ряд экспертов еще до выхода документа высказали свое мнение о его неоднозначности . К примеру, эксперты отмечают, что информирование о хакерских атаках по электронной почте в ряде случаев может быть затруднительно. "Полагаю, что сообщение об атаке должно заверяться электронной подписью,— рассуждает гендиректор Digital Security Илья Медведовский.

Кроме того, эксперты предположили, что хакры могут использовать FinCERT в злонамернных целях, так отправляя в FinCERT фейковые сообщения об атаках на банки, на которые ЦБ может среагировать неправомерным отключением от БЭСП подвергшегося атаке банка, а это будет уже прямой репутационный и материальный ущерб. По мнению участников рынка, чтобы исключить подобную возможность, нужен четкий регламент действий регулятора и банка на случай нештатной ситуации. Позднее в  пресс-службе ЦБ сообщили, что четкий порядок действий в случае атаки будет определен "договором информационного обмена" с каждым банком в отдельности.

Ситуацию так же комментирует Артем Сычев:

Собирая информацию в FinCERT, наши специалисты могут способствовать тому, что деньги, которые злоумышленники уже вывели из банка, могут быть оперативно остановлены на стороне банка-получателя. Так же, по итогам нашего взаимодействия с Координационным центром национального домена сети интернет блокируются домены в интернете, на которых расположены ресурсы, представляющие угрозу. Это подделки (фишинг) под сайты кредитных организаций, ресурсы, где размещается недобросовестная реклама финансовых услуг. К примеру. так меньше чем за полгода по нашим обращениям было заблокировано свыше 180 ресурсов.

Задача наших ребят, которые работают в центре,  это анализировать все поступающие данные и выявлять инциденты. Далее обработанные данные обобщаются и уходят участникам информационного обмена в виде бюллетеней. Вся информация обезличена. Из нашей рассылки невозможно почерпнуть информацию, в каком банке что произошло. Мы не создаем репутационные риски для тех, кто с нами делится информацией.

Рекомендации по критериям подозрительности операция так же будут. И их уже готовит ЦБ - сообщили в пресс службе ЦБ ФР.

Отметим, FinCERT в недавнем времени исполнился год. В связи с этим опубликован годовой отчет о деятельности центра, в котором содержится информация о сотрудничестве с кредитными организациями, а так же самых распространенных угрозах и способах противодействия им. С полной версией отчета можно ознакомиться на официальном сайте.

По опубликованным данным в отчете FinCERT, основные типы атак это:

• целенаправленные атаки, связанные с подменой входных данных для АРМ КБР;
• рассылки электронных сообщений, содержащих вредоносное ПО;
• атаки, направленные на устройства самообслуживания;
• DDoS-атаки;
• Reversal-атаки.

Например, с октября 2015 года по март 2016 года FinCERT зафиксировал 21 атаку на инфраструктуру кредитных организаций. При этом злоумышленники предприняли попытки хищения денежных средств клиентов на общую сумму порядка 2,87 млрд рублей. Общими усилиями предотвращено хищение порядка 1,6 млрд рублей.

3. Вектор атак на SWIFT

Как сообщают «Известия», с недавнего времени  хакеры начали атаковать российские банки через систему межбанковских коммуникаций SWIFT. Одновременно данную информацию подтвердили представители компаний, специализирующихся на информационной безопасности. По словам источника «Известий», кибермошенники увели из пострадавших банков около €2 млн. Эксперты уверены, что в дальнейшем ущерб от краж денег через SWIFT будет расти.

Технически схема кибератаки на систему Society for Worldwide Interbank Financial Telecommunications (SWIFT) по своей сути не отличается от атаки на стандартные корсчета банков. Мошенники используют вредоносное ПО для проникновения в корпоративную сеть и дальнейшего взлома АБС кредитной организации (в данном случае — SWIFT). Чаще всего — через рассылку фишинговых писем.  Несколько похожую ситуацию с использованием вредоносного ПО и социальной инженерии мы так же уже описывали в одном из ранее опубликованном материале.

После проникновения идет захват информационной инфраструктуры банка —  злоумышленники начинают управлять АБС банка, им становится доступна информация обо всех операциях банка, частоте и объеме транcакций, остатке по корсчету. Хакеры «сидят» таким образом в сети банка неделю, максимум две. Затем готовятся операции по  выводу (обналичиванию) похищенных средств, формируются фальшивые документы о списании средств с корсчета, заверяемые легальными подписями ответственных лиц банка. Платежные поручения направляются в платежную систему, для которой это легальный платежный документ, поэтому она обязана его исполнить в соответствии с договором и законодательством.

По прогнозам представителя Positive Technologies, кибератак на российские банки через SWIFT в 2016–2017 годах «точно станет больше».