ЦБ назвал основные угрозы в кредитно-финансовой сфере

Российской финансовой системе угрожают не только санкции США. Центробанку и коммерческим банкам приходится активно бороться со стремительным ростом все более изощренных хакерских атак.

Так, заместитель председателя Банка России Руслан Вестеровский назвал основные современные угрозы в кредитно-финансовой сфере. Туда, помимо прочих, вошли дефицит квалифицированных специалистов в сфере информационной безопасности (ИБ) и рост количества кибератак.

«Важно посмотреть на угрозы, которые есть. Это угрозы кибератак в целом и количество потерь, которые компании и экономика теряют. Цифра по миру порядка одного триллиона долларов в год. Компании более требовательны к специалистам и заинтересованы в тех, кто прошел специальное обучение и уже получил практический опыт», — рассказал он.

По его словам, наблюдается острый дефицит квалифицированных специалистов в сфере информационной безопасности, а также быстрая смена квалифицированных требований к специалистам, обеспечивающим ИБ.

«Вроде бы прошел университет, бакалавриат, четыре года, магистратуру, и все уже поменялось настолько, что все, чему ты учился все эти годы, уже не очень актуально», — отметил Вестеровский.

Он подчеркнул, что сейчас необходимо вводить дополнительное профессиональное обучение специалистов.

В 2017 году хакеры украли у российских банков примерно 1,156 млрд рублей. Это произошло благодаря проведению 11 успешных атак с помощью вируса Cobalt Strike, заявил зампред ЦБ Дмитрий Скобелкин.

По его словам, всего в прошлом году зарегистрировано не менее 21 попытки таких нападений. «Атакам подверглись более 240 кредитных организаций, успешных атак было 11», — сообщил он.

Впервые такая атака в России была зафиксирована в июне 2016 года. Сначала хакерская группировка Cobalt, на счету которой не менее 50 успешных атак на банки по всему миру, только опустошала банкоматы с помощью программы, отправлявшей команду на выдачу наличных. Потом мошенники стали атаковать вирусом уже и другие инструменты — карточный процессинг, платежные системы и даже SWIFT.

Вирус загружается всегда через электронную почту жертвы. Мошенники отправляют фишинговые письма якобы от имени госрегуляторов, производителей банкоматов или партнерских банков. После открытия писем активируется вирус, и хакеры через внутреннюю сеть банка получают доступ к банкоматам или к SWIFT.

Общие данные за 2017 год в ЦБ пока не раскрыли. Однако число киберпреступлений однозначно растет, и главное — они становятся все более изощренными. С 2013 по 2016 годы количество киберпреступлений увеличилось в шесть раз, с 11 до 66 тыс., говорил в ноябре прошлого года генпрокурор Юрий Чайка. В 2016 году суммарные потери российских банков и их клиентов от кибератак составили 2 млрд рублей, говорил замначальника главного управления безопасности и защиты информации Банка России Артем Сычев.

В целом, по его словам, российские банки подвергаются кибератакам два–три раза в неделю. Только с банковских карт россиян мошенники похитили в 2016-м 650 млн рублей, а в 2017 году этот показатель, по экспертным оценкам, мог вырасти на четверть — до 750 млн рублей.

«Количество кибератак на финансовые организации постоянно увеличивается. В 2013 году в российском банковском секторе была активна только группировка Carbanak, в 2016-м — Carbanak и Lazarus, а в 2017-м мы наблюдали атаки уже от трех крупных APT-групп — Carbanak, Lazarus и Silence. К счастью, большинство российских банков хорошо защищены, поэтому стандартные массовые атаки крайне редко позволяют злоумышленникам добиться цели», — отмечает ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов.

Однако киберпреступники тоже не стоят на месте и развиваются. В 2017 году в России были впервые зафиксированы атаки на международную систему банковских расчетов SWIFT — основополагающий компонент финансовой экосистемы.

«Мы уже более двух лет наблюдаем, как злоумышленники целенаправленно атакуют SWIFT. Ранее пострадали банки более чем в 10 странах мира. А в прошлом году комплексная целевая атака впервые была зафиксирована в России. Здесь использовались совершенно новые техники и образцы вредоносного ПО, позволившие в итоге осуществить несанкционированные переводы через систему SWIFT», — рассказывает Голованов.

Первым пострадавшим российским банком, у которого мошенники вывели деньги через SWIFT, оказался «Глобэкс» («дочка» ВЭБа), из которого хакеры вывели сумму, эквивалентную 1 млн долларов.

Также в 2017 году эксперты «Лаборатории Касперского» обнаружили вредоносное ПО для кражи денег из банкоматов, свободно продающееся в Даркнете.

«Зловред Cutlet Maker дает злоумышленникам возможность опустошить банкомат, если они получают физический доступ к устройству. Создатели Cutlet Maker предоставляли не только готовый набор инструментов, но и пошаговую инструкцию к нему. Таким образом, совершить преступление мог даже самый неопытный злоумышленник», — объясняет собеседник.

И еще одно важное событие прошлого года. В конце октября «Лаборатория Касперского» обнаружила новую целевую атаку на финансовые организации России, Армении и Малайзии.

«За свою незаметность и скрытность атака получила название Silence (»Тишина»). Злоумышленники использовали легитимные администраторские инструменты, чтобы оставаться незамеченными. Это усложняет как обнаружение атаки, так и атрибуцию угрозы», — рассказывает ведущий антивирусный эксперт «Лаборатории Касперского».

«Определить, кто стоит за кибератаками, крайне сложно. Более того, преступники намерено добавляют ложные метки, чтобы запутать исследователей, — рассказывает Голованов. — В большинстве случаев существуют только детали, косвенно указывающие на языковую или национальную принадлежность авторов. Предположительно, за группировками Silence и Carbanak скрываются русскоговорящие злоумышленники, а за атаками Lazarus — люди, говорящие на корейском языке».

Еще одна распространенная схема кибермошенничества: банки отправляют платежи в ЦБ большими партиями — реестрами, в которые мошенники внедряют свой фиктивный платежный документ. Так фальшивка попадает в платежную систему ЦБ, и через нее деньги уходят на сотни карточных счетов, а мошенники спокойно снимают наличные через банкоматы.

Поэтому так важен контроль не только в самих банках, но и со стороны Центробанка. И регулятор создает отдельный департамент информационной безопасности, который будет отвечать за противодействие хакерским атакам на российские банки, рассказал Скобелкин. Данный департамент также будет ответственен за поддержание обмена данными о совершенных кибератаках между участниками финансового рынка страны и Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы России (ГосСОПКА). Еще в прошлом году в России вступил в силу закон о предоставлении информации о кибернападениях в ГосСОПКА.

Информационный межбанковский обмен крайне важен, но в нем должны участвовать все банки. Банки уже с 2013 года предоставляют в ЦБ сведения о суммах потерь от кибератак. Однако регулятор собирается потребовать от банков более подробной информации — у кого именно пытались украсть (у банка, компании или физлица), удалось это сделать или нет, как именно действовали преступники и т. д. Это должно помочь улучшить меры защиты.

Банки уделяют большое внимание обеспечению информационной безопасности.

«Выстраивается эффективная система защиты с несколькими уровнями — чем их больше, тем меньше шансов у киберпреступников провести успешную атаку», — говорит Сергей Головин.

В «Лаборатории Касперского» ранее проводили исследование и выяснили, что банки тратят на кибербезопасность в три раза больше, чем остальные, нефинансовые, компании. Но эти инвестиции во многом оправданны. Ведь лучше предотвратить атаку и вернуть украденные деньги. День простоя из-за кибератаки может обойтись банку в 50 млн рублей — в такую сумму оценили потери 30% российских кредитных организаций, опрошенных Positive Technologies в ходе исследования «Сколько стоит безопасность» (остальные банки оценили ущерб в меньшие суммы, начиная от полумиллиона и более). Еще столько же требуется на восстановление корпоративной инфраструктуры после вывода из строя всех ресурсов домена.