Центробанк накажет банки за низкий уровень кибербезопасности

Причиной для такой меры стало то, что некоторые российские банки используют кибератаки для сокрытия финансовых преступлений по выводу денег клиентов. К этому выводу пришли аналитики Банка России, которые совместно с МВД провели экономический анализ хакерских атак. По словам первого зампреда ЦБ Георгия Лунтовского, в четвертом квартале 2015 года в результате выявленных правонарушений в сфере информационной безопасности было похищено более 1,5 миллиарда рублей со счетов клиентов кредитно-финансовых организаций. Иногда банки теряли весь дневной остаток корреспондентского счета, а иногда весь свой капитал. В этот же период лишились лицензии три банка, которые ранее подверглись кибератакам. "С августа прошлого года мы наблюдаем значительную активизацию криминалитета именно в этой области. Естественно, нас тревожит эта ситуация", - заявил Георгий Лунтовский.

Случаи кибератак ставят под угрозу финансовую устойчивость банков. С начала 2016 года совместными усилиями ЦБ, МВД и банковского сообщества удалось предотвратить хищения на сумму более полумиллиарда рублей.

Эксперты по информационной безопасности считают, что опасения ЦБ не беспочвенны, и участие самих банков в успешных кибератаках не стоит сбрасывать со счетов. "Задача киберпреступников проникнуть в информационную систему банка упрощается, если внутри есть сотрудник с правами доступа к внутренним системам, у которого есть цель вывести деньги, - объяснил директор центра компетенций по информационной безопасности компании "Техносерв" Дмитрий Огородников. - При этом замаскировать свои действия внутреннему сотруднику технически проще - нужно лишь запустить специально разработанное ПО в системе не от своего имени". Как в реальной жизни преступники заметают следы, сжигая или уничтожая улики своих преступлений, так и в киберпространстве все больше применяются подобные, но виртуальные методы.

Это могут быть массированные DDoS атаки на информационные системы для отвода глаз. "И пока все силы брошены на отражение этих атак, злоумышленники спокойно проникают в целевые системы и выводят из них информацию или денежные средства, - заметил руководитель проектов по информационной безопасности компании КРОК Павел Луцик. - Или, например, в целевую систему доставляется вредонос, который сначала выводит денежные средства наружу, а затем уничтожает все данные, включая логи, по которым можно было бы восстановить картину событий". При этом определить, кто и как занес в банковскую систему зловред, достаточно сложно.

Так было в случае с взломом трейдинговой системы Энергобанка. Из-за хакерской атаки на банк 27 февраля прошлого года курс американской валюты на Московской бирже "прыгнул" на 5 долларов, в результате кредитная организация потеряла почти 250 миллионов рублей. По словам первого зампреда Центробанка Сергея Швецова, к этой атаке мог быть причастен бывший сотрудник банка. "Таким образом, он мстил за свое увольнение. Было проведено масштабное расследование, но того, кто бы получил от этой атаки прибыль, так и не нашли", - рассказал Сергей Швецов.

Еще одним ярким примером атаки на банковский сектор России является "Операция Buhtrap", которая длилась более года. В результате атаки на ПК загружалось банковское шпионское ПО, которое отслеживало и передавало на удаленный сервер нажатие клавиш (кейлоггер) и содержимое буфера обмена.

Эксперты уверены, что в большинстве случаев причастности самих банков к хищениям и выводам средств с помощью кибератак, никакого внешнего вмешательства в работу ИТ-систем не происходит. "Это очевидные риски, ведь хакеры-исполнители могут продать информацию конкурентам или начать шантажировать заказчика, - считает руководитель Zecurion Analytics Владимир Ульянов. - В то же время для более правдоподобной инсценировки теоретически возможен сговор с киберпреступниками". При этом владельцы банка могут передавать всю ключевую информацию вплоть до логинов и паролей. Хакерам остается просто аккуратно подключиться и сделать то, что от них просят, перевести деньги на какие-нибудь офшорные счета или внедрить специальную программу, которая будет переводить деньги в будущем.

Проблема еще и в том, что далеко не все банки четко соблюдают меры безопасности. "Если речь идет о целевых атаках, то для их осуществления применяются комплексные меры и технологии атаки, отразить которые очень сложно, - отметила консультант по безопасности Check Point Software Technologies Виктория Носова. - Поэтому есть вероятность, что пострадавшие банки, на которые ссылается Центробанк, имели устаревшую защиту или уязвимости в сети, поэтому и стали жертвами атак".

Чтобы решить эту проблему, в прошлом году был создан специальный центр мониторинга ИБ под эгидой Банка России - FinCERT, в задачи которого входит информирование банков о произошедших инцидентах и способах отражения атак. В то же время банки, являясь участниками этого центра, должны информировать Банк России о выявленных инцидентах ИБ или атаках. Правда, этого механизма может быть недостаточно. "Для предотвращения "самоатак" основное усилие нужно делать на разделении полномочий и ответственности подразделений банка, - считает Владимир Ульянов. - Независимая служба ИБ должна усложнить реализацию подобных атак".

Для клиентов банков главным остается вопрос возврата средств. Согласно Закону "О национальной платежной системе", банки в случае кражи средств должны возместить убытки своим клиентам. Однако если банк оказался банкротом, то клиенты получат только застрахованную сумму от вклада, если вклад вообще был застрахован. Важно, что закон не выделяет в отдельную категорию киберкражи.

"Вкладчики банка в любом случае вправе претендовать на возвращение своих средств, поскольку банк отвечает за их сохранность, - подтвердил руководитель юридического департамента АКБ Ланта Банка Дмитрий Шевченко. - Но бывают случаи, когда клиент сам виноват в хищении денежных средств со счета. Например, безрассудно переданный постороннему лицу пин-код или вирус на компьютере клиента позволяет скомпрометировать счет, и вины банка в этом нет, так как за сохранность паролей и средств защиты в таких случаях отвечает клиент". Российским пользователям действительно свойственно фаталистическое отношение к защите электронных платежей. Так, по данным антивирусной компании ESET, 14 процентов российских пользователей не используют защитные программы на устройстве, с которого совершаются банковские операции, и 35 процентов - авторизуются в сервисах дистанционного банковского обслуживания (ДБО) с любых девайсов, что также угрожает безопасности.

Законодательство и в этом случае определяет зону ответственности банка. "Он обязан информировать клиента о каждой совершенной операции с использованием электронного средства платежа, - пояснил Дмитрий Шевченко. - Невыполнение этой обязанности является основанием для взыскания с банка убытков в размере проведенной операции, даже если клиент сам проявил халатность". Таким образом, если хищение средств со счета клиента произошло по вине банка из-за несовершенства его систем информационной безопасности, то банк отвечает за причиненные убытки. При вине самого клиента ответственность банка наступает только при ненадлежащем выполнении им своих обязанностей по информированию клиента о проведенной транзакции.

В минувшие выходные пользователи компьютеров Macintosh столкнулись с вирусом-вымогателем. Он блокирует все данные и программы в операционной системе до тех пор, пока владелец зараженного компьютера крупно не раскошелится.

"Злоумышленники внедрились в легальную программу KeRanger, вставив в версию 2.90 свой код. Он шифрует файлы и требует выкуп, чтобы снова открыть к ним доступ", - заявили в компании Palo Alto Threat Intelligence (занимается разработкой антивирусного программного обеспечения), которая первой обнаружила вирус. Компания, выпускающая программу KeRanger, посоветовала срочно обновить свою программу до версии 2.92. Между прочим, выкуп для возобновления работы на пораженной этим "трояном" машине немаленький. Он составляет примерно 400 долларов. Можно купить новый ноутбук.

По словам специалистов, обычно аналогичные вредоносные программы разрабатываются для операционной системы Windows. Сам вирус на базе KeRanger распространяет себя через торрент-сайты, откуда пользователи скачивают фильмы или музыку. В плане вирусов "торренты" - это серьезная угроза для вашего компьютера. Трафик тут большой, и "рынок" для злоумышленников здесь привлекательный, именно сюда внедряются подобные "черви" и "трояны" типа KeRanger. Как пояснил в разговоре с "РГ" главный редактор издания TelecomDaily Денис Кусков, в этом конкретном случае под угрозой оказываются персональные стационарные компьютеры, вирус мало затрагивает смартфоны. Механизм нового компьютерного вируса на первый взгляд прост: любые программы и данные под управлением операционной системы OS кодируются, и с ними невозможно работать , их дешифровка без оплаты через эту вредоносную программу невозможна.

Но можно ли обезопасить себя от такого сюрприза? Да, частично. Надо лишь соблюдать "информационную гигиену". По словам Дениса Кускова, "как человек несколько раз в день моет руки и соблюдает гигиену, также должна соблюдаться и информационная гигиена в Сети". Для этого эксперт советует не читать электронные письма от незнакомых адресов, заходить только на сайты, в которых можно быть уверенным. Но что важнее, необходимо ставить антивирусные программы и постоянно их обновлять. "Но как и в жизни, уберечься всех вирусов на 100 процентов вряд ли возможно. Ведь в сфере IT технология электронных правонарушений всегда опережает меры реагирования", - сетует собеседник. Он также советует дублировать хотя бы раз в неделю на внешний носитель всю информацию, хранящуюся на винчестере, то есть жестом диске компьютера.

Подготовил Ярослав Николаев

Инфографика РГ/Михаил Шипов/Юлия Воронина