Токен 2SDnje9xsSQ

ФинЦЕРТ по заявкам. Как Банк России усиливает кибербезопасность в финансовом секторе

Премия Securitymedia
ФинЦЕРТ по заявкам. Как Банк России усиливает кибербезопасность в финансовом секторе
ФинЦЕРТ по заявкам. Как Банк России усиливает кибербезопасность в финансовом секторе
03.04.2023

Центр взаимодействия и реагирования Департамента ИБ Центробанка (FinCERT, ФинЦЕРТ) открылся в 2015 году. С тех пор спецподразделение помогает участникам финансового рынка оперативно реагировать на угрозы информационной безопасности, обмениваться опытом и минимизировать потери.

Весной 2023 года ФинЦЕРТ Банка России заявил о новых правилах работы с банками. Что изменилось, какие задачи решает спецподразделение сейчас и чего от него ожидать в будущем – рассказываем в этой статье.

Чем занимается ФинЦЕРТ Банка России

FinCERT на базе Департамента информационной безопасности ЦБ открылся 1 июня 2015 года. В название нового подразделения вошло общепринятое сокращение CERT – computer emergency response team (группа реагирования на компьютерные инциденты).

ФинЦЕРТ Банка России – это структура, которая занимается мониторингом событий ИБ на финансовом рынке и их анализом, делится полученной информацией с компаниями, а также взаимодействует с правоохранительными органами. Но главное – подразделение выстраивает эффективный обмен данными между финансовыми компаниями, организациями правопорядка и ИТ-компаниями (провайдерами, операторами связи, разработчиками антивирусного и другого ПО).

Проще говоря, организации оповещают регулятора об инцидентах, уязвимостях ПО и угрозах, с которыми им пришлось столкнуться. В свою очередь FinCERT дает рекомендации по противодействию рискам и передает информацию другим участникам обмена.

АСОИ ФинЦЕРТ – что это такое?

Чтобы сообщить о событии или угрозе в Центр взаимодействия и реагирования Центробанка, нужно подключиться к автоматизированной системе обработки инцидентов (АСОИ ФинЦЕРТ). Сделать это могут все участники финансового рынка и компании, предоставляющие им услуги или ПО в части ИБ.

На текущий момент во взаимодействии с FinCERT участвуют более тысячи организаций. Все они подключены к автоматизированной системе. Часть участников обмена пользуется личными кабинетами. Другие организации передают информацию через программный интерфейс ФинЦЕРТ API. Банки, к примеру, чаще используют второй вариант.

АСОИ ФинЦЕРТ – главный канал передачи данных об инцидентах в ЦБ. Другие способы допускаются, но только в экстренных случаях – если нет интернета или возможности войти в личный кабинет.

Работа по новым правилам

В марте 2023 года стало известно, что Банк России начинает собирать больше информации о злоумышленниках. Теперь кредитно-финансовые организации будут передавать регулятору дополнительные данные о всех участниках сомнительных переводов. Раньше они сообщали только о получателях.

Требование вошло в новую редакцию стандарта правил информационного обмена о кибератаках и инцидентах ИБ в финансовой сфере (СТО БР БФБО-1.5-2023). Документ вступает в силу 1 октября 2023 года. Изменения нужны в рамках ФЗ о взаимодействии Центробанка и МВД, который будет действовать с 21 числа того же месяца.

Евгений Баклушин

Руководитель направления аудитов и соответствия требованиям ИБ компании УЦСБ

Основное назначение таких структур, как ФинЦЕРТ Банка России, – это противодействие киберинцидентам, в том числе благодаря обмену опытом о мошеннических операциях. Этот обмен не нацелен на «тушение пожаров», а работает на опережение.

Как это происходит? Банк «А» направляет в ФинЦЕРТ информацию о мошеннических операциях и о тех мерах, которые он предпринял для борьбы с этим киберинцидентом. Далее ФинЦЕРТ анализирует, какие банки могут попасть под такую же атаку (по различным показателям: схожая ИТ-инфраструктура, пакет услуг, бонусы и т.д.) и направляет им информацию о возможных мошеннических операциях и методах борьбы с ними. Банк «Б» следует инструкции и заранее предпринимает меры, чтобы не допустить наступление инцидента у себя.

Что именно делать с данными о всех участниках мошеннических переводов, решать банкам. Возможно, что в будущем они договорятся о каких-то общих санкциях, полагают эксперты.

Дмитрий Овчинников

Главный специалист отдела комплексных систем защиты информации компании «Газинформсервис»

Схема кражи денег проста. Они перемещаются следующим образом: счет жертвы – счет дроппера – счет для вывода денег – иностранный счет.

Чтобы снизить объемы потерь денег у клиентов, крайне важно как можно раньше пресекать вывод на иностранные счета. И чем сложнее будет проворачивать эту схему, тем меньшие объемы мошенничества будут совершены. Отсюда следует, что идеальный расклад – это блокировать переводы на всех счетах дропперов или счетах вывода денег.


Однако, напоминает Дмитрий Овчинников, этого решения нет в новых правилах, потому что оно выходит за рамки полномочий Центробанка. Его следует прорабатывать с банками отдельно, так как нужно учитывать интересы всех заинтересованных лиц.

Чем ФинЦЕРТ займется в будущем

По прогнозам экспертов, в ближайшие пять лет спецподразделение Банка России будет актуализировать существующие регламенты и усиливать техническую базу. В частности, доработок требует АСОИ ФинЦЕРТ.

Евгений Царев

Управляющий RTM Group, эксперт в области кибербезопасности и права в ИТ

Изменений стоит ожидать в части автоматизации сбора сведений. До сих пор часть информации передается в неструктурированном виде, что замедляет ее обработку. Хотя скорость здесь особенно важна – при хищениях денежных средств счет идет на часы. 

Также эксперты считают, что ФинЦЕРТ Банка России в будущем может объединить свои усилия с регуляторами стран СНГ и ближнего зарубежья. Это позволит существенно повысить информационную безопасность банков и увеличить процент возврата денежных средств, похищенных мошенниками.

Евгений Баклушин

Руководитель направления аудитов и соответствия требованиям ИБ компании УЦСБ

Как говорится, разведсводки на стол не кладут, но наверняка стоит ожидать активное включение ФинЦЕРТ в международное сотрудничество по противодействию мошенническим операциям. Например, с Национальным центром мониторинга кибербезопасности Республики Беларусь в рамках Союзного государства. С ним уже ведется совместная работа по многим направлениям.

По мнению Евгения Баклушина, ФинЦЕРТ Банка России может также наладить взаимодействие с аналогичными центрами стран-участников ШОС и БРИКС. Логика понятна: чтобы вместе строить устойчивую экономику, государствам придется совместно противостоять киберугрозам и мошенничеству.

Выводы

Взаимодействие с ФинЦЕРТ Банка России для организаций – дело добровольное. Но это не помешало ему стать единой платформой для обмена данными о событиях ИБ в финансовой сфере страны.

С каждым годом роль ФинЦЕРТ в борьбе с киберугрозами растет. А вместе с этим крепнет и доверие банков к регулятору. Во всяком случае, так считают эксперты.


Комментарии 0