2017/11/16 10:00:28

Политика ЦБ в сфере защиты информации (кибербезопасности)

.

Содержание

Эта статья о политике Центрального банка РФ в сфере защиты информации. Основная статья верхнего уровня: Информационная безопасность в банках

2017

Предложение ЦБ о включении ответственных за ИБ и ИТ в советы директоров публичных компаний

В ноябре 2017 года Центробанк РФ сообщил о планах внести изменения в кодекс корпоративного управления, связанные с кибербезопасностью. Регулятор предложит публичным компаниям добавить в советы директоров компетенции информационной безопасности

Как пишет «Коммерсантъ» со ссылкой на директора департамента корпоративных отношений ЦБ Елену Курицыну, Банк России считает необходимым закрепить стратегическую роль совета директоров публичных акционерных обществ (ПАО) в организации системы управления рисками, связанными с развитием информационных технологий и кибербезопасности.

ЦБ РФ внесет изменения в кодекс корпоративного управления, связанные с кибербезопасностью

Выступая на круглом столе ОЭСР—Россия по корпоративному управлению, который состоялся 15 ноября 2017 года, Курицына отметила, что в свете возрастающих киберрисков советы директоров должны обладать необходимой компетенцией в вопросах ИТ и кибербезопасности, поскольку им предстоит утверждать соответствующие политики компаний и контролировать их исполнение со стороны руководства.

С одной стороны, по ее словам, новые технологии предлагают огромное количество новых возможностей для развития бизнеса, но с другой стороны возникают вопросы кибербезопасности. Киберриски уже реализуются в виде целенаправленных спланированных акций по нападению на те или иные отрасли или компании. Все это требует серьезного вовлечения системы корпоративного управления для того, чтобы отразить эти угрозы должным образом, добавила она.

ЦБ намерен прописать эти нововведения в кодексе корпоративного управления, их обсудят до конца 2017 года. При этом к середине ноября исполнение кодекса является для публичных компаний не обязательным, а рекомендованным. В то же время исполнение части основных положений кодекса является условием включения акций компаний в первый и второй уровень котировального списка Московской биржи. Так что рекомендации по передаче стратегических функций по управлению вопросами в области ИТ и кибербезопасности совету директоров ПАО в будущем могут также оказаться в правилах листинга, отмечает издание.[1]

Аттестаты специалистов по кибербезопасности в финансовой сфере

Уже через два года в России начнут выдавать аттестаты специалистов в области кибербезопасности в финансовой сфере. Об этом 11 октября сообщил изданию «КоммерсантЪ» заместитель начальника главного управления безопасности и защиты информации Банка России Артем Сычев.

По словам Сычева, разработаны квалификационные требования, а также программа по магистерской специальности и по повышению квалификации. «Следующим этапом будет уже квалификационное испытание. Потому что нельзя аттестовать людей, не предложив их сначала обучить», – сообщил Сычев.

В будущем также планируется ввести требование об обязательном наличии аттестатов нового типа для работающих в банках специалистов в области кибербезопасности, однако этого не стоит ожидать в ближайшем будущем. О расширении списка подлежащих аттестации специальностей заявил первый зампред Банка России Сергей Швецов в апреле 2016 года. Помимо специалистов по кибербезопасности, новые аттестаты должны будут получить эксперты по управлению активами и внутреннему контролю.

Сейчас ощущается острая необходимость в обучении и аттестации безопасников, отметил Сычев. Если раньше вся IT-структура банков просто обслуживала их интересы, то теперь на технологии, стоящие между банком и клиентом, может влиять кто-то третий. В связи с этим нужны эксперты, не просто защищающие периметр (таких кадров в настоящее время вполне достаточно). Нужны кадры, понимающие сам принцип работы технологии и способные определить, как на нее можно повлиять извне и что делать в таком случае.

Как пояснил Сычев, обучение специалистов будет проводиться в трех наиболее популярных направлениях – методология, технология и юриспруденция в кибербезопасности. Правда, кто будет обучать новые кадры и выдавать аттестаты, пока неизвестно. В настоящее время аттестацией специалистов финансовой сферы занимаются 11 организаций, получивших аккредитацию Банка России. Возможно, квалифицировать экспертов по кибербезопасности в финансовой сфере будет ФСТЭК, однако этот вопрос еще окончательно не решен.

Возврат похищенных с банковских счетов денежных средств

В конце сентября 2017 года Банк России и Министерство финансов РФ заявили о намерении упростить для клиентов банков возврат денежных средств в тех случаях, когда деньги уже списаны со счета и поступили на счет банка, но еще не были переведены на счета злоумышленников, передают «Ведомости».[2]

Поправки к законопроекту о противодействии хищению денежных средств, направленному в Госдуму в конце мая 2017 года, разрешили банковским клиентам не доказывать свою правоту в суде. В предыдущей редакции поправки предусматривали, что факт списания средств должен установить суд. В частности, клиентам, чьи средства были списаны без их согласия и заблокированы, предлагалось в течение 14 дней предоставить банку соответствующее решение арбитражного суда. В противном случае банк должен был провести платеж.

По словам представителя Банк России, предложенный ЦБ и Минфином механизм затронет, в основном, юридические лица. В случае списания средств со счета компании без ее согласия, банк, на корреспондентский счет которого поступили деньги, может приостановить их зачисление на счет получателя на срок до пяти дней. Если же получатель не предоставит документы, подтверждающие обоснованность перевода средств (копии договоров, накладных, счета-фактуры и т.д.), деньги вернутся на счет компании.

Что касается физлиц, то процедура возмещения сумм, неправомерно списанных со счета, прописана в законе о национальной платежной системе, уточнил представитель ЦБ.

Тем не менее, всё еще остается нерешенной проблема возврата денежных средств, уже перечисленных на счет получателя. Возвратить или заблокировать данные средства на длительный срок без решения суда банки не вправе. Однако к моменту получения разрешения злоумышленники могут благополучно вывести средства со счета.

Минимальная сумма ущерба от кибератак для отчётности

Банк России установит минимальную сумму ущерба от кибератак, которую банки обязаны отражать в своей отчетности. Нововведение появится в 2018 году вместе с новой формой отчетности.

С 2013 года все финансовые организации ежемесячно сдают в ЦБ отчеты о проблемах, возникших при переводе денег клиентов. В отчете фиксируются все подобные случаи: кражи данных пластиковой карты при оплате счета в ресторане или случаи скимминга (когда злоумышленники устанавливают на банкоматы специальные считывающие устройства, а затем похищают деньги). Банки подают отчет в виде таблицы, в которой отражены сам факт инцидента со способом нанесения ущерба, его дата, оператор платежной системы, последствия нарушения, предпринятые действия по их устранению, а также факт обращения в правоохранительные органы. Если нарушений нет, во всех соответствующих графах проставляют нули.

Но с 2018 года ЦБ планирует изменить форму этой отчетности, обязав банки раскрывать экономические показатели, связанные с кибератаками. Таким образом, через год банки будут передавать регулятору только суммы, на которые хакеры покушались в отчетный период, объем хищений со счетов клиентов и информацию о средствах, возвращенных гражданам[3].

Ужесточение требований

14 сентября 2017 года стало известно об ужесточении Банком России требований к информационной безопасности (ИБ) кредитных организаций. Последние должны будут пересмотреть взаимодействие со сторонними компаниями, нанятыми для обеспечения киберзащиты.

Как пишет «Коммерсантъ», в сентябре 2017 года на общественное обсуждение вывесили проект документа Банка России «Управление риском нарушения информационной безопасности на аутсорсинге», в котором регулятор указывает на риски для информационной безопасности банка от привлечения аутсорсеров и выдвигает требования по их минимизации.

Здание ЦБ

В ЦБ сообщают, что риски от привлечения сторонних организаций в том, что можно выбрать поставщика, не обладающего нужными знаниями или ресурсами, а также в том, что сам банк может слабо контролировать его действия. Результатом некачественной работы аутсорсеров может стать появление уязвимости в системе информзащиты банка и даже хищения средств кредитной организации, указывает регулятор. Стандарт вступит в силу уже с 1 января 2018 года.

Банк России требует от банков разработать политику взаимодействия с аутсорсером, то есть четко определить перечень услуг сторонней компании и список функций, которые осуществляет сам банк, а также необходимо четко разделить и обозначить сферы ответственности банка и сторонней организации.

При передаче существенных функций ЦБ требует от банков проводить периодический мониторинг возможности реализации риска нарушения информбезопасности, а также степень тяжести последствий от реализации риска нарушения информбезопасности (которая напрямую зависит от сумм операций по переводу денег, остатков на корсчетах и т. д.). Банкам, признанным ЦБ системно значимыми, регулятор рекомендует о планах передачи определенных функций на аутсорсинг заблаговременно ставить в известность FinCert.[4]

Блокировка мошеннических сайтов

Банк России и Минкомсвязи работают над изменениями в закон «Об информации, информационных технологиях и о защите информации», которые позволят противодействовать мошенническим ресурсам в сети интернет более эффективно.

Предполагается наделить Банк России правом принимать решение о включении ресурсов в единый реестр запрещенных сайтов. Таким образом, в Рунете появится новый вид запрещенной информации — информация, использующаяся для мошенничеств на финансовом рынке. Например, в ряде случаев финансовые организации, которые лишились лицензии, продолжают через интернет предлагать «заем до зарплаты».

Банк России на основе соглашений с компетентными организациями инициирует блокировку в российском сегменте интернета мошеннических ресурсов, относящихся к сфере финансовых рынков и национальной платежной системе, — подтвердили в пресс-службе ЦБ. — На данный момент снято с делегирования порядка 400 доменов.

Сайты, созданные для мошенничества на финансовом рынке, будут блокироваться. Экспертизу подобных ресурсов будет проводить Центральный банк России. Об этом говорится в Стратегии государственной политики в области защиты прав потребителей.

Смотрите также Фишинг

Требования безопасности платежей в интернете

Банк России предложил в сентябре 2017 года расширить список требований к защите информации при переводе денежных средств в интернете. Соответствующий проект поправок в положение ЦБ размещен на портале раскрытия проектов нормативно-правовых актов.

В частности, требования необходимо повысить для операторов по переводам денежных средств, которые должны обеспечить безопасность проведения операций в интернете.

«Оператор по переводу денежных средств на основании заявления клиента… определяет ограничения по параметрам операций, которые могут осуществляться клиентом с использованием системы интернет-банкинга», — говорится в документе.

Операторам необходимо повысить безопасность с помощью определенных технологических мер, которые обеспечивают идентификацию клиента, аутентификацию его электронных сообщений при переводе средств и возможность контролировать реквизиты.

Также поправки регулируют возможность оператора подтверждать право клиента на проведение операции или устанавливать ограничения, среди которых: максимальная сумма перевода, перечень возможных получателей денежных средств, время совершения операции, географическое местоположение устройств, с помощью которых клиенты проводят операции.

Операторы должны сообщать в Центробанк случаи выявления инцидентов, а также «о планируемых мероприятиях по раскрытию информации об инцидентах».

 

Кроме того, поправки устанавливают необходимость и обязанность операторов ежегодно тестировать системы на проникновение угроз информационной безопасности.

Изменения предлагается внести в положение Банка России от 9 июня 2012 года № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»[5].

Стандарты по аутсорсингу кибербезопасности

Банк России разработал стандарты по аутсорсингу кибербезопасности. Согласно им банки при отсутствии потенциала, необходимого для самостоятельной разработки и апгрейда систем кибербезопасности, должны передать эти функции сторонней компании, специализирующейся на борьбе с хакерами, то есть на аутсорсинг.

Привлеченная компания может в срок до шести недель помочь банку выстроить систему кибербезопасности, а затем на постоянной основе мониторить атаки хакеров, контролировать защиту в круглосуточном режиме и обучать персонал.

Ранее замначальника главного управления безопасности и защиты информации ЦБ Артем Сычев заявил, что «для небольших и средних банков вопросы, связанные с кибербезопасностью и IT в целом, весьма недешевые и сложные», поэтому необходимо развивать аутсорсинг информбезопасности. Сейчас подобные услуги на рынке оказывают 30 компаний.

Как следует из стандарта ЦБ, банки могут выбрать три модели взаимодействия с аутсорсерами: долговременное, среднесрочное и кратковременное сотрудничество. В первом случае сторонняя компания занимается мониторингом кибератак на банк и реагированием на них. Во втором аутсорсер привлекается банком, чтобы выполнить для него проект по информбезопасности — например, построить собственный центр мониторинга и реагирования на киберугрозы. Третья модель подразумевает, что банк привлекает компанию на время, когда возрастает уровень киберрисков.

Услуги аутсорсинговых компаний могут быть базовыми, расширенными и премиальными. В первом случае компания работает в режиме 8х5, во втором и третьем — 24х7. Время обнаружения критически опасных кибератак в рамках базового пакета составляет до 30 минут, в рамках расширенного — до 20 минут, в рамках премиального — до 10 минут. Анализ ситуации займет 45 минут, 30 минут и 20 минут соответственно, а время выдачи рекомендаций по устранению инцидента — 2 часа, 1,5 часа и 45 минут.

Руководитель направления аутсорсинга ИБ центра информбезопасности компании «Инфосистемы джет» Екатерина Сюртукова отметила, что по сравнению с базовым пакетом стоимость расширенного выше в 1,2-1,5 раза, а стоимость премиального – в 1,5–1,7 раза. За базовый пакет небольшим банкам придется заплатить 250 тыс. рублей в месяц, а крупным — до 2,5 млн[6].

База биометрических данных клиентов банков

Основная статья Единая биометрическая система (ЕБС) данных клиентов банков

Система обмена информацией о кибератаках на банки

Центральный Банк продолжает усиливать меры по борьбе с киберпреступностью, выступая координатором этой деятельности в кредитно-финансовой отрасли. Разработка мер реализуется через рабочую группу, в которую входят представители ЦБ, ФСБ, ФСТЭК, Минкомсвязи, Минфина и Росфинмониторинга. Технические задачи в рамках этой деятельности возложены на «ФинСерт». Очередной задачей стала разработка платформы для автоматизации и ускорения информационного обмена между заинтересованными госструктурами и банковской системой в целях повышения уровня кибербезопасности, сообщила газета "Коммерсант" в июле 2017 года.

Платформа представляет собой онлайн-ресурс, который позволит участникам системы обмениваться информацией через личные кабинеты в новом формате.

« Сейчас мы даем рассылки, фактически текстовой файл с определенными индикаторами,— пояснил заместитель начальника Главного управления безопасности и защиты информации ЦБ Артем Сычев.— Хотим выйти на новый формат обмена, который позволит кредитным организациям эти признаки компрометации в автоматизированном режиме грузить в свои системы обнаружения »

По его словам, фактически речь идет об аналоге международного сервиса Virus Total (позволяет проверить файлы на наличие вредоносного ПО «с использованием большого количества антивирусных движков»). Кроме того, платформа будет содержать сервисы по разбору критических ситуаций.

Техническое проектирование системы начнется в августе 2017, а запуск платформы намечен на конец 2017 года. К середине 2018 года, как ожидается, она заработает в полном объеме.

Отчет о суммах, похищенных хакерами, объем хищений со счетов клиентов, а также объемы средств, возвращенных гражданам, финансовые организации будут передавать в Центробанк. Как отмечает регулятор, из докладов также исключили технические данные, из-за которых возник тот или иной инцидент. Ожидается, что с помощью нововведения повысится достоверность предоставляемой информации о кибератаках, а также кредитные организации обратят больше внимания на обеспечение информационной безопасности.

Ежегодные пентесты банковского ПО

Банк России разработал проект указания о внесении изменений в Положение «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».

Согласно документу, операторы по переводу денежных средств будут обязаны использовать ПО, сертифицированное на соответствие требованиям по безопасности информации. То есть, банки и платежные системы смогут использовать только программы, прошедшие проверку на наличие уязвимостей и недекларированных возможностей в соответствии с требованиями Федеральной службы по техническому и экспортному контролю или требованиями к оценочному уровню доверия не ниже чем ОУД 4 в соответствии с ГОСТ Р ИСО/МЭК 15408-3-2013.

Анализ уязвимостей в ПО должны проводить организации, имеющие лицензию на осуществление деятельности по технической защите конфиденциальной информации. Тестирование на проникновение и анализ уязвимостей должно проводиться ежегодно. Указание вступает в силу с 1 июля 2018 года.

Госстандарт защиты информации для банков ГОСТ Р 57580.1-2017

В России утвержден в августе 2017 года ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый набор организационных и технических мер». Национальный стандарт будет введен с 1 января 2018 года согласно приказу Росстандарта от 8 августа 2017 года.

Согласно документу, к планированию, реализации, контролю и совершенствованию процесса защиты данных в банках необходимо подходить комплексно. Стандарт описывает требования к организации всех основных процессов защиты информации, в том числе меры по предотвращению утечек и нарушения целостности информационной инфраструктуры, а также по защите от атак с использованием вредоносного ПО.

Предписания по защите информации при осуществлении операций через мобильные устройства указаны отдельным пунктом. Кроме того, стандарт описывает требования по обеспечению безопасности данных на всех этапах жизненного цикла используемых в финорганизациях автоматизированных систем и приложений.

Как сообщает «Коммерсантъ», новым ГОСТом вводится обязательная сертификация средств защиты информации для всех компаний финансового рынка. Участники рынка считают, что требование тотальной сертификации невыполнимо из-за его дороговизны и особенностей российской IT-индустрии[7].

Основное требование ГОСТа – все технические меры защиты информации должны иметь сертификат соответствия стандартам Федеральной службы по техническому и экспортному контролю (ФСТЭК). Так, финансовым организациям, которым присвоен минимальный, третий уровень защиты информации, необходимо будет обеспечить наличие ПО, сертифицированного не ниже 6-го класса (показатель защищенности от несанкционированного доступа к информации), у компаний второго уровня должны применяться решения не ниже 5-го класса, а организации первого уровня должны работать с системными разработками не ниже 4-го класса.

Также вводится дифференцированный подход при определении уровня защиты информации, которые Банк России будет присваивать для каждой поднадзорной организации. Всего уровней будет три — минимальный, стандартный и усиленный. Присваиваться они будут в зависимости от вида деятельности, состава реализуемых бизнес- и технологических процессов, объема финансовых операций и других факторов.

Контроль за безопасностью в финсекторе

В 2017 году ЦБ РФ проведет более 100 проверок систем дистанционного банковского обслуживания (ДБО), а также утвердит стандарты кибербезопасности для участников биржевого рынка и создаст центр безопасности для средних и малых банков. Ужесточение требований в сфере информационной безопасности (ИБ) должно основываться на анализе угроз, иначе оно может привести к тому, что банковские сервисы станут менее удобными.

Центральный банк России намерен усилить контроль за безопасностью совершения платежных операций в российских банках. С этой целью в 2017 году он организует более 100 проверок систем дистанционного банковского обслуживания (ДБО), сообщает РБК со ссылкой на заместителя начальника главного управления безопасности и защиты информации Центробанка РФ Артема Сычева. По его словам, первые проверки уже были проведены в феврале 2017 года.

Банки, результаты проверки которых окажутся неудовлетворительными, должны будут либо увеличить капитал, либо доначислить резервы на величину существующего операционного риска в размере среднесуточного остатка по корреспондентскому счету. Точная информация о том, какая из этих мер будет принята, должна появиться в середине 2017 года[8].


Система документооборота в банках складывается из двух частей - автоматизированной банковской системы (АБС) и автоматизированного рабочего места клиента Банка России (АРМ КБР). В АБС обрабатываются платежные поручения клиентов и формируются реестры платежей. В АРМ КБР поступающие реестры шифруются и отправляются в ЦБ РФ. Поскольку и АБС, и АРМ КЦБ надежно защищены (по крайней мере, в теории), единственное уязвимое место системы – это канал передачи данных между АБС и АРМ КЦБ.

По мнению банков, строгое следование инструкции (а именно использование для обмена информацией не корпоративных серверов, а защищенных съемных носителей) не оставляет хакерам лазеек для подмены настоящих данных фиктивными. Со своей стороны ЦБ РФ полагает, что при таком положении дел усилия киберпреступников будут сосредоточены на попытках взломать АБС. Если их попытки увенчаются успехом, то отследить подмену настоящих данных фиктивными на уровне АБС не представляется возможным. А шифрование банковских данных, к которым получат доступ хакеры, с помощью более совершенного аналога вируса WannaCry может полностью парализовать работу конкретной кредитной организации.

Единая стратегия информационной безопасности банков

Ассоциация российских банков (АРБ) в феврале 2017 года обратилась в ЦБ РФ с просьбой разработать единую стратегию развития информационной безопасности кредитно-финансовых организаций. Об этом рассказал на IX Уральском форуме «Информационная безопасность финансовой сферы» глава АРБ Гарегин Тосунян.

Он отметил, что ответственность подразделений информационной безопасности банков регулируется примерно 130 документами, включающими около 50 федеральных законов, 20 указов президента и постановлений правительства, 15 актов федеральных органов исполнительной власти, 25 нормативных актов Банка России, 20 стандартов и нормативных документов международных и российских платежных систем.

Глава АРБ считает, что назрела необходимость в упорядочении этих документов и в создании единого отраслевого документа по информационной безопасности, позволяющего кредитно-финансовым организациям оперативно реагировать на постоянно возникающие новые вызовы.

« Все эти документы не очень сопрягаются друг с другом, это создает проблему. Создание единого документа снизит вероятность возникновения коллизий, - заявил Гарегин Тосунян. »

Гарегин Тосунян из АРБ считает, что назрела необходимость в едином документе по развитию информационной безопасности в банковской сфере

Для наиболее эффективного использования потенциала банковского сообщества при подготовке стратегии необходимо привлечь к участию все заинтересованные организации и предложить Банку России возглавить этот процесс в качестве межведомственного координатора, полагают в АРБ.

Тосунян напомнил, что еще не менее десятка нормативных актов ЦБ по информационной безопасности вступят в силу в 2017-2018 годах.

Заместитель начальника главного управления безопасности и защиты информации Банка России Артем Сычев на этом же форуме рассказал, что количество кибератак на коммерческие банки и граждан в России с каждым годом увеличивается, но результативность этих атак снижается[9].

« Тренд на увеличение количества атак есть, он остается и продолжает, к сожалению, наращиваться. С другой стороны, есть хорошая новость. Хорошая новость заключается в том, что результативность таких атак далеко не всегда оказывается положительной, - сказал он. »

Сычев отметил, что в 2016 году количество DDoS-атак увеличилось почти в два раза. Количество рассылок, содержащих вредоносное программное обеспечение, увеличивается практически с каждым месяцем, заявил представитель Банка России. При этом зафиксированные в конце 2016 года - начале 2017 года DDoS-атаки существенного ущерба банкам не принесли: они доставляли неприятности, но не носили критический характер и не нарушили ни одного сервиса. Регулятор отмечает также рост в геометрической прогрессии количества рассылок мошеннических СМС-сообщений.

Артем Сычев добавил, что рынок недавно столкнулся с новым видом атак, когда используется интернет вещей.

« Для безопасников. это значит, что в один прекрасный момент масса телевизоров, которые установлены в домах граждан, будет неожиданно обрушиваться на нашу сеть, и мы ничего с этим сделать не сможем, - отметил Сычев. »

Изменения подхода к проведению платежей для борьбы с хакерами

Как пишет «Коммерсантъ», ЦБ РФ разослал руководителям ИТ-отделов банков письмо, в котором попросил до 10 февраля оценить, в какие сроки они могут внедрить шифрование платежей, направляемых в платежную систему регулятора, на уровне автоматизированной банковской системы (АБС)[10].

АБС банка, поясняет газета, — это аппаратно-программный комплекс, который состоит из множества компьютеров, объединенных в единый защищенный контур, где обрабатываются платежные поручения и формируются реестры платежей. Сформированные в АБС реестры поступают в АРМ КБР (автоматизированное рабочее место клиента Банка России) — специальный компьютер в банке в отдельном защищенном контуре, с которого уходят платежи в ЦБ.

Внедрение систем шифрования в АБС банка, пояснили в пресс-службе Центробанка газете, позволит защищать данные на более раннем этапе, «усложнит для злоумышленников условия атак и снизит уровень хищений». Мера, как отметили в регуляторе, предлагается на основе анализа фактов хищений у коммерческих банков и учитывает мировой опыт и современные тенденции. «Именно такая практика применяется почти во всех крупных платежных системах», — подчеркнула пресс-служба Банка России.

Мера ЦБ призвана ввести шифрование платежей на более раннем этапе. Как объяснил аналитик центра мониторинга и противодействия кибератакам Solar JSOC Алексей Павлов, банки нарушают рекомендации ЦБ, касающиеся полной изолированности АРМ КБР от остальной сети банка и переноса данных с использованием защищенных съемных носителей. При отправке реестров часто используется промежуточная папка на файловом сервере корпоративной сети банка, и именно в этом месте хакеры подменяют файл с реестрами, в результате чего в АРМ КБР приходят уже частично или полностью фиктивные данные, которые шифруются и уходят в ЦБ. Фиктивный платеж в зашифрованном виде выявить невозможно, однако если шифровать реестры сразу в АБС, то подменить их по пути к АРМ КБР будет невозможно.

В банках «Коммерсанту» рассказали, что оценивают сроки и возможную стоимость внедрения новации. Павлов сообщил, что банку придется проводить масштабное обновление в техническом отношении. Решения под ключ не соответствуют всем требованиям законодательства о криптозащите, необходимо подключать специалистов, имеющих специальную лицензию ФСБ и минимум год времени на внедрение, отметил специалист по криптозащите в одной из крупных фирм. В результате новация обойдется банку в несколько миллионов рублей. ЦБ обсуждает с участниками рынка сроки внедрения систем шифрования «с целью определения комфортного переходного периода», отметили в регуляторе.

Как пишет газета, банкиры негативно относятся к идее ЦБ и официально комментировать ее не хотят. АБС — это сотни компьютеров, которым потребуется дополнительная защита, говорит руководитель ИТ-департамента банка из топ-100. Специалист по ИТ из банка из топ-50 добавляет, что будет утеряна возможность дополнительного контроля: сейчас банк может сверить реестры, выгруженные в АБС, с попавшими в АРМ КБР и выявить фиктивный, а при шифровании в АБС такой возможности не будет. Представитель крупного банка подчеркнул, что ЦБ уже потребовал от банков к 30 июня текущего года усилить меры безопасности на участке АРМ КБР, что сопряжено с расходами, однако теперь меняет подход.

2016

Блокировка сайтов с вредоносным контентом

Интернет-сайты с вредоносным контентом, относящимся к сфере финансовых рынков и национальной платежной системе, будут блокироваться на основе данных, полученных от Центробанка. Об этом сообщило ТАСС[11].

Такие действия предусмотрены в соглашении между Банком России и Координационным центром национального домена интернета – администратором национальных доменов верхнего уровня «.рф» и «.ru».

ЦБ получил статус компетентной организации, наделенной правом выявлять сайты-нарушители, которые распространяют вредоносные программы, ресурсы с противоправным содержанием, фишинговые сайты, и предоставлять эти сведения координационному центру и аккредитованным регистраторам доменных имен для блокировки таких ресурсов.

Кроме того, Банк России призвал граждан информировать регулятора о недобросовестных сайтах, находящихся в отечественном доменном пространстве.

Контроль интернет-банкинга

В декабре 2016 года стало известно, что Банк России проведет масштабную проверку безопасности онлайн-банкинга. Регулятор проверит степень защищенности платежных онлайн-сервисов и мобильных приложений от киберугроз. После проверки ЦБ намерен взять данную сферу под контроль и сертифицировать дистанционные сервисы на соответствие требованиям информационной безопасности.

Подробнее: Безопасная система ДБО

Лаборатория киберзащиты банков

31 октября 2016 года стало известно о планах Центробанка создать лабораторию для защиты банков от киберугроз. Лабораторию предполагается создать в структуре самого ЦБ — на базе Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (FinCERT).

Регулятор собирается оснастить кредитные организации технологиями по предотвращению киберугроз. ЦБ планирует создать лабораторию, изучающую технологии и последствия компьютерных атак.

Лабораторию предполагается создать в структуре самого ЦБ — на базе Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере. Прототипом исследовательского центра может стать действующий в Малайзии аналог[12]. В реализации могут принять участие правоохранительные органы и кредитные организации[13].

Network operations center, (2016)

Специалисты лаборатории станут изучать способы и последствия компьютерных угроз, включая атаки на банкоматы, POS-терминалы и устройства самообслуживания. Сотрудники ЦБ будут анализировать мошеннические интернет-ресурсы, мобильные устройства. Эта структура будет помогать кредитно-финансовым организациям корректно снимать и опечатывать передаваемые на исследование объекты. Центробанк со своей стороны займется подготовкой описания средств и методов атак на устройства самообслуживания, рекомендаций по противодействию атакам на устройства самообслуживания.

Точных сроков создания лаборатории, как и ее названия, не заявлено. Согласно «Известиям», в Банке России идет разработка плана запуска лаборатории и «дорожной карты», утверждение которой запланировано на конец 2016 года.

Рекомендации Банка России по защите от утечек информации

В апреле 2016 года Банк России опубликовал для организаций банковской системы рекомендации по обеспечению информационной безопасности (ИБ) в части предотвращения утечек информации. Документ (скачать PDF) вступает в силу с 1 июня 2016 года. Банк России отмечает, что такие рекомендации вводятся впервые. Применять их банковские организации могут на добровольной основе, указывается в документе.

Рекомендации охватывают только случаи утечки информации в результате действия работников банковской организации или лиц, обладающих легальным доступом к информации или в помещения, где осуществляется обработка информации. При этом на организации банковской системы, осуществляющие обработку информации с использованием облачных технологий или передавшие ее на аутсорсинг сторонней организации, рекомендации не распространяются.

Банк России поясняет, что выполнение представленных рекомендаций обеспечивает снижение рисков утечки информации путем мониторинга и контроля информационных потоков. Вместе с тем, в документе не рассматриваются рекомендации, выполнение которых косвенно влияет на снижение рисков утечки информации: например, по обеспечению защиты от воздействия вредоносного кода, межсетевому экранированию и разделению вычислительных сетей, к проведению аудитов ИБ, к организации логического доступа.

Рекомендации для банков по борьбе с утечками информации через сотрудников ЦБ выпустил впервые

В числе мер, способствующих снижению рисков утечки информации, Банк России предлагает финансовым организациям установить и документировать классификацию обрабатываемой информации. Рекомендуется выделить как минимум два класса – «информация конфиденциального характера» и «открытая информация». Классификацию рекомендуется проводить на основе оценивания степени тяжести последствий для организации от возможных утечек информации конфиденциального характера, говорится в документе.

Организациям также рекомендуется документировать и обеспечить выполнение идентификации и учета всех информационных активов информации конфиденциального характера и объектов среды информационных активов. В этом пункте подробно рассматривается состав правил идентификации и учета информационных активов и объектов среды информационных активов, типы информационных активов и объектов, подлежащих идентификации и учету, набор учетных данных, которые необходимо хранить и др. Для учета и идентификации информационных активов и средств вычислительной техники рекомендуется использовать средства автоматизации.

Банк России рекомендует определить категории возможных внутренних нарушителей и потенциальных каналов утечки информации, состав процессов их мониторинга и контроля, обеспечить реализацию процессов системы менеджмента информационной безопасности и др.

Один из подпунктов рекомендаций, достаточно обширный, охватывает автоматизацию процессов мониторинга и контроля потенциальных каналов утечки информации организации. Советов по выбору конкретных технических решений здесь не содержится, за исключением пункта о централизованном управлении и мониторинге использования мобильных устройств сотрудниками организации. Здесь в пример приводятся возможные к использованию решения, такие как XenMobile, MobileIron, SAP Afaria, IBM Endpoint Manager.

2013

16 рекомендаций по безопасности онлайн-платежей

5 августа 2013 года было опубликовано письмо Банка России № 146-Т, содержащее ряд рекомендаций кредитным организациям по повышению безопасности предоставления розничных платежных услуг в Интернете.

Рынок интернет платежей наряду с рынком электронной коммерции еще несколько лет назад существовал в «параллельной реальности» относительно российского финансового рынка, Центробанка и изменений российского законодательства. Однако ежегодный рост рынка e-commerce более чем на четверть и возрастающий интерес россиян к безналичным платежам в Интернете и использованию банковских карт в целом изменили ситуацию.

В Письме № 146-Т ряд пунктов описывает стандартные функции системы fraud-мониторинга организации, занимающейся обеспечением безопасности платежей. Актуализировать механизмы системы fraud-мониторинга рекомендуется не реже, чем раз в два года, а при появлении новых факторов риска и внесении кардинальных изменений в систему защиту информации – своевременно и оперативно адаптировать под них систему анализа рисков.

Для повышения уровня безопасности платежей в Интернете и снижения риска возникновения мошеннических операций рекомендуется использовать многофакторную аутентификацию плательщика. Как поясняют составители Письма, к факторам аутентификации относятся «обладание предметом или устройством (например, персональным идентификатором), знание определенной информации (например, пароля), обладание определенными постоянными неотъемлемыми свойствами (например, отпечатками пальцев)».

В тех же целях рекомендуется использовать динамическую аутентификацию клиента - аутентификацию, при которой на одном из этапов используется пароль с ограниченным сроком действия и ограничением на число использований. Рекомендации по подтверждению платежных операций с помощью одноразовых паролей, доставляемых клиенту по альтернативному каналу связи, соответствуют формату работы XML-протокола 3-D Secure (3D-Secure) и практике международных платежных систем: Verified by Visa, MasterCard SecureCode и J/Secure. Также внимание уделяется важности использования механизмов мониторинга платежей, в том числе в целях анализа рисков. В качестве критериев мониторинга указаны частота, сумма, место совершения и получатель платежа.

Все рекомендации по обеспечению безопасности предоставления розничных платежей должны учитываться как при передаче функций оператора по переводу денежных средств на аутсорсинг, так и при составлении договоров с субагентами, предоставляющими электронные средства платежа, позволяющие получить розничные платежные услуги через Интернет.

И, конечно же, значительное внимание в Письме уделяется мерам повышения грамотности физических лиц – плательщиков. Операторам по переводу розничных средств рекомендуется информировать клиентов о возможной приостановке получения услуг, о неудачных попытках получения доступа к ним, о возможности управления лимитами на совершение платежей через Интернет. Данные рекомендации направлены на повышение уровня доверия населения к безналичным формам денежных средств и мотивации к их активному использованию. Один из инструментов популяризации безналичных денежных операций среди населения - это возможность страхования рисков плательщика.

Таким образом, Письмо № 146-Т – это сборник базовых рекомендаций по повышению уровня безопасности при предоставлении розничных платежных услуг через Интернет, направленных как на развитие систем управления рисками и защиты информации на стороне операторов по переводу денежных средств, так и на повышение грамотности и информированности пользователей розничных платежных услуг в Интернете.

Смотрите также

Примечания

  1. Директора кибербезопасности
  2. Центробанк РФ и Минфин упростят возврат украденных у клиентов банков средств
  3. Как сообщает газета «Известия» со ссылкой на пресс-службу ЦБ, «вопросы, касающиеся новой формы отчетности, находятся в стадии проработки».
  4. ЦБ видит риск на стороне
  5. По материалам Банка России, RNS
  6. По материалам газеты «Известия»
  7. Финансовая защита по ГОСТу
  8. Банк России усилит контроль за безопасностью в финсекторе
  9. В ЦБ рассказали о росте числа кибератак на банки и граждан
  10. ЦБ шифруется от хакеров
  11. ЦБ поможет блокировать сайты с вредоносным контентом
  12. Аdroit Data Recovery Centre (ADRC) — центр восстановления данных в Юго-Восточной Азии. Компания заключила контракты с министерствами и международными коммерческими банками. Клиенты компании действуют в Индонезии, Таиланде, Гонконге, Китае, Японии, США, Европе. Организация занимается восстановлением паролей, операционных систем, утерянных данных с флэш-носителей, ноутбуков, жестких дисков, RAID, NAS. В центре работает подразделение компьютерной криминалистики
  13. ЦБ вооружит банки защитой против хакеров