АРХИВ. Последнее обновление 27.03.2020. Актуальная информация доступна на обновленной версии сайта Банка России.

Прозрачные банки

Зампред Банка России Дмитрий Скобелкин — об атаках хакеров на банки и граждан

Банки сами возмещают клиентам основную часть похищенных хакерами денег, следует из впервые собранной статистики. Об этом сообщил зампред Банка России Дмитрий Скобелкин, курирующий Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ). В интервью «РГ» он также рассказал о том, как работает новый закон о блокировке подозрительных платежей.

— Дмитрий Германович, сколько попыток похитить деньги со счетов совершается в день?

— В среднем к нам приходит по 200-300 уведомлений о несанкционированных операциях, и это число постепенно растет. Абсолютное большинство несанкционированных операций оказываются безрезультатными. При этом мы предполагаем, после внедрения автоматической загрузки данных об инцидентах в систему «Фид-Антифрод» количество уведомлений о несанкционированных операциях увеличится. Сейчас прототип этого сервиса тестируется уже многими банками. Благодаря «Фид-Антифрод», все банки смогут оперативно получать доступ к информации о счетах, через которые мошенники пытались вывести деньги, и в случае необходимости блокировать операции по этим счетам, то есть сохранять деньги своих клиентов.

— В прошлом году ЦБ ввел для банков отчетность по похищенным со счетов клиентов деньгам, которые банки должны возмещать, а уже потом выяснять, виноват ли в этом сам клиент. Что оказалось — реально ли получить у банка такое возмещение?

— Да, мы впервые собрали данные по объему средств, возмещаемых банками в рамках 9-й статьи Закона «О национальной платежной системе» (возмещение обязательно, если клиент сообщил банку об исчезновении денег не позже, чем на следующий день, и сам не передавал мошенникам информацию, которая сделала возможной кражу денег. — Прим. ред.). И это сразу показало, что эта статья работает: за третий квартал 2018 года банки возместили клиентам свыше 230 миллионов рублей.

— Как тогда относиться к тому, что крупные банки активно предлагают, если не сказать навязывают страховки денег на картах? Или все же лучше заплатить 1,5-2 тысячи рублей в год и спать спокойно?

— Такая страховка — это, конечно, индивидуальное решение клиента. При этом следует понимать, что если клиент никому не отдавал данные карты, исполнял все обязанности по договору с банком, то банк обязан возместить ему похищенное.

Только за три месяца банки возместили клиентам 230 миллионов рублей, похищенных хакерами. Это те случаи, когда клиенты вовремя сообщили о хищениях

Банки должны проводить постоянный мониторинг несанкционированных операций, а если они не уследили за злоумышленниками и те получили доступ к счету клиента, то закон, как мы видели, довольно эффективно защищает потребителя. Тем более мы категорически против навязывания услуг. Если клиенты сталкиваются с таким навязыванием, они могут жаловаться в ЦБ.

— Закон об остановке подозрительных платежей работает уже четыре месяца. Есть ли массовые жалобы от клиентов на необоснованные блокировки?

— Опасения действительно были, но жалобы можно пересчитать по пальцам одной руки. Конечно, могут быть ложные срабатывания — например, вы никогда не пользовались переводом через смс, а тут вдруг решили попробовать, причем хотите сразу перевести очень большую сумму — есть вероятность, что операция будет остановлена, потому что это нетипичные для конкретного клиента транзакции. Но банки в таких случаях обязаны оперативно связаться с клиентом, и если он все подтверждает, то операция будет сразу проведена.

Это может приносить неудобства, зато риск, что кто-то уведет деньги с карты, снижается в разы. Без усилий систему противодействия кибератакам построить просто невозможно.

— Каждый день мошенники атакуют людей звонками и сообщениями — то якобы от мобильного оператора, то от службы безопасности банка, то еще как-то. При этом мошенники могут в разговоре упоминать персональные данные, например, имя, данные паспорта, что позволяет им проще войти в доверие. Неужели этот поток никак не остановить? Или это не сфера ответственности ЦБ?

— Частично это сфера ответственности Банка России. Такие звонки и рассылки возможны помимо прочего и потому, что мошенники выуживают у людей персональные данные через фишинговые сайты. Банк России рассчитывает получить полномочия по их внесудебной блокировке. Соответствующий законопроект Госдума уже приняла в первом чтении. Важно также, что Банк России сможет обращаться в суд для защиты интересов граждан. Отсутствие такого права нам сильно мешает: сейчас в суд могут обращаться только пострадавшие, а Банк России не является пострадавшей стороной. Но нам необходимо защищать интересы тех, кто уже стал или может стать жертвой мошенников.

Ежедневно в Банк России приходит по 200-300 уведомлений о несанкционированных операциях, абсолютное большинство попыток хищений безрезультатны.

— Большинство этих фишинговых сайтов — зарубежные?

— Место расположения хостинг-провайдера вообще особой роли не играет, управление рассылками и вредоносным ПО может вестись из любой страны. Ведь если сайт зарегистрирован в зарубежной юрисдикции, с его помощью проще обходить наши законы и обманывать людей.

Вообще, этот «бизнес» международный — дропперы (через которые выводятся похищаемые деньги. — Прим. ред.) могут быть где угодно, где — это не принципиально.

— Сколько счетов дропперов уже в базе Банка России? И что с ними происходит — они блокируются?

— Банки активно начали обмен информацией о фактах несанкционированных переводов. Закон требует от банка повышенного внимания к счетам, на которые были переведены эти деньги или должны были быть переведены, но были вовремя остановлены. Бывают случаи, когда счета используются злоумышленниками без ведома их владельцев, поэтому у таких «засвеченных» счетов повышенный уровень риска, но это не значит, что они окончательно блокируются.

— Теперь на ФинЦЕРТ Банка России завязан не только обмен данными об атаках между банками, но и взаимодействие между ними, чтобы мошенники не успели обналичить выведенные в другой банк деньги. Когда он перейдет на круглосуточный режим работы?

— Ориентировочно — c 1 марта, возможно, и раньше. В ФинЦЕРТ формируется дежурная служба, она будет работать в режиме 24/7.

— Несмотря на то, что в ЦБ идут большие сокращения?

— Мы считаем направление информационной безопасности одним из приоритетных для финансовой системы страны, будем его только укреплять.

— Последние массовые атаки в ноябре и январе приписываются группе Silence. Чем они завершились?

— Убытками для мошенников, которые потратили ресурсы на организацию атак, при этом на сегодняшний день (конец января. — Прим. ред.) денег получить им так и не удалось.

— Ноябрьская рассылка Silence шла от имени ЦБ. А сам ЦБ подвергается атакам?

— В декабре мы видели активные рассылки вируса-шифровальщика Troldesh, они направлялись в том числе и в адрес руководства Банка России, но безрезультатно.

Полный отчет о несанкционированных операциях за 2018 год мы представим на Уральском форуме «Информационная безопасность финансовой сферы».

— Какие тенденции в активности кибермошенников могут получить развитие в ближайшее время?

— Самым популярным методом останется социальная инженерия (звонки, спам-рассылки). Как показывает жизнь, чаще всего люди теряют деньги из-за собственной доверчивости и неосмотрительности. Причем на уловки мошенников клюют не только клиенты банков, но и сами сотрудники кредитных организаций, когда они, например, открывают приходящие по электронной почте письма с вредоносами, переходят по вредоносным ссылкам. Я считаю, что банки и другие финансовые организации должны активнее работать над повышением финансовой грамотности своих клиентов, предупреждать их о возможных угрозах и методах мошенничества.

Что касается компьютерных атак на банки, то их количество и качество, вероятно, сохранится практически на прежнем уровне. Здесь надо обратить внимание на два основных вектора — целевые фишинговые рассылки троянских программ по электронной почте и взлом популярных сайтов для последующего распространения вредоносного ПО. Отдельные злоумышленники и их группы будут продолжать прямые атаки на банкоматы с использованием аппаратных средств (blackbox и т.п.), это потенциально менее выгодный способ, но и менее сложный. Поэтому наша задача как регулятора и задача самих банков — продолжать держать руку на пульсе, не только оперативно реагировать на инциденты, но и создавать условия для того, чтобы по возможности не допускать совершения этих инцидентов.

— В Госдуме находится законопроект об обмене данными между операторами мобильной связи и банками о владельцах телефонных номеров. Зачем он нужен?

— Мы добиваемся, чтобы все банки имели равный доступ к информации, которая есть у операторов, раз речь идет о безопасности — мобильный телефон ведь становится фактически универсальным средством идентификации личности.

Законопроект даcт возможность банкам проверять, что номер телефона, с которого совершается операция, действительно принадлежит владельцу счета.

— Банк России в прошлом году создал систему обмена данными о хакерах в Евразийском экономическом союзе (ЕАЭС). Есть ли уже конкретные результаты от этого?

— Есть, мы каждый день взаимодействуем. Кстати, пока это единственный прецедент, когда центральные банки не просто договорились о сотрудничестве в области информационной безопасности, а перешли к практическим шагам.

Например, в Армении произошел инцидент, коллеги моментально вышли на связь, мы им технически помогли, а заодно предупредили своих поднадзорных. Помогали коллегам из Белоруссии и Казахстана, они вовремя смогли предотвратить атаки на свои банки.

— Вы планируете обмениваться данными о киберугрозах с другими странами, например, с Китаем?

— Мы намерены заключить такие же соглашения, как в рамках ЕАЭС, с центральными банками Италии, Франции, ряда других стран Европы, с Китаем.

Через ФинЦЕРТ Банк России уже участвует в двух лидирующих международных организациях в сфере информационной безопасности — Forum of Incident Response and Security Teams (FIRST) и European ATM Security Team — Expert Group on ATM Fraud (EAST EGAF). Через них мы получаем оперативную информацию об атаках на иностранные банки, банкоматы и так далее, чтобы предупреждать наши банки о новых угрозах.

Кстати, в декабре 2018 года ФинЦЕРТ (FinCERT) получил официальное разрешение на использование акронима CERТ. Это означает его международное признание как группы реагирования на компьютерные инциденты.

Автор: Игорь Зубков

Российская газета, 12.02.2019

× Закрыть