Сбербанк предложил создать главный центр по борьбе с киберпреступлениями

Сбербанк предложил создать главный центр по борьбе с киберпреступлениями

Сбербанк предложил создать главный центр по борьбе с киберпреступлениями

Сбербанк предлагает создать в России Национальный центр кибербезопасности (НЦК) — главный орган по обеспечению информационной безопасности в стране. Об этом говорится в презентации заместителя председателя правления Сбербанка Станислава Кузнецова (есть у РБК).

Топ-менеджеры трех компаний, работающие в сфере информационной безопасности, подтвердили РБК подлинность документа. По словам собеседников РБК, этот документ Кузнецов представил в понедельник, 28 августа, на установочном заседании центра компетенций по направлению «Информационная безопасность» (создан для реализации госпрограммы «Цифровая экономика»), пишет rbc.ru.

Представитель компании «Лаборатория Касперского» Алина Шляпникова, сотрудники которой присутствовали на встрече с Кузнецовым, сообщила РБК, что на заседании действительно поднимался вопрос создания Национального центра кибербезопасности. «Но это было установочное заседание, и детально это не обсуждалось», — добавила она.

В пресс-службе Сбербанка не ответили на запрос РБК к моменту публикации.

НЦК должен стать ключевой структурой по защите страны в информационном пространстве, следует из представленной в презентации Сбербанка архитектуры национальной системы кибербезопасности. Он будет получать информацию от международных центров безопасности, иностранных центров реагирования на инциденты в сфере информационной безопасности (сomputer emergency response team, CERT), правоохранительных органов и регуляторов.

Согласно предложению банка, НЦК будет куратором всех существующих институтов в сфере информационной безопасности страны. Под его контроль, в частности, должны перейти RU-CERT (создан Российским научно-исследовательским институтом развития общественных сетей), GOV-CERT (создан ФСБ), Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА, c 2013 года создается ФСБ по поручению президента) и отраслевые CERT — например существующий при Центробанке с 2015 года FinCERT (создан для обмена информацией об атаках на финансовые институты). Согласно предложенной банком схеме, аналогичные CERT предполагается создать и для обмена информацией среди предприятий энергетики и телекоммуникаций, чтобы они затем передавали данные в НЦК.

Необходимость создания нового регулятора в банке объясняют низкой эффективностью механизмов борьбы с киберпреступлениями. В презентации Кузнецова приводятся данные из аналитического обзора Следственного департамента МВД за 2016 год: 75% всех уголовных дел в сфере киберпреступности были приостановлены из-за невозможности установить личность преступника. До суда дошли только 7% подобных дел. В документе также отмечается, что российские правоохранительные органы отстают в реагировании на кибератаки, а телеком-операторы не обязаны обеспечивать противодействие кибератакам. В итоге «организациям реально некуда обратиться в случае кибератаки», говорится в презентации. В МВД на момент публикации не ответили на запрос РБК.

В январе 2017 года представитель Центра защиты информации и специальной связи Николай Мурашов заявлял, что только объекты критической информационной инфраструктуры (КИИ) в России, к которым относятся информационные системы госорганов, предприятий оборонной промышленности, транспорта, кредитно-финансовой сферы, энергетики, топливной и атомной промышленности, в 2016 году подверглись атакам около 70 млн раз. Для их защиты 26 июля президентом России Владимиром Путиным был подписан пакет законов «О безопасности КИИ». К 1 января 2018 года, когда закон вступает в силу, их владельцы должны реализовать комплекс мер по защите своей инфраструктуры от хакерских атак, в частности подключиться к ГосСОПКА.

«Президентом еще в 2013 году был издан указ, который определяет структуру ГосСОПКА, и представленная Сбербанком архитектура национальной системы кибербезопасности не отвечает ей в полной мере. Судя по всему, это чье-то предложение по созданию принципиально новой структуры национальной системы кибербезопасности», — сообщил директор по маркетингу компании Solar Security Валентин Крохин, по просьбе РБК ознакомившийся с презентацией Сбербанка.

Два собеседника на рынке информационной безопасности утверждают, что в планах Сбербанка может быть создание НЦК на базе своего дочернего предприятия «Безопасная информационная зона» («БИзон»). Эта компания была создана в 2016 году и, согласно информации на ее официальном сайте, занимается анализом защищенности инфраструктуры банка от кибератак и расследованием инцидентов в этой сфере. Однако собеседник РБК, близкий к Сбербанку утверждает, что ему о таких планах неизвестно: «Подобная структура должна обязательно создаваться на базе органа власти, такого как ФСБ или МВД. Создание НЦК на базе частной компании просто невозможно», — говорит он.

«Идея централизации управления кибербезопасностью поднимается уже не первый раз, но раньше такое предложение касалось преимущественно создания единого регулятора, ответственного за различные аспекты кибербезопасности. Дальше идей дело так и не пошло, что обусловлено наличием различных интересов и задач у существующих сегодня структур — ФСБ, ФСТЭК, Банка России, Минкомсвязи, Роскомнадзора и др.», — говорит независимый эксперт по информационной безопасности Алексей Лукацкий. Он отмечает, что создание единого центра на базе банка, который не имеет достаточных компетенций в промышленности, телекоме, энергетике, здравоохранении и других отраслях экономики, — это «утопия». «Ни в одном крупном государстве нет такой центральной cтруктуры, который бы рапортовали или подчинялись все остальные центры реагирования и мониторинга. Такая схема возможна только на уровне отдельной отрасли, что и используется во всем мире», — говорит Лукацкий.

Так, НЦК существуют в ряде стран, например в США он был создан в 2008 году в качестве подразделения министерства внутренней безопасности США, но занимается только защитой сетей связи правительства страны. В Германии аналогичная структура появилась в 2011 году и подчиняется Федеральному управлению по информационной безопасности. В Великобритании НЦК был создан в 2016 году и является подразделением Центра правительственной связи.

Помимо центров компетенций по направлениям программы «Цифровая экономика», для контроля за ее исполнением будет создана одноименная Автономная некоммерческая организация. Ее учредителями будут Сбербанк, «Ростелеком», «Ростех», «Росатом», фонд «Сколково», «Яндекс», Mail.ru Group, «Яндекс», «Мегафон» и другие крупные организации. Об этом ранее заявлял премьер-министр Дмитрий Медведев.

Собеседник РБК, близкий к одному из учредителей, утверждает, что на пост главы АНО «Цифровая экономика» претендуют два кандидата — заместитель директора направления «Молодые профессионалы» Агентства стратегических инициатив Евгений Ковнир и вице-президент Центра стратегических разработок Владимир Княгинин. Это подтвердила РБК и представитель «Яндекса» Ася Мелкумова. «Насколько нам известно, обсуждаются два кандидата — Евгений Ковнир и Владимир Княгинин. В ближайшее время они представят всем соучредителям свои план, и свое видение в развитии проекта. Решение будут приниматься по итогам этих докладов», — сообщила Мелкумова. Владимир Княгинин от комментариев отказался, Евгений Ковнир не ответил на запрос РБК.

Фишеры атакуют российский авиапром через счета и ставят AnyDesk

Исследователи Seqrite обнаружили фишинговую кампанию против российских аэрокосмических компаний. Схема получилась уже знакомая: письмо якобы со счётом от реальной авиационной организации. Но внутри не бухгалтерия, а удалённый доступ к компьютеру жертвы через AnyDesk.

Атака начинается с письма, отправленного от имени ВНИИР. Домен похож на настоящий, тема про счёт, оформление с логотипом Минпромторга. Для убедительности всё как надо.

Однако фейковый домен зарегистрировали всего за несколько дней до рассылки, а список получателей скрыт, что намекает на массовую отправку.

 

Во вложении лежит запароленный архив. Пароль заботливо указан в тексте письма: пользователю удобно, защитным системам — уже не очень. Внутри находится дроппер, собранный с помощью Smart Install Maker. После запуска он показывает на экране PDF-приманку со счётом, а сам тем временем распаковывает файлы во временную папку и тянет с командного сервера второй архив.

 

В этом наборе — портативный AnyDesk, почтовая утилита Blat, Tray Minimizer и batch-скрипт. Последний делает всю грязную работу: ждёт около минуты, чтобы пережить песочницы, задаёт фиксированный пароль AnyDesk, копирует его в ProgramData и запускает. После этого операторы могут заходить на машину без лишних вопросов и всплывающих просьб.

Затем скрипт упаковывает настройки AnyDesk в защищённый архив и отправляет их злоумышленникам через Blat по SMTP. Для закрепления создаётся задача с кривым названием Auto apdate, а временные файлы удаляются, чтобы расследователям было веселее копаться в следах.

 

Seqrite подозревает связь с группой Rare Werewolf, также известной как Librarian Ghouls и Rezet. Её активность фиксируют как минимум с 2019 года, а среди целей ранее были организации в России, Беларуси и Казахстане, включая аэрокосмический сектор и тяжёлую промышленность.

Главная фишка атаки — минимум экзотики. Вместо редкого вредоноса используются легитимные инструменты: AnyDesk, Blat и переименованный WinRAR.

RSS: Новости на портале Anti-Malware.ru