ЦБ передумал закрывать глаза на мелкие кибератаки

ЦБ передумал закрывать глаза на мелкие кибератаки

Со следующего года банки ежеквартально будут отчитываться перед Центробанком обо всех кибератаках, включая инциденты, связанные с небольшими суммами. Об этом «Известиям» рассказал источник, близкий к ЦБ. Информацию подтвердили два участника банковского рынка, знакомых с ситуацией.

По словам близкого к ЦБ источника, регулятор передумал устанавливать минимальную сумму ущерба от кибератак, которую банки должны отражать в своей отчетности. Ранее обсуждался именно такой формат. По логике регулятора, незафиксированные в отчетах кибератаки на мелкие суммы могут привести к большим потерям в будущем. Эксперты согласились с этим и поддержали новую позицию ЦБ. По их словам, отражение в отчетности всех кибератак на любые суммы позволит воссоздать максимально объективную картину, пишет iz.ru.

С 2013 года все финансовые организации ежемесячно сдают в Центробанк отчеты о проблемах, возникших при переводе денег клиентов. С помощью «Сведений о выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств» Банк России аккумулирует статистику по киберпреступлениям. В документах, которые банки направляют в ЦБ сейчас, должны фиксироваться все подобные случаи: к примеру, кражи данных пластиковой карты при оплате счета в ресторане или случаи скимминга (когда злоумышленники устанавливают на банкоматы специальные считывающие устройства, а затем похищают деньги).

Финансовые организации предоставляют ЦБ таблицу, в которой отражены сам факт инцидента со способом нанесения ущерба, его дата, оператор платежной системы, последствия нарушения, предпринятые действия по их устранению, а также факт обращения в правоохранительные органы. Если нарушений нет, во всех соответствующих графах проставляют нули.

Но с 2018 года ЦБ планирует изменить форму этой отчетности, обязав банки раскрывать экономические показатели, связанные с кибератаками. Таким образом, через год финансовые организации будут передавать регулятору только суммы, на которые хакеры покушались в отчетный период, объем хищений со счетов клиентов и информацию о средствах, возвращенных гражданам.

Модернизируя отчетность, регулятор сначала решил установить минимальную сумму размера инцидента, отражаемого в отчетах, — для сбора только статистически значимых данных и снижения затрат банков на анализ и учет незначительных инцидентов, но затем передумал.

— Незафиксированные в отчетах кибератаки на мелкие суммы могут привести к большим потерям в будущем, поэтому ЦБ решил, что банки ежеквартально будут отчитываться обо всех инцидентах, в том числе на небольшие суммы, — пояснил источник.

По словам банкиров, знакомых с ситуацией, новые требования к банкам начнут предъявлять в 2018 году. В пресс-службе ЦБ сообщили, что «вопросы, касающиеся новой формы отчетности, находятся в стадии проработки».

— Если установить даже небольшой порог попадания инцидентов в отчет, понимание характера киберугроз может сильно измениться, — считает руководитель аналитического центра Zecurion Владимир Ульянов. — В отчетности должны быть отражены все данные обо всех инцидентах, а дальше уже регулятор решит, как данные обрабатывать и представлять. Мелкие суммы — это тоже статистически значимые данные. Количество инцидентов, в том числе с небольшими суммами списаний, важно для выявления тенденций и актуальных векторов атак. Обладая полной картиной по инцидентам, несложно исключить из статистики те, которые не удовлетворяют определенным критериям. А вот добавить их уже не получится, если банки не сообщат о некоторых списаниях.

По мнению Владимира Ульянова, для банков отправка полной статистики не будет намного более обременительной, чем с порогом вхождения. А если есть существенная разница — это как раз сигнал о том, что профиль угроз сильно изменяется при введении фильтров, подчеркнул эксперт.

Зампред Локо-банка Андрей Люшин согласен, что игнорирование небольших сумм довольно часто приводило к существенному снижению оценки масштабов кибератаки, в результате чего банки применяли недостаточные меры для решения проблемы.

По данным FinCERT (подразделение ЦБ по борьбе с кибермошенничеством), в 2016 году со счетов компаний хакеры увели около 1,6 млрд рублей. Банки же потеряли более 2 млрд. Руководитель отдела аналитики информационной безопасности Positive Technologies Евгений Гнедин уверен, что количество атак на все финансовые системы будет расти как минимум на 30% в течение 2017 года.

Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

Киберпреступники рассылали банкам письма от имени Центробанка и ФинЦЕРТ

Киберпреступники массово рассылали вредоносные электронные письма от имени Центрального банка России и ФинЦЕРТ. Рассылки были направлены на российские финансовые учреждения. По словам специалистов Group-IB, которые обнаружили эту злонамеренную кампанию, за кибероперацией могли стоять две киберпреступные группировки — Silence и MoneyTaker. Эксперты полагают, что Silence провела атаку 15 ноября, а MoneyTaker — 23 октября.

Вредоносная кибероперация была зафиксирована утром 15 ноября — злоумышленники рассылали письма по российским кредитным организациям, используя поддельный адрес Банка России. Сами электронные письма рассылались под темой «Информация центрального банка Российской Федерации».

В них мошенники давали банкам указание ознакомиться с неким новым постановлением ЦБ под названием «Об унифицировании формата электронных банковских сообщений ЦБ РФ». После ознакомления кредитные организации должны были немедленно приступить к выполнению приказа.

Электронные письма содержали вредоносное вложение в виде архива, содержащего программу, используемую группировкой Silence, — Silence.Downloader. При этом киберпреступники отлично постарались по части придания вредоносным письмам вида официальной рассылки от Центробанка. Скорее всего, как предположили эксперты, преступники были знакомы с образцами оригинальных писем регулятора.

Что касается MoneyTaker, они провели свою атаку 23 октября, прикрывшись фейковым адресом ФинЦЕРТ. В этом случае письма содержали целых пять вложений, которым опять постарались придать вид официальных документов.

Один из файлов имел имя «Типовая форма соглашения о взаимодействии Центрального банка Российской Федерации по вопросам мониторинга и обмена.doc», три других были пустышками, еще два содержали даунлоадер Meterpreter Stager. В атаке использовались самоподписанные SSL-сертификаты.

Исследователи предполагают, что участники киберпреступных групп получили доступ к образцам документов ЦБ, взломав почтовые ящики сотрудников российских банков.

Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

RSS: Новости на портале Anti-Malware.ru