17 января, 2018, BIS Journal №4(27)/2017

«Безопасность немыслима без специального образования»


Сычев Артём

заместитель начальника Главного управления безопасности и защиты информации (Банк России)

Позиция Банка России по вопросам информационной безопасности была представлена пользователям социальной сети в ходе «прямой линии» с представителем регулятора

Новым современным форматом общения представителей Банка России с внешней аудиторией становятся онлайн-трансляции выступлений руководителей и ведущих специалистов профильных подразделений в социальных сетях.

20 сентября заместитель начальника Главного управления безопасности и защиты информации Банка России Артём Сычев в режиме онлайн отвечал на вопросы пользователей «Фейсбука».  Предлагаем вниманию наших читателей журнальный вариант выступления и ответов на самые важные вопросы.

ИНФОРМИРОВАННОСТЬ – УСЛОВИЕ ЗАШИТЫ ИНФОРМАЦИИ

Вопросы информационной безопасности приоритетны для Банка России – главного регулятора финансовой отрасли. От решения этих вопросов во многом зависит стабильное функционирование финансовой системы страны, защите прав клиентов коммерческих банков.

Как именно Банк России обеспечивает информационную безопасность в финансовой сфере? Как государственный регулятор он устанавливает нормативные требования к информационной безопасности своим поднадзорным организациям. Нормативное регулирование осуществляется по двум основным направлениям. Первое – формирование стандартов и рекомендаций. Второе – выпуск нормативных документов с требованиями, обязательными для исполнения.

Например, таких, как Положение Банка России от 9 июня 2012 года №382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств». В этом документе подробно написано, что должна делать кредитная организация, чтобы обеспечить на должном уровне информационную безопасность своих платежей и платежей своих клиентов.

Кроме того, Банк России уделяет много внимания повышению грамотности в вопросах информационной безопасности. Организуются обучающие программы для разных аудиторий: клиентов банков, сотрудников СМИ и правоохранительных органов, а также для учащихся. Программы информируют о новых высокотехнологичных финансовых сервисах, о возможных способах мошенничества и о том, как обезопаситься от них. Благодаря проводимой работе современный уровень информационной безопасности финансовых технологий можно оценивать как адекватный существующим рискам.

Успешно противостоять злоумышленникам, которые охотятся за деньгами банков и клиентов, можно только совместными усилиями Банка России, самих кредитно-финансовых организаций и правоохранительных органов. Именно для этого в Банке России действует Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере – специальное подразделение Главного управления безопасности и защиты информации, известное как ФинЦЕРТ (FinCERT). Одной из главных задач которого является организация информационного обмена между участниками финансового рынка, правоохранительными органами, органами государственной власти и другими заинтересованными сторонами. Информационный обмен позволяет оперативно выявить новую проблему, классифицировать её и выработать меры решения.

ОТВЕТЫ НА ВОПРОСЫ:

Итак, первый вопрос: Насколько безопасен мобильный банкинг?

Я сам им пользуюсь и всегда отвечаю, что риски, конечно же, есть. И Банк России, и сами банки, думающие о сохранении своей клиентской базы, прикладывают немалые усилия, чтобы свести эти риски к минимуму. Риски эти можно подразделить на относящиеся к самому мобильному банкингу и к его пользователям.

Пользователи иногда забывают об элементарных правилах «сетевой гигиены», или «кибергигиены», чрезмерно доверяя сервисам. Например, одно и то же устройство используется и для финансовых сервисов, и для просмотра самых разных сайтов. В таком случае, чтобы защититься от зловредных программ, обязательно устанавливать антивирусное программное обеспечение на компьютеры, планшеты и смартфоны. Это позволит существенно снизить риск получения злоумышленниками доступа к логину и паролю, которые позволяют распоряжаться денежными средствами на счёте.

Со своей стороны, большинство банков выполняют требования Банка России к обеспечению безопасности на всех этапах жизненного цикла банковского программного обеспечения. В том числе и приложений мобильного банкинга. Среди этих требований выявление и устранение уязвимостей, внедрение систем антифрода – автоматизированного обнаружения подозрительных транзакций. Также операторам переводов денежных средств предписывается предлагать клиентам ограничения – лимиты на операции, снижающие риски мошенничеств.

Следующий вопрос: действительно ли программное обеспечение компании Apple надёжнее, чем Microsoft?

Считаю такой вопрос не вполне корректным. Программисты тоже люди, допускают ошибки, а защиту, созданную человеком, может преодолеть другой человек. Особенно в случае таких сложных, объёмных проектов как операционные системы. Оценивать, какая операционная система лучше, не совсем правильно. Более верно говорить, какая более распространена, и насколько злоумышленники заинтересованы искать в ней уязвимости.

Задают вопрос и о том, насколько целесообразно покупать у банков дополнительно страховку от хищений денежных средств с карт. У нас это пока новшество. Практика страхования рисков широко распространена на Западе.

ЗАКОНОДАТЕЛЬСТВО ИДЁТ В НОГУ СО ВРЕМЕНЕМ

Следующий вопрос о юридической квалификации хищений денег с банковских карт: кража это или мошенничество? Когда на улице отбирают деньги – это называется воровство или грабёж, которые наказывается годами лишения свободы, а когда крадут с банковского счёта – всего лишь мошенничество. Почему? Это серьёзный и правильный вопрос, над которым работает банковское сообщество и Банк России.

Дело в том, что при высокотехнологичных финансовых преступлениях не происходит контакта злоумышленника и жертвы, происходит подмена электронного документа, его реквизитов. Пока что преступники, совершающие такие преступления, получают сроки, несоразмерные опасности их деяний. Это не удовлетворяет ни Банк России, ни банки, ни их клиентов, ни правоохранительные органы. Поэтому сейчас в Государственной Думе РФ находится на рассмотрении законопроект об ужесточении наказания за подобные преступления. Банк России поддержал инициативу правоохранительных органов и банковского сообщества по разработке и продвижению этого законопроекта.

Также специалисты Банка России участвуют в разработке и продвижении законопроекта об обмене информацией между банками и операторами мобильной связи. Такая работа ведётся совместно с Минкомсвязи России. Цель ‑ обезопасить клиентов банков от мошенничеств, совершаемых посредством подмены SIM-карт. В зоне риска этого вида мошенничества находятся клиенты, у которых на счетах значительные средства. Но, учитывая быстроту технического прогресса, нужно быть готовыми к тому, что защищать от подмены SIM-карт придётся и других клиентов. В принятии этого законопроекта заинтересованы и банки, и операторы мобильной связи.

Вопрос профессионала: организует ли Банк России онлайн-взаимодействие между подразделениями банков, занимающимися антифродом, и управлением «К» МВД России, для оперативного реагирования на инциденты?

Такое взаимодействие, хотя и не в режиме онлайн, уже эффективно организовано ФинЦЕРТ (FinCERT). Возросло количество предотвращённых попыток хищений денежных средств, результатами стали возбуждённые уголовные дела и задержания злоумышленников. Теперь нужно автоматизировать это взаимодействие, перевести его в онлайн-режим, планируемый срок начала подключения участников информационного обмена  –  середина 2018 года.

Есть важная подзадача: оперативное определение счетов, на которые злоумышленники пытаются перевести похищенные денежные средства. Чаще всего эти счета оформлены на подставные юридические и физические лица. Список таких счетов крайне интересен банкам – и отправителям, и получателям платежей, совершаемых злоумышленниками. Банк России совместно с коллегами и кредитными организациями подготовил законопроект, который узаконит обмен этой информацией. Он находится в Государственной Думе РФ и готовится к первому чтению. После его принятия можно будет наладить онлайн-обмен такой информацией в кратчайшие сроки, что намного улучшит профилактику подобных правонарушений.

Вопрос, который часто задают, обязан ли банк вернуть деньги, украденные с банковской карты.

Статья 9 действующего Федерального закона от 27 июня 2011 года № 161-ФЗ «О национальной платежной системе» подробно описывает порядок этой процедуры. Банк обязан в таком случае либо вернуть средства, либо представить мотивированное обоснование отказа. В любом случае банк обязан провести расследование инцидента. К счастью, не так много случаев обращений, когда у банков и правоохранительных органов есть основания предполагать попытки мошенничества.

КАК ОБЕЗОПАСИТЬ РОДСТВЕННИКОВ

Спрашивают и о том, нужно ли из соображений безопасности заклеивать непрозрачным скотчем веб-камеру на ноутбуке. Один из рисков, не только на ноутбуках, но и на других устройствах, – захват злоумышленником управления веб-камерой. Заклеивать или нет, дело каждого. Я этого не делаю, поскольку уверен в надёжности средств защиты, которые использую, той самой «кибергигиены».

Важен вопрос о социальной инженерии; это один из самых важных вопросов информационной безопасности. Это вечный вопрос, известный даже по детскому фильму о приключениях Буратино: пока живут на свете дураки, обманом жить нам, стало быть, с руки… Мошенники пытаются на доверии заставить человека предоставить им доступ к распоряжению своими деньгами или прямо им их перечислить. Например, присылают мошенническое SMS-сообщение, что якобы Ваша банковская карта заблокирована, при этом указывают телефон, по которому нужно перезвонить, чтобы решить проблему. Правильно реагировать нужно так: перезвонить в Ваш банк по номеру телефона, указанному на банковской карте, после чего уточнить, заблокирована она или нет. Если сообщение оказалось ложным, то нужно сообщить о попытке мошенничества в свой банк.

Мошенники изобретательны и идут в ногу со временем. Сообщения, или письма по электронной почте они могут слать от Ваших контрагентов: банков, операторов телекоммуникаций, государственных органов и т.д. Цель – открыть файл или ссылку на вредоносную программу, после чего на ваше устройство загружается вредоносное программное обеспечение.

Интересный вопрос: какие самые изощрённые способы мошенничества Вы встречали на практике? По моему опыту, главная «отмычка» – обманным путём завоевать доверие, которое потом используется как плацдарм. Сейчас, например, это спам организованных преступных группировок, персонализированный «под интересы» человека. Вы специалист по информационной безопасности? Ознакомьтесь, пожалуйста, с прайс-листом на такие услуги…

На мой взгляд, важен вопрос, какие советы можно дать родственникам ‑ пожилым людям, чтобы уберечь их деньги от мошенников. Эта категория граждан оказывается самой привлекательной для злоумышленников. Которые рассылают ложные SMS-сообщения о том, что банковская карта якобы заблокирована, или что родственник попал в беду и надо срочно перечислить деньги для него. Пожилым людям нужно объяснить, что при получении подобных сообщений они не должны верить на слово незнакомцам, а позвонить родным и близким людям, которым доверяют и посоветоваться с ними.

Вместе с тем вектор атак злоумышленников в последнее время сместился на граждан возраста до сорока лет. Потому что они активно пользуются информационными технологиями, не вникая в механизмы работы, и излишне им доверяют. Но удобствам дистанционных финансовых сервисов сопутствуют определённым риски. Поэтому всем нужно знать правила кибергигиены и соблюдать их: устанавливать и регулярно обновлять антивирусные программа, не открывать подозрительных сообщений, проверять, какое программное обеспечение загружаем, на какие сайты заходим. Тогда можно говорить о безопасном использовании информационных финансовых технологий.

ОБУЧАТЬСЯ ДОЛЖНЫ ВСЕ

Задают вопрос о превращении рекомендаций по информационной безопасности в обязательные требования. Требования позволяют обеспечить базовый уровень, дальше – вопрос политики управления информационными рисками. Банк России совместно с коллегами из отрасли разработал государственный стандарт информационной безопасности для финансовой сферы. Таким образом, посредством ссылок на этот ГОСТ обязательная нормативная база расширяется.

Спрашивают, планирует ли Банк России делиться лучшими практиками повышения осведомлённости клиентов банков в вопросах информационной безопасности сервисов? Это уже достаточно активно делается. Ежегодно проводится главное отраслевое деловое мероприятие ‑ Уральский форум, посвящённый информационной безопасности финансовой сферы, в следующем году ‑ уже в десятый раз. Часть обсуждаемых вопросов обязательно посвящаются затронутой теме. Банк России формирует программу, подбирает самых интересных докладчиков.

Ещё одна такая площадка для обмена опытом – форум инновационных финансовых технологий FINOPOLIS, проводимый в начале октября в Сочи. Там также рассматриваются вопросы повышения осведомлённости о правилах информационной безопасности.

В самую точку попадает вопрос, каких навыков не хватает специалистам по информационной безопасности. Банк России готовит проект квалификационных требований к специалистам по информационной безопасности в финансовой сфере. Готова программа магистратуры, дальнейший шаг – формирование образовательных стандартов для этого профиля.

Проблема в специфике финансовой отрасли, в переплетении информационных и финансовых технологий, а также обычной бухгалтерии, Специалист должен быть достаточно универсален: разбираться в технологиях и механизмах совершения операций, оценивать сопутствующие риски. Явно не хватает специалистов, которые хорошо разбираются в юридических и технических аспектах информационной безопасности финансовой сферы. Эти умения необходимы для правильного оформления юридически значимых доказательств, предоставляемых в правоохранительные органы и в суд, в случае инцидентов в сфере кибербезопасности.

Также ощущается дефицит специалистов по управлению информационной безопасностью, которые владели бы профессиональным языком, терминологией основных бизнес-процессов. К сожалению, таких специалистов пока крайне мало. Разрабатываемые образовательные документы направлены на то, чтобы таких специалистов готовили в нужном количестве.

 

На взгляд Банка России, для обеспечения кибербезопасности на высоком уровне необходимы следующие составляющие:

Первая – повышение осведомлённости о правилах кибергигиены и у сотрудников, и у клиентов банков, превращение их выполнения в повседневную практику.

Вторая – консолидация усилий Банка России, финансовых организаций и правоохранительных органов для противодействия киберпреступности, развитие информационного обмена.

Третья – развитие нормативной базы, которое Банк России стремится вести так, чтобы не создавать препятствий для внедрения новых финансовых технологий, но обеспечивая их безопасность.


От «ликбеза» к всеобучу

О политике Банка России, направленной на повышение грамотности в сфере информационной безопасности финансовых сервисов

Недостаток финансовых знаний у российских граждан отчетливо виден при анализе поступающих в Банк России жалоб на финансовые организации. Людям не всегда легко разобраться в нюансах, тонкостях и рисках, присущих тому или иному финансовому продукту, тем более что ассортимент этих продуктов увеличивается, а сами они становятся более сложными. Именно поэтому задача по повышению уровня финансовой грамотности значится как одна из приоритетных в разработанных Банком России Основных направлениях развития финансового рынка на 2016 – 2018 годы.

В последнее время развитие финансовых сервисов активно движется в сторону оказания дистанционных услуг. Мошенники также активно переходят в онлайн сферу. Например, после появления возможности заключить договор ОСАГО в электронном виде в интернете стали появляться сайты – клоны крупных страховых компаний. Эти сайты частично или полностью повторяли дизайн сайта страховой компании, а адрес сайта-клона незначительно отличался от адреса страховой компании в сети. Важно, чтобы люди знали о существовании таких мошеннических сайтов и могли их отличать от настоящих. Банк России считает, что в значительной степени: предупрежден – значит вооружен!

По мере увеличения доступа к интернету в регионах (надо отметить, что уровень его проникновения в России не отстает от среднеевропейского) растут и возможности использования цифровых (дистанционных) финансовых сервисов. Простота использования и доступность цифровых финансовых услуг имеет неоспоримые преимущества, но и несет определенные риски. Граждане должны быть проинформированы об этих рисках и опасностях, и значительную роль в этом процессе играет Банк России.

Банк России проводит собственные мероприятия по повышению финансовой грамотности, в том числе в области информационной безопасности финансовых сервисов, а также активно участвует в мероприятиях, проводимых другими министерствами, ведомствами и общественными организациями. Такая работа проводится как в крупных городах, так и в регионах.

При участии Банка России выпущено учебное пособие для школьников «Основы финансовой грамотности», по которому ведется преподавание этого предмета в пилотных школах. Отдельная глава учебника посвящена информационной безопасности в финансовой сфере. В ходе выездных мероприятий, где представители Банка России совместно с представителями финансовых и общественных организаций проводят лекции и семинары по финансовой грамотности для региональных образовательных учреждений, пожилых граждан, а также на предприятиях, обязательно затрагиваются вопросы информационной безопасности, учитывая высокий интерес к этой теме аудитории любого возраста. Кроме того, в конце прошлого 2016 года Банк России запустил информационную кампанию в региональных СМИ, цель которой – подробно рассказать гражданам об основных видах мошенничества на финансовом рынке.

Каждая добросовестная финансовая организация заинтересована в том, чтобы ее клиенты были финансово грамотными и могли оценить весь спектр предлагаемых ею услуг. Это актуально и в контексте информационной безопасности. В частности, если клиент осведомлен об опасности сообщения посторонним лицам PIN-кода своей карты или CVV-кода, если он предупрежден о необходимости внимательно относиться к СМС-сообщениям о блокировке карты или снятии с нее денег, это поможет самой финансовой организации избежать возможных репутационных и финансовых потерь.