Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере
FinCERT - ФинЦЕРТ

Компания

width=200px

Собственники:
Центральный банк РФ
300px

Конечные собственники компании и их активы

FinCERT - структура Банка России, главной задачей которой является противодействие злоумышленникам путем взаимного информирования и оповещения участников банковского сообщества об уязвимостях, угрозах и рисках, с которыми каждому из них приходится сталкиваться. По данным на 2017 год в рамках FinCERT взаимодействуют более 400 банков.

2017

Банкиры не доверяют FinCERT

С начала 2017 года кредитные организации не сообщили в FinCERT о каждой пятой успешной атаке хакеров. Банкиры не доверяют структуре, созданной внутри ЦБ РФ для обеспечения информационной безопасности, опасаясь привлечь надзорное внимание регулятора, пишет в ноябре «КоммерсантЪ».

За последний год группировка Cobalt осуществила порядка 50 успешных атак на российские банки, сообщили газете участники рынка и собеседники в правоохранительных органах. Напомним, ранее эксперты Trend Micro сообщили о смене тактики группировки, целью которой сейчас стали не клиенты банков, а сами финансовые организации.

В последнем отчете FinCERT называет атаки Cobalt «основным трендом». Группировка атаковала банки разного масштаба, похищая внушительные суммы, однако несмотря на понесенный ущерб, в 10 из 50 случаев банки предпочли не сообщать об инцидентах ЦБ и правоохранительным органам. По данным собеседников издания, максимальная сумма хищений по скрытым атакам составляла 20 млн рублей.

По словам экспертов, основная причина неразглашения информации об атаках — передача информации из FinCERT в надзорный блок ЦБ. С 2017 года сотрудники FinCERT активно участвуют в проверках главной инспекции Банка России. При этом они сообщают в надзор обо всех замеченных нарушениях, выявленных при расследовании инцидентов.

Подобная скрытность, полагают эксперты, представляет угрозу для других участников рынка. Хакеры постоянно совершенствуют свое вредоносное ПО, поэтому крайне важно информировать FinCERT о каждой новой атаке, чтобы он оперативно мог предупредить рынок. Таким образом неатакованные банки могли бы принимать меры по предотвращению атак, обращаясь к экспертам в области кибербезопасности и используя соответствующие технологии защиты.

418 кредитных организаций

По данным на 1 сентября 2017 г., в информационном обмене с ФинЦЕРТом участвовали 418 кредитных организаций. Заметный рост числа участников наблюдался в январе-феврале после серии рассылок злоумышленниками вируса Cobalt Strike в адрес кредитных организаций. При этом активными участниками являются 45% представителей банковской сферы[1].

А. Сычев добавил, что ФинЦЕРТ отметил активное присоединение а информационному обмену небанковских кредитных организаций. Всего участникам информационного обмена являются 526 организаций.

Нацбанк Беларуси приступил к созданию центра финансовой кибербезопасности FinCERT

Национальный банк Беларуси (НБ РБ) в 2017-2018 годах планирует запустить центр финансовой кибербезопасности – FinCERT. Основным направлением деятельности структуры станет мониторинг и противодействие кибератакам в банковской сфере.

Планируется, что центр станет своеобразным хабом для обмена данными между банками, кредитно-финансовыми организациями, разработчиками ПО, поставщиками оборудования, операторами связи и правоохранительными органами. Так, сейчас Нацбанк собирает предложения о формате организации работы и взаимодействия в центре от заинтересованных участников.

2016

План создания лаборатории киберзащиты банков

31 октября 2016 года стало известно о планах Центробанка создать лабораторию для защиты банков от киберугроз, изучающую технологии и последствия компьютерных атак. Регулятор собирается оснастить кредитные организации технологиями по предотвращению киберугроз.

Лабораторию предполагается создать в структуре самого ЦБ — на базе Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере. Прототипом исследовательского центра может стать действующий в Малайзии аналог[2]. В реализации могут принять участие правоохранительные органы и кредитные организации[3].

Network operations center, (2016)

Специалисты лаборатории станут изучать способы и последствия компьютерных угроз, включая атаки на банкоматы, POS-терминалы и устройства самообслуживания. Сотрудники ЦБ будут анализировать мошеннические интернет-ресурсы, мобильные устройства. Эта структура будет помогать кредитно-финансовым организациям корректно снимать и опечатывать передаваемые на исследование объекты. Центробанк со своей стороны займется подготовкой описания средств и методов атак на устройства самообслуживания, рекомендаций по противодействию атакам на устройства самообслуживания.

Точных сроков создания лаборатории, как и ее названия, не заявлено. Согласно «Известиям», в Банке России идет разработка плана запуска лаборатории и «дорожной карты», утверждение которой запланировано на конец 2016 года.

«
Учреждение лаборатории в структуре ЦБ более чем целесообразно. Сейчас невозможно эффективно противодействовать киберпреступникам, не обладая техническими компетенциями. Мы можем только приветствовать появление такой экспертизы. Со своей стороны мы готовы оказывать экспертную и технологическую поддержку новому и, безусловно, ожидаемому банковским сообществом подразделению FinCERT.

Виктор Ивановский, менеджер по развитию международного бизнеса Group-IB
»

По данным ЦБ, количество кибератак на финансовые организации во всем мире увеличивается примерно на 30% ежемесячно. C начала 2016 года объем покушений на хищение денежных средств со счетов российских банков достиг 5 млрд руб., из них 2 млрд руб. мошенникам удалось украсть. По прогнозам главы Сбербанка Германа Грефа, ущерб от кибератак во всем мире удвоится и достигнет $1 трлн к 2020 году, минимум.

«
С точки зрения атакуемого, в случае кибератаки очень важно то, что делается в первые несколько минут после инцидента. По опыту, специалисты по информационной безопасности не способны проанализировать и предпринять необходимые действия ни в момент регистрации инцидента, ни в последующие несколько часов. С построением лаборатории Центробанк получает подразделение, способное самостоятельно вести или оперативно подключаться к реагированию на кибератаки.
»

Представители банковского сообщества поддерживают намерение регулятора создать лабораторию. Илья Зибарев, председатель правления банка «Русский стандарт» ожидает, что результатами работы могли бы стать своевременные и полноценные расследования инцидентов для разработки соответствующих мер защиты на государственном уровне.

«
Мы готовы принять участие в проекте ЦБ и делиться своим опытом в противодействии и предупреждении преступлений в сферах карточного бизнеса, дистанционного банкинга, торгового и интернет-эквайринга.

Илья Зибарев, председатель правления банка «Русский стандарт»
»

«
За последние два года технологии хакеров существенно продвинулись, фактически кибератаки переросли в глобальный бизнес. Банки уже не в состоянии самостоятельно справиться с этой угрозой, именно поэтому в ситуацию решил вмешаться регулятор. В рамках лаборатории будут отрабатываться сценарии, готовность технологий защиты, их прочность, критические показатели, всё это может быть крайне полезным для российских банков.

Андрей Люшин, заместитель председателя правления "Локо-банка"
»

Этот оптимизм разделяют не все банкиры. По мнению собеседника «Известий» из Топ-50 банков - создание такой лаборатории в ЦБ мало что даст участникам рынка, поскольку кибератаки готовятся в условиях строгой секретности, их предотвращение поэтому может быть затруднено.

«
Существование такой структуры было бы полезным, однако создавать ее, возможно, следовало бы на базе силовых структур, поскольку экспертиза предполагает знание не только технологий, но и поведения мошенников, их взаимосвязей и организаций в группы.

Алексей Дегтярев, руководитель блока электронного бизнеса Бинбанка
»

Подключение к SOC "Информзащиты"

Подключение к FinCERT дает возможность финансовым организациям оперативно узнавать об основных типах и механизмах реализации кибератак, а также об успешных методах противодействия подобного рода атакам. К сожалению, несмотря на детальное описание ключевых индикаторов компрометации, предоставляемое FinCERT, немногие финансовые организации могут на практике воспользоваться ими для выявления кибератак в своих системах, ввиду незрелости собственных процессов мониторинга инцидентов. Для решения такого рода задач возникла необходимость подключения к информационному обмену компании с успешно функционирующим Security Operation Center (SOC).

В сентябре 2016 года «Информзащита» стала первым интегратором в области информационной безопасности среди участников информационного обмена с FinCERT. SOC «Информзащиты» ежесекундно получает данные от тысяч устройств в сетях подключенных к нему финансовых организаций. Эксперты-практики «Информзащиты» в режиме 24/7 преобразуют информацию из бюллетеней FinCERT в правила выявления сценариев реализации угроз и признаков компрометации систем. Это позволяет достичь максимальной оперативности в выявлении и реагировании на инциденты ИБ в подключенных к SOC кредитных организаций.

FinCERT: За 12 месяцев в банках России похищено 1,37 млрд руб

19 июля 2016 года созданный Банком России Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (FinCERT) подвел итоги первого года деятельности. В отчете были представлены наиболее распространенные схемы кибермошенничества и способы противодействия злоумышленникам.

По данным FinCERT, с июня 2015 года по май 2016 года было зафиксировано более 20 крупных кибератак на платежные системы кредитных организаций. В рамках этих нападений преступники пытались украсть 2,87 млрд рублей. В сотрудничестве с банками и правоохранительными органами FinCERT удалось предотвратить хищение более 1,5 млрд рублей. Таким образом, хакеры смогли похитить около 1,37 млрд рублей у российских банков.

Хакеры похитили 1,4 млрд рублей у российских банков

Согласно данным ЦБ, наиболее распространенной схемой мошенничества является массовая рассылка по электронной почте писем с вирусом. Вирусы типа Trojan.Downloader могут незаметно для пользователя устанавливать на компьютеры вредоносные программы, другие, например, позволяют злоумышленникам шифровать данные, за их «разблокировку» программа требует оплату.

Еще один распространенный метод мошенничества — SMS-рассылка от имени ЦБ или кредитных организаций. Особенно популярны рассылки с использованием номеров 8-800. Обманутые клиенты банков сообщали злоумышленникам личную информацию, которая использовалась для кражи денег или продавалась другим мошенникам.

В FinCERT отмечают низкую активность участников информационного обмена, не уведомляющих центр в силу различных причин о факте проведения DDoS-атак.

«
Схемы хищений денежных средств становятся более изощренными. Мошенники быстро совершенствуют свои методы, а применяемые ими технологии модифицируются, — подчеркнул заместитель начальника Главного управления безопасности и защиты информации Центробанка России Артем Сычев.
»

2015: Создание центра в России

FinCERT был создан как структура Банка России в июне 2015 года. Главной задачей Центра является противодействие злоумышленникам путем взаимного информирования и оповещения участников банковского сообщества об уязвимостях, угрозах и рисках, с которыми каждому из них приходится сталкиваться.

Смотрите также

  1. Количество участников информационного обмена с ФинЦЕРТом выросло на 65%
  2. Аdroit Data Recovery Centre (ADRC) — центр восстановления данных в Юго-Восточной Азии. Компания заключила контракты с министерствами и международными коммерческими банками. Клиенты компании действуют в Индонезии, Таиланде, Гонконге, Китае, Японии, США, Европе. Организация занимается восстановлением паролей, операционных систем, утерянных данных с флэш-носителей, ноутбуков, жестких дисков, RAID, NAS. В центре работает подразделение компьютерной криминалистики
  3. ЦБ вооружит банки защитой против хакеров

ПАРТНЕРЫ (1) СМ. ТАКЖЕ (7)