Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере
FinCERT - ФинЦЕРТ
Содержание |
Конечные собственники
FinCERT - структура Департамента информационной безопасности ЦБ России, главной задачей которой является противодействие злоумышленникам путем взаимного информирования и оповещения участников банковского сообщества об уязвимостях, угрозах и рисках, с которыми каждому из них приходится сталкиваться.
По данным на 2018 год в рамках FinCERT взаимодействуют более 600 банков.
2023: Сообщение о создании единой базы кибермошенников
В середине февраля 2023 года в Центробанке РФ рассказали о создании единой централизованной базы мошенников на базе ФинЦЕРТа (центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере, специальное структурное подразделение Банка России). Как отметила председатель ЦБ Эльвира Набиуллина, хранимые в системе данные не будут подтверждены регулятором.
Банки правильно говорят крупнейшие, что они накапливают базы данных больших...данные по клиентам. И у них появляются основания говорить о том, какие лица являются подозрительными. Пример о том, что заблокировали карточки этим подозрительным лицам и никто не пришел оспаривать, показывает, что эта система в принципе достаточно хорошо работает. И очень правильно был поставлен вопрос и предложение, что этой информацией хорошо бы банкам между собой обмениваться, - сказала она. |
По словам Набиуллиной, обмен информацией между финансовыми институтами должен быть налажен, потому что это одна из предпосылок для скорости принятия решений.
А скорость, я еще раз подтверждаю, это самое важное сейчас в борьбе с разного рода мошенническими схемами, - заключила она. |
В ЦБ решили заняться созданием единой базы о мошенниках на фоне роста числа банковских афер. Так, согласно данным регулятора, объем операций без согласия клиентов в 2022 году увеличился на 4,3% - до 14,16 млрд рублей. Вернуть клиентам банков в 2022 году удалось всего 4,4% от общего объема операций, что составило 618,4 млн рублей (6,8%, или 920,5 млн рублей годом ранее). Такой уровень возмещения объясняется сохранением высокой доли социальной инженерии (50,4%), когда граждане самостоятельно переводят средства злоумышленникам или раскрывают банковские данные, указывают в ЦБ.[1]
2021
Игорь Добровольцев - новый руководитель ФинЦЕРТ
В конце сентября 2021 года стало о назначении Игоря Добровольцева новым руководителем Центра взаимодействия и реагирования Департамента информационной безопасности ЦБ (ФинЦЕРТ). Об этом сообщил «Коммерсантъ» со ссылкой на свои источники и пресс-службу ЦБ РФ. Подробнее здесь.
Соглашение с Wildberries о сотрудничестве по вопросам противодействия кибератакам
Российский онлайн-ритейлер Wildberries 24 сентября 2021 года сообщил о том, что присоединился к информационному обмену с ФинЦЕРТ Банка России, заключив соглашение по вопросам противодействия компьютерным атакам, а также мошенничеству в сети интернет. Подробнее здесь.
2020: ЦБ РФ запустил масштабную реструктуризацию ИБ-подразделения
В ноябре 2020 года Центробанк РФ уведомил сотрудников о реструктуризации департамента информационной безопасности (ДИБ). Регулятор не раскрыл подробности изменений, но, по данным «Коммерсанта», Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ), занимавшийся мониторингом киберрисков, будет ликвидирован, а его функции перераспределены между управлениями ДИБ.
Само название ФинЦЕРТ может остаться за одним из новых управлений департамента, потому что в раскрутку этого бренда за пять лет его существования вложено немало денег и сил, рассказал изданию источник на банковском рынке. Банкиры рассчитывают, что за счёт преобразований регулятор разнесёт надзор и мониторинг в разные управления, чтобы банки, сообщая об инцидентах, получали помощь, а не наказание.
Разделение ФинЦЕРТа поможет в регулировании отрасли, именно такой подход к регулированию и разделению информации принят в лучших практиках за рубежом,— считает основатель ChronoPay Павел Врублевский. |
Член совета директоров РНКО «Платежный центр» Александр Погудин считает, что специализация подразделений на каждом из блоков функционала позволит глубже погружаться в специфику работы.
В ЦБ подтвердили газете реструктуризацию ДИБ и объяснили ее необходимостью усиления основных бизнес-процессов, от которых «зависит достижение целевых показателей, предусмотренных «Основными направлениями развития информационной безопасности кредитно-финансовой сферы на период 2019–2021 годов».
Среди таких процессов — обработка информации о противодействии операциям без согласия клиентов финансовых организаций, которая поступает в ЦБ от участников информационного обмена. Кроме того, усиливается направление риск-ориентированного надзора за обеспечением финансовыми организациями киберустойчивости и операционной надежности.[2]
2019: ФинЦЕРТ назвал главный источник утечек банковских данных россиян
11 октября 2019 года стало известно, что в первом полугодии 2019 года специалисты обнаружили на черном рынке порядка 13 тыс. предложений купли/продажи данных россиян.
Главным источником утечек банковских и персональных данных являются не кредитные организации, а сами пользователи. Об этом сообщается в годовом отчете подразделения Центробанка РФ по кибербезопасности ФинЦЕРТ.
Согласно отчету, на долю банковских утечек приходится лишь 12% от всех данных, продававшихся на черном рынке в первой половине 2019 года (в общей сложности за указанный период времени было обнаружено порядка 13 тыс. предложений купли/продажи данных россиян).
Утечки данных часто происходят из неочевидных ресурсов, например, интернет-магазинов. На таких сайтах пользователь вводит всю необходимую информацию, которая может быть перехвачена и передана киберпреступникам с помощью вредоносного ПО.
Очень часто причиной утечки становятся сами пользователи и их устройства. Как правило, это финансово благополучные граждане, которым нравится использовать современные технологии, а также школьники, студенты, домохозяйки и пенсионеры.
Чаще всего мошенничества со счетами физических лиц осуществляются с помощью социальной инженерии (97 из 100 случаев). Типичная схема такова: преступники звонят потенциальной жертве и, представившись сотрудником банка, сообщают, будто ее деньги на карте «в опасности». Для перевода средств на «безопасный» счет жертва должна назвать пришедший в SMS-сообщении код. На самом деле, данный код подтверждает перевод денег на карту злоумышленника.
Помимо клиентов на удочку фишеров попадаются и сотрудники банков – как правило, им приходят фишинговые письма с вредоносным вложением. На долю инцидентов по вине сотрудников (как случайных, так и злонамеренных) приходится 70% от всех утечек из финорганизаций[3].
2018
ЦБ закрепил форматы направления сообщений банками в ФинЦЕРТ
6 ноября 2018 года появилась информация о том, что Банк России закрепил форматы направления сообщений банками в ФинЦЕРТ в пятом стандарте по информбезопасности. Предыдущие четыре стандарта были добровольными для присоединения, однако в данном случае избежать работы по стандарту технически не удастся. Подробнее здесь.
ФинЦЕРТ заблокировал свыше 2,1 тыс. доменов за 8 месяцев 2018 г
20 сентября 2018 года стало известно, то ЦБ заблокировал свыше 2,1 тыс. доменов в 2018 году.
На самом деле количество доменов подлежащих блокировке (разделегированию), которые выявляет ФинЦЕРТ, и информацию о которых получает от банков, больше. По статистике центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России разделегированию в конечном итоге подлежат примерно 3 из 4-х доменов.
Руководитель ФинЦЕРТ отметил, что за последние два года наблюдается тренд на нецелевые атаки, поскольку изучение объекта атаки очень затратно для преступников, поэтому ими используются стандартные процедуры и производится массовая рассылка. Так, на кредитно-финансовые организации зарегистрировано 530 нецелевых и 160 целевых атаки. Некоторые организации по разным причинам подвергаются несколько раз.
По данным ФинЦЕРТ более 80% участников кредитно-финансовой сферы в разрезе банков уже подключены к платформе Банка России по обработке инцидентов (АСОИ ФинЦЕРТ). По словам А. Калашникова, есть ряд организаций, которые по каким-то причинам до сих пор не направили в ФИНЦерт информацию о тех, кто ответствен за информационный обмен, ряд организаций, которые уже получили учетные данные от ФинЦЕРТа для входа в АСОИ, но по тем или иными причинам не посещают личный кабинет.
C 26 сентября 2018 года начинается процесс отчетности и надзорного реагирования и основным интерфейсом взаимодействия будет АСОИ ФинЦЕРТ. Электронная почта останется на определенном этапе резервным каналом для кредитных организаций. Все участники которые к АСОИ пока не подключены, будут подключаться к платформе с аналогичным для банков функционалом[4].
Вхождение в состав департамента информационной безопасности ЦБ РФ
Основная статья: Департамент информационной безопасности ЦБ России
В мае 2018 г совет директоров ЦБ принял решение разделить Главное управление безопасности и защиты информации на два самостоятельных подразделения - [[Департамент информационной безопасности ЦБ России|департамент информационной безопасности и департамент безопасности Банка России]]. [5] Департамент создан на базе Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (FinCERT).
Соглашение с МТС
МТС и Центральный банк Российской Федерации (Банк России) объявили в мае 2018 года о подписании соглашения о сотрудничестве в сфере информационной безопасности и противодействия компьютерным атакам.
Соглашение предусматривает информационное и организационное взаимодействие, направленное на предупреждение, выявление и пресечение правонарушений на финансовом рынке и в национальной платежной системе России, а также повышение уровня информационной безопасности сторон. МТС и Банк России будут сотрудничать через структурное подразделение Главного управления безопасности и защиты информации Банка России - Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ).
2017
Банкиры не доверяют FinCERT
С начала 2017 года кредитные организации не сообщили в FinCERT о каждой пятой успешной атаке хакеров. Банкиры не доверяют структуре, созданной внутри ЦБ РФ для обеспечения информационной безопасности, опасаясь привлечь надзорное внимание регулятора, пишет в ноябре «КоммерсантЪ».
За последний год группировка Cobalt осуществила порядка 50 успешных атак на российские банки, сообщили газете участники рынка и собеседники в правоохранительных органах. Напомним, ранее эксперты Trend Micro сообщили о смене тактики группировки, целью которой сейчас стали не клиенты банков, а сами финансовые организации.
В последнем отчете FinCERT называет атаки Cobalt «основным трендом». Группировка атаковала банки разного масштаба, похищая внушительные суммы, однако несмотря на понесенный ущерб, в 10 из 50 случаев банки предпочли не сообщать об инцидентах ЦБ и правоохранительным органам. По данным собеседников издания, максимальная сумма хищений по скрытым атакам составляла 20 млн рублей.
По словам экспертов, основная причина неразглашения информации об атаках — передача информации из FinCERT в надзорный блок ЦБ. С 2017 года сотрудники FinCERT активно участвуют в проверках главной инспекции Банка России. При этом они сообщают в надзор обо всех замеченных нарушениях, выявленных при расследовании инцидентов.
Подобная скрытность, полагают эксперты, представляет угрозу для других участников рынка. Хакеры постоянно совершенствуют свое вредоносное ПО, поэтому крайне важно информировать FinCERT о каждой новой атаке, чтобы он оперативно мог предупредить рынок. Таким образом неатакованные банки могли бы принимать меры по предотвращению атак, обращаясь к экспертам в области кибербезопасности и используя соответствующие технологии защиты.
418 кредитных организаций
По данным на 1 сентября 2017 г., в информационном обмене с ФинЦЕРТом участвовали 418 кредитных организаций. Заметный рост числа участников наблюдался в январе-феврале после серии рассылок злоумышленниками вируса Cobalt Strike в адрес кредитных организаций. При этом активными участниками являются 45% представителей банковской сферы[6].
А. Сычев добавил, что ФинЦЕРТ отметил активное присоединение а информационному обмену небанковских кредитных организаций. Всего участникам информационного обмена являются 526 организаций.
Нацбанк Беларуси приступил к созданию центра финансовой кибербезопасности FinCERT
Национальный банк Беларуси (НБ РБ) в 2017-2018 годах планирует запустить центр финансовой кибербезопасности – FinCERT. Основным направлением деятельности структуры станет мониторинг и противодействие кибератакам в банковской сфере.
Планируется, что центр станет своеобразным хабом для обмена данными между банками, кредитно-финансовыми организациями, разработчиками ПО, поставщиками оборудования, операторами связи и правоохранительными органами. Так, сейчас Нацбанк собирает предложения о формате организации работы и взаимодействия в центре от заинтересованных участников.
2016
План создания лаборатории киберзащиты банков
31 октября 2016 года стало известно о планах Центробанка создать лабораторию для защиты банков от киберугроз, изучающую технологии и последствия компьютерных атак. Регулятор собирается оснастить кредитные организации технологиями по предотвращению киберугроз.
Лабораторию предполагается создать в структуре самого ЦБ — на базе Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере. Прототипом исследовательского центра может стать действующий в Малайзии аналог[7]. В реализации могут принять участие правоохранительные органы и кредитные организации[8].
Специалисты лаборатории станут изучать способы и последствия компьютерных угроз, включая атаки на банкоматы, POS-терминалы и устройства самообслуживания. Сотрудники ЦБ будут анализировать мошеннические интернет-ресурсы, мобильные устройства. Эта структура будет помогать кредитно-финансовым организациям корректно снимать и опечатывать передаваемые на исследование объекты. Центробанк со своей стороны займется подготовкой описания средств и методов атак на устройства самообслуживания, рекомендаций по противодействию атакам на устройства самообслуживания.
Точных сроков создания лаборатории, как и ее названия, не заявлено. Согласно «Известиям», в Банке России идет разработка плана запуска лаборатории и «дорожной карты», утверждение которой запланировано на конец 2016 года.
Учреждение лаборатории в структуре ЦБ более чем целесообразно. Сейчас невозможно эффективно противодействовать киберпреступникам, не обладая техническими компетенциями. Мы можем только приветствовать появление такой экспертизы. Со своей стороны мы готовы оказывать экспертную и технологическую поддержку новому и, безусловно, ожидаемому банковским сообществом подразделению FinCERT. |
По данным ЦБ, количество кибератак на финансовые организации во всем мире увеличивается примерно на 30% ежемесячно. C начала 2016 года объем покушений на хищение денежных средств со счетов российских банков достиг 5 млрд руб., из них 2 млрд руб. мошенникам удалось украсть. По прогнозам главы Сбербанка Германа Грефа, ущерб от кибератак во всем мире удвоится и достигнет $1 трлн к 2020 году, минимум.
С точки зрения атакуемого, в случае кибератаки очень важно то, что делается в первые несколько минут после инцидента. По опыту, специалисты по информационной безопасности не способны проанализировать и предпринять необходимые действия ни в момент регистрации инцидента, ни в последующие несколько часов. С построением лаборатории Центробанк получает подразделение, способное самостоятельно вести или оперативно подключаться к реагированию на кибератаки. |
Представители банковского сообщества поддерживают намерение регулятора создать лабораторию. Илья Зибарев, председатель правления банка «Русский стандарт» ожидает, что результатами работы могли бы стать своевременные и полноценные расследования инцидентов для разработки соответствующих мер защиты на государственном уровне.
Мы готовы принять участие в проекте ЦБ и делиться своим опытом в противодействии и предупреждении преступлений в сферах карточного бизнеса, дистанционного банкинга, торгового и интернет-эквайринга. |
За последние два года технологии хакеров существенно продвинулись, фактически кибератаки переросли в глобальный бизнес. Банки уже не в состоянии самостоятельно справиться с этой угрозой, именно поэтому в ситуацию решил вмешаться регулятор. В рамках лаборатории будут отрабатываться сценарии, готовность технологий защиты, их прочность, критические показатели, всё это может быть крайне полезным для российских банков. |
Этот оптимизм разделяют не все банкиры. По мнению собеседника «Известий» из Топ-50 банков - создание такой лаборатории в ЦБ мало что даст участникам рынка, поскольку кибератаки готовятся в условиях строгой секретности, их предотвращение поэтому может быть затруднено.
Существование такой структуры было бы полезным, однако создавать ее, возможно, следовало бы на базе силовых структур, поскольку экспертиза предполагает знание не только технологий, но и поведения мошенников, их взаимосвязей и организаций в группы. |
Подключение к SOC "Информзащиты"
Подключение к FinCERT дает возможность финансовым организациям оперативно узнавать об основных типах и механизмах реализации кибератак, а также об успешных методах противодействия подобного рода атакам. К сожалению, несмотря на детальное описание ключевых индикаторов компрометации, предоставляемое FinCERT, немногие финансовые организации могут на практике воспользоваться ими для выявления кибератак в своих системах, ввиду незрелости собственных процессов мониторинга инцидентов. Для решения такого рода задач возникла необходимость подключения к информационному обмену компании с успешно функционирующим Security Operation Center (SOC).
В сентябре 2016 года «Информзащита» стала первым интегратором в области информационной безопасности среди участников информационного обмена с FinCERT. SOC «Информзащиты» ежесекундно получает данные от тысяч устройств в сетях подключенных к нему финансовых организаций. Эксперты-практики «Информзащиты» в режиме 24/7 преобразуют информацию из бюллетеней FinCERT в правила выявления сценариев реализации угроз и признаков компрометации систем. Это позволяет достичь максимальной оперативности в выявлении и реагировании на инциденты ИБ в подключенных к SOC кредитных организаций.
FinCERT: За 12 месяцев в банках России похищено 1,37 млрд руб
19 июля 2016 года созданный Банком России Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (FinCERT) подвел итоги первого года деятельности. В отчете были представлены наиболее распространенные схемы кибермошенничества и способы противодействия злоумышленникам.
По данным FinCERT, с июня 2015 года по май 2016 года было зафиксировано более 20 крупных кибератак на платежные системы кредитных организаций. В рамках этих нападений преступники пытались украсть 2,87 млрд рублей. В сотрудничестве с банками и правоохранительными органами FinCERT удалось предотвратить хищение более 1,5 млрд рублей. Таким образом, хакеры смогли похитить около 1,37 млрд рублей у российских банков.
Согласно данным ЦБ, наиболее распространенной схемой мошенничества является массовая рассылка по электронной почте писем с вирусом. Вирусы типа Trojan.Downloader могут незаметно для пользователя устанавливать на компьютеры вредоносные программы, другие, например, позволяют злоумышленникам шифровать данные, за их «разблокировку» программа требует оплату.
Еще один распространенный метод мошенничества — SMS-рассылка от имени ЦБ или кредитных организаций. Особенно популярны рассылки с использованием номеров 8-800. Обманутые клиенты банков сообщали злоумышленникам личную информацию, которая использовалась для кражи денег или продавалась другим мошенникам.
В FinCERT отмечают низкую активность участников информационного обмена, не уведомляющих центр в силу различных причин о факте проведения DDoS-атак.
Схемы хищений денежных средств становятся более изощренными. Мошенники быстро совершенствуют свои методы, а применяемые ими технологии модифицируются, — подчеркнул заместитель начальника Главного управления безопасности и защиты информации Центробанка России Артем Сычев. |
2015: Создание центра
FinCERT был создан как структура Банка России в июне 2015 года. Главной задачей Центра является противодействие злоумышленникам путем взаимного информирования и оповещения участников банковского сообщества об уязвимостях, угрозах и рисках, с которыми каждому из них приходится сталкиваться.
Смотрите также
- Информационная безопасность в банках
- Политика ЦБ в сфере защиты информации в банковской системе
- Потери банков от киберпреступности
- Единая биометрическая система (ЕБС) данных клиентов банков
- Киберпреступность
- Кибератаки
- CERT-GIB Computer Emergency Response Team - Group-IB
- KZ-CERT Казахстанская государственная Служба реагирования на компьютерные инциденты
- CERT-UZ Отдел технической безопасности в структуре государственного унитарного Центра UZINFOCOM
- Компьютерная группа реагирования на чрезвычайные ситуации Китая (CERT)
- CERT NZ
- Национальный центр по защите данных системы здравоохранения Норвегии (HelseCERT)
- ↑ ЦБ поддержал создание единой базы о мошенниках рамках ФинЦЕРТа
- ↑ ФинЦЕРТ окончен. Банк России меняет подход к информационной безопасности
- ↑ ФинЦЕРТ назвал главный источник утечек банковских данных россиян
- ↑ ЦБ заблокировал свыше 2,1 тыс. доменов в 2018 году
- ↑ Банк России создал департамент информационной безопасности
- ↑ Количество участников информационного обмена с ФинЦЕРТом выросло на 65%
- ↑ Аdroit Data Recovery Centre (ADRC) — центр восстановления данных в Юго-Восточной Азии. Компания заключила контракты с министерствами и международными коммерческими банками. Клиенты компании действуют в Индонезии, Таиланде, Гонконге, Китае, Японии, США, Европе. Организация занимается восстановлением паролей, операционных систем, утерянных данных с флэш-носителей, ноутбуков, жестких дисков, RAID, NAS. В центре работает подразделение компьютерной криминалистики
- ↑ ЦБ вооружит банки защитой против хакеров