Начать обмен

Защита от угрозы: что рекомендует Центробанк

Дата: 22.06.2016

Защита от угрозы: что рекомендует Центробанк
Недавно состоялась конференция, посвященная защите финансового сектора от киберугроз. На ней были озвучены конкретные рекомендации, призванные защитить информацию еще на этапе ее разработки. Также ожидается создание единой базы киберпреступников – частных лиц и предприятий, которые незаконно присваивают разные данные.

Александр Чебарь, эксперт из Банка России, а также Артем Сычев, сотрудник службы безопасности финансового учреждения, озвучили план действий. Прежде всего, защита данных будет осуществляться при помощи шифрования. Но оно будет применяться еще на стадии пребывания информации в учреждении, которое проводит соответствующую финансовую операцию.

При разработке этого решения учитывался опыт организаций аналогичного профиля по всему миру. Также были проанализированы случаи хищения средств у коммерческих структур. Сегодня это предложение еще обсуждается, но как только стороны придут к консенсусу, оно будет оформлено как нормативный акт. В ЦБ ожидают, что такой подход существенно уменьшит количество хищений, поскольку условия для совершения преступления станут слишком сложными.

По словам банкиров, к незаконному проникновению может привести любой внешний источник, даже безобидное на первый взгляд письмо. Так, Евгений Калашников, начальник службы информационной безопасности крупного финансового учреждения Бинбанк утверждает, что вредоносный продукт в некоторых ситуациях замаскирован под резюме кандидата на определенную должность. Для отправки платежей в Центробанк большинство финансовых учреждений используют реестры в виде XML-файла. Канал, при помощи которого они оправляются в ЦБ, практически не имеет защиты. Поэтому, преступникам не составляет труда внедрить в него фиктивный документ, на котором наряду с легитимными платежками ставится электронная подпись. В дальнейшем документ направляется в определенное финансовое учреждение и внедренный в него вирус атакуют систему. А преступники получают доступ к средствам из реестра, переводят их в другую местность и там обналичивают.

Александр Чебарь обращает внимание, что часто преступники оформляют золотую карту на подставных лиц. По условиям заключенного с банком соглашения, держатель карты вправе снимать большие суммы наличных. Поэтому при использовании реестров будет введена дополнительная мера безопасности – создана база данных, в которой сгруппированы все случаи снятия наличных. Как сообщили сотрудники ЦБ, Банк России в сотрудничестве с исполнительной властью работают над созданием соответствующего закона о формировании такой базы.

Эти меры станут первыми практическими шагами, призванными защитить финансовую сферу от киберугроз. Причем, ущерб от нападок со стороны последних постоянно увеличивается. Так, начиная с последнего квартала 2015, более двадцати банков подверглись нападениям и потеряли 2,8 миллиарда рублей. В порядке пресечения незаконных действий более миллиарда рублей заморожено на счетах, а также приостановлено операций на 500 миллионов рублей. Преступникам удалось завладеть средствами более чем на один миллиард рублей. По словам одного из руководителей МВД Евгения Михеева, аппетиты злоумышленников постоянно увеличиваются. Если сначала похищали максимум 50 млн. рублей, то сегодня отсчет начинают с половины миллиарда. Некоторые банкиры, например, Лев Хасис, считает, что официальные цифры явно занижены и в 2015 украдено около 50 млрд. рублей.

Некоторые банки страдают от простого отсутствия опыта у их сотрудников в соответствующей сфере. По словам Александра Виноградова, одного из руководителей Златкомбанка, освоение и внедрение предложенного ЦБ варианта, связано с определенными трудностями. Так, компания, разрабатывающая АБС, должна обладать лицензией ФСБ. Чтобы получить ее необходимо иметь среди сотрудников двух специалистов, которые не менее трех лет отработали в области шифрования и прошли специальное обучение. Сегодня найти подобных работников достаточно проблематично и ситуация кардинально не улучшится в ближайшие три года. Предложенный вариант фактически снимает с ЦБ всякую ответственность и ставит финансовое учреждение перед необходимостью потратить порядка пяти миллионов рублей на настройку подходящего АБС.

Тогда как сотрудники ЦБ утверждают, что для вопросов, возникающих с электронной подписью, вполне достаточно обучить штатных специалистов. Кроме того, для освоения новой системы предусмотрят переходный период, но его длительность пока не озвучена. Подобные оптимистические заверения не успокаивают банкиров. Они считают, что новая система не способна обеспечить полную защиту от кибератак. Ведь злоумышленники, которые уже проникли в систему, могут применить и другие технологии, чтобы взломать реестр.

Комментарии: (8)
  • Пользователь #36107923564613 27 Июня 2016, 14:26
    Я очень рад что, Центробанк дает советы, нужно чаще к ним прислушиваться! Их рекомендации я соблюдаю уже который год! Опыт в этом деле очень важен, поверьте!
    • Пользователь #36107923564613 27 Июня 2016, 14:27
      Я очень рад, что Центробанк дает советы по этому поводу, нужно чаще прислушиваться! Я уже который год прислушиваюсь к этим простым рекомендациям!Опыт в этом деле нужен,поверьте лично мне и моему опыту!
      • Пользователь #69014556902549 27 Июня 2016, 14:44
        НАКОНЕЦ-ТО РЕШИЛИ СОБРАТЬСЯ И ОБСУДИТЬ ПРОБЛЕМУ КИБЕРУГРОЗ.ДУМАЕТСЯ ЧТО ПРИМУТ ХОРОШИЕ МЕРЫ
        • Пользователь #34161845957674 27 Июня 2016, 15:14
          Слыхал что в США сейчас кибератаки настоящая проблема,и ее считают проблемой №1 финансовых потоков в США и за их пределами.Так что нам,в России,нужно как можно быстрее вводить качественную защиту,будь то шрифт,шифр или еще что-то...
          • Пользователь #43167744943184 27 Июня 2016, 15:49
            Ну это и понятно для того чтоб ввести что то новое нужно время. Тем более если новшества как сейчас принято высокотехнологичные.
            • Пользователь #31000476874925 27 Июня 2016, 15:58
              Если искать сотрудников с опытом в области шифрования так сложно, пусть ЦБ устроит специальные курсы, где будут обучать защите данных. Сотрудники главных офисов банков будут обучаться на них, а потом проведут подобные курсы на местах. Зачем все всегда усложняют?
              • Пользователь #31074576994225 27 Июня 2016, 17:22
                Чувствуется, что киберсистема совершеннее финансовой структуры. Надо постигать новые технологии. Одной безопасности тут мало будет.
                • Пользователь #66258481704357 27 Июня 2016, 17:37
                  ЦБ, конечно, может требовать от банков всё что угодно. Однако выполнить это требование могут только те игроки, которые разрабатывают свой собственный банковский софт.

                  Оставить комментарий *
                  Введите ваше имя
                  Примечание: Поля отмеченные звездочкой обязательны для заполнения
                  Наши клиенты о нас
                  • Я обменял первый раз, доволен все быстро за 7 мин на карточку , и отлично
                    Адам, 29 Мая 2017, 13:29
                  Ошибка