Спецпроекты

Российские банки перестанут наказывать за атаки хакеров

Безопасность Бизнес ИТ в банках ИТ в госсекторе

Банк России проведет реструктуризацию своего департамента информационной безопасности. ФинЦЕРТ, основное подразделение департамента, отвечающее за реагирование на компьютерные инциденты, будет расформировано, а его функции — надзор над деятельностью банков в сфере ИБ и мониторинг киберрисков — перейдут другим управлениям.

Центробанк реструктурирует службу безопасности

Банк России (Центробанк, ЦБ) приступил к капитальной реструктуризации своего департамента информационной безопасности (ДИБ). Скорее всего, как пишет «Коммерсант», это приведет к расформированию подразделения «ФинЦЕРТ» (CERT, computer mergency response team, группа реагирования на компьютерные инциденты), которое с 2018 г. имеет статус управления в структуре ДИБ.

Основная цель, которой может руководствоваться ЦБ, — попытка разнести функции надзора над деятельностью банков в сфере ИБ и функции мониторинга киберрисков по разным управлениям, чтобы банки, обращаясь за помощью, не получали наказание, как это происходит сейчас. В настоящее время обе эти функции выполняет «ФинЦЕРТ».

По информации «Коммерсанта», в ЦБ подтвердили, что с 5 ноября 2020 г. поменялась структура ДИБ. «Изменения связаны с необходимостью усиления основных бизнес-процессов. От них зависит достижение целевых показателей, предусмотренных "Основными направлениями развития ИБ кредитно-финансовой сферы на период 2019–2021 гг."», — сообщили представители ЦБ. Среди таких процессов — обработка информации о противодействии операциям без согласия клиентов финансовых организаций, которая поступает в ЦБ от участников информационного обмена. Кроме того, усиливается направление риск-ориентированного надзора за обеспечением финансовыми организациями киберустойчивости и операционной надежности.

Банк России убирает «ФинЦЕРТ», чтобы участники рынка получали помощь, а не наказание

Пока неизвестно, как будет выглядеть новая структура, также, возможно, останется и название «ФинЦЕРТ», так как на раскрутку этого бренда ушло пять лет, однако функции будут переданы другим управлениям.

На сегодняшний день в системе информационного обмена «ФинЦЕРТа» участвуют более 800 организаций, в том числе все российские банки, а также правоохранительные органы, провайдеры, операторы связи, системные интеграторы, разработчики антивирусного ПО и другие компании, работающие в сфере ИБ. Подключиться к системе информационного обмена может любой участник финансового рынка или компания, работающая в области защиты информации в финансовой сфере.

Почему банки недовольны работой «ФинЦЕРТа»

Главная задача «ФинЦЕРТа» — обеспечивать ИБ кредитно-финансовых организаций путем взаимного информирования и оповещения участников финансового рынка об уязвимостях, угрозах и рисках, с которыми им приходится сталкиваться, и о методах их предотвращения. Проще говоря, «ФинЦЕРТ» собирает от банков информацию о кибератаках, анализирует ее и на этой основе информирует их об актуальных угрозах кибербезопасности, а также разрабатывает рекомендации по отражению хакерских атак. Также «ФинЦЕРТ» взаимодействует с правоохранительными органами и оперативными службами ФСБ. Оперативный обмен информацией о компьютерных атаках с банками ведется в том числе с помощью автоматизированной системы обработки инцидентов (АСОИ).

На сегодняшний день предоставление информации в «ФинЦЕРТ» не является для финансовых организаций обязательным и происходит на добровольной основе. Тем не менее статус «ФинЦЕРТа» был спорным, по мнению участников рынка, изначально, так как, обращаясь в «ФинЦЕРТ» с сообщением об инциденте, банк тем самым давал повод для проверки и наказания самого себя, пишет «Коммерсант». Поэтому о части инцидентов банки просто умалчивали.

Качество помощи тоже оставляет желать лучшего. Как предположил один из собеседников «Коммерсанта», последней каплей могла стать история с выводом средств через систему быстрых платежей в августе 2020 г. «ФинЦЕРТу» понадобилось около двух недель, чтобы предупредить рынок об этой уязвимости, а потом выяснилось, что обращения ряда банков об инцидентах с СБП, в том числе и за 2019 г., не были рассмотрены вообще.

Участники рынка надеются, что в новой структуре функции ДИБ будут разнесены по различным управлениям, а специализация работы позволит работать более оперативно. Однако, как пишет «Коммерсант», это может сыграть злую шутку, так как после реструктуризации проверки банков со стороны регулятора могут ужесточиться.

Как сформировалась существующая структура

«ФинЦЕРТ» был создан в Центробанке в 2015 г. Тогда же была оборудована лаборатория компьютерной криминалистики и введена в работу АСОИ. Однако вопросов, связанных с кибербезопасностью, меньше не стало.

В сентябре 2017 г. Центробанк ужесточил требования по кибербезопасности кредитных организаций, потребовав от них разработать политику сотрудничества со сторонними компаниями, нанятыми для обеспечения информационной защиты.

В ноябре 2017 г. Центробанк предложил публичным компаниям добавить в советы директоров специалистов по ИБ и ИТ. В феврале 2018 г. в Центробанке было принято решение создать ДИБ. Тогда же регулятор составил список угроз безопасности при работе с биометрическими данными в госорганах и банках. В марте 2018 г. был предложен стандарт оказания ИБ-услуг для финансовых организаций, соблюдение которого является добровольным.

Наконец в мае 2018 г. в Центробанке был создан ДИБ. Для этого главное управление безопасности и защиты информации банка было разделено на две независимые структуры — департамент информационной безопасности и департамент безопасности. Базой для формирования ИБ-департамента стал Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере («ФинЦЕРТ»), который получил статус управления.

Также в начале мая 2018 г. Центробанк опубликовал проект стандарта обеспечения ИБ финансовых организаций России, который должен нормировать обмен информацией о кибератаках, что сделает предоставляемые банками данные более достоверными. ФСБ рассмотрело данный стандарт на предмет соответствия требованиям к информации, поступающей в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). Стандарт предполагал, что «ФинЦЕРТ» будет обмениваться данными с ГосСОПКА.