ОБЗОР СМИ
Зампред ЦБ: «Траты на обеспечение информационной безопасности неизбежны»
Затраты на обеспечение информационной безопасности неизбежны, это общемировой тренд, заявил заместитель председателя ЦБ Дмитрий Скобелкин на X Уральском форуме «Информационная безопасность финансовой сферы».
«Затраты на обеспечение информационной безопасности неизбежны, но это общемировой тренд. Коль скоро такая угроза растет, ее нужно локализовать. Для этого нужны в первую очередь деньги», — подчеркнул Скобелкин.
По его мнению, это объективная необходимость для достижения конкурентоспособности на финансовом рынке.
ЦБ разработает национальные стандарты по информационной безопасности
Центральный банк планирует разработать проекты национальных стандартов по информационной безопасности в 2018 году. Об этом заявил заместитель председателя Банка России Дмитрий Скобелкин на X Уральском форуме «Информационная безопасность финансовой сферы».
«В 2018 году Банк России в рамках технического комитета по стандартизации планирует разработать проекты национальных стандартов, которые будут определять общие подходы обеспечения информационной безопасности, управления рисками реализации информационных угроз, требования и меры к организации управления инцидентами информационной безопасности», — сказал в ходе выступления Скобелкин.
Кроме того, регулятор планирует ввести в действие стандарт Банка России, определяющий технические форматы электронных сообщений для информирования ЦБ РФ о выявленных инцидентах в 2018 году, добавил он.
Россвязь: банки никогда не будут заниматься услугами связи
Классические банки никогда не будут предоставлять услуги связи. Такое мнение высказал заместитель руководителя Федерального агентства связи (Россвязь) Роман Шерединна X Уральском форуме «Информационная безопасность финансовой сферы».
«Если мы говорим о деятельности как таковой, операторов связи и банков, то эта деятельность будет все равно разная и будет иметь границы. Если мы говорим о процессе слияния и поглощения активов, когда некая структура будет оказывать и услуги связи, и финансовые услуги в одном флаконе, то банкам сейчас неинтересно подключение услуг связи потребителем, им интересны сопутствующие услуги. Мое глубокое мнение, что не будет никогда, чтобы классический банк занимался услугами связи, а мобильный оператор был банком», — рассказал он в ходе выступления.
Банк России создаст департамент информационной безопасности
Банк России создаст специализированный департамент информационной безопасности, который возьмет функции отраслевого центра. Об этом рассказал заместитель председателя ЦБ Дмитрий Скобелкин на X Уральском форуме «Информационная безопасность финансовой сферы».
«На днях руководством Банка России было принято решение о создании специализированного подразделения — департамента информационной безопасности Банка России, который и возьмет функции отраслевого центра. Также будет создан центр компетенции по информационной безопасности в кредитно-финансовой сфере», — рассказал он в ходе выступления.
Основными задачами центра компетенции станут организация и координация работ по совершенствованию форм и методов взаимодействия финансовых организаций по вопросам обеспечения информационной безопасности и повышения их готовности к противостоянию информационным угрозам.
Система мониторинга сомнительных счетов заработает к марту 2018 года
Центробанк, Роскомнадзор и Росфинмониторинг к марту этого года создадут IT-систему учета активов, замороженных из-за подозрения их владельцев в финансировании терроризма. Мониторинг будет касаться средств, находящихся в банках, микрофинансовых и управляющих компаниях, операторах мобильной связи. Создать новый механизм было решено на недавнем совещании в Росфинмониторинге, пишут «Известия».
«Ввести систему учета активов, замороженных по решениям Межведомственной комиссии по противодействию терроризму по подозрению в отмывании денежных средств и находящихся в поднадзорных организациях частного сектора», — говорится в протоколе совещания.
Сейчас банки, МФО, управляющие компании, НПФ и операторы сотовой связи передают сведения только о подозрительных операциях клиентов в Росфинмониторинг. Служба блокирует их по решению Межведомственной комиссии по противодействию финансированию терроризма. Она заработала в 2015 году, ее возглавляет директор Росфинмониторинга Юрий Чиханчин.
Благодаря новой системе ЦБ, Роскомнадзор и финразведка начнут оперативно оповещать правоохранительные органы о «токсичных» активах людей, подозреваемых в содействии терроризму. Средства будут конфисковываться, что позволит предотвращать теракты, рассказал газете источник, близкий к Росфинмониторингу.
«Нововведение дополнит действующий механизм. IT-система может быть создана на базе ведомства при содействии ФСБ», — добавил собеседник издания.
У такой системы много плюсов, уверена управляющий партнер аудиторской компании «2К» Тамара Касьянова. Это систематизация информации, сбор статистики, обмен данными с зарубежными финансовыми организациями, которые занимаются подобной деятельностью, поясняет она. Нововведение соответствует мировой практике, отметила эксперт. В США подобный механизм заработал после сентябрьских терактов в 2001 году.
PSD2 позволит россиянам переводить деньги по номеру телефона в 2019 году
Россияне в 2019 г. смогут переводить деньги друг другу по номеру телефона без привязки к банковским картам. Это станет возможным благодаря тому, что Россия внедрит и законодательно закрепит принципы платежной директивы европейской платежной директиве PSD2.
В Евросоюзе PSD2 действует с января 2018 г. Как рассказал «Известиям» источник, близкий к ситуации, в России данный вопрос сейчас прорабатывает ассоциация «Финтех» при ЦБ.
Директива PSD2 обяжет баки открыть свои клиентские базы и программные интерфейсы (API) третьим лицам, в том числе сотовым компаниям. В этом случае при переводе денежных средств участие платежной системы не требуется, таким образом деньги можно перечислять даже не зная номера карты получателя.
Читайте также: Развитие открытых API на рынке финансовых услуг – баланс между инновациями и финансовыми рисками потребителей
«По инициативе Банка России в «Финтехе» открыто отдельное направление по развитию открытых API, — сообщили «Известиям» в ЦБ. — В рамках данного направления будут определены подходы к их реализации в России, проведены пилотные проекты, разработаны стандарты и методические документы».
Предполагается, что данные о клиентах и интерфейсы банки будут раскрывать не бесплатно. Тарифы за эту услугу еще не определены.
Минкомсвязи согласовывает законопроект о предоставлении банкам информации о SIM-картах
Законопроект об информировании банков мобильными операторами о замене клиентами SIM-карт проходит согласование с Минкомсвязью. Об этом заявил зампред ЦБ Дмитрий Скобелкин а кулуарах Х Уральского Форума «Информационная безопасность финансовой сферы».
«Остались небольшие моменты, которые мы с Минкомсвязи согласуем и презентуем систему, которая позволит безопасно пользоваться телефоном при осуществлении транзакций», — сказал Д. Скобелкин.
Законопроект может быть внесён на рассмотрение в 2018 г., добавил зампред ЦБ. Замначальника главного управления безопасности и защиты информации ЦБ РФ Артем Сычев пояснил, что банки должны получать информацию о замене SIM-карт клиентами, чтобы проводить безопасные транзакции.
Напомним, также с 1 июля 2018 года в силу вступит законопроект, который запрещает распространение анонимных SIM-карт. Для банковского и платёжного сообщества данный законопроект важен тем, что направлен на борьбу с рынком SIM-карт, зарегистрированных на подставных лиц.
АКРА: государство опоздало с созданием банка «плохих» долгов на десять лет
Создание банка «плохих» долгов пошло бы на пользу российской банковской системе. Об этом на конференции «Основные макротренды: процентный риск вместо валютного, санкции, регуляторные факторы, рост аппетита к риску» заявил руководитель группы финансовых институтов АКРА Кирилл Лукашук. По его мнению, это надо было сделать еще десять лет назад.
«Государство опоздало с этим лет на десять, это нужно было делать еще в 2009 году. 2009-й с точки зрения восстановления экономики и банковского сектора был достаточно резким. Показалось, что все уже хорошо и дальше будет так же. А на самом деле мы пришли к затянувшемуся структурному кризису. Большая часть корпоративных заемщиков чувствует себя хуже. Все заемщики, которые вышли в категорию проблемных, их финансовое положение не восстанавливается, а делается только хуже», — отметил Лукашук.
По его словам, кредиты, выданные таким заемщикам, продолжают оставаться на балансах банков. Кредитные организации вынуждены тратить операционные расходы на работу с этими проблемными задолженностями.
«В прошлом году мы заметили сдвиг. Крупные институты направили существенную долю средств на работу с проблемкой, потому что, даже если ты устанавливаешь 3—4% от номинальной стоимости, ты уже зарабатываешь, твой риск уже зарезервирован», — добавил Лукашук.
По его словам, динамика так называемых безнадежных активов не радует: цифры выросли с 1,6 трлн рублей на 2014 год до 3,8 трлн рублей на текущий момент. Почти все эти безнадежные ссуды зарезервированы, подчеркнул он. При этом препятствий для передачи этих зарезервированных ссуд с баланса банка на баланс специальной кредитной организации, по словам эксперта, не существует.
«Это удивительно, но в России до сих пор нет единого крупного инфраструктурного инструмента для работы с проблемной задолженностью. В основном это работа по агентской схеме. Того фонда, который мог бы в деньгах абсорбировать эту проблемную задолженность, нет», — пояснил Лукашук.
При этом в агентстве видят больше плюсов от создания такого фонда. «Это может снизить операционные затраты банков на работу с такими активами, с одной стороны. С другой стороны, когда ты работаешь с большим пулом на системное уровне, рекавери выше», — сказал Лукашук, добавив, что это, в частности, показывает практика Ирландии.
В Москве пройдет финтех-встреча
19 февраля в DI Telegraph состоится встреча экспертов и предпринимателей в сфере финансовых технологий — Moscow FinTech Meetup: финансовое планирование.
Ее участники обсудят вопросы, связанные с грамотным распоряжением финансами:
- какие изменения технологий и поведения пользователей меняют логику и суть финансового планирования;
- как установка и следование финансовым целям становится обязательной составляющей всех продуктов;
- почему «демократизация» финпланирования важна сегодня, в условиях дефицита пенсионных накоплений и стоимости медицинского обслуживания.
Программа мероприятия:
- Daniel Gusev — Fintech Moscow, Russian Fintech Association, Gauss Ventures.
Кратко о Fintech Moscow и FM-митапах: вводная часть в тему глобальных и локальных тенденций финансового планирования. - Микола Чумак — основатель киевского дизайн-бюро IDNT, проектирующей ритейл-пространства в том числе для финансовых институтов.
Изменение подхода и «упаковки»: услуги финансового планирования в оффлайне и цифровые сервисы в проектировании отделений. - Антон Тодосийчук — исполнительный директор, начальник отдела развития платформы удаленных каналов обслуживания, «Банк XXI» – Сбербанк.
Демократизация финансовой грамотности через каналы самого большого банка Восточной Европы. - Антон Красненков — старший директор департамента инноваций и стратегических партнерств, Visa.
Через инновации к финансовой грамотности: взгляд компании Visa. - Денис Кучкин — генеральный директор Септем Капитал и основатель финсервиса Yango, обеспечивающего простой интерфейс вложений средств в ценные бумаги.
Долгосрочное планирование и инвестиции в Финансовом ритейле.
Враг внутри: почему хакеры обыгрывают банкиров
Банки тратят миллионы на обеспечение информационной безопасности, однако множество инцидентов заставляет усомниться в целесообразности некоторых трат. Например, таких, как вслучае с «Металлинвестбанком», когда потери составили 200 млн рублей, или с «Глобэксом», который, по слухам, чуть не лишился 75 млн долларов. Поэтому есть смысл проанализировать, разумно ли финансовые учреждения распоряжаются доступными им ресурсами.
Студенты без экзаменов
Мы поинтересовались у 170 российских компаний, как распределяется их бюджет на информационную безопасность (ИБ). Почти четверть респондентов (23%) представляли банковскую отрасль. Как выяснилось, лишь 13% банков используют целостный подход к защите от киберугроз, не ограничиваясь мерами, обусловленными требованиями законодательства. К слову, именно благодаря требованиям законодательства и руководящих документов (например, таких как СТО БР и PCI DSS) все финансовые учреждения повышают осведомленность сотрудников в вопросах ИБ. Другой вопрос, что проверяют эффективность такого обучения чуть больше половины (57%). Это все равно что у половины студентов отменить экзамены в расчете на их сознательность!
Как мы знаем, фишинг представляет серьезную угрозу для любой компании. Мало кто из банковских специалистов, занимающихся вопросами информационной безопасности, не слышал об атаках Carbanak и Cobalt. Эти группировки активно использовали фишинговую рассылку. В частности, вредоносные документы группы Cobalt в 2017 году имитировали предупреждения Центробанка, Visa и Mastercard, причем рассылка велась не только по рабочим, но и по личным почтовым ящикам сотрудников банков. Фишинговые письма отправлялись и с почтовых адресов взломанных контрагентов. Такой подход увеличил долю открывших вложения от Cobalt сотрудников в два – два с половиной раза, хотя обычно фишинг срабатывает в 20–30% случаев (что, впрочем, тоже весьма чувствительно). Очевидно, что ограничиваться формальным подходом к обучению сотрудников основам ИБ просто опасно.
Сайты и запоздалые инсайты
Немало проблем связано с веб-приложениями. Через нихвзламывали даже таких защищенных «монстров», как JPMorgan Chase, где после утечки 83 млн персональных данных пообещалиувеличить затраты на ИБ вдвое, до полумиллиарда долларов. До сих пор наши специалисты в ходе пентестов в трех из четырех случаевпреодолевают сетевой периметр и проникают в локальную сеть компании, используя именно уязвимости веб-приложений. После отчетов Gartner и Verizon всем известно, что веб-приложения уязвимы, но поддерживать в актуальном состоянии их безопасность достаточно сложно: они регулярно требуют улучшений и доработок.
Пытаясь уложиться в сроки, разработчики полностью фокусируются на функциональности, ненароком создавая все больше уязвимостей в исходном коде приложения. Кроме того, идеальную картину подпортят сервисы подрядчиков, защищенность которых не всегда возможно контролировать, а также еще не поддерживаемые разработчиками legacy-приложения. В защите веб-приложений от кибератак помогают межсетевые экраны прикладного уровня ( Web Application Firewall). Однако, как показало наше исследование, в 2017 году в России для защиты веб-приложений их применяют менее трети всех опрошенных банков (27%). Даже среди банков, лидирующих по выделяемому ИБ-бюджету, этот показатель составляет лишь 70%.
Чтобы поймать вайфай, думай как вайфай
По нашим оценкам, в 36% систем сетевой периметр удается преодолеть из-за недостаточной защиты беспроводных сетей. Так, например, во время одного из аудитов безопасности специалисты Positive Technologies прямо со стоянки возле офиса смогли подключиться к корпоративной сети компании, перехватить учетные записи нескольких сотрудников и получить все возможности для развития атаки внутри сети.
Об опасности автоматического подключения мобильных устройств к знакомым сетям специалисты говорят не первый год: злоумышленники могут использовать поддельную точку доступа для перехвата паролей и логинов и другой конфеденциальной информации. В 2016 году с помощью подобных атак специалисты Positive Technologiesуспешно перехватывали аутентификационные данные в 75% проектов по анализу защищенности. Но почти каждый четвертый опрошенный нами банк уверен в безопасности своих беспроводных сетей и никогда не проводил анализ их защищенности, еще половина делала аудит только после инцидента.
Подозрительная активность
Представим, что преступник уже попал в сеть и пытается захватить контроль над критическими рабочими станциями (АРМ КБР, например). Выявить подозрительную активность возможно с помощью грамотно настроенных SIEM-систем. Однако подобные системы установлены лишь у 65% банков.
Но самая любопытная история была связана с атаками шифровальщиков. WannaCry и NotPetya, кажется, научили бизнес своевременно устанавливать обновления безопасности для исключения уязвимостей. Но нет, у 25% банков-респондентов отсутствует контроль установки обновлений ПО, а 8% не отслеживают появление информации о новых уязвимостях.
Можно предположить, что кредитные организации не осознают потенциальный ущерб. Но более половины участников нашего опроса оценили предполагаемые потери от кражи базы данных клиентов в сумму более 50 млн рублей. Треть оценивают минимальный ущерб от нарушения деятельности в течение одного дня в 50 млн рублей. Эти суммы превышают годовой бюджет на ИБ большинства опрошенных финансовых учреждений, который ограничивается суммами в 20–40 млн рублей.
Как мы видим, российские банки хорошо понимают возможные потери, но, видимо, считают, что достаточно защищены или что ничего серьезного с ними приключиться не может. Средства антивирусной защиты, межсетевое экранирование и виртуальные частные сети, демилитаризованные зоны, IPS/IDS, средства резервирования – эти компоненты в той или иной мере присутствуют в каждом банке, поскольку необходимость их использования закреплена на законодательном уровне в части требований по защите информации. Однако тенденции кибератак показывают, что стандартные средства защиты перестали быть серьезной преградой для целевой атаки на любую организацию. Значит, нужно применять новые технологии и совершенствовать свою защиту. При этом только 13% опрошенных организаций финсектора применяют комплексный подход к защите от киберугроз, не ограничиваясь базовыми средствами защиты. Остальные же оставляют лазейки для киберпреступников: уязвимые веб-приложения, открытые порты на сетевом периметре и другие уязвимости. Для таких компаний и банков опасность может прийти откуда угодно.
Сегодня целенаправленные атаки на банки не требуют особых финансовых затрат: вместо специальных сканеров может быть использован Google, вместо уязвимостей нулевого дня – эксплойт-паки, слитые группой The Shadow Brokers. Согласно нашему опросу, каждый восьмой банк не проводит инвентаризации своих ресурсов, а каждый третий делает это только для получения информации о ресурсах и не оценивает их защищенность.
Как бороться?
Основной принцип – не закрывать глаза на проблему, а находить ее оптимальное решение. Если отказ от установки актуальных патчей для печально знаменитого протокола SMBv1 связан с опасениями по поводу корректности работы бизнес-процессов, значит, необходимо принимать альтернативные шаги, выделяя такие системы в отдельный сетевой сегмент и блокируя к нему доступ из пользовательской сети.
Любой банк проводит тренировочные учения на случай пожара, но как действовать при блокировке шифровальщиком рабочих станций – не всегда знает даже специалист по ИБ. При трудоустройстве в банк нового сотрудника служба безопасности, как правило, неделями проверяет его биографию. Однако к инструктажу сотрудников в вопросах ИБ в большинстве случаев банки подходят не столь внимательно. В итоге специалист вполне может открыть зараженное письмо с очередной счет-фактурой, передавая управление своим ПК неизвестному киберпреступнику.
Каждая финансовая организация – мишень для терпеливых, скрупулезных целевых атак. В подобных случаях традиционный набор средств информационной безопасности оказывается несостоятельным в девяти случаях из десяти. При этом такие атаки не требуют больших инвестиций. И если вы планируете защитить свой банк от группировок, подобных Cobalt, необходимо учитывать перечисленные особенности. Иначе того и гляди сбудется прогноз № 3 из « Гида пессимиста» агентства Bloomberg, в котором очередной взлом банка станет поворотным моментом к массовому снятию денег с депозитов и вложению их в биткоины.
Thales инвестирует в аппаратную безопасность использования блокчейн-технологии
В последние несколько лет криптовалюта стала самым обсуждаемым явлением и одновременно самым привлекательным направлением для венчурных инвестиций. Она сумела заинтересовать не только частных инвесторов, но и крупнейшие международные корпорации, в число которых вошел, несмотря на имеющиеся юридические ограничения, и ряд топовых российских игроков финансового рынка.
Успех этого абсолютно нового явления, выразившийся в неправдоподобном росте обменного курса наиболее распространенных криптовалют, в частности Bitcoin, был достигнут благодаря уникальным возможностям основополагающей концепции и технологии блокчейн.
С момента появления концепции, предложенной в сети ее анонимным создателем (или группой создателей) с ником Satoshi Nakamoto, и первой реализации в 2009 году в качестве ядра криптовалюты Bitocoin потребовалось всего несколько лет, чтобы обкатать и полностью продемонстрировать грандиозные возможности распределенных вычислений в сети, а самое главное – высочайший на настоящий момент уровень безопасности и защиты информации, обеспечиваемый в рамках блокчейн. Как результат – биткоин показал относительно стабильный экспоненциальный рост цены, и на конец 2017 года крупнейшие биткоин-кошельки хранили суммы, превышающие несколько миллиардов долларов, обеспечивая при этом своим владельцам декларируемую разработчиками полную анонимность.
Неудивительно, что технология блокчейн за короткое время привлекла внимание финансовых магнатов, спецслужб, правительств и разработчиков по всему миру, вдохновив на множество альтернативных ее применений. Например, в качестве потенциальной замены давно устаревшей межбанковской системы передачи информации и совершения платежей SWIFT, имеющей ряд технических недостатков, сильно политизированной и де-факто подконтрольной США. Новая перспективная система на основе блокчейн была бы лишена централизованного управления и контроля и при этом позволила бы практически мгновенно проводить межбанковские операции. Децентрализация же защищала бы участников «нового блокчейн-SWIFT» от политического давления, включая шантаж возможностью «отключения» неугодных от системы.
В то же время нельзя не отметить, что рост популярности и цены криптовалюты сделал этот рынок самым привлекательным и одним из самых рискованных с точки зрения всевозможных мошеннических схем. Обеспечивая безопасность самой системы, технология блокчейн никак не решает вопрос безопасности отдельных ее участников, т. е. владельцы криптовалюты несут целиком и полностью персональную ответственность за защиту своих кошельков и активов.
Практически все существующие на данный момент на рынке сервисы, работающие с блокчейном, такие как криптобиржи и криптокошельки, реализованы без использования аппаратных шифровальных средств, что абсолютно неприемлемо с точки зрения практики и стандартов безопасности традиционных электронных платежей, например, PCI. Из-за отсутствия действующих стандартов и регуляторов в сфере криптовалют количество подобных сервисов, как и случаев их взлома, растет геометрически.
В ответ на это лидеры рынка защиты информации, такие как компания Thales e-Security, официальным д