Создание FinCERT Банка России происходило в русле глобальных тенденций в сфере информационной безопасности, проявляющихся и в нашей стране. Наряду с растущей активностью «высокотехнологичной» преступности, стали актуальными угрозы, исходящие от недружественных действий на государственном уровне, включая санкции, открытые и тайные кибервойны. Под ударом оказались не только средства отдельных граждан и компаний, но и информационные ресурсы целых отраслей и государства в целом.
ФИНАНСОВАЯ БЕЗОПАСНОСТЬ — ЧАСТЬ НАЦИОНАЛЬНОЙ
Исходя из современных реалий и учитывая действующие тенденции, многие государства озаботились вопросами как национальной, так и международной кибербезопасности. И далеко не в последнюю очередь в такой важнейшей отрасли, как кредитно-финансовая сфера. В 2011 году в США была принята «Международная стратегия США для киберпространства». В конце июля 2013 года Президент России подписал документ «Основы государственной политики РФ в области международной информационной безопасности на период до 2020 года». Институциональное воплощение сформулированных принципов было ускорено обострением международных отношений, связанным с кризисом на Украине.
Концепция государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (СОПКА) была утверждена 12 декабря 2014 года. В январе в 2015 году Президент России подписал Указ № 31с о создании этой системы. В дополнение к этому решению, Владимир Путин провёл заседание Совета безопасности РФ, в повестке которого был вопрос о создании Банком России для противодействия киберугрозам в кредитно-финансовой сфере подобной специализированной структуры, которая и получила название FinCERT. Можно сказать, что эта структура — отраслевой аналог государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на важнейшие IT-ресурсы страны.
Проработкой вопроса создания FinCERT занималась межведомственная рабочая группа, в которую вошли представители Банка России, ФСБ России, ФСТЭК России и Минкомсвязи РФ. Задачи новой структуры достаточно точно были отражены в расшифровке названия FinCERT — Центр мониторинга и реагирования на инциденты информационной безопасности в кредитно-финансовой сфере.
Учитывая нынешний статус Банка России как мегарегулятора, в сферу ответственности FinCERT последовательно включается информационная безопасность банков и платёжных систем, в том числе карточных, а в перспективе — также страховых компаний и финансовых рынков. Речь идёт о защите от криминальных посягательств не только клиентов банков, но и самих кредитных организаций, а также финансовых рынков, их участников — страховых, инвестиционных, брокерских и других компаний.
В мае по соответствующему решению Банка России началось формирование FinCERT в качестве организационного подразделения с правами управления, происходило первичное укомплектование штата кадрами, разрабатывались регламенты внутренней работы, взаимодействия с банками и правоохранительными органами. Курировать создание и работу FinCERT поручено Артёму Сычеву — заместителю начальника Главного управления безопасности и защиты информации Банка России, а руководить центром — Дмитрию Фролову, доктору политических и кандидату юридических наук.
УКОРОТ ЗЛОУМЫШЛЕННИКАМ
«Задача-максимум» FinCERT — добиться того, чтобы территория и кредитно-финансовая сфера России стали для «высокотехнологичных» злоумышленников малопривлекательными. «Задача-минимум» — способствовать обузданию роста количества инцидентов, чтобы они не превышали темпов развития информационной инфраструктуры, дистанционных сервисов, которые сейчас составляют 10–15% в год. Одним из контрольных показателей может служить отношение количества зарегистрированных инцидентов к объёмам электронных финансовых операций.
FinCERT Банка России, став «точкой фокусировки» совместной деятельности по противодействию криминалу в сфере банковской и платёжной информационной инфраструктуры, работает по трём основным направлениям:
- ведение мониторинга и анализа всех видов инцидентов информационной безопасности, формирование единой базы данных уязвимостей, видов и инструментария атак;
- оперативное предоставление участвующим в этой работе банкам аналитической и «горячей» информации о новых угрозах и атаках;
- взаимодействие с правоохранительными органами в расследовании инцидентов и пресечении активности «высокотехнологичной преступности».
1 июня 2015 года, как и было намечено, был дан старт работе FinCERT. В конце июня в пресс-центре Банка России была проведена пресс-конференция, посвящённая итогам первого месяца работы, на которой также были обозначены перспективы развития его деятельности. До конца года будет разработан порядок взаимодействия с платёжными системами, включая процедуры реагирования на инциденты информационной безопасности.
Разработки будут вначале носить рекомендательный характер, потом могут быть закреплены в статусе стандарта, а в дальнейшем быть включены в нормативные документы. Кроме того, FinCERT ведёт работу, направленную на внесение изменений в федеральные законы, которые позволят жёстче карать киберпреступления в кредитно-финансовой сфере, обмениваться информацией о злоумышленниках и приостанавливать сомнительные платежи.
При создании FinCERT учитывался существующий зарубежный и отечественный опыт. В разных странах, в первую очередь в США, Англии и странах Евросоюза, существует около 300 центров противодействия киберугрозам, включая государственные. В нашей стране подобные центры прежде существовали только в корпоративном формате, включая созданные «Газпромбанком», компаниями «Информзащита» и Group-IB.
К СИСТЕМНОМУ ВЗАИМОДЕЙСТВИЮ
Использовались и заделы, сформированные на ключевых отраслевых площадках — Уральском форуме «Информационная безопасность банков», в ходе дискуссий в Ассоциации российских банков, Ассоциации региональных банков России, с участием некоммерческих партнёрств, представляющих платёжные системы, страховые компании и финансовые рынки.
Учитывая высокий уровень развития информационной инфраструктуры кредитно-финансовой отрасли и массовое распространение дистанционных сервисов, противодействие банковского сообщества криминальной активности в этой сфере требовалось вывести на новый, более высокий уровень. И участники обсуждений неоднократно высказывались о необходимости создания FinCERT. Впервые такая инициатива был выдвинута около пяти лет назад, в 2010 году.
Отраслевое сообщество направляло официальные письма с развёрнутыми и аргументированными предложениями и в Банк России, и в МВД России. Банком России совместно с руководителями подразделений информационной безопасности различных банков в явочном порядке заблаговременно было выстроено взаимодействие друг с другом и с правоохранительными органами, были отработаны многие алгоритмы и процедуры разбора инцидентов.
Даже предварительные — «самодеятельные», «кустарные» формы совместного противодействия злоумышленникам дали ощутимые плоды в сфере дистанционного банковского обслуживания. Удалось заметно снизить уровень покушений и преступлений, замедлить темпы роста киберпреступности. Теперь эти успехи энтузиастов могут быть консолидированы и получить систематическое развитие под руководством главного государственного регулятора отрасли — Банка России.
Участие в проекте таких сторон, как Центр информационной безопасности ФСБ России и подразделения МВД России, специализирующиеся на борьбе с компьютерными и экономическими правонарушениями, вызывает исключительно положительные эмоции. От отраслевого сообщества ожидается помощь в поиске кадров, разбирающихся и в информационной безопасности, и в кредитно-финансовых инструментах, а также готовых сделать компьютерную экспертизу массовой и доступной.
Большое значение придаётся формированию «зоны взаимного доверия» — дальнейшему расширению участия банков в работе FinCERT, которое пока является делом сугубо добровольным и нормативно не регулируется. В банковской среде высока степень осознания необходимости такого взаимодействия.
Банк России прилагает все усилия, чтобы создать среду взаимного доверия, развеять лишние опасения относительно того, что предоставляемая банками в рамках деятельности FinCERT информация об инцидентах информационной безопасности может послужить основанием для «карательных мер». Будут задействованы технические возможности для того, чтобы без детализации собираемой информации проводить её обобщённый «обезличенный» анализ.
(1).png)