Создание FinCERT Банка России происходило в русле глобальных тенденций в сфере информационной безопасности, проявляющихся и в нашей стране. Наряду с растущей активностью «высокотехнологичной» преступности, стали актуальными угрозы, исходящие от недружественных действий на государственном уровне, включая санкции, открытые и тайные кибервойны. Под ударом оказались не только средства отдельных граждан и компаний, но и информационные ресурсы целых отраслей и государства в целом.
ФИНАНСОВАЯ БЕЗОПАСНОСТЬ — ЧАСТЬ НАЦИОНАЛЬНОЙ
Исходя из современных реалий и учитывая действующие тенденции, многие государства озаботились вопросами как национальной, так и международной кибербезопасности. И далеко не в последнюю очередь в такой важнейшей отрасли, как кредитно-финансовая сфера. В 2011 году в США была принята «Международная стратегия США для киберпространства». В конце июля 2013 года Президент России подписал документ «Основы государственной политики РФ в области международной информационной безопасности на период до 2020 года». Институциональное воплощение сформулированных принципов было ускорено обострением международных отношений, связанным с кризисом на Украине.
Концепция государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (СОПКА) была утверждена 12 декабря 2014 года. В январе в 2015 году Президент России подписал Указ № 31с о создании этой системы. В дополнение к этому решению, Владимир Путин провёл заседание Совета безопасности РФ, в повестке которого был вопрос о создании Банком России для противодействия киберугрозам в кредитно-финансовой сфере подобной специализированной структуры, которая и получила название FinCERT. Можно сказать, что эта структура — отраслевой аналог государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на важнейшие IT-ресурсы страны.
Проработкой вопроса создания FinCERT занималась межведомственная рабочая группа, в которую вошли представители Банка России, ФСБ России, ФСТЭК России и Минкомсвязи РФ. Задачи новой структуры достаточно точно были отражены в расшифровке названия FinCERT — Центр мониторинга и реагирования на инциденты информационной безопасности в кредитно-финансовой сфере.
Учитывая нынешний статус Банка России как мегарегулятора, в сферу ответственности FinCERT последовательно включается информационная безопасность банков и платёжных систем, в том числе карточных, а в перспективе — также страховых компаний и финансовых рынков. Речь идёт о защите от криминальных посягательств не только клиентов банков, но и самих кредитных организаций, а также финансовых рынков, их участников — страховых, инвестиционных, брокерских и других компаний.
В мае по соответствующему решению Банка России началось формирование FinCERT в качестве организационного подразделения с правами управления, происходило первичное укомплектование штата кадрами, разрабатывались регламенты внутренней работы, взаимодействия с банками и правоохранительными органами. Курировать создание и работу FinCERT поручено Артёму Сычеву — заместителю начальника Главного управления безопасности и защиты информации Банка России, а руководить центром — Дмитрию Фролову, доктору политических и кандидату юридических наук.
УКОРОТ ЗЛОУМЫШЛЕННИКАМ
«Задача-максимум» FinCERT — добиться того, чтобы территория и кредитно-финансовая сфера России стали для «высокотехнологичных» злоумышленников малопривлекательными. «Задача-минимум» — способствовать обузданию роста количества инцидентов, чтобы они не превышали темпов развития информационной инфраструктуры, дистанционных сервисов, которые сейчас составляют 10–15% в год. Одним из контрольных показателей может служить отношение количества зарегистрированных инцидентов к объёмам электронных финансовых операций.
FinCERT Банка России, став «точкой фокусировки» совместной деятельности по противодействию криминалу в сфере банковской и платёжной информационной инфраструктуры, работает по трём основным направлениям:
- ведение мониторинга и анализа всех видов инцидентов информационной безопасности, формирование единой базы данных уязвимостей, видов и инструментария атак;
- оперативное предоставление участвующим в этой работе банкам аналитической и «горячей» информации о новых угрозах и атаках;
- взаимодействие с правоохранительными органами в расследовании инцидентов и пресечении активности «высокотехнологичной преступности».
1 июня 2015 года, как и было намечено, был дан старт работе FinCERT. В конце июня в пресс-центре Банка России была проведена пресс-конференция, посвящённая итогам первого месяца работы, на которой также были обозначены перспективы развития его деятельности. До конца года будет разработан порядок взаимодействия с платёжными системами, включая процедуры реагирования на инциденты информационной безопасности.
Разработки будут вначале носить рекомендательный характер, потом могут быть закреплены в статусе стандарта, а в дальнейшем быть включены в нормативные документы. Кроме того, FinCERT ведёт работу, направленную на внесение изменений в федеральные законы, которые позволят жёстче карать киберпреступления в кредитно-финансовой сфере, обмениваться информацией о злоумышленниках и приостанавливать сомнительные платежи.
При создании FinCERT учитывался существующий зарубежный и отечественный опыт. В разных странах, в первую очередь в США, Англии и странах Евросоюза, существует около 300 центров противодействия киберугрозам, включая государственные. В нашей стране подобные центры прежде существовали только в корпоративном формате, включая созданные «Газпромбанком», компаниями «Информзащита» и Group-IB.
К СИСТЕМНОМУ ВЗАИМОДЕЙСТВИЮ
Использовались и заделы, сформированные на ключевых отраслевых площадках — Уральском форуме «Информационная безопасность банков», в ходе дискуссий в Ассоциации российских банков, Ассоциации региональных банков России, с участием некоммерческих партнёрств, представляющих платёжные системы, страховые компании и финансовые рынки.
Учитывая высокий уровень развития информационной инфраструктуры кредитно-финансовой отрасли и массовое распространение дистанционных сервисов, противодействие банковского сообщества криминальной активности в этой сфере требовалось вывести на новый, более высокий уровень. И участники обсуждений неоднократно высказывались о необходимости создания FinCERT. Впервые такая инициатива был выдвинута около пяти лет назад, в 2010 году.
Отраслевое сообщество направляло официальные письма с развёрнутыми и аргументированными предложениями и в Банк России, и в МВД России. Банком России совместно с руководителями подразделений информационной безопасности различных банков в явочном порядке заблаговременно было выстроено взаимодействие друг с другом и с правоохранительными органами, были отработаны многие алгоритмы и процедуры разбора инцидентов.
Даже предварительные — «самодеятельные», «кустарные» формы совместного противодействия злоумышленникам дали ощутимые плоды в сфере дистанционного банковского обслуживания. Удалось заметно снизить уровень покушений и преступлений, замедлить темпы роста киберпреступности. Теперь эти успехи энтузиастов могут быть консолидированы и получить систематическое развитие под руководством главного государственного регулятора отрасли — Банка России.
Участие в проекте таких сторон, как Центр информационной безопасности ФСБ России и подразделения МВД России, специализирующиеся на борьбе с компьютерными и экономическими правонарушениями, вызывает исключительно положительные эмоции. От отраслевого сообщества ожидается помощь в поиске кадров, разбирающихся и в информационной безопасности, и в кредитно-финансовых инструментах, а также готовых сделать компьютерную экспертизу массовой и доступной.
Большое значение придаётся формированию «зоны взаимного доверия» — дальнейшему расширению участия банков в работе FinCERT, которое пока является делом сугубо добровольным и нормативно не регулируется. В банковской среде высока степень осознания необходимости такого взаимодействия.
Банк России прилагает все усилия, чтобы создать среду взаимного доверия, развеять лишние опасения относительно того, что предоставляемая банками в рамках деятельности FinCERT информация об инцидентах информационной безопасности может послужить основанием для «карательных мер». Будут задействованы технические возможности для того, чтобы без детализации собираемой информации проводить её обобщённый «обезличенный» анализ.