Проблема замены польских яблок на турецкие
Экспертный комментарий Алексея Сабанова, заместителя генерального директора "Аладдин Р.Д.", в рамках участия в "Инфофорум-2015"
"Всё, что загружено человеком в айфон, – уже ему не принадлежит, а уж если вы ещё какие-то записи из айфона синхронизируете с облаком, то эти все данные потенциально могут стать доступным любому человеку в мире", – примерно под таким девизом прошёл в Москве 5–6 февраля 2015 года 17-й национальный форум информационной безопасности "Инфофорум".
Всего на территории России за 2014 год, по данным МВД, было зафиксировано 11 тыс. киберпреступлений. Об этом, выступая на форуме, заявил начальник Бюро специальных технических мероприятий МВД Алексей Мошков. При этом эксперты по кибербезопасности заявляют, что на самом деле кибератаки в России совершаются в пять раз чаще, чем их успевает регистрировать МВД.
Статистика показала, что за 2013 год хакерам удалось похитить $2,5 млрд. в России и странах СНГ. При этом сложность раскрытия таких киберпреступлений заключается в их трансграничности, ведь преступники могут похищать средства при помощи кибератак на территории нашей страны, а обналичивать деньги за рубежом. И этот вид операций крайне сложно отследить.
Люди нечасто заявляют в МВД и другие правоохранительные органы о произошедших DDoS-атаках, вирусах, кражах логинов и паролей, а официальная статистика учитывает только заявления, поданные должностному лицу. Кроме того, в России хакеры не рассматриваются как обычные преступники. Даже в том случае, если преступление доказано, хакеры обычно отделываются условным сроком.
Алексей Мошков считает, что современные сервисы, площадки для общения и размещения рекламы, то есть те места, где существует возможность переводов денежных средств, притягивают злоумышленников и потенциальные жертвы. Причём злоумышленникам легко сохранить свою анонимность. В большинстве случаев мошенничество осуществляется с помощью вредоносных программ, способных взламывать банковские счета при помощи системы мобильного банка.
Незащищённость денежных переводов электронных платежей, которая сложилась в нашей стране, подрывает доверие к ним плательщиков и ставит под угрозу бизнес в интернет-пространстве, уверен Мошков (МВД). "Кроме того, злоумышленники успешно используют в своих целях новые услуги и технологии для мобильных устройств, оборачивая их функционал против своих владельцев", – отметил он. Завладев информацией с учётной записи, преступник получает огромный массив данных – от самой переписки и списка контактов до сведений о перемещениях и личных фотографиях, так у злоумышленников появляется возможность заблокировать мобильное устройство в любую минуту.
Фото: Альберт Тахавиев, Bankir.RuКибербезопасность финансовой сферы – нужен ли центр по контролю за ней?
5 февраля 2015 года в рамках Инфофорума-2015 прошёл круглый стол, посвящённый вопросам бесперебойности функционирования инфраструктуры платежей, её безопасности. Затронули на мероприятии и тему создания Центра кибербезопасности (ЦКБ) кредитно-финансовой сферы.
Тема безопасности всегда актуальная для кредитных организаций, уровень безопасности определяет доверие клиентов к безналичным платежам, заявил на 17-м национальном форуме информационной безопасности "Инфофорум-2015" директор по коммуникациям группы компаний "Биглион", модератор секции "Инфраструктура финансово-кредитной системы России: вопрос информационной безопасности" Тимур Аитов. Но в последнее время наряду с безопасностью на первый план выходит и бесперебойность работы банковских систем. "Как нам поступать, когда у нас нет средств и опыта, а самое главное – времени, чтобы разработать аналог безопасной системы в условиях санкций, и какова должна быть система сертификации оборудования, которое приходит из-за рубежа?" – задал вопрос финансистам и разработчикам программного обеспечения Тимур Аитов.
"Какой бы удобной, доступной и коммерчески привлекательной ни была система платежей, как только она становится небезопасной, клиенты моментально теряют к ней всякий интерес. Вот почему на Инфофоруме мы часто обсуждаем вопросы безопасности платежей и меры, связанные с противодействием злоумышленникам", – отметил модератор. Сегодня безопасность будет только одним из риск-факторов, определяющим бесперебойность работы платёжной системы страны. И дополнят безопасность другие риск-факторы – а именно связанные с обеспечением надёжности и непрерывности платежей.
Остановился Аитов на использовании недекларируемых возможностей программно-аппаратных комплексов. Недекларируемые – это те самые возможности, о которых разработчик умолчал, поставляя комплект оборудования в Россию. Как поступать, когда нет времени и возможностей разработать защищённый отечественный аналог? Что обязательно нужно разрабатывать самим, что можно закупать за рубежом, и как контролировать качество программ с тем, чтобы не допустить несанкционированных действий? Какой должна стать система сертификации импортного оборудования и программ?
Центры кибербезопасности, или как ещё их называют CERT, присутствуют во многих странах мира. Задачи центров – оказание конкретных услуг организациям и гражданам, оперативное реагирование на атаки злоумышленников, работа в качестве центров компетенции и обмена опытом. Подобные центры, успешно предоставляющие услуги коммерческим организациям, в том числе и банкам, действуют и в нашей стране, отметил Тимур Аитов. Если говорить о банках, то при создании CERT возникают известные проблемы законодательного плана, касающиеся, в частности, сохранения банковской тайны и персональных данных.
Есть и иная проблема, считает Аитов. Так, с 31 января 2015 года американские провайдеры начали отключать аккаунты – точки входа в сеть Интернет, которые зарегистрированы с территории Крыма. А что будет, если перестанут работать системы бронирования билетов, не работаем ли мы сегодня по типу пожарной команды. "Где у нас системность в работе?" – задал он вопрос собравшимся.
Фото: Альберт Тахавиев, Bankir.RuЧлен совета директоров компании "Киберплат" Борис Мирошников заявил, что нынешний аврал в переходе банковской индустрии в оснащении отечественным программным обеспечением – это следствие политических аспектов. Но сама тема непрерывности бизнеса далеко не нова, и всегда именно безопасности в финансовой сфере уделялось самое пристальное внимание. "Но когда речь идёт о политических капризах, то ответ всегда один – имей своё и всегда имей возможность контролировать свою площадку. И твоя зависимость от кого-то – это всегда точка твоей уязвимости, и прогноз и предвидение сегодняшней ситуации в стране должны были быть, но мы не сдвинулись с точки, поэтому сейчас мы находимся в состоянии отбивания угроз", – отметил Мирошников.
Но сегодня те люди, которые пять лет назад не слышали специалистов, стали замечать угрозы, и это уже хорошо, добавил он.
Заместитель начальника Главного управления безопасности и защиты информации Банка России Артем Сычёв сообщил, что ситуации отключения карт от обслуживания за рубежом в 1998 году и сейчас – различны. В 2014 году пострадали уже граждане России внутри страны, они не могли воспользоваться средствами со своих счетов при помощи карт. Но ситуация с отключением подстегнула уже давно проводимые работы, так как закон пять лет назад предусматривал создание своего свича для обработки транзакций по картам внутри России. "Всегда ли есть смысл делать что-то своё?" – задал вопрос Сычёв. И сам же на него ответил – если у государства есть такое намерение, то да, надо строить своё, это касается машиностроения и банковской системы. Но мировая интеграция так велика, что нельзя жить по принципу "всё должно быть произведено только здесь".
Oracle останется в России
Директор по технологиям Oracle Systems Виктор Буряков заявил, что Oracle открыт к сертификации, хотя, конечно, компания никогда не шла на раскрытие полной информации о себе. Он сказал, что его частное мнение таково, что в России не стоит ждать активных отключений доменов и аккаунтов, "потому что то, что возможно в одной стране, то можно провернуть и в другой, и, увлекаясь этими отключениями, компания подрывает свою репутацию".
Видимо, доменная среда Крыма не была хорошо защищена от инсайдеров, вот и вопрос об отключении аккаунтов и кражи паролей доступа – это вопрос не к вендору продукта, а к администраторам информационной безопасности, высказал предположение Буряков.
Заместитель генерального директора компании "Аладдин Р.Д." Алексей Сабанов отметил, что вокруг импортозамещения "много чего говорится", но при этом мало кто понимает масштабы этой работы. "Надо признать, что государство является основным держателем и обработчиком баз данных, и везде используется Oracle, и должным образом технические меры защиты не используются. Даже если у нас и появится достойная отечественная СУБД, то процесс миграции данных в государственном масштабе займёт лет 5", – считает Сабанов. Также Алексей Сабанов сказал, что необходимо создать единый общегосударственный штаб по организации защиты информации.
Борис Мирошников из "Киберплата" отметил, что в таких вопросах недопустимы никакие "народные вече", и заниматься организацией безопасности должны только специалисты.
По позиции Oracle в России очень жёстко прошлась финансовый директор группы компаний "Цефей" Марина Хохлова. Она заявила, что Oracle лишь множит уже записанную информацию и никак её не структурирует, и, один раз "подсев" на продукты Oracle, "слезть с этой иглы уже нереально".
Контролировать безопасность будут из Центробанка
Артем Сычёв (Банк России) сообщил, что в ЦБ уже год действуют документы об организации безопасности на всех этапах жизни коммерческого банка. Импортных систем в банках – примерно 40%, проблемы кроются гораздо ниже, например, на уровне СУБД. И заместить всё разом в банках – это нереальная проблема, возможно, замещение и пройдёт в течение 10 лет, но и то если все банки будут "активно поторапливаться". Необходим контроль качества безопасности на этапе разработки системы – внутри самого разработчика. А этот процесс уже неподконтролен ни Центробанку, ни ФСБ, так как разработчики ИТ-продуктов – часто западные, но потребность в таком контроле есть. Как же выйти из ситуации? "Можно контролировать качество через СРО, которые оценивали бы качество услуг, в том числе и безопасности. Но надо вносить изменения в закон о СРО, менять рекомендации ЦБ для банков. Позиция ФСБ – если такая система будет создана, то часть функций контроля ФСБ готова делегировать в профсообщество", – заявил Сычёв (Центробанк).
Артем Сычёв также сообщил, что есть решение Совета безопасности России создать центр кибербезопасности на основе Банка России. Но где внутри ЦБ он будет расположен, и как он будет работать с банками, говорить пока рано. Но ясно уже то, что CERT будет организован по принципу обмена между ЦБ и коммерческими банками информацией об возникающих в банках случаях проникновения к данным (инцидентах) и возврата банкам информации об угрозах. Другая часть этой работы – это информирование ФСБ и МВД об угрозах доступа к банковским данным, чтобы эти ведомства внутри себя могли строить аналитику угроз.
Председатель совета директоров платёжной системы HandyBank Сергей Черноморов заметил, что фроды – это интимная часть работы банков, и он сомневается, что банки с удовольствием будут делиться с регулятором информацией о своих происшествиях в области кибермошенничества. "Банки распахивать душу и раскрывать свои тайники перед регулятором не будут, поскольку ЦБ и так активно работает по сокращению российской банковской системы", – прямо заявил Черноморов.
Фото: Альберт Тахавиев, Bankir.RuБанки не стремятся контактировать с правоохранительными структурами
Евгений Михалев из Управления К МВД России добавил, что он сам за последние два дня обзвонил 4 банковские структуры на предмет выявления инцидентов, случившихся аж в 2012 году. Делал он это потому, что те преступные группы, которые задерживаются управлением К, имеют долгую историю. И вся история работы этих групп должна быть рассмотрена в следственном процессе. "И лишь в одном банке с пониманием отнеслись к просьбе Управления поднять документы о хищении – даже не о взломе информационной защиты банка, а о реальном выводе денег. Если уж в адрес ЦБ банки не готовы поставлять информацию, то в правоохранительные органы они точно не будут её поставлять", – считает Евгений Михалев.
На это Черноморов заметил, что всё зависит от того, как банки и правоохранители договорятся, потому что правоохранители часто не просят о содействии, я пытаются к нему принудить.
"У всех на памяти Банк 24.Ру, который не шёл правоохранительным органам навстречу", – напомнил Михалев.
Управляющий партнёр консалтингового агентства "Емельянников, Попова и партнёры" Михаил Емельянников сообщил, что, когда VISA и Mastercard приходили в Россию, никто вообще их не спрашивал об их юридическом статусе присутствия в стране. И когда санкционный пожар немного будет пригашен, нужно будет поставить вопрос о том, каков юридический статус работы в России и международных платёжных систем, и SWIFT, и систем международных переводов. Он отметил, что в России нет системности по созданию общей глобальной "паутины" безопасности.
Начальник управления информационной безопасности Златкомбанка Александр Виноградов сообщил, что очень многие банки не стремятся показывать свои инциденты регулятору. Так, если в результате фрода деньги не ушли из банка, то банк не стремится информировать о случае попытки кражи средств Центробанк. Если деньги ушли на корсчёт – то это тоже не криминал, их можно вернуть как неверно перечисленные. А вот если деньги уже ушли на транзитный счёт, то хочешь не хочешь, но 203 форму информирования ЦБ о случившемся инциденте приходится заполнять и перед ЦБ отчитываться. Он считает, что для того, чтобы обмен информацией был эффективным, в систему кибербезопасности нужно "загнать" не только банки, но абсолютно все подотчётные Банку России организации – в том числе даже и все системы денежных переводов.
Из зала напомнили, что банки не являются собственниками информации, и если деньги ушли из банка, то пострадавшей стороной является не банк, а клиент. А клиент может сказать – а я запрещаю раскрывать о себе информацию правоохранительным органам, и кроме как по суду этот запрет никак не снимешь. И очень многие банки понимают, что клиенты запрещают банкам заполнять 203 форму и отчитываться об инциденте перед ЦБ.
Михаил Емельянников ("Емельянников, Попова и партнёры") возразил, что нет понятия собственник информации, поэтом законы менять не надо, надо по-хорошему просто "сесть и договориться" и написать правильные документы и согласовать их с надзорными органами.
Алексей Сабанов ("Аладдин Р.Д.") сообщил, что SWIFT – это средство гарантированной доставки платежа, и таких систем в мире очень много. Вопрос лишь в глобальном доверии к этой системе её участников и числе компаний, пользующихся данной системой. Поэтому аналогов SWIFT сейчас будет появляться очень много, все дело упрётся в вопрос о том, кто ими будет пользоваться, ну и будут ли платежи безопасны для участников системы.
Из зала заметили, что вопрос транзакций через SWIFT упирается в "международность" этих операций, и исходить надо из того, куда мы хотим провести платёж. Если из России в Казахстан, то это вопрос, который должен решать банк ЕвраЗЭС, а если в Китай – то финансовые структуры ШОС. Но при этом Китай не даст России ничего из своих аппаратно-технических систем или информационных средств на своей территории сертифицировать.
Виктор Буряков из Oracle сказал, что России надо минимизировать не только геополитический риск, но и технологические и коммерческие. И если обсуждать геополитические риски Oracle не компетентен, то вот о коммерческих и технологических поговорить может. Он заявил, что Oracle работает в России и никуда уходить не собирается, поэтому банки, большинство которых работают на базе решений Oracle, могут вздохнуть спокойно, а "не заменять польские яблоки на турецкие". Как пример он привёл тот факт, что более трети производства технологии Java производится в России, и тут ничего замещать не надо.
Дмитрий Крутов из Банка России высказался от имени того коллектива ЦБ, который собирает и обрабатывает 202 и 203 формы отчётности об инцидентах от банков. По его словам, сейчас ЦБ занимается подготовкой отчётности об инцидентах, и на Западе отчётности об инцидентах от самого инцидента отстают примерно на 2 года. Но данные, которые банки передают в ЦБ, ЦБ может оценить на твёрдую двойку, даже не потому, что банки не хотят информировать об инциденте, а оттого что банки очень поверхностно относятся к заполнению формы.
Начальник управления ГУБЗИ Центробанка Дмитрий Фролов отметил, что центр кибербезопасности находится в стадии формирования концепции её создания, на базе АРБ уже работали группы, например, по противодействию ДОС-атакам.
А воз и ныне там
Евгений Михалев из Управления К МВД России отметил, что сообщество не раз встречается на мероприятиях, все уже давно друг друга знают, но всё равно вопрос упирается в то, что обмениваться ведомства информацией не могут. Он ещё раз подчеркнул, что Управление К сталкивается с тем, что банки не хотят раскрывать информацию. "Но на другой стороне весов лежит огромная криминальная инфраструктура и её сервисы. И анонимность в киберпространстве жесточайшая. Эти люди друг друга не знают и не разговаривают друг с другом, как мы, по душам, но при этом они через киберпространство за секунды контактируют и получают украденные деньги", – заявил Михалев.
Тимур Аитов, завершая обсуждение, заметил, что приходится признать, что не все программное обеспечение нам удастся производить в России, кое-что придётся и покупать. По его словам, не всё можно и нужно разрабатывать самим – нет времени, недостаточно средств, не хватает экспертизы. "Что почти всегда закупаем и будем закупать? Системное и межплатформенное ПО, СУБД", – считает он.
Требуется наладить контроль за качеством разрабатываемого ПО и качеством услуг по информационной безопасности. Этот контроль можно организовать силами СРО. Эти же СРО могли бы и контролировать наличие или отсутствие недекларируемых возможностей в программно-аппаратных комплексах – по согласованию с регуляторами.
Центр кибербезопасности создавать нужно, но банки добровольно в него не пойдут – нужна воля регулятора. До сих пор нет чёткой концепции этого центра. "Мысль, которая звучала у многих, – дело движется медленно – есть тормоз. Но что это за тормоз – собравшиеся назвать отказались", – резюмировал Тимур Аитов.