РЕЗОЛЮЦИЯ
Комитета Торгово-промышленной палаты Российской Федерации
по финансовым рынкам и кредитным организациям
по итогам проведения 15.06.2016 открытого заседания на тему:
«Банки под прицелом кибермошенников. Предлагаемые меры защиты»
Участники заседания Комитета ТПП РФ по финансовым рынкам и кредитным организациям констатируют высокую киберактивность злоумышленников в банковской сфере в последние 1,5-2 года. Активность и целеустремленность преступников растет, масштаб хищений увеличивается. Посягательства с величиной ущерба, измеряемой уже суммами в 300-500 миллионов рублей за одну кибератаку, в ближайшее время могут смениться более масштабными атаками, ущерб в которых будет оцениваться миллиардами рублей. От целевых мошеннических кибератак за последние 9 месяцев пострадал 21 российский банк, сумма похищенного составила 2,87 млрд. рублей. Кредитные организации, Центр FinCERT Банка России в тесном контакте с правоохранительными органами ведут постоянную борьбу с действиями злоумышленников, однако ощутимого перелома в этой борьбе пока не наступило.
Участники заседания считают, что следует ожидать расширения многообразия компьютерных преступлений в банковской сфере, совершенствования планирования и сценариев проведения кибератак. В связи с кризисной обстановкой на финансовом рынке и отзывом лицензий у сотен кредитных организаций, возможен приход части квалифицированных специалистов информационно-телекоммуникационной банковской сферы в преступные сообщества, что приведет к повышению уровня их осведомленности о системах информационной защиты кредитных организаций. Сейчас роли бывших сотрудников банков могут ограничиваться консультационными услугами, однако нельзя исключать и превращения их в непосредственных исполнителей преступлений.
Перечисленные обстоятельства дестабилизируют обстановку в банковской сфере, снижают доверие населения к рынку платежей и финансовых услуг, к банковской отрасли в целом. В связи с этим участники заседания Комитета предлагают:
1. Определить три основных направления противодействия преступникам в сфере информационной безопасности:
• меры, направленные на уменьшение уязвимости банковских информационных систем, в том числе в сфере их взаимодействия между собой, к современным известным схемам кибератак.
• меры, направленные на обнаружение нарушений в работе банковских систем, вызванных неизвестными экспертам способами кибератак.
• меры, обеспечивающие прозрачность сквозных банковских процессов с целью обнаружения нарушений в бизнес-процессах, вызываемых любыми возможными способами.
Расшифровка состава мер и необходимых мероприятий информационной безопасности приведена в Приложении 1 к Резолюции.
2. Обратить особое внимание на разработку более совершенных средств защиты программного обеспечения (ПО) для банков, использование в этих целях безопасных программных сред, отмечая при этом, что слабой остается заинтересованность поставщиков в разработке именно безопасного ПО. Необходимо изменить ситуацию на рынке ПО, повысив роль общественных организаций и саморегулируемых структур, объединяющих разработчиков банковского ПО, в целях повышения его качества, надежности и защищенности, создать действенную в вопросах безопасности систему сертификации.
3. Внести остро назревшие целевые изменения в законодательство, которые позволили бы более эффективно, оперативно и с меньшими затратами реагировать на преступления, включая приостановку или блокировку подозрительных транзакций, создание системы обмена информацией об инцидентах информационной безопасности и участвовавших в них лицах, в том числе так называемых дропперах.
Пакет предлагаемых нормативно-правовых изменений представлен в Приложении 2 к Резолюции.
4. В целях координации усилий ТПП РФ, профессиональных объединений и государственных структур в деле борьбы с киберпреступностью в кредитно-финансовой сфере считать целесообразным создание на базе Комитета ТПП РФ по финансовым рынкам и кредитным организациям и Комитета ТПП РФ по безопасности предпринимательской деятельности Рабочей группы по мерам борьбы с компьютерными преступлениями в кредитно-финансовой сфере с широким привлечением к работе в ней специалистов финансовых организаций и их объединений.
Владимир Гамза,
Председатель Комитета ТПП РФ
по финансовым рынкам и кредитным организациям
https://tpprf.ru/ru/interaction/committee/komfin/meetings/sbit-pritsel-kibermoshennikam/
Приложение 1
Меры, направленные на уменьшение уязвимости банковских информационных систем, в том числе в сфере их взаимодействия между собой, к современным известным схемам кибератак.
1. Организация полноценного сканирования уязвимостей и своевременной установки изменений на стандартные компоненты системы.
2. Применение методов статического и динамического анализа исходного кода нестандартных компонентов с последующим оперативным исправлением выявленных уязвимостей.
3. Применение межсетевых экранов уровня приложений (WAF), сопряжённых с системами анализа исходного кода.
4. Контроль встроенных, технологических и привилегированных учётных записей в системе. Своевременное и полноценное управление их паролями и жизненным циклом.
5. Реализация комплекса мер “базового уровня информационной безопасности” (антивирусы, МСЭ, IDS/IPS, криптографическая защита каналов связи, использование стойких протоколов аутентификации, внедрение SIEM и т.п.).
6. Использование криптографических методов защиты отдельных элементов рейсового платежа, включая доработку автоматизированных банковских систем (АБС), позволяющую сопровождать подписью любую банковскую операцию от момента её первоначального ввода в систему с последующей проверкой корректности подписи на этапе сборки рейсового платежа - в целях обеспечения целостности технологического процесса. Введение в функционал автоматизированного рабочего места клиента Банка России (АРМ КБР) механизма контроля подписи элементов рейса. Использование приема «петли», когда подписанная и оформленная платежка вновь возвращается в АБС перед окончательной отправкой в Банк России. Введение механизма квитирования со стороны Банка России через независимый канал связи полученного рейсового платежа – в целях получения возможности отзыва платежа еще до момента его проведения. Сегодня ЦБ высылает банкам реестры уже проведенных платежей.
Меры, направленные на обнаружение нарушений в работе информационных систем банка, вызванные заранее неизвестными способами кибератак.
1. Моделирование многоходовых сетевых атак на информационные системы с учётом сетевой топологии и наличия средств защиты.
2. Корреляция прогноза сетевых атак с регистрируемой активностью, включая автоматизированный анализ возможных многоходовых атак на достоверно известные уязвимости.
3. Применение методов защиты от таргетированных атак с использованием «песочниц» (имеется в виду применение средств обнаружения вредоносного ПО путём автоматизированного анализа его поведения в изолированной среде – «песочнице», до передачи внутрь корпоративной сети).
4. Использование систем UBA (User Behavior Analytics) для обнаружения последствий заражения рабочих станций и серверов заранее неизвестным вредоносным ПО.
Меры, обеспечивающие прозрачность банковских процессов с целью обнаружения нарушений в бизнес-процессах, вызываемых воздействиями любыми возможными способами.
1. Реализация подробной регистрации операций во всех информационных системах банка, включая операции ознакомления уполномоченных лиц с информацией.
2. Построение высокоуровневых моделей и организация мониторинга сквозных бизнес-процессов банка с целью обнаружения воздействий, нарушающих логику процесса, например, появления транзакции, которая не была инициирована на предыдущих этапах банковского процесса.
3. Применение методов машинного обучения для профилирования операций в информационных системах банка с целью поиска нетиповых и аномальных операций или их последовательностей.
4. Обнаружение и оперативное устранение потенциально возможных способов вывода из-под контроля существенных денежных сумм, которые могут быть обнаружены злоумышленниками.
Приложение 2
В целях повышения информационной безопасности в кредитно-финансовой сфере необходимо законодательное закрепление механизмов противодействия несанкционированным переводам денежных средств, в том числе с использованием электронных средств платежа.
Для этого предлагается следующее:
1. Внести в Федеральный закон от 27.06.2011 № 161-ФЗ «О национальной платежной системе» следующие изменения:
- законодательно закрепить право оператора по переводу денежных средств на приостановление перевода денежных средств при выявлении признаков совершения перевода денежных средств без согласия плательщика, определяемых оператором в соответствии с рекомендациями в области стандартизации Банка России с учетом характеристик перевода денежных средств;
- предусмотреть обязанность клиента незамедлительно уведомлять оператора по переводу денежных средств о ставшем ему известным факте несанкционированного доступа третьих лиц к информации, необходимой для получения доступа к электронному средства платежа;
- установить порядок действий оператора по переводу денежных средств, обслуживающего плательщика, при выявлении признаков совершения перевода денежных средств без согласия плательщика, а также порядок его взаимодействия с оператором по переводу денежных средств, обслуживающим получателя, с целью возврата денежных средств законному владельцу.
2. Закрепить право плательщика и оператора по переводу денежных средств, обслуживающего плательщика, обратиться в арбитражный суд в порядке, предусмотренном Арбитражным процессуальным кодексом Российской Федерации, с целью установления юридического факта осуществления перевода (списания) денежных средств (использования электронного средства платежа) без согласия клиента. Для этого внести в Арбитражный процессуальный кодекс Российской Федерации нормы, устанавливающие порядок рассмотрения дел об установлении юридического факта осуществления перевода (списания) денежных средств (использования электронного средства платежа) без согласия плательщика.
3. Установить полномочия Банка России по определению порядка предоставления операторами по переводу денежных средств, операторами платежных систем и операторами платежной инфраструктуры иным операторам по переводу денежных средств, операторам платежных систем, операторам платежной инфраструктуры, а также Банку России информации об операциях по счетам юридических лиц, граждан, осуществляющих предпринимательскую деятельность без образования юридического лица, и физических лиц в целях выявления и предотвращения совершения переводов денежных средств без согласия клиента.
Закрепить полномочия Банка России по установлению порядка реализации операторами по переводу денежных средств мероприятий по противодействию совершению переводов денежных средств без согласия клиента, а также порядка согласования методик выявления (мониторинга) несанкционированных операций
