Кибергигиена каждого дня

В октябре пользователи самого крупного банка России схватились за сердце. На чёрном рынке оказались данные 60 млн владельцев кредитных карт Сбербанка. Эксперты назвали утечку самой крупной в истории финансового сектора. Случай заставил специалистов в очередной раз задуматься о безопасности финтеха. Обсуждалась тема и на форуме «Финополис» с учас­тием главы Сбербанка Германа Грефа.

Карта проблем

Мошенничество в финтехе — действительно большая проблема. Российский финансовый сектор можно назвать одним из самых «цифровых». По данным Boston Consulting Group, за последние восемь лет наша страна стала мировым лидером по количеству бесконтактных платежей. Отсутствие наличных денег на руках граждан снижает количество прямых краж и заставляет мошенников придумывать новые способы выуживания средств. На передний план выходят кражи персональных данных.

И здесь ситуация пока, прямо скажем, не радует. ЦБ обнародовал масштаб незаконной торговли персональными данными россиян: только в первой половине 2019 года специалисты обнаружили 13 тыс. объявлений о продаже и покупке различных баз, из них 1,5 тыс. (12%) — это базы кредитно-финансовых организаций.

Киберпреступники ищут разные подходы и к вашим данным, и к счетам. За последние полгода стоимость сведений о банковских клиентах-физлицах выросла в 3–7 раз. Если в начале года выписку по счёту за месяц можно было купить за 2 тыс. руб­лей, то сейчас за это попросят до 15 тыс. Предметом торга стали не только пин-коды или пароли, но даже информация о том, какими конкретными банкоматами пользуется определённый клиент.

Нельзя сказать, что специалисты по финансовой безопасности сидят сложа руки. За первое полугодие Сбербанк, ВТБ, Альфа-банк, Почта-банк и МКБ предотвратили хищение 24 млрд руб­лей со счетов клиентов. Но пока и нельзя с уверенностью сказать, кто в этой гонке впереди — киберзащитники или кибернападающие.

Многие уже знают эти слова: кардинг, фишинг, скамминг. Но почти 97% случаев хищения денежных средств со счетов физлиц осуществлялось с помощью социальной инженерии. То есть люди отдавали их преступникам сами. Главная прореха в системах безопасности — человеческий фактор.

Невероятных масштабов достигло выуживание данных с помощью подмены телефонных номеров банка. Мошенники звонят клиенту от имени финансовой организации и якобы с её номера и с помощью продуманных сценариев выясняют у клиента необходимую информацию: пароль к личному кабинету в онлайн-банке, проверочное слово, пин-код или CVV. Подменных номеров в коде 8–800 с сентября 2018 года по август 2019-го ЦБ РФ насчитал 5 тыс. — почти в 40 раз больше, чем прежде.

Эксперты предупреждают: необходимо соблюдать высокий уровень «компьютерной гигиены»: не переходить по ссылкам из непроверенных источников, не загружать сомнительные приложения, не пренебрегать антивирусами, не называть никому секретных данных.

План перехвата

Центробанк представил план обеспечения киберустойчивости российской финансовой системы до 2021 года. Основной задачей в документе названо противодействие компьютерным атакам, в том числе при использовании инновационных финансовых технологий. ЦБ считает также, что необходимо регулирование применения больших данных, искусственного интеллекта, роботизации и интернета вещей. Кроме того, нас ждёт массовое внедрение криптографии на финансовом рынке.

Это предложение может насторожить специалистов, ведь для его реализации необходимы активные действия со стороны ФСБ. Сейчас банки по большей части используют иностранное ПО. Возможно, в итоге им придётся, отвечая требованиям спецслужбы, перейти на отечественное. Тем более что работа по импортозамещению в планах ЦБ также присутствует.

Между тем эксперты отмечают отток специалистов по кибербезопасности из финансовой сферы. Связано это как раз с уже достаточно высокой зарегулированностью банковской отрасли. На выполнение требований регуляторов уходит большая часть времени, в итоге на собственно кибербезопасность времени не остаётся. В результате, согласно данным исследования Group-IB, 74% банков не готово к хорошо подготовленным кибератакам.

Видимо, в ответ на это ЦБ готовится разработать образовательный профстандарт и ввести аттестацию сотрудников финорганизаций. В университете ЦБ будут обучать основам кибербезопасности школьников и студентов. То есть регулятор готовится выпускать собственных специалистов такого профиля.

Не меньшей проблемой является и чересчур мягкое законодательство в отношении киберпреступлений.

— Мы за прошлый год мониторили примерно 135 тыс. номеров телефонов, с которых шло нападение на наших клиентов, — рассказал глава Сбербанка Герман Греф. — В России ответственность — ноль. В США — пять лет тюрьмы, в Великобритании — десять.

По словам Германа Грефа, случаи мошенничества с помощью пластиковых карт с использованием скимминга (считывание данных с магнитной полосы) снизились после введения ответственности за это преступление.

— В России за скимминг была введена ответственность до 7 лет, в США — до 20 лет, — объяснил глава Сбербанка. — За DDoS-атаки тоже недавно введена ответственность: в России — до 7 лет, в США — до 20. За спам в России предусмотрен штраф до 2,5 тыс. руб­лей для физичес­ких лиц, до 500 тыс. — для предприятий, а в США — пять лет тюрьмы.

Помимо наказания преступников остро стоит вопрос и возмещения ущерба пострадавшим от утечки данных.

— Если персональные данные утекли, значит, кто-то должен нести ответственность. Есть и моральный ущерб, и материальный. Но ответственность должна быть такой, чтобы она, в свою очередь, не поощряла мошенников строить целый бизнес на получении компенсаций, к этому вопросу нужно подходить аккуратно, — считает глава комитета Госдумы по финансовому рынку Анатолий Аксаков.

В принятии закона о компенсации ущерба пострадавшим от утечек персональных данных эксперты видят высокий риск появления так называемых киберюристов, которые могут обещать вернуть деньги, но фактически сами будут организовывать утечки. Председатель Банка России Эльвира Набиуллина также считает, что вопрос требует внимательного изучения.

Что касается крупнейшей утечки из Сбербанка: в нём оперативно провели внутреннее расследование и установили, что виновен один из сот­рудников, который пытался выгрузить базы для их продажи в даркнете. Ему удалось продать около 5 тыс. учётных записей о кредитных картах, которые, впрочем, оказались устаревшими. Глава Сбербанка Герман Греф на форуме «Финополис» подробно остановился на произошедшем и заверил: внутреннюю систему защиты усовершенствуют.