«Кибермошенники стали переключаться на корсчета банков»

Замначальника главного управления безопасности и защиты информации Центробанка Артем Сычев рассказал «Известиям», почему кибермошенники в этом году сменили свои приоритеты, какие поправки нужны в действующее законодательство о национальной платежной системе, как россиянам защититься от хакеров и где выращивают лучших специалистов по кибербезопасности.

— Артем Михайлович, 1 апреля Банк России объявил о снижении объема хищений средств с карт россиян почти на треть, до 1,14 млрд рублей по итогам прошлого года. Этот тренд сохранится в 2016 году?

— Банк России не шутил, озвучивая статистику по несанкционированным списаниям 1 апреля. Еще четыре года назад антифрод (система мер по противодействию кибератакам) был скорее новомодной темой, сейчас это стандарт де-факто, особенно в крупных розничных банках. Участники рынка заинтересованы не только в том, чтобы сделать антифрод своей технологией, но и в том, чтобы создать некий общероссийский «колпак», то есть общестрановую надстройку, позволяющую аккумулировать данные о кибермошенничестве у себя и обмениваться сведениями с другими банками. В целом можно дать прогноз, что объемы хищений с карт граждан, а также корпоративных счетов в этом году продолжат снижаться.

— Что будет способствовать этому?

— Мошенники стали переключаться на корсчета банков. Уже сейчас видно, что активность хакеров в этом направлении выросла по сравнению с прошлым годом. За последний квартал 2015 года и I квартал 2016-го потери банков превысили 2 млрд рублей. Еще около 1,5 млрд рублей удалось спасти, кибератаки были пресечены. Мы рассчитываем, что благодаря принимаемым мерам по противодействию преступности в этой сфере объем хищений не превысит 4 млрд рублей по итогам 2016 года.

— Почему злоумышленники поменяли свои приоритеты?

— Всё очень просто. Объем средств, которые мошенник может увести у банка при атаке на его корсчет, — от 500 млн рублей — несравним с тем, что хакер выручит при взломе корпоративного счета юридического лица из сегмента среднего или малого бизнеса. А в случае с гражданами улов мошенника в таком случае — вообще копейки. При этом кибермошеннику нужно не просто увести деньги со счета, но и обналичить выручку в дальнейшем. Поскольку в схеме хищений задействовано несколько человек, каждое звено в цепочке получает свой процент. Координатору атаки достается примерно 40% от похищенной суммы, так называемому заливщику, который отправляет трояны и иное вредоносное программное обеспечение для взлома счета клиента, информационной системы банка, — 10%. Еще 8% получают люди, которые готовят пути вывода украденных денег (получают карты в отделениях банка или самостоятельно изготавливают карты-клоны для последующего снятия наличных в банкоматах). Еще 30–40% достается непосредственно тем, кто снимает наличные через банкоматы и передает их заказчику. Вредоносное программное обеспечение (ПО) тоже стоит немалых денег, до $50 тыс. за программу.

— В каких странах хакеры заказывают программы для кибератак?

— В основном программисты, которые в состоянии разработать подобное ПО, — выходцы из России, Украины, Китая, Индии. Интересно, что среди участников киберцепочки, снимающих средства в банкоматах на территории Российской Федерации, раньше были только россияне, теперь их разбавили гастролеры из-за границы.

— Откуда именно?

— Из Великобритании, Нидерландов, Испании, Франции, Украины, Индии, Китая, США. Как правило, это выходцы из бывших республик СССР, проживающие за границей на постоянной основе. География киберпреступности широка, что объективно затрудняет работу правоохранительных органов по оперативному задержанию киберпреступников и отслеживанию путей вывода украденных средств.

— А как происходит хищение средств с корсчетов банков?

— Мошенники запускают вредоносное ПО для взлома информационной системы кредитной организации. После этого идет захват информационной инфраструктуры банка — фактически злоумышленники начинают управлять сетью, им становится доступна информация обо всех операциях банка, частоте и объеме транcакций, остатке по корсчету. Хакеры «сидят» в сети банка неделю, максимум две. Затем готовится бригада для вывода (обналичивания) похищенных средств, формируются фальшивые документы о списании средств с корсчета, заверяемые легальными подписями ответственных лиц банка. Платежные поручения направляются в платежную систему. Для платежной системы это легальный платежный документ, и она обязана его исполнить в соответствии с договором и законодательством.

— А как фальшивые документы заверяются легальными подписями ответственных лиц банка?

— Как мы уже обсуждали, злоумышленники захватывают как управление в информационной инфраструктуре, так и ключи электронной подписи. Как правило, этому способствует низкий уровень информбезопасности банка. Иногда то, что видит оператор на экране, и то, что происходит в данный момент на его ПК, — «две большие разницы», как говорят в Одессе. Кибермошенники могут это устроить. Таким образом, атака для хищений с корсчетов идет не на саму платежную систему Банка России, а на коммерческие банки.

— Кто будет в ближайшее время под прицелом таких мошенников в первую очередь?

— Пробиться через антифрод-системы банков, наверное, можно, но сложно и слишком затратно. Крупные игроки активно развивают направление информбезопасности — у них для этого  достаточно и средств, и человеческих ресурсов. А значит, маржинальность атаки на такие банки будет очень низкой. Скорее всего, мишенью мошенников станет категория банков, где не всегда уделяется должное внимание вопросам обеспечения информационной безопасности.

— А как обычным людям предотвратить кражу денег из интернет- и мобильного банка?

— Рецепт прост: «мыть руки перед едой», то есть не нужно скачивать на свои смартфоны игры и программы неизвестных производителей. Если бездумно следовать рекламе, есть большой риск скачать вредоносное ПО, потерять деньги. Стоит соблюдать элементарные правила безопасности: скачивать программы только официальных производителей, устанавливать антивирусное ПО, хранить информацию о карте отдельно от нее самой, игнорировать сайты сомнительного содержания (совершать покупки с карты на них точно не стоит). Это общие правила «гигиены» в киберсреде.

— То есть ничего нового для защиты от хакеров не придумано?

— Способы запуска вредоносного ПО на компьютеры и смартфоны граждан основаны на давно известных законах социальной инженерии. Вам приходит электронное письмо со ссылками или файлами, ориентированными на ваши запросы, интересы. Открывая эти приложения, вы загружаете вирус. Гражданам надо проявлять бдительность при работе с посланиями такого рода. 

— Россиянам стоит в первую очередь опасаться за интернет- или мобильный банк? Что кибермошенники будут активнее атаковать в 2016 году?

— Мобильный банк сейчас более интересен злоумышленникам: граждане почти не расстаются со своими смартфонами, активно используя социальные сети и другие приложения. Селфи и серфинг в сети со смартфона, совершение регулярных финансовых операций — явление нашего времени.

— А вы пользуетесь мобильными банковскими приложениями?

— Да. Преувеличивать масштаб проблемы не стоит, но о безопасности нужно помнить всегда.

— Когда участие банков в FinCERT станет обязательным?

— Мы не планируем вводить такое требование в обозримой перспективе. Наша принципиальная позиция — выстраивание отношений с банками на принципах доверия и добровольности. Число добровольных участников Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России поступательно растет. Сейчас свыше 270 банков подключено к FinCERT по собственной инициативе. Правда, пока около 60% банков, уже участвующих в информационном обмене с FinCERT, не спешат делиться информацией о кибератаках. Но «молчуны» тоже  анализируют наши рассылки.

— А сколько сотрудников работает в FinCERT?

— На сегодняшний день восемь сотрудников. Они разбирают трояны на части, анализируют информацию от банков, взаимодействуют с МВД, Следственным комитетом. Это серьезные технические специалисты: выпускники Бауманки, бывшие банкиры, эксперты с опытом работы в Банке России и на рынке информбезопасности. В будущем мы планируем расширить штат FinCERT до оптимального уровня — 16 человек. Это связано с необходимостью создания и развития общероссийской антифрод-системы — того самого общероссийского «колпака». Однако для запуска системы нужны не только дополнительные людские ресурсы, но и серьезные технические решения, а также внесение изменений в законодательство.

— О каких новациях идет речь?

— Законопроект о внесении изменений в законы «О национальной платежной системе», «О Центральном банке Российской Федерации (Банке России)», «О банках и банковской деятельности», по которому банки смогут блокировать карты клиентов, если есть риски хищений денег с них, предлагается доработать, в том числе четко определить понятие «несанкционированная операция», законодательно урегулировать деятельность по антифроду, прописать порядок действий банков. Сейчас вся деятельность по антифроду осуществляется де-факто, она слишком разноплановая. Кроме того, поправками будет законодательно закреплена возможность обмена информацией о лицах, участвующих в операциях по выводу похищенных денежных средств. Эти сведения относятся к банковской тайне и персональным данным. Банки неформально обмениваются ими между собой, но, по сути, балансируют на грани закона. Наша цель — легализовать обмен такой информацией, чтобы можно было опережать злоумышленников. Внести законопроект в Госдуму планируется в осеннюю сессию.

— Как в новом законопроекте будет определено понятие «несанкционированная операция»?

— В двух словах: таковой признается трансакция, которая была совершена по карте не только без вашего согласия, но и без вашего участия.

— Закон «О национальной платежной системе» в свое время дал право гражданам требовать от банков возмещения сумм электронных платежей, совершенных без согласия клиента. Не было ли массовых попыток злоупотребить этим правом?

— Вала мошенничества со стороны клиентов, которого многие опасались, не было. Были единичные случаи непонимания между банками и их клиентами, но, как правило, все инциденты решаются по взаимному согласию сторон.

— А кто больше виноват в том, что мошенникам удается увести деньги с карт, — банки или клиенты?

— Как ни странно, чаще всего виноват сам клиент, не соблюдающий элементарных правил безопасности.

— Может быть, стоит ввести штрафы для граждан, которые  бездумно дают возможность третьим лицам получить данные своих карт?

— Такие клиенты сами себя наказывают, не считаю, что их за это надо еще и штрафовать. Финансовая грамотность из-под палки — это не совсем правильно. К тому, чтобы правила личной финансовой безопасности стали для людей повседневной нормой, в мире шли долго. Аналогичный процесс в России ускоряется, но должно пройти еще время, прежде чем люди поймут, что не только банки должны нести всю ответственность за сохранность денег.

— Какие страны, по вашему мнению, наиболее продвинуты в вопросах кибербезопасности?

— Россия, Китай, Индия, где сильны математические школы, дающие основы программирования. США, у которых есть ресурсы для того, чтобы активно привлекать квалифицированные кадры. Плюс арабские страны, которые усиливают присутствие в киберпространстве. Любая развитая страна понимает, что специалисты по кибербезопасности — мощный козырь в условиях глобальной конкуренции между государствами.

— Как часто кибермошенники атакуют Банк России?

— Безусловно, Банк России как мегарегулятор представляет интерес для злоумышленников. Атаки происходят практически ежедневно, но крупных — единицы. И все они успешно отражаются.