Банк России открыл МВД доступ к автоматической системе обработки инцидентов (АСОИ) ФинЦЕРТ. В ней хранятся данные обо всех случаях и попытках несанкционированных переводов денег без согласия владельца. Ожидается, что это позволит сотрудникам полиции быстрее реагировать на киберинциденты. Правда, революцию в сфере кибербезопасности эта мера вряд ли произведет.
Засекреченный отдел
Число мошеннических атак на клиентов банков в России постоянно растет, как и аппетиты злоумышленников. По данным ЦБ, за первую половину 2023 года мошенники украли у россиян более восьми миллиардов рублей. Это на треть больше, чем за аналогичный период годом ранее; впрочем, и число случаев мошенничества растет ежегодно (см. «Слишком хорошо знают своих клиентов», «Эксперт» № 40 за 2021 год). Но лишь в прошлом году Госдума приняла закон о внесении изменений в Закон о банках и банковской деятельности и в Закон о Национальной платежной системе, разрешающий МВД и ЦБ обмениваться информацией. Раньше данные о киберинцидентах ЦБ выдавал МВД только по запросу. Ответ занимал по закону до 30 дней, так что преступники успевали увести деньги. Ожидается, что теперь сотрудники полиции смогут реагировать быстрее.
МВД также сможет делиться своими данными с Центробанком. Это нужно для того, чтобы вовремя предупредить банки о возможных атаках.
Фиксацией случаев мошенничества и их аналитикой несколько лет занимался созданный в 2015 году специальный отдел Банка России — Центр взаимодействия и реагирования департамента информационной безопасности (ФинЦЕРТ, название происходит от CERT — computer emergency response team, группа реагирования на компьютерные инциденты). ФинЦЕРТ мониторил несколько видов киберинцидентов — DDoS-атаки, использование хакерами вредоносного ПО, мошеннические звонки и СМС, несанкционированный доступ к конфиденциальной финансовой информации. В сети в открытом доступе есть данные из презентаций, которые описывают внутреннюю работу отдела. Она состоит из трех частей — аналитика вредоносного ПО, техническая аналитика (отслеживает нестандартную активность пользователей) и аналитика бизнес-процессов — анализ того, как мошенническая активность влияет в целом на работу организации.
Отдел не работал с физлицами напрямую, а взаимодействовал уже с самими банками: жертвы должны были жаловаться об инцидентах именно им. При этом вначале сами банки неохотно сотрудничали с ФинЦЕРТом. Банк России в тот период активно отзывал лицензии у небольших банков, и данные о пропущенных киберинцидентах могли привести к дополнительным проблемам — так считали в финансовых учреждениях. В дальнейшем передача информации банками в базу ФинЦЕРТ стала обязательной.
Общий принцип работы ФинЦЕРТа стандартен для подобных центров. Внутри сидят эксперты, которые принимают поступающую информацию. Они анализируют ее и рассылает рекомендации для банков. Детали же работы сотрудников ФинЦЕРТа покрыты тайной — данные о киберинцидентах конфиденциальны.
В 2020 году в структуре департаментов Центробанка произошли изменения. Тогда было принято решение о закрытии ФинЦЕРТа. Возможно, это было сделано потому, что эта структура не справлялась с выполнением своих задач: число киберинцидентов в финансовой сфере в России на фоне коронавируса тогда резко возросло. Функционал ФинЦЕРТа в результате перешел к департаменту ЦБ по информационной безопасности.
База теневых финансов
В самом начале работы никакой электронной базы у ФинЦЕРТа не было, рассказывают участники рынка. Все данные поступали в виде PDF и Word-файлов. База появилась позже, она позволила автоматизировать работу отдела. О самой базе ФинЦЕРТ сегодня известно мало. По данным СМИ, к ней сегодня подключено около тысячи финансовых организаций, в том числе банков.
По данным источника «Монокля» на IT-рынке, в создании базы ФинЦЕРТ принимала участие одна из крупнейших российских публичных IT-компаний. Это стандартная база данных, такие же системы, только с другим наполнением для своих нужд создают сотни крупных российских компаний, говорит наш источник. Единственное отличие базы ЦБ в том, что в ней содержится очень специфическая информация.
После расформирования ФинЦЕРТа за базой продолжил следить департамент ЦБ по информационной безопасности. Эту информацию подтвердили «Моноклю» в пресс-службе Центробанка.
Председатель Национального совета финансового рынка Андрей Емелин рассказал «Моноклю», что в базу ФинЦЕРТ попадают данные о состоявшихся случаях и попытках несанкционированных переводов денег без согласия владельца. Даже если перевод не прошел, информация о нем фиксируется в системе.
«В базе есть информация о плательщике — лице, со счета которого был произведен перевод, о получателе и об использованных счетах и электронных средствах платежа. Есть также данные о блокировке счета или операции, если какой-то банк ее осуществил», — говорит эксперт. Руководитель группы антифрод-решений компании Innostage Лев Афанасьев добавляет, что среди персональных данных клиентов банков в базе хранятся ИНН и хеш паспортных данных (то есть зашифрованные с помощью определенной математической функции данные паспорта).
Есть в базе ФинЦЕРТ и данные об инцидентах, связанных с перехватом управления счетом. Андрей Емелин поясняет, что преступники могут украсть банковскую карту клиента или его пароль, могут сделать дубликат сим-карты, на номер которой высылаются пароли, и так далее (подробнее см. «Ключ к чужим деньгам», «Эксперт» № 8 за 2019 год). Такие инциденты тоже будут занесены в базу. В нее также попадает информация обо всех случаях социальной инженерии, когда клиент перевел деньги мошенникам «добровольно». И наконец, там же есть данные о технических взломах банковских систем, в результате которых клиент лишился денег, лежавших на счете.
«В базе, например, может храниться информация об инцидентах, когда пользователя обманом убеждают установить на свое устройство ПО для удаленного управления и предоставить злоумышленникам доступ к нему, — приводит пример главный эксперт “Лаборатории Касперского” Сергей Голованов. — После этого у жертвы могут украсть средства со счетов, используя мобильное приложение банка. Когда пользователь поймет, что его ввели в заблуждение, он обратится в свою финансовую организацию и сообщит, что все операции были проведены без его согласия».
Другой пример: банк из-за сомнительных операций по карте заблокировал карточку, в дальнейшем никто не пришел оспаривать блокировку. Данные о владельце такого счета также попадают в базу, рассказывает управляющий партнер коллегии адвокатов Pen & Paper Алексей Добрынин. В последующем это осложняет процесс оформления банковских карт на такое лицо.
Сергей Голованов убежден, что неподтвержденных данных в информационной системе Банка России нет.
Однако в базе нет и полной информации обо всех киберинцидентах. Даже несмотря на то, что если банки не передадут данные в базу, в отношении них могут последовать санкции. Андрей Емелин отмечает, что передача данных в базу банками регламентирована — установлены определенные сроки и объем сведений, которые надо обязательно передать. Но проблема в другом: о каких-то киберинцидентах могут не знать и сами банки.
Силовики взялись за дропперов
База ФинЦЕРТ нужна для анализа киберинцидентов, вычисления мошеннических схем. Андрей Емелин объясняет: мошенники чаще всего пользуются счетом и паспортами по несколько раз. Они не создают отдельные счета и не печатают паспорта для каждого нового преступления. Поэтому база ФинЦЕРТ и нужна. С помощью хранящихся в ней данных ЦБ может выявлять целые мошеннические цепочки с участием большого числа дропперов ― подставных лиц. Дропперы помогают мошенникам обналичить или вывести украденные деньги ― именно дропперы переводят деньги на другие счета, таким образом создавая цепочки транзакций, и в результате отследить конечного получателя становится крайне трудно. «Банковские карты дропперов, как правило, используют для обналичивания денег. На счета дропперов также перечисляют деньги жертвы телефонных мошенников», — объясняет Алексей Добрынин.
Информация об инциденте рассылается банкам: им говорят об отдельных подозрительных счетах, участвующих в схеме. Банки проверяют их, спрашивают плательщика, давал ли он согласие на перевод. Если нет, то операции по таким счетам могут приостанавливаться. Вся эта система нужна для предотвращения последующих похожих киберинцидентов.
Андрей Емелин говорит, что сами банки и раньше собирали данные о подозрительных переводах в своих системах. Но они не видели информации о движении денег дальше первого получателя, так как данные об операциях в других банках им не передавались. Именно поэтому ЦБ и создал базу ФинЦЕРТ ― чтобы аккумулировать данные о подозрительных переводах во всех банках.
База ФинЦЕРТ является универсальным вспомогательным инструментом при разработке правил фрод-мониторинга в кредитных организациях, рассказывает Лев Афанасьев. Он объясняет, что база используется при проверках транзакций: «Успешная атака на клиента одного из банков усложняет процесс последующих атак на клиентов любой другой кредитной организации».
Эксперты сходятся на том, что подключение МВД к базе сделает расследование киберинцидентов эффективнее. Но затрудняются сказать, почему это подключение было сделано только сейчас — спустя восемь лет после начала работы ФинЦЕРТа.
С помощью базы данных о киберинцидентах ЦБ может выявлять целые мошеннические цепочки с участием большого числа дропперов — подставных лиц, через которые выводят похищенные деньги
Специалист компании F.A.С.С.T. по противодействию финансовому мошенничеству Дмитрий Дудков считает, что на фоне ситуации с мошенничеством допуск МВД к базе ЦБ — положительное нововведение, которое должно принести пользу. «Закон позволит упростить и ускорить процесс получения данных по счетам. Но с другой стороны, это лишь конечные “отработанные” счета, которые так или иначе уже были использованы в мошенничестве, — рассуждает Дудков. — Безусловно, обмен информацией усложнит процессы для злоумышленников, но не решит проблему в целом». Кроме того, не все заявления о мошенничестве доходят до возбуждения уголовного дела и расследования, отмечает эксперт.
С ним соглашается и Андрей Емелин. «Иногда МВД удается поймать мошенников буквально за руку и не дать им вывести деньги, — говорит председатель НСФР. — Правда, такие случаи пока редкость. Некоторые банки уже пытались выстраивать взаимодействие с региональными подразделениями МВД, передавая им данные о киберинцидентах, но это не давало системного эффекта. Теперь же у МВД появился онлайн-канал получения сведений из всех банков, и полиция сможет реагировать быстрее».
Руководитель департамента по противодействию мошенничеству «Инфосистемы Джет» Алексей Сизов отмечает, что информационный обмен между Банком России и МВД поможет в борьбе с социальной инженерией. МВД сможет получать данные из базы ФинЦЕРТ без согласия клиента.
«В первую очередь система поможет учитывать сведения МВД России по зарегистрированным им обращениям, наладить канал взаимодействия между участниками регистрации мошенничества и органом, проводящим следственные мероприятия», — заключил Сизов.
Однако предотвращать новые киберинциденты такое сотрудничество вряд ли сможет. Оно лишь сделает эффективнее работу силовых ведомств по борьбе с их последствиями, считают участники рынка.
Стоит заметить, что банки регулярно развивают меры защиты от атак мошенников. Усиливаются технологические способы защиты информации на счетах, произвести взлом банковской системы становится все сложнее (см. «Слишком хорошо знают своих клиентов», «Эксперт» № 40 за 2021 год). Банковские приложения собирают все больше данных о клиентах, анализируют их действия, что позволяет чаще выявлять подозрительную активность. Но защитить от человеческого фактора, когда какие-то данные сливают сотрудники банков, этими мерами нельзя. Как и от социальной инженерии: обманутый клиент всегда найдет способ передать мошеннику деньги. В результате всевозрастающая активность мошенников нивелирует всю работу в финансовой сфере в борьбе с ними. И объем похищенных средств по-прежнему только растет.