ЦБ готов информировать банки об атаках быстрее

Внедренная ЦБ с июля этого года в рамках борьбы с киберугрозами платформа АСОИ не дает возможности моментально получать критически важную информацию. Например, о выводе средств мошенниками через банк узнать можно лишь в личном кабинете платформы, а в такой ситуации критичны даже минуты. Участники рынка считают необходимым изменить метод оповещения на СМС или иной моментальный и обратились с соответствующей просьбой к ЦБ.

ЦБ намерен проработать вопрос об информировании кредитных организаций об инцидентах, когда необходима моментальная реакция службы информационной безопасности банка. Об этом сообщил замглавы департамента информационной безопасности ЦБ Артем Сычев на конференции-семинаре Банка России совместно с Академией информационных систем, Ассоциацией АБИСС. Обсуждая с регулятором особенности платформы АСОИ, банки указали, что в настоящее время в личный кабинет «сыпется» как критически важная информация (например, когда через банк выводят похищенные деньги), так и информационные бюллетени ЦБ и т. д.

АСОИ — новая платформа для оперативного обмена ЦБ с банками. До недавнего времени взаимодействие банков с ФинЦЕРТ происходило по электронной почте. Однако уже 2 июля участники рынка получили от регулятора письма с инструкцией по работе с платформой. По задумке ЦБ, АСОИ должна быть информационно-сервисным порталом участников, автоматизировать обработку сведений об инцидентах, позволить вести базу по уязвимостям, архив расследования инцидентов и т. д. Информацию от ФинЦЕРТ банки-участники получают в личном кабинете (см. “Ъ” от 2 августа).

По словам главы управления информбезопасности ОТП-банка Сергея Чернокозинского, банки получают в АСОИ от ЦБ до десяти сообщений в день. «Специалисты банка не могут сидеть у компьютера и до бесконечности нажимать F5, чтобы обновить информацию в личном кабинете и выявить требующую немедленного реагирования»,— сетовали банкиры на конгрессе. Примером медленного оповещения может служить ситуация с ПИР-банком. Во время атаки на него злоумышленники вывели 58 млн руб. через 22 банка. Само хищение произошло 3 июля вечером. Банки, на счета в которых хакеры вывели средства, получили информацию лишь в 16:00 на следующий день, но не все увидели ее сразу. Притом что в случае атак счет идет на минуты, отмечают эксперты.

Наиболее простым решением проблемы могло бы стать СМС-информирование, считают банкиры. Впрочем, многие уверены, что необходим более гибкий подход. По словам главы управления информбезопасности «Ренессанс-кредита» Дмитрия Стурова, оптимально было бы наличие возможности самостоятельно настраивать способ получения информации в зависимости от ее критичности: не требующую оперативного реагирования можно через ЛК АСОИ или электронную почту, более оперативную — СМС или мессенджеры. «При этом СМС нужно как сигнал, чтобы заглянуть в личный кабинет или прочесть имейл»,— отметил он. Подобная система оповещения уже выстроена у многих компаний, специализирующихся на информбезопасности. По словам директора центра мониторинга и реагирования на кибератаки Solar JSOC Владимира Дрюкова, в их компании информация о базовых атаках отправляется заказчикам по почте, для извещения о более критичных угрозах используются уведомления через СМС или мессенджеры. «В случае критичных, массовых или развивающихся атак мы пытаемся проинформировать заказчика по телефону с постепенной эскалацией звонка на вышестоящие контактные лица при недозвоне»,— добавил он.

По словам начальника управления информационной безопасности Златкомбанка Александра Виноградова, идея оперативного оповещения банков, в том числе в виде СМС, замечательная, однако она будет функционировать лишь при работе ФинЦЕРТ в режиме 24/7, а не только в официальные рабочие часы. Артем Сычев в ответ на запрос “Ъ” пообещал, что ФинЦЕРТ, когда будет готов, перейдет на такой режим работы.