ЦБ озаботился массовыми информационными атаками

Ставшие регулярными информационные атаки на банки заставили ЦБ обратить внимание на эту проблему. Его подразделение FinCert занялось ежедневным мониторингом и оповещением кредитных организаций о таких нападениях. Впрочем, по словам экспертов, такая информация не позволит привлечь инициаторов атак к ответственности, так как регулятор не дает банкам доказательной базы для полноценной защиты.

Предупреждение и обнаружение информационных атак в банковском секторе стало новым направлением в деятельности FinCert, сообщил заместитель главы Главного управления безопасности и защиты информации (ГУБиЗИ) ЦБ Артем Сычев. Работу по выявлению подобных атак Банк России, по его словам, начал восемь месяцев назад. Теперь FinCert в будние дни с интервалом в два часа проводит ежедневный мониторинг СМИ, блогов, соцсетей с помощью специального программного обеспечения в поисках информации, порочащей кредитные организации.

Обычно атаки развиваются по следующему сценарию: сначала появляются единичные публикации, через некоторое время — масштабное количество ссылок и перепечаток, как обычными пользователями, так и атакующими, в социальных сетях «ВКонтакте», Facebook, Twitter (в среднем от 200 до 800 перепечаток в сутки). Иногда для распространения информации используются мессенджеры Viber, Telegram, WhatsApp. После того как атака идет на спад, количество перепечаток значительно снижается, мониторинг атаки прекращается.

Информационные атаки на банки бывают двух типов: кому-то выгодна атака на конкретную кредитную организацию или же сама жертва, находясь на грани отзыва лицензии, инициирует атаку, чтобы создать образ «невинно убиенной», выяснили в ЦБ. «Пока рано говорить о какой-либо статистике выявленных атак, мы только набираем базу,— отметил Артем Сычев.— Это сложная работа, которая требует не только привлечения технических специалистов, но и лингвистов, острую нехватку которых мы сейчас ощущаем».

Массовые информационные атаки на банки начались осенью 2016 года на фоне проблем банка «Пересвет» (санирован 19 апреля 2017 года). Волна накрыла и татарские банки в связи с крахом Татфондбанка (лишился лицензии 3 марта 2017 года). Об этом официально заявляли в «Ак Барсе», Акибанке, Спурт-банке. К лету года массовые атаки дошли до крупных федеральных игроков — имели место многочисленные анонимные сообщения о проблемах в МКБ, «ФК Открытие», Промсвязьбанке, Бинбанке. Появление авторизованного письма одного из сотрудников УК «Альфа Капитал» с предупреждением клиентов о рисках сотрудничества с данными банками усугубило ситуацию. Зампред ЦБ Василий Поздышев связывал в том числе с последствиями информационной атаки отток клиентских средств из банка «ФК Открытие», который регулятору в итоге пришлось санировать.

Пока ЦБ использует собираемую информацию для собственных нужд и предупреждения подвергшихся им организаций. Как сообщил “Ъ” источник в правоохранительных органах, хотя по факту подобных атак могут быть возбуждены уголовные дела, на данном этапе подобная информация из FinCert не поступает. По словам собеседника “Ъ”, знакомого с работой FinCert, пока во главе угла именно мониторинг ситуации.

Банки рассчитывают, что смогут использовать информацию ЦБ для защиты от информационных нападений. «Банк, получив информацию от FinCert о направленной против него атаке, может действовать по нескольким направлениям,— отмечет директор правового департамента ХКФ-банка Александр Гонтаренко.— Первый вариант — это жалоба в ФАС на недобросовестную конкуренцию, также банк может подать иск о компенсации убытков, причиненных данной атакой, или с требованием защиты деловой репутации». Кроме того, сам банк может подать заявление в правоохранительные органы по факту клеветы, заключает он. Однако, по словам источников “Ъ”, сейчас ЦБ не делится с участниками рынка необходимой доказательной базой.

Чтобы сделать борьбу с информационными атаками более эффективной, ЦБ готовы помочь в сборе доказательной базы специализированные компании. «По законодательству расследование могут проводить только компетентные службы, но нас, ИБ-интеграторов, привлекают в качестве экспертов, способных собрать доказательную базу, определить цели и мотивы атаки»,— отметил заместитель гендиректора по сервису компании «Информзащита» Максим Темнов. По словам бизнес-консультанта Cisco Systems Алексея Лукацкого, есть технологии, позволяющие выявить, откуда пошла информационная атака, инициатора вброса, однако заказчика вброса выявить весьма проблематично. ЦБ, отметил он, просто облегчает жизнь банкам, предоставляя информацию об атаке и давая возможность сфокусироваться уже на защите от черного пиара.