FinCERT: с чем его едят?
Вчера я описал доклады по ГосСОПКА, прозвучавшие на SOC Forum . Сегодня пора обратиться к другому "государственному" центру мониторинга и реагирования на компьютерные инциденты. Речь, конечно же, пойдет о FinCERT. Я уже писал о том, что бы я хотел видеть от этой структуры. Теперь давайте посмотрим, что про это думает сам ЦБ, который представил на SOC Forum два доклада о работе FinCERT.
В отличие от существующего SOC, который в ЦБ занимается защитой платежной системы Банка России, то есть выполняет внутренние задачи, FinCERT направлен вовне — на взаимодействие с объектами кредитно-финансовой сферы.
И основная проблема, с которой сталкивается сейчас FinCERT — это доверие со стороны банков, которые пока не горят желанием делиться с центром мониторинга информацией об инцидентах. Об этом говорит сразу несколько фактов. И опрос, проведенный в рамках круглого стола на сентябрьской InfoSecurity Russia, и число участников, работающих с FinCERT — их 80 (в том же известном всем закрытом клубе почти в 7 раз больше банков), и рассказ замначальника ГУБиЗИ Артема Сычева о том, что они предупреждали некоторые банки об угрозах реализации против них DDoS-атак, но банки не прислушивались к рекомендациям ЦБ. Оно и понятно, одной рукой ЦБ приглашает делиться сведениями о проблемах с ИБ в банках, а другой отзывает потом у них лицензии. Понятно, что это разные "руки", но голова-то одна, и поэтому определенное недоверие к работе FinCERT есть и будет еще долго сопровождать эту структуру. На ее исправление придется потратить немало сил и времени.
Но вернемся к тому, что делает FinCERT. Согласно презентации Дмитрия Фролова, руководителя FinCERT, входящего в состав ГУБиЗИ, созданный и скоро уже как полгода работающий центр мониторинга имеет дело с 4-мя типами инцидентов:
- DDoS-атаки
- Вредоносное ПО
- Мошеннические SMS и звонки
- НСД к конфиденциальной информации.
Пока FinCERT собирает информацию. Делает он это из различных источников — СМИ, банки, мониторинг Интернет, ГосСОПКА (правда, непонятно как). Основной канал получения этих сведений — электронная почта. В отличие от GOV-CERT, который явно указывает PGP-ключ для обмена с ним информацией в защищенном режиме, FinCERT использует ничем не защищенный обмен. О возможности применения PGP на форуме говорилось, но о том, что это за ключ и как его получить (а также удостовериться в его подлинности) информации нет.
 |
| Фрагмент формы обращения на сайте Банка России |
Самый предпочтительный вариант взаимодействия с FinCERT — по электронной почте, так как он будет самым оперативным. В этом случае, как заявляют представители Центра, время на обработку входящего сообщения займет 1 рабочий день или около того. Попытка достучаться до FinCERT по официальным каналам (через территориальные управления или через Интернет-приемную) затянут ответ на несколько недель. Бюрократия — это то, что может убить центр мониторинга и реагирования на инциденты, который должен функционировать более оперативно, чем это принято сейчас в госорганах.
Вообще, отсутствие "витрины" у FinCERT сильно мешает его активному продвижению в банковской среде. Планы по автоматизации своей деятельности у Центра большие — остается только верить, что они сбудутся в самой ближайшей перспективе. Например, у Банка России в планах стоит интеграция с банком данных угроз и уязвимостей ФСТЭК России. Особенно интересно выглядит система личных кабинетов, которая будет сродни революции на сайте ЦБ, который только совсем недавно был переработан студией Артемия Лебедева и никаких личных кабинетов там сейчас не предусмотрено.
Общая схема работы FinCERT достаточно стандартна для такого рода центров мониторинга и реагирования — они получают информацию, анализируют ее, и на основе анализа готовят оперативные рекомендации пострадавшей стороне, а также рассылают их по остальным присоединившимся к системе информационного обмена организациям. Также предусмотрены и плановые отчеты по инцидентам.
Вот тут у меня очередная порция сомнений есть. Особенно видя что происходит с отчетами по 203-й форме и с рекомендациями по повышению уровня защищенности ни ее основе. Но про это в следующей заметке.
Внутри FinCERT сидят аналитики, которые занимаются анализом получаемой информации об угрозах. Для этого используются как бесплатные (тот же VirusTotal), так и платные (упоминались фиды от Лаборатории Касперского) источники и инструменты. Про различные источники информации Threat Intelligence я уже рассказывал на SOC Forum и повторяться не буду, отправив читателя к своей презентации . Единственное, что могу добавить, что пока ни о какой стандартизации информационного обмена речи нет — данные об угрозах, а также индикаторы компрометации рассылаются в виде документов PDF или Word.
Вот так выглядит на сегодня FinCERT. С прошедшего в феврале Уральского форума (а регистрация на новый уже открыта) видно движение вперед. Как в части налаживания работы самого центра и обеспечения его некоторой открытости (то, чего так не хватает ГосСОПКЕ), так и в части реальных результатов, о которых на SOC Forum говорил Руслан Стоянов из Лаборатории Касперского (есть реальные задержания киберпреступников).
Ваш провайдер знает о вас больше, чем ваша девушка? Присоединяйтесь и узнайте, как это остановить!
ФинЦЕРТ по заявкам. Как Банк России усиливает кибербезопасность в финансовом секторе
Центр взаимодействия и реагирования Департамента ИБ Центробанка (FinCERT, ФинЦЕРТ) открылся в 2015 году. С тех пор спецподразделение помогает участникам финансового рынка оперативно реагировать на угрозы информационной безопасности, обмениваться опытом и минимизировать потери.
Весной 2023 года ФинЦЕРТ Банка России заявил о новых правилах работы с банками. Что изменилось, какие задачи решает спецподразделение сейчас и чего от него ожидать в будущем – рассказываем в этой статье.
Чем занимается ФинЦЕРТ Банка России
FinCERT на базе Департамента информационной безопасности ЦБ открылся 1 июня 2015 года. В название нового подразделения вошло общепринятое сокращение CERT – computer emergency response team (группа реагирования на компьютерные инциденты).
ФинЦЕРТ Банка России – это структура, которая занимается мониторингом событий ИБ на финансовом рынке и их анализом, делится полученной информацией с компаниями, а также взаимодействует с правоохранительными органами. Но главное – подразделение выстраивает эффективный обмен данными между финансовыми компаниями, организациями правопорядка и ИТ-компаниями (провайдерами, операторами связи, разработчиками антивирусного и другого ПО).
Проще говоря, организации оповещают регулятора об инцидентах, уязвимостях ПО и угрозах, с которыми им пришлось столкнуться. В свою очередь FinCERT дает рекомендации по противодействию рискам и передает информацию другим участникам обмена.
АСОИ ФинЦЕРТ – что это такое?
Чтобы сообщить о событии или угрозе в Центр взаимодействия и реагирования Центробанка, нужно подключиться к автоматизированной системе обработки инцидентов (АСОИ ФинЦЕРТ). Сделать это могут все участники финансового рынка и компании, предоставляющие им услуги или ПО в части ИБ.
На текущий момент во взаимодействии с FinCERT участвуют более тысячи организаций. Все они подключены к автоматизированной системе. Часть участников обмена пользуется личными кабинетами. Другие организации передают информацию через программный интерфейс ФинЦЕРТ API. Банки, к примеру, чаще используют второй вариант.
АСОИ ФинЦЕРТ – главный канал передачи данных об инцидентах в ЦБ. Другие способы допускаются, но только в экстренных случаях – если нет интернета или возможности войти в личный кабинет.
Работа по новым правилам
В марте 2023 года стало известно, что Банк России начинает собирать больше информации о злоумышленниках. Теперь кредитно-финансовые организации будут передавать регулятору дополнительные данные о всех участниках сомнительных переводов. Раньше они сообщали только о получателях.
Требование вошло в новую редакцию стандарта правил информационного обмена о кибератаках и инцидентах ИБ в финансовой сфере (СТО БР БФБО-1.5-2023). Документ вступает в силу 1 октября 2023 года. Изменения нужны в рамках ФЗ о взаимодействии Центробанка и МВД, который будет действовать с 21 числа того же месяца.
Руководитель направления аудитов и соответствия требованиям ИБ компании УЦСБ
Основное назначение таких структур, как ФинЦЕРТ Банка России, – это противодействие киберинцидентам, в том числе благодаря обмену опытом о мошеннических операциях. Этот обмен не нацелен на «тушение пожаров», а работает на опережение.
Как это происходит? Банк «А» направляет в ФинЦЕРТ информацию о мошеннических операциях и о тех мерах, которые он предпринял для борьбы с этим киберинцидентом. Далее ФинЦЕРТ анализирует, какие банки могут попасть под такую же атаку (по различным показателям: схожая ИТ-инфраструктура, пакет услуг, бонусы и т.д.) и направляет им информацию о возможных мошеннических операциях и методах борьбы с ними. Банк «Б» следует инструкции и заранее предпринимает меры, чтобы не допустить наступление инцидента у себя.
Что именно делать с данными о всех участниках мошеннических переводов, решать банкам. Возможно, что в будущем они договорятся о каких-то общих санкциях, полагают эксперты.
Главный специалист отдела комплексных систем защиты информации компании «Газинформсервис»
Схема кражи денег проста. Они перемещаются следующим образом: счет жертвы – счет дроппера – счет для вывода денег – иностранный счет.
Чтобы снизить объемы потерь денег у клиентов, крайне важно как можно раньше пресекать вывод на иностранные счета. И чем сложнее будет проворачивать эту схему, тем меньшие объемы мошенничества будут совершены. Отсюда следует, что идеальный расклад – это блокировать переводы на всех счетах дропперов или счетах вывода денег.
Однако, напоминает Дмитрий Овчинников, этого решения нет в новых правилах, потому что оно выходит за рамки полномочий Центробанка. Его следует прорабатывать с банками отдельно, так как нужно учитывать интересы всех заинтересованных лиц.
Чем ФинЦЕРТ займется в будущем
По прогнозам экспертов, в ближайшие пять лет спецподразделение Банка России будет актуализировать существующие регламенты и усиливать техническую базу. В частности, доработок требует АСОИ ФинЦЕРТ.
Управляющий RTM Group, эксперт в области кибербезопасности и права в ИТ
Изменений стоит ожидать в части автоматизации сбора сведений. До сих пор часть информации передается в неструктурированном виде, что замедляет ее обработку. Хотя скорость здесь особенно важна – при хищениях денежных средств счет идет на часы.
Также эксперты считают, что ФинЦЕРТ Банка России в будущем может объединить свои усилия с регуляторами стран СНГ и ближнего зарубежья. Это позволит существенно повысить информационную безопасность банков и увеличить процент возврата денежных средств, похищенных мошенниками.
Руководитель направления аудитов и соответствия требованиям ИБ компании УЦСБ
Как говорится, разведсводки на стол не кладут, но наверняка стоит ожидать активное включение ФинЦЕРТ в международное сотрудничество по противодействию мошенническим операциям. Например, с Национальным центром мониторинга кибербезопасности Республики Беларусь в рамках Союзного государства. С ним уже ведется совместная работа по многим направлениям.
По мнению Евгения Баклушина, ФинЦЕРТ Банка России может также наладить взаимодействие с аналогичными центрами стран-участников ШОС и БРИКС. Логика понятна: чтобы вместе строить устойчивую экономику, государствам придется совместно противостоять киберугрозам и мошенничеству.
Выводы
Взаимодействие с ФинЦЕРТ Банка России для организаций – дело добровольное. Но это не помешало ему стать единой платформой для обмена данными о событиях ИБ в финансовой сфере страны.
С каждым годом роль ФинЦЕРТ в борьбе с киберугрозами растет. А вместе с этим крепнет и доверие банков к регулятору. Во всяком случае, так считают эксперты.
ЦБ и МВД начнут обмениваться информацией о мошеннических операциях
С 21 октября 2023 года сотрудники МВД России смогут оперативно получать данные об операциях без согласия клиента из автоматизированной системы ФинЦЕРТ Банка России, сообщается на сайте регулятора.
С этого дня вступает в силу закон об информационном обмене двух ведомств, который позволит усилить противодействие кибермошенникам.
В документе прописан порядок электронного взаимодействия между Банком России и Министерством внутренних дел.
Предусматривается, что после обращения пострадавшего сотрудники МВД могут запросить у регулятора все необходимые данные о мошеннической операции. В том числе — о получателе похищенных средств.
Если этих данные не будет в базе ФинЦЕРТ, то регулятор обратится за уточнением в банки. Благодаря режиму «одного окна» получать информацию, необходимую для расследования фактов мошенничества и уголовных дел, станет возможно в максимально сжатые сроки. Обмен данными будет происходить с соблюдением норм банковской тайны.
Сведения, которые регулятор получит от правоохранительных органов, банки смогут учитывать в своих системах для предотвращения новых мошеннических операций, добавляется в сообщении Центробанка.
Финсерт цб что это
(1).jpg)
Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с АО »СБЕР А». Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.
Программа разработана совместно с АО »СБЕР А». Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.
Обзор документа
Письмо Банка России от 7 декабря 2020 г. № 56-1-11/613 «О развитии АСОИ ФинЦЕРТ»
Департамент информационной безопасности Банка России рассмотрел письмо Ассоциации банков России от 11.11.2020 N 02-05/864 с предложениями по совершенствованию механизма обмена информацией между банками и Банком России.
Передача информации в Банк России осуществляется с использованием Автоматизированной системы обработки инцидентов ФинЦЕРТ (далее — АСОИ ФинЦЕРТ), посредством которой операторы по переводу денежных средств, операторы платежных систем, операторы услуг платежной инфраструктуры осуществляют реагирование на события информационной безопасности, перечисленные в Указании Банка России N 4926-У от 08.10.2018. При этом в АСОИ ФинЦЕРТ реализован механизм формирования "фидов" на основе автоматической маршрутизации и обработки запросов по операциям без согласия клиентов от операторов по переводу денежных средств, обслуживающих плательщика, на оператора по переводу денежных средств, обслуживающего получателя средств.
В отношении изложенных в Вашем письме предложений сообщаем, что Банком России ведется работа по внесению изменений в процессы сбора, обработки и распространения сведений об операциях без согласия, доработка форм отчетности и нормативных документов Банка России, регламентирующих данные процессы. Планируемые изменения будут вьшоситься Банком России на открытое обсуждение с банковским сообществом с целью создания максимально эффективного процесса взаимодействия, отвечающего современным вызовам и потребностям участников кредитно-финансовой сферы.
В рамках ближайших инициатив планируется осуществить ряд встреч с представителями банковского сообщества по следующим тематикам:
Выработанные в результате открытого обсуждения, равно как и изложенные в Вашем письме предложения будут учтены при дальнейшем совершенствовании организационно-правовых подходов к вопросам информационной безопасности и при доработке и развитии функционала АСОИ ФинЦЕРТ.
Благодарим Вас за высказанные замечания и предложения по совершенствованию взаимодействия между банками и Банком России и надеемся на дальнейшее плодотворное сотрудничество!
| Директор Департамента информационной безопасности |
В.А. Уваров |
Обзор документа
Для совершенствования работы системы обработки инцидентов ФинЦЕРТ ЦБ планирует провести с представителями банковского сообщества встречи по вопросам финансовых инцидентов и компьютерных атак.
С помощью системы операторы по переводу денежных средств, операторы платежных систем, операторы услуг платежной инфраструктуры реагируют на события информационной безопасности.