Дмитрий Германович, сколько попыток похитить деньги со счетов совершается в день?
Дмитрий Скобелкин: В среднем к нам приходит по 200-300 уведомлений о несанкционированных операциях, и это число постепенно растет. Абсолютное большинство несанкционированных операций оказываются безрезультатными. При этом мы предполагаем, после внедрения автоматической загрузки данных об инцидентах в систему «Фид-Антифрод» количество уведомлений о несанкционированных операциях увеличится. Сейчас прототип этого сервиса тестируется уже многими банками. Благодаря «Фид-Антифрод», все банки смогут оперативно получать доступ к информации о счетах, через которые мошенники пытались вывести деньги, и в случае необходимости блокировать операции по этим счетам, то есть сохранять деньги своих клиентов.
<!—
—>
В прошлом году ЦБ ввел для банков отчетность по похищенным со счетов клиентов деньгам, которые банки должны возмещать, а уже потом выяснять, виноват ли в этом сам клиент. Что оказалось — реально ли получить у банка такое возмещение?
Дмитрий Скобелкин: Да, мы впервые собрали данные по объему средств, возмещаемых банками в рамках 9-й статьи Закона «О национальной платежной системе» (возмещение обязательно, если клиент сообщил банку об исчезновении денег не позже, чем на следующий день, и сам не передавал мошенникам информацию, которая сделала возможной кражу денег. — Прим. ред.). И это сразу показало, что эта статья работает: за третий квартал 2018 года банки возместили клиентам свыше 230 миллионов рублей.
Как тогда относиться к тому, что крупные банки активно предлагают, если не сказать навязывают страховки денег на картах? Или все же лучше заплатить 1,5-2 тысячи рублей в год и спать спокойно?
Дмитрий Скобелкин: Такая страховка — это, конечно, индивидуальное решение клиента. При этом следует понимать, что если клиент никому не отдавал данные карты, исполнял все обязанности по договору с банком, то банк обязан возместить ему похищенное.
Только за три месяца банки возместили клиентам 230 миллионов рублей, похищенных хакерами. Это те случаи, когда клиенты вовремя сообщили о хищениях
Банки должны проводить постоянный мониторинг несанкционированных операций, а если они не уследили за злоумышленниками и те получили доступ к счету клиента, то закон, как мы видели, довольно эффективно защищает потребителя. Тем более мы категорически против навязывания услуг. Если клиенты сталкиваются с таким навязыванием, они могут жаловаться в ЦБ.
Закон об остановке подозрительных платежей работает уже четыре месяца. Есть ли массовые жалобы от клиентов на необоснованные блокировки?
Дмитрий Скобелкин: Опасения действительно были, но жалобы можно пересчитать по пальцам одной руки. Конечно, могут быть ложные срабатывания — например, вы никогда не пользовались переводом через смс, а тут вдруг решили попробовать, причем хотите сразу перевести очень большую сумму — есть вероятность, что операция будет остановлена, потому что это нетипичные для конкретного клиента транзакции. Но банки в таких случаях обязаны оперативно связаться с клиентом, и если он все подтверждает, то операция будет сразу проведена.
<!—
—>
Это может приносить неудобства, зато риск, что кто-то уведет деньги с карты, снижается в разы. Без усилий систему противодействия кибератакам построить просто невозможно.
Каждый день мошенники атакуют людей звонками и сообщениями — то якобы от мобильного оператора, то от службы безопасности банка, то еще как-то. При этом мошенники могут в разговоре упоминать персональные данные, например, имя, данные паспорта, что позволяет им проще войти в доверие. Неужели этот поток никак не остановить? Или это не сфера ответственности ЦБ?
Дмитрий Скобелкин: Частично это сфера ответственности Банка России. Такие звонки и рассылки возможны помимо прочего и потому, что мошенники выуживают у людей персональные данные через фишинговые сайты. Банк России рассчитывает получить полномочия по их внесудебной блокировке. Соответствующий законопроект Госдума уже приняла в первом чтении. Важно также, что Банк России сможет обращаться в суд для защиты интересов граждан. Отсутствие такого права нам сильно мешает: сейчас в суд могут обращаться только пострадавшие, а Банк России не является пострадавшей стороной. Но нам необходимо защищать интересы тех, кто уже стал или может стать жертвой мошенников.
Ежедневно в Банк России приходит по 200-300 уведомлений о несанкционированных операциях, абсолютное большинство попыток хищений безрезультатны
Большинство этих фишинговых сайтов — зарубежные?
Дмитрий Скобелкин: Место расположения хостинг-провайдера вообще особой роли не играет, управление рассылками и вредоносным ПО может вестись из любой страны. Ведь если сайт зарегистрирован в зарубежной юрисдикции, с его помощью проще обходить наши законы и обманывать людей.
Вообще, этот «бизнес» международный — дропперы (через которые выводятся похищаемые деньги. — Прим. ред.) могут быть где угодно, где — это не принципиально.
Сколько счетов дропперов уже в базе Банка России? И что с ними происходит — они блокируются?
Дмитрий Скобелкин: Банки активно начали обмен информацией о фактах несанкционированных переводов. Закон требует от банка повышенного внимания к счетам, на которые были переведены эти деньги или должны были быть переведены, но были вовремя остановлены. Бывают случаи, когда счета используются злоумышленниками без ведома их владельцев, поэтому у таких «засвеченных» счетов повышенный уровень риска, но это не значит, что они окончательно блокируются.
<!—
—>
Теперь на ФинЦЕРТ Банка России завязан не только обмен данными об атаках между банками, но и взаимодействие между ними, чтобы мошенники не успели обналичить выведенные в другой банк деньги. Когда он перейдет на круглосуточный режим работы?
Дмитрий Скобелкин: Ориентировочно — c 1 марта, возможно, и раньше. В ФинЦЕРТ формируется дежурная служба, она будет работать в режиме 24/7.
Несмотря на то, что в ЦБ идут большие сокращения?
Дмитрий Скобелкин: Мы считаем направление информационной безопасности одним из приоритетных для финансовой системы страны, будем его только укреплять.
Последние массовые атаки в ноябре и январе приписываются группе Silence. Чем они завершились?
Дмитрий Скобелкин: Убытками для мошенников, которые потратили ресурсы на организацию атак, при этом на сегодняшний день (конец января. — Прим. ред.) денег получить им так и не удалось.
Ноябрьская рассылка Silence шла от имени ЦБ. А сам ЦБ подвергается атакам?
Дмитрий Скобелкин: В декабре мы видели активные рассылки вируса-шифровальщика Troldesh, они направлялись в том числе и в адрес руководства Банка России, но безрезультатно.
Полный отчет о несанкционированных операциях за 2018 год мы представим на Уральском форуме «Информационная безопасность финансовой сферы».
Какие тенденции в активности кибермошенников могут получить развитие в ближайшее время?
<!—
—>
Дмитрий Скобелкин: Самым популярным методом останется социальная инженерия (звонки, спам-рассылки). Как показывает жизнь, чаще всего люди теряют деньги из-за собственной доверчивости и неосмотрительности. Причем на уловки мошенников клюют не только клиенты банков, но и сами сотрудники кредитных организаций, когда они, например, открывают приходящие по электронной почте письма с вредоносами, переходят по вредоносным ссылкам. Я считаю, что банки и другие финансовые организации должны активнее работать над повышением финансовой грамотности своих клиентов, предупреждать их о возможных угрозах и методах мошенничества.
Что касается компьютерных атак на банки, то их количество и качество, вероятно, сохранится практически на прежнем уровне. Здесь надо обратить внимание на два основных вектора — целевые фишинговые рассылки троянских программ по электронной почте и взлом популярных сайтов для последующего распространения вредоносного ПО. Отдельные злоумышленники и их группы будут продолжать прямые атаки на банкоматы с использованием аппаратных средств (blackbox и т.п.), это потенциально менее выгодный способ, но и менее сложный. Поэтому наша задача как регулятора и задача самих банков — продолжать держать руку на пульсе, не только оперативно реагировать на инциденты, но и создавать условия для того, чтобы по возможности не допускать совершения этих инцидентов.
В Госдуме находится законопроект об обмене данными между операторами мобильной связи и банками о владельцах телефонных номеров. Зачем он нужен?
Дмитрий Скобелкин: Мы добиваемся, чтобы все банки имели равный доступ к информации, которая есть у операторов, раз речь идет о безопасности — мобильный телефон ведь становится фактически универсальным средством идентификации личности.
Законопроект даcт возможность банкам проверять, что номер телефона, с которого совершается операция, действительно принадлежит владельцу счета.
Международное сотрудничество
Банк России наладит обмен данными о киберугрозах с центробанками стран ЕС и Китая
Банк России в прошлом году создал систему обмена данными о хакерах в Евразийском экономическом союзе (ЕАЭС). Есть ли уже конкретные результаты от этого?
Дмитрий Скобелкин: Есть, мы каждый день взаимодействуем. Кстати, пока это единственный прецедент, когда центральные банки не просто договорились о сотрудничестве в области информационной безопасности, а перешли к практическим шагам.
Например, в Армении произошел инцидент, коллеги моментально вышли на связь, мы им технически помогли, а заодно предупредили своих поднадзорных. Помогали коллегам из Белоруссии и Казахстана, они вовремя смогли предотвратить атаки на свои банки.
Вы планируете обмениваться данными о киберугрозах с другими странами, например, с Китаем?
Дмитрий Скобелкин: Мы намерены заключить такие же соглашения, как в рамках ЕАЭС, с центральными банками Италии, Франции, ряда других стран Европы, с Китаем.
Через ФинЦЕРТ Банк России уже участвует в двух лидирующих международных организациях в сфере информационной безопасности — Forum of Incident Response and Security Teams (FIRST) и European ATM Security Team — Expert Group on ATM Fraud (EAST EGAF). Через них мы получаем оперативную информацию об атаках на иностранные банки, банкоматы и так далее, чтобы предупреждать наши банки о новых угрозах.
Кстати, в декабре 2018 года ФинЦЕРТ (FinCERT) получил официальное разрешение на использование акронима CERТ. Это означает его международное признание как группы реагирования на компьютерные инциденты.