Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере
FinCERT - ФинЦЕРТ

Компания

Содержание

300px

Конечные собственники

FinCERT - структура Департамента информационной безопасности ЦБ России, главной задачей которой является противодействие злоумышленникам путем взаимного информирования и оповещения участников банковского сообщества об уязвимостях, угрозах и рисках, с которыми каждому из них приходится сталкиваться.

По данным на 2018 год в рамках FinCERT взаимодействуют более 600 банков.

2023: Сообщение о создании единой базы кибермошенников

В середине февраля 2023 года в Центробанке РФ рассказали о создании единой централизованной базы мошенников на базе ФинЦЕРТа (центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере, специальное структурное подразделение Банка России). Как отметила председатель ЦБ Эльвира Набиуллина, хранимые в системе данные не будут подтверждены регулятором.

«
Банки правильно говорят крупнейшие, что они накапливают базы данных больших...данные по клиентам. И у них появляются основания говорить о том, какие лица являются подозрительными. Пример о том, что заблокировали карточки этим подозрительным лицам и никто не пришел оспаривать, показывает, что эта система в принципе достаточно хорошо работает. И очень правильно был поставлен вопрос и предложение, что этой информацией хорошо бы банкам между собой обмениваться, - сказала она.
»

Данные в системе не будут проверяться ЦБ РФ

По словам Набиуллиной, обмен информацией между финансовыми институтами должен быть налажен, потому что это одна из предпосылок для скорости принятия решений.

«
А скорость, я еще раз подтверждаю, это самое важное сейчас в борьбе с разного рода мошенническими схемами, - заключила она.
»

В ЦБ решили заняться созданием единой базы о мошенниках на фоне роста числа банковских афер. Так, согласно данным регулятора, объем операций без согласия клиентов в 2022 году увеличился на 4,3% - до 14,16 млрд рублей. Вернуть клиентам банков в 2022 году удалось всего 4,4% от общего объема операций, что составило 618,4 млн рублей (6,8%, или 920,5 млн рублей годом ранее). Такой уровень возмещения объясняется сохранением высокой доли социальной инженерии (50,4%), когда граждане самостоятельно переводят средства злоумышленникам или раскрывают банковские данные, указывают в ЦБ.[1]

2021

Игорь Добровольцев - новый руководитель ФинЦЕРТ

В конце сентября 2021 года стало о назначении Игоря Добровольцева новым руководителем Центра взаимодействия и реагирования Департамента информационной безопасности ЦБ (ФинЦЕРТ). Об этом сообщил «Коммерсантъ» со ссылкой на свои источники и пресс-службу ЦБ РФ. Подробнее здесь.

Соглашение с Wildberries о сотрудничестве по вопросам противодействия кибератакам

Российский онлайн-ритейлер Wildberries 24 сентября 2021 года сообщил о том, что присоединился к информационному обмену с ФинЦЕРТ Банка России, заключив соглашение по вопросам противодействия компьютерным атакам, а также мошенничеству в сети интернет. Подробнее здесь.

2020: ЦБ РФ запустил масштабную реструктуризацию ИБ-подразделения

В ноябре 2020 года Центробанк РФ уведомил сотрудников о реструктуризации департамента информационной безопасности (ДИБ). Регулятор не раскрыл подробности изменений, но, по данным «Коммерсанта», Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ), занимавшийся мониторингом киберрисков, будет ликвидирован, а его функции перераспределены между управлениями ДИБ.

Само название ФинЦЕРТ может остаться за одним из новых управлений департамента, потому что в раскрутку этого бренда за пять лет его существования вложено немало денег и сил, рассказал изданию источник на банковском рынке. Банкиры рассчитывают, что за счёт преобразований регулятор разнесёт надзор и мониторинг в разные управления, чтобы банки, сообщая об инцидентах, получали помощь, а не наказание.

Центральный банк РФ запустил масштабную реструктуризацию ИБ-подразделения
«
Разделение ФинЦЕРТа поможет в регулировании отрасли, именно такой подход к регулированию и разделению информации принят в лучших практиках за рубежом,— считает основатель ChronoPay Павел Врублевский.
»

Член совета директоров РНКО «Платежный центр» Александр Погудин считает, что специализация подразделений на каждом из блоков функционала позволит глубже погружаться в специфику работы.TAdviser Security 100: Крупнейшие ИБ-компании в России 58.6 т

В ЦБ подтвердили газете реструктуризацию ДИБ и объяснили ее необходимостью усиления основных бизнес-процессов, от которых «зависит достижение целевых показателей, предусмотренных «Основными направлениями развития информационной безопасности кредитно-финансовой сферы на период 2019–2021 годов».

Среди таких процессов — обработка информации о противодействии операциям без согласия клиентов финансовых организаций, которая поступает в ЦБ от участников информационного обмена. Кроме того, усиливается направление риск-ориентированного надзора за обеспечением финансовыми организациями киберустойчивости и операционной надежности.[2]

2019: ФинЦЕРТ назвал главный источник утечек банковских данных россиян

11 октября 2019 года стало известно, что в первом полугодии 2019 года специалисты обнаружили на черном рынке порядка 13 тыс. предложений купли/продажи данных россиян.

Источник утечек банковских данных россиян

Главным источником утечек банковских и персональных данных являются не кредитные организации, а сами пользователи. Об этом сообщается в годовом отчете подразделения Центробанка РФ по кибербезопасности ФинЦЕРТ.

Согласно отчету, на долю банковских утечек приходится лишь 12% от всех данных, продававшихся на черном рынке в первой половине 2019 года (в общей сложности за указанный период времени было обнаружено порядка 13 тыс. предложений купли/продажи данных россиян).

Утечки данных часто происходят из неочевидных ресурсов, например, интернет-магазинов. На таких сайтах пользователь вводит всю необходимую информацию, которая может быть перехвачена и передана киберпреступникам с помощью вредоносного ПО.

Очень часто причиной утечки становятся сами пользователи и их устройства. Как правило, это финансово благополучные граждане, которым нравится использовать современные технологии, а также школьники, студенты, домохозяйки и пенсионеры.

Чаще всего мошенничества со счетами физических лиц осуществляются с помощью социальной инженерии (97 из 100 случаев). Типичная схема такова: преступники звонят потенциальной жертве и, представившись сотрудником банка, сообщают, будто ее деньги на карте «в опасности». Для перевода средств на «безопасный» счет жертва должна назвать пришедший в SMS-сообщении код. На самом деле, данный код подтверждает перевод денег на карту злоумышленника.

Помимо клиентов на удочку фишеров попадаются и сотрудники банков – как правило, им приходят фишинговые письма с вредоносным вложением. На долю инцидентов по вине сотрудников (как случайных, так и злонамеренных) приходится 70% от всех утечек из финорганизаций[3].

2018

ЦБ закрепил форматы направления сообщений банками в ФинЦЕРТ

6 ноября 2018 года появилась информация о том, что Банк России закрепил форматы направления сообщений банками в ФинЦЕРТ в пятом стандарте по информбезопасности. Предыдущие четыре стандарта были добровольными для присоединения, однако в данном случае избежать работы по стандарту технически не удастся. Подробнее здесь.

ФинЦЕРТ заблокировал свыше 2,1 тыс. доменов за 8 месяцев 2018 г

20 сентября 2018 года стало известно, то ЦБ заблокировал свыше 2,1 тыс. доменов в 2018 году.

На самом деле количество доменов подлежащих блокировке (разделегированию), которые выявляет ФинЦЕРТ, и информацию о которых получает от банков, больше. По статистике центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России разделегированию в конечном итоге подлежат примерно 3 из 4-х доменов.

Руководитель ФинЦЕРТ отметил, что за последние два года наблюдается тренд на нецелевые атаки, поскольку изучение объекта атаки очень затратно для преступников, поэтому ими используются стандартные процедуры и производится массовая рассылка. Так, на кредитно-финансовые организации зарегистрировано 530  нецелевых и 160 целевых атаки. Некоторые организации по разным причинам подвергаются несколько раз.

По данным ФинЦЕРТ более 80% участников кредитно-финансовой сферы в разрезе банков уже подключены к платформе Банка России по обработке инцидентов (АСОИ ФинЦЕРТ). По словам А. Калашникова, есть ряд организаций, которые по каким-то причинам до сих пор не направили в ФИНЦерт информацию о тех, кто ответствен за информационный обмен, ряд организаций, которые уже получили учетные данные от ФинЦЕРТа для входа в АСОИ, но по тем или иными причинам не посещают личный кабинет.

C 26 сентября 2018 года начинается процесс отчетности и надзорного реагирования и основным интерфейсом взаимодействия будет АСОИ ФинЦЕРТ. Электронная почта останется на определенном этапе резервным каналом для кредитных организаций. Все участники которые к АСОИ пока не подключены, будут подключаться к платформе с аналогичным для банков функционалом[4].

Вхождение в состав департамента информационной безопасности ЦБ РФ

Основная статья: Департамент информационной безопасности ЦБ России

В мае 2018 г совет директоров ЦБ принял решение разделить Главное управление безопасности и защиты информации на два самостоятельных подразделения - [[Департамент информационной безопасности ЦБ России|департамент информационной безопасности и департамент безопасности Банка России]]. [5] Департамент создан на базе Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (FinCERT).

Соглашение с МТС

МТС и Центральный банк Российской Федерации (Банк России) объявили в мае 2018 года о подписании соглашения о сотрудничестве в сфере информационной безопасности и противодействия компьютерным атакам.

Соглашение предусматривает информационное и организационное взаимодействие, направленное на предупреждение, выявление и пресечение правонарушений на финансовом рынке и в национальной платежной системе России, а также повышение уровня информационной безопасности сторон. МТС и Банк России будут сотрудничать через структурное подразделение Главного управления безопасности и защиты информации Банка России - Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ).

2017

Банкиры не доверяют FinCERT

С начала 2017 года кредитные организации не сообщили в FinCERT о каждой пятой успешной атаке хакеров. Банкиры не доверяют структуре, созданной внутри ЦБ РФ для обеспечения информационной безопасности, опасаясь привлечь надзорное внимание регулятора, пишет в ноябре «КоммерсантЪ».

За последний год группировка Cobalt осуществила порядка 50 успешных атак на российские банки, сообщили газете участники рынка и собеседники в правоохранительных органах. Напомним, ранее эксперты Trend Micro сообщили о смене тактики группировки, целью которой сейчас стали не клиенты банков, а сами финансовые организации.

В последнем отчете FinCERT называет атаки Cobalt «основным трендом». Группировка атаковала банки разного масштаба, похищая внушительные суммы, однако несмотря на понесенный ущерб, в 10 из 50 случаев банки предпочли не сообщать об инцидентах ЦБ и правоохранительным органам. По данным собеседников издания, максимальная сумма хищений по скрытым атакам составляла 20 млн рублей.

По словам экспертов, основная причина неразглашения информации об атаках — передача информации из FinCERT в надзорный блок ЦБ. С 2017 года сотрудники FinCERT активно участвуют в проверках главной инспекции Банка России. При этом они сообщают в надзор обо всех замеченных нарушениях, выявленных при расследовании инцидентов.

Подобная скрытность, полагают эксперты, представляет угрозу для других участников рынка. Хакеры постоянно совершенствуют свое вредоносное ПО, поэтому крайне важно информировать FinCERT о каждой новой атаке, чтобы он оперативно мог предупредить рынок. Таким образом неатакованные банки могли бы принимать меры по предотвращению атак, обращаясь к экспертам в области кибербезопасности и используя соответствующие технологии защиты.

418 кредитных организаций

По данным на 1 сентября 2017 г., в информационном обмене с ФинЦЕРТом участвовали 418 кредитных организаций. Заметный рост числа участников наблюдался в январе-феврале после серии рассылок злоумышленниками вируса Cobalt Strike в адрес кредитных организаций. При этом активными участниками являются 45% представителей банковской сферы[6].

А. Сычев добавил, что ФинЦЕРТ отметил активное присоединение а информационному обмену небанковских кредитных организаций. Всего участникам информационного обмена являются 526 организаций.

Нацбанк Беларуси приступил к созданию центра финансовой кибербезопасности FinCERT

Национальный банк Беларуси (НБ РБ) в 2017-2018 годах планирует запустить центр финансовой кибербезопасности – FinCERT. Основным направлением деятельности структуры станет мониторинг и противодействие кибератакам в банковской сфере.

Планируется, что центр станет своеобразным хабом для обмена данными между банками, кредитно-финансовыми организациями, разработчиками ПО, поставщиками оборудования, операторами связи и правоохранительными органами. Так, сейчас Нацбанк собирает предложения о формате организации работы и взаимодействия в центре от заинтересованных участников.

2016

План создания лаборатории киберзащиты банков

31 октября 2016 года стало известно о планах Центробанка создать лабораторию для защиты банков от киберугроз, изучающую технологии и последствия компьютерных атак. Регулятор собирается оснастить кредитные организации технологиями по предотвращению киберугроз.

Лабораторию предполагается создать в структуре самого ЦБ — на базе Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере. Прототипом исследовательского центра может стать действующий в Малайзии аналог[7]. В реализации могут принять участие правоохранительные органы и кредитные организации[8].

Network operations center, (2016)

Специалисты лаборатории станут изучать способы и последствия компьютерных угроз, включая атаки на банкоматы, POS-терминалы и устройства самообслуживания. Сотрудники ЦБ будут анализировать мошеннические интернет-ресурсы, мобильные устройства. Эта структура будет помогать кредитно-финансовым организациям корректно снимать и опечатывать передаваемые на исследование объекты. Центробанк со своей стороны займется подготовкой описания средств и методов атак на устройства самообслуживания, рекомендаций по противодействию атакам на устройства самообслуживания.

Точных сроков создания лаборатории, как и ее названия, не заявлено. Согласно «Известиям», в Банке России идет разработка плана запуска лаборатории и «дорожной карты», утверждение которой запланировано на конец 2016 года.

«
Учреждение лаборатории в структуре ЦБ более чем целесообразно. Сейчас невозможно эффективно противодействовать киберпреступникам, не обладая техническими компетенциями. Мы можем только приветствовать появление такой экспертизы. Со своей стороны мы готовы оказывать экспертную и технологическую поддержку новому и, безусловно, ожидаемому банковским сообществом подразделению FinCERT.

Виктор Ивановский, менеджер по развитию международного бизнеса Group-IB
»

По данным ЦБ, количество кибератак на финансовые организации во всем мире увеличивается примерно на 30% ежемесячно. C начала 2016 года объем покушений на хищение денежных средств со счетов российских банков достиг 5 млрд руб., из них 2 млрд руб. мошенникам удалось украсть. По прогнозам главы Сбербанка Германа Грефа, ущерб от кибератак во всем мире удвоится и достигнет $1 трлн к 2020 году, минимум.

«
С точки зрения атакуемого, в случае кибератаки очень важно то, что делается в первые несколько минут после инцидента. По опыту, специалисты по информационной безопасности не способны проанализировать и предпринять необходимые действия ни в момент регистрации инцидента, ни в последующие несколько часов. С построением лаборатории Центробанк получает подразделение, способное самостоятельно вести или оперативно подключаться к реагированию на кибератаки.
»

Представители банковского сообщества поддерживают намерение регулятора создать лабораторию. Илья Зибарев, председатель правления банка «Русский стандарт» ожидает, что результатами работы могли бы стать своевременные и полноценные расследования инцидентов для разработки соответствующих мер защиты на государственном уровне.

«
Мы готовы принять участие в проекте ЦБ и делиться своим опытом в противодействии и предупреждении преступлений в сферах карточного бизнеса, дистанционного банкинга, торгового и интернет-эквайринга.

Илья Зибарев, председатель правления банка «Русский стандарт»
»

«
За последние два года технологии хакеров существенно продвинулись, фактически кибератаки переросли в глобальный бизнес. Банки уже не в состоянии самостоятельно справиться с этой угрозой, именно поэтому в ситуацию решил вмешаться регулятор. В рамках лаборатории будут отрабатываться сценарии, готовность технологий защиты, их прочность, критические показатели, всё это может быть крайне полезным для российских банков.

Андрей Люшин, заместитель председателя правления "Локо-банка"
»

Этот оптимизм разделяют не все банкиры. По мнению собеседника «Известий» из Топ-50 банков - создание такой лаборатории в ЦБ мало что даст участникам рынка, поскольку кибератаки готовятся в условиях строгой секретности, их предотвращение поэтому может быть затруднено.

«
Существование такой структуры было бы полезным, однако создавать ее, возможно, следовало бы на базе силовых структур, поскольку экспертиза предполагает знание не только технологий, но и поведения мошенников, их взаимосвязей и организаций в группы.

Алексей Дегтярев, руководитель блока электронного бизнеса Бинбанка
»

Подключение к SOC "Информзащиты"

Подключение к FinCERT дает возможность финансовым организациям оперативно узнавать об основных типах и механизмах реализации кибератак, а также об успешных методах противодействия подобного рода атакам. К сожалению, несмотря на детальное описание ключевых индикаторов компрометации, предоставляемое FinCERT, немногие финансовые организации могут на практике воспользоваться ими для выявления кибератак в своих системах, ввиду незрелости собственных процессов мониторинга инцидентов. Для решения такого рода задач возникла необходимость подключения к информационному обмену компании с успешно функционирующим Security Operation Center (SOC).

В сентябре 2016 года «Информзащита» стала первым интегратором в области информационной безопасности среди участников информационного обмена с FinCERT. SOC «Информзащиты» ежесекундно получает данные от тысяч устройств в сетях подключенных к нему финансовых организаций. Эксперты-практики «Информзащиты» в режиме 24/7 преобразуют информацию из бюллетеней FinCERT в правила выявления сценариев реализации угроз и признаков компрометации систем. Это позволяет достичь максимальной оперативности в выявлении и реагировании на инциденты ИБ в подключенных к SOC кредитных организаций.

FinCERT: За 12 месяцев в банках России похищено 1,37 млрд руб

19 июля 2016 года созданный Банком России Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (FinCERT) подвел итоги первого года деятельности. В отчете были представлены наиболее распространенные схемы кибермошенничества и способы противодействия злоумышленникам.

По данным FinCERT, с июня 2015 года по май 2016 года было зафиксировано более 20 крупных кибератак на платежные системы кредитных организаций. В рамках этих нападений преступники пытались украсть 2,87 млрд рублей. В сотрудничестве с банками и правоохранительными органами FinCERT удалось предотвратить хищение более 1,5 млрд рублей. Таким образом, хакеры смогли похитить около 1,37 млрд рублей у российских банков.

Хакеры похитили 1,4 млрд рублей у российских банков

Согласно данным ЦБ, наиболее распространенной схемой мошенничества является массовая рассылка по электронной почте писем с вирусом. Вирусы типа Trojan.Downloader могут незаметно для пользователя устанавливать на компьютеры вредоносные программы, другие, например, позволяют злоумышленникам шифровать данные, за их «разблокировку» программа требует оплату.

Еще один распространенный метод мошенничества — SMS-рассылка от имени ЦБ или кредитных организаций. Особенно популярны рассылки с использованием номеров 8-800. Обманутые клиенты банков сообщали злоумышленникам личную информацию, которая использовалась для кражи денег или продавалась другим мошенникам.

В FinCERT отмечают низкую активность участников информационного обмена, не уведомляющих центр в силу различных причин о факте проведения DDoS-атак.

«
Схемы хищений денежных средств становятся более изощренными. Мошенники быстро совершенствуют свои методы, а применяемые ими технологии модифицируются, — подчеркнул заместитель начальника Главного управления безопасности и защиты информации Центробанка России Артем Сычев.
»

2015: Создание центра

FinCERT был создан как структура Банка России в июне 2015 года. Главной задачей Центра является противодействие злоумышленникам путем взаимного информирования и оповещения участников банковского сообщества об уязвимостях, угрозах и рисках, с которыми каждому из них приходится сталкиваться.

Смотрите также

  1. ЦБ поддержал создание единой базы о мошенниках рамках ФинЦЕРТа
  2. ФинЦЕРТ окончен. Банк России меняет подход к информационной безопасности
  3. ФинЦЕРТ назвал главный источник утечек банковских данных россиян
  4. ЦБ заблокировал свыше 2,1 тыс. доменов в 2018 году
  5. Банк России создал департамент информационной безопасности
  6. Количество участников информационного обмена с ФинЦЕРТом выросло на 65%
  7. Аdroit Data Recovery Centre (ADRC) — центр восстановления данных в Юго-Восточной Азии. Компания заключила контракты с министерствами и международными коммерческими банками. Клиенты компании действуют в Индонезии, Таиланде, Гонконге, Китае, Японии, США, Европе. Организация занимается восстановлением паролей, операционных систем, утерянных данных с флэш-носителей, ноутбуков, жестких дисков, RAID, NAS. В центре работает подразделение компьютерной криминалистики
  8. ЦБ вооружит банки защитой против хакеров

ПАРТНЕРЫ (3) СМ. ТАКЖЕ (231)