Банки утаивают каждую пятую успешную кибератаку

С начала 2017 года кредитные организации не сообщили в FinCERT о каждой пятой успешной атаке хакеров. Банкиры не доверяют структуре, созданной внутри ЦБ для обеспечения информационной безопасности, опасаясь привлечь надзорное внимание регулятора, пишет «КоммерсантЪ».

За последний год группировка Cobalt осуществила порядка 50 успешных атак на российские банки, сообщили газете участники рынка и собеседники в правоохранительных органах. Напомним, ранее эксперты Trend Micro сообщили о смене тактики группировки, целью которой сейчас стали не клиенты банков, а сами финансовые организации.

В последнем отчете FinCERT называет атаки Cobalt «основным трендом». Группировка атаковала банки разного масштаба, похищая внушительные суммы, однако несмотря на понесенный ущерб, в 10 из 50 случаев банки предпочли не сообщать об инцидентах ЦБ и правоохранительным органам. По данным собеседников издания, максимальная сумма хищений по скрытым атакам составляла 20 млн рублей.

По словам экспертов, основная причина неразглашения информации об атаках — передача информации из FinCERT в надзорный блок ЦБ. С этого года сотрудники FinCERT активно участвуют в проверках главной инспекции Банка России. При этом они сообщают в надзор обо всех замеченных нарушениях, выявленных при расследовании инцидентов.

«FinCERT как структура ЦБ плотно взаимодействует с надзором, — подтвердил заместитель начальника ГУБиЗИ Банка России Артем Сычев. — У нас нет задачи выявлять проблемные вещи в банках, но если мы их обнаружим, то, естественно, поделимся информацией с надзором».

Впрочем, отметил Сычев, крупное хищение денежных средств не скроешь, о фактах хищения сообщат контрагенты банка. «И к недобросовестным банкам надзор все равно придет, и, если потеря средств выявится на уровне надзора, им будет хуже», — добавил он.

Однако, по словам ИБ-экспертов, схема хищений Cobalt не обязательно предполагает задействование второго банка для вывода денег, кража средств может осуществляться и через собственные банкоматы атакуемого банка. Таким образом, информация об атаке может остаться тайной для FinCERT, а значит, и других участников рынка.

Подобная скрытность, полагают эксперты, представляет угрозу для других участников рынка. Хакеры постоянно совершенствуют свое вредоносное ПО, поэтому крайне важно информировать FinCERT о каждой новой атаке, чтобы он оперативно мог предупредить рынок. Таким образом неатакованные банки могли бы принимать меры по предотвращению атак, обращаясь к экспертам в области кибербезопасности и используя соответствующие технологии защиты.

Как считают эксперты, отделение FinCERT от Центробанка или формирование аналогичной рыночной структуры помогло бы решить проблему. В противном случае найдутся банки, готовые терпеть ущерб, но при этом молчать, чтобы не привлекать внимание регулятора. Для таких кредитных организаций велик риск стать постоянными жертвами хакеров, отмечают эксперты.

FinCERT - структура Банка России, главной задачей которой является противодействие злоумышленникам путем взаимного информирования и оповещения участников банковского сообщества об уязвимостях, угрозах и рисках, с которыми каждому из них приходится сталкиваться.