Станислав Кузнецов: Кибератаки через утюги это не шпионский фильм

19 января 2017, 16:08

Тема киберпреступности в прошедшем году прочно закрепилась в повестке дня. В адрес России звучали громкие обвинения во вмешательстве в процесс выборов в США. Высказывались опасения возможных кибератак на крупнейшие национальные банковские системы. Многое из этого можно было бы предотвратить или пресекать на ранних стадиях, при условии ведения всеми заинтересованными сторонами оперативного информационного обмена о фиксируемых атаках. До недавнего времени Россия оставалась пассивным участником обмена информацией по киберпреступлениям из-за отсутствия соответствующего внутреннего законодательства. О результатах обсуждения этой темы участниками Всемирного экономического форума в Давосе рассказал в интервью ТАСС заместитель председателя правления Сбербанка Станислав Кузнецов. - Станислав Константинович, в рамках вашей повестки на форуме – каких результатов удалось достичь за первый день, что еще предстоит сделать? - Вчера мы обсуждали тему кибертерроризма в цифровую эпоху и риски, которые ей сопутствуют, сегодня - конкретные шаги по обмену информацией. Киберпреступность транснациональна, и для каждой из стран в отдельности совершенно бессмысленно организовывать сепаратные расследования, которые точно приведут в тупик в связи с нехваткой экспертизы. Сегодня было предварительно подписано "Руководство по организации обмена информацией по обеспечению кибербезопасности". Это рекомендации, подготовленные в адрес практически всех публичных государственных учреждений и частных компаний во всем мире. Фактически это рекомендации в адрес всего мирового сообщества. - С кем вы ведете диалог в данном направлении и какова роль России в соглашении? - Встречи, которые у меня прошли сегодня с исполнительным директором контртеррористического комитета ООН Жаном-Полем Лабордом, а также генеральным директором Европола и одним из руководителей центра кибербезопасности Интерпола в Сингапуре показывают, что с их стороны есть большое желание сотрудничества и обмена информацией. Россия сейчас не может полноценно участвовать в информационном обмене, так как не ратифицировала единственный международный правовой инструмент, регулирующий этот процесс, – Европейскую Конвенцию по преступлениям в киберпространстве 2001 года. Ее положения о праве расследования на территории других стран вызывают понятные опасения у наших правоохранительных органов. Мы обсудили возможность их уточнения и дополнения с учетом того, что сейчас происходит в мире, и особенностей нашего законодательства, и наши юристы видят хорошие перспективы относительно присоединения к Конвенции. Звучали и пессимистические заявления, касающиеся, в основном, бюрократических барьеров, характерных для всего мира. В Европе, в США они имеют еще более мощные корни, чем у нас. Но я смотрю в будущее с большим оптимизмом. - Мы говорим о противодействии международному кибертерроризму на глобальном уровне, но если затронуть тему нашего законодательства - что здесь нужно доработать, чтобы снизить ущерб от киберпреступности? - Самое главное – в нашем законодательстве отсутствует сегодня термин "киберпреступление", которым весь мир давно уже пользуется. К большому нашему сожалению, нет пока и такого юридического термина, как "кража с электронного счета". Мы слишком долго адаптируем наш юридический инструментарий, - при том, что в крайне быстро меняющемся мире киберпреступлений надо иметь инструментарий еще более быстрых ответных изменений. Но если ранее мы об этом просто говорили, то в прошлом году у нас появилось все больше активных сторонников в правоохранительных органах, различных министерствах и ведомствах, которые понимают необходимость приведения законодательства в соответствие с задачами по обеспечению защиты от киберугроз на национальном уровне. - Что именно было сделано? - В Государственную Думу внесен проект изменений в 158 статью Уголовного кодекса РФ ("Кража" - Прим. ТАСС), которые вводят такой состав преступления, как "кража средств с электронного счета". В декабре также был внесен другой законопроект, регулирующий отношения, связанные со стратегической инфраструктурой (пакет законопроектов "О безопасности критической информационной инфраструктуры (КИИ) РФ" – Прим.ТАСС). В нем заложены основы системного противодействия киберпреступности. Замечания по нему должны быть собраны до конца января. Нужна новая организация взаимодействия государственных институтов с крупными коммерческими структурами, которые сегодня накапливают большое количество данных по киберпреступлениям. Умение своевременно обмениваться такой информацией позволит оперативно выстраивать защиту тем, у кого не хватает соответствующих компетенций. Например, мы в Сбербанке наработали огромный опыт по противодействию DDoS-атакам (распределенная атака типа "отказ в обслуживании" - Прим. ТАСС), в том числе, с пониманием их технических особенностей. Атаки, организованные в ноябре, были уникальны даже по мировым меркам. Банковскую систему России атаковали не люди, а несколько десятков тысяч так называемых "интернет-вещей" – техники, которая имеет выход в интернет, вплоть до утюгов. - Звучит как фантастический шпионский фильм. - Это, к сожалению, уже реальность. Эшелонированная система защиты крупных кредитных организаций выдержала, но ряд банков были вынуждены приостанавливать работу, чтобы "перегруппироваться". Это жизнь, к этому надо готовиться, - и оперативный обмен с нами информацией об особенностях каждой конкретной атаки это то, что востребовано не только российскими, но и зарубежными коллегами. Потому что Россия сейчас это мишень №1, где мишенью №1, в свою очередь, является Сбербанк. У нас есть опыт, которым мы готовы делиться, в том числе, и в рамках Давосского форума. К примеру, когда в декабре Федеральная служба безопасности (ФСБ) предупредила о возможных атаках на российскую финансовую систему, она дала понять, что видит особенности этих атак и понимает, кто и из каких центров их готовит. Это сообщение сыграло ключевую роль в предотвращении ущерба. Мы тогда получили очень много технической информации, которую мгновенно передавали в ФСБ и МВД, так же поступали и другие банки. Ее комплексный анализ позволил сделать несколько выводов, о которых также говорила ФСБ. Первое – это то, что атаки производились с распределенных серверов разных стран. Поэтому нельзя говорить об "авторстве" той или иной страны: это всего лишь то или иное местонахождения серверов. Другой вывод был связан с тем, что если не организаторы, то командный центр (это разные вещи) предполагаемой атаки мог бы находиться на территории Украины. Эти заявления были основаны на подробном анализе очень разной информации, полученной ФСБ от финансовых институтов. - Как вы считаете, какие тренды и основные угрозы будут актуальны в этом году, какие составляющие технологической инфраструктуры нужно будет адаптировать, чтобы успешно с этим справляться? - Хороший вопрос, ответ на который надо начать с признания того факта, что, к сожалению, мы до сих пор опаздываем. Киберпреступность развивается значительно быстрее, чем киберзащита. И это дань времени, которая диктует требования к изменениям внутри себя, в системе, в стране в целом. Основные угрозы будут исходить от традиционных атак и DDoS атак. Они точно продолжатся, меняться будет их техническая реализация - с целью подбора способов обхода защиты. Очевидно, более массовыми будут атаки со стороны "интернет-вещей". К сожалению, продолжится кража информации – как личной, так и коммерческой, и служебной, включая информацию о разработках – через рассылку фишинговых писем. (Злоумышленники рассылают электронные письма, которые выглядят как рассылки популярных брендов, банковские уведомления, или сообщения внутри социальных сетей и через месседжеры. Пользователи открывают содержащиеся в них ссылки, кликают на картинки, баннеры – и заражают компьютер или мобильный телефон вирусом, который «крадет» информацию, позволяющую злоумышленникам получить доступ к средствам на их счетах – Прим.ТАСС). Направление, генерирующее наибольшие риски, - это разработка вирусов, которые позволяют злоумышленникам получать доступ к управлению IT-системами различных компаний. Они направлены, как правило, на финансовые компании, но сейчас мы очень близко подошли к появлению аналогичных рисков и для IT-систем предприятий других отраслей, в том числе, энергетике, авиации, оборонной и атомной промышленности. Мне известны случаи, когда хакеры, пытаясь украсть деньги, случайно заходили в системы управления диспетчерских служб… - Ничего себе "случайно". - Это действительно не было их целью, но если представить себе, что кто-то мог бы делать это целенаправленно, то становится понятно, что принятие закона о киберзащите инфраструктуры РФ совершенно необходимо. Кроме того, хакеры продолжат искать бреши в IT-системах банков, использующих устаревшие технологии – например, карты без чипа, с одной магнитной полосой, старые модели банкоматов или устаревшее программное обеспечение. - Мы говорили о технологиях, но есть же еще и человеческий фактор. - Да, причем, в России, наверное, более, чем где бы то ни было, распространены преступления, совершаемые с использованием методов "социальной инженерии". Злоумышленники входят в доверие клиентов, и те предоставляют им пароли к аккаунтам в системах онлайн-банкинга, пин-коды к картам и другую информацию. Наиболее уязвимая категория – это лица преклонного возраста. Они доверяют людям, которые звонят им по телефону, представляются службами собесов, пенсионного фонда, госорганов и даже службы безопасности Сбербанка и рассказывают о некоем сбое, потере данных, которые якобы создали угрозу лишиться хранящихся в банке денег. Месседж преступников – "Прямо сейчас, срочно продиктуйте нам данные, и все у вас снова будет хорошо". В этом случае необходимо без угрызений совести положить трубку, кем бы не представился тот, кто позвонил, и немедленно перезвонить в колл-центр банка, где всегда расскажут о том, что происходит, что в этой ситуации делать и, если необходимо, усилят защиту и сохранят ваши деньги. - Если говорить о конкретных цифрах, характеризующих результаты Сбербанка в области киберзащиты, - что сейчас вы готовы озвучить? - Так как резкого повышения бдительности среди возрастных клиентов ждать пока не приходится, мы создали центр фрод-мониторинга, который отслеживает аномальную активность и предотвращает попытки вывести деньги. В среднем мы фиксируем порядка пяти тысяч таких инцидентов в неделю, и уже после того, как преступление фактически совершено, фиксируем и возвращаем незаметно на счета клиентов до 400 млн выведенных денег. Мы предотвратили порядка 14 млрд рублей убытков, но это не 100% инцидентов, а 95-96%. Стопроцентной эффективности здесь добиться невозможно, но мы показываем максимальную: в среднем в мире возврат составляет 82-84%. По оставшимся 4-5% мы проводим расследование. Если мы видим, что ущерб обусловлен хотя бы частичной недоработкой со стороны сотрудников Сбербанка или несовершенством наших IT-систем – мы всегда возвращаем деньги. При этом вследствие умышленных неправомерных действий сотрудников со счетов клиентов не ушел ни один рубль. Мы также добились полного отсутствия остановок работы систем банка во время DDoS атак, благодаря созданной эшелонированной системе защиты. В позапрошлом году остановки составляли от пятидесяти минут до нескольких часов, в прошлом году мы видели 0 минут остановки любой из внутренних систем. - Если подводить итоги – когда кривая числа и ущерба от киберпреступлений пойдет вниз? - Когда правоохранительные органы будут иметь инструментарий для преследования таких деяний. Не секрет, что по предотвращаемым нами преступлениям уголовные дела практически не возбуждаются, так как нет правовых оснований для системной борьбы с ними. Поправки в Уголовный кодекс в сочетании с общей базой данных по инцидентам и соответствующей экспертизой такую основу создадут. Мы можем идентифицировать мошенников и останавливать их, мы видим их телефоны, мы знаем номера банковских карт и телефоны клиентов, но автоматизированные каналы обмена этой информацией между банками, телекомами, правоохранительными органами пока не развиты. Нужно создать закрытую базу данных, где будут собираться все, в том числе, негативные сведения о таких операциях. Очень важно также, чтобы и мы, и наши клиенты жили в одном информационном поле, в одних правилах киберкультуры, когда надо просто прекращать или как минимум проверять звонки с сообщениями о разных ЧП. Беседовали Андрей Корзин и Мария Румянцева