Российский финансовый сектор ежедневно отражает тысячи кибератак, направленных на кражу средств клиентов, компрометацию платежных систем и дестабилизацию работы банковской инфраструктуры. Масштаб угроз вынудил Центральный банк создать специализированную структуру, координирующую усилия всех участников рынка по обнаружению, анализу и нейтрализации компьютерных инцидентов. ФинЦЕРТ представляет собой центр мониторинга и реагирования Департамента информационной безопасности регулятора, превративший разрозненные действия отдельных организаций в единую систему защиты кредитно-финансовой отрасли.
Подразделение начало работу в две тысячи пятнадцатом году по решению Совета безопасности Российской Федерации, когда стало очевидно, что стремительная цифровизация банковских услуг требует качественно нового уровня координации между участниками финансового рынка. Массовое распространение дистанционного банковского обслуживания, мобильных приложений для управления счетами, онлайн-платежей и электронных кошельков создало огромное количество точек входа для злоумышленников. Преступники быстро адаптировались к изменившимся условиям, разрабатывая сложные многоступенчатые схемы атак на банки и их клиентов. Отдельные кредитные организации не могли эффективно противостоять такому натиску без обмена информацией об актуальных угрозах и тактике злоумышленников.
Основная функция центра заключается в создании экосистемы информационного обмена между всеми заинтересованными сторонами. Участниками взаимодействия являются коммерческие банки, страховые компании, микрофинансовые организации, платежные системы, профессиональные участники рынка ценных бумаг, телекоммуникационные операторы, провайдеры интернет-услуг, разработчики антивирусного программного обеспечения, системные интеграторы и правоохранительные органы. Такое разнообразие участников превращает центр в уникальную площадку, где технические специалисты финансовых организаций получают данные от операторов связи о мошеннических телефонных номерах, антивирусные компании делятся индикаторами новых вредоносных программ, а полиция информирует о задержанных преступных группах.
Механизм работы строится на автоматизированной системе обработки инцидентов, через которую участники финансового рынка направляют сообщения о компьютерных атаках, подозрительных операциях, фишинговых сайтах, вредоносном программном обеспечении и попытках социальной инженерии. Аналитики центра обрабатывают поступающую информацию, выявляют общие паттерны атак, определяют организации, находящиеся в зоне риска по аналогичным векторам угроз, и рассылают предупреждения с рекомендациями по защите. Когда один банк становится жертвой новой техники хищения средств через мобильное приложение, десятки других кредитных организаций получают детальное описание атаки и инструкции по усилению защиты до того, как злоумышленники успевают переключиться на следующие цели.
Борьба с фишинговыми ресурсами составляет одно из приоритетных направлений деятельности подразделения. Преступники создают поддельные сайты, имитирующие интерфейсы банков, платежных систем или государственных сервисов, чтобы выманить у пользователей логины, пароли и данные банковских карт. Центр ежедневно выявляет сотни таких ресурсов, инициирует процедуры разделегирования доменов у регистраторов и блокировки хостинга у провайдеров. Время реакции сократилось с суток до нескольких часов благодаря налаженному взаимодействию с телекоммуникационными компаниями и регистраторами доменных имен. Аналогичная работа ведется с мошенническими телефонными номерами, используемыми для SMS-рассылок с вредоносными ссылками или звонков от имени банковских сотрудников.
Технологическая платформа центра включает системы корреляции событий безопасности, базы данных индикаторов компрометации, хранилища информации о расследованных инцидентах, средства мониторинга открытых источников информации и специализированное программное обеспечение для обмена данными с участниками. Автоматизация процессов позволяет обрабатывать сотни тысяч сообщений об инцидентах ежегодно, выявляя критически важные угрозы среди огромного потока информации. Личный кабинет участника информационного обмена предоставляет доступ к актуальным аналитическим материалам, базе знаний по уязвимостям, архиву расследований инцидентов и инструментам для направления запросов экспертам регулятора.
Помимо реактивного реагирования на произошедшие инциденты, центр ведет проактивную аналитическую работу. Специалисты отслеживают теневые форумы и торговые площадки в даркнете, где продаются базы данных клиентов финансовых организаций, скомпрометированные учетные записи, инструменты для проведения атак и услуги хакерских группировок. Мониторинг позволяет заблаговременно узнавать о подготовке масштабных кампаний против российских банков, выявлять утечки конфиденциальной информации и предупреждать организации о необходимости усиления защиты до начала активной фазы атаки. Анализ тенденций киберпреступности помогает прогнозировать появление новых типов угроз и разрабатывать превентивные меры защиты.
Взаимодействие с правоохранительными органами обеспечивает не только информирование полиции и следственных органов о компьютерных инцидентах, но и обратную связь, когда данные оперативно-розыскной деятельности используются для улучшения защитных механизмов финансовых организаций. Информация о задержанных преступных группах, изъятых серверах управления ботнетами, схемах легализации похищенных средств помогает участникам рынка понимать полную картину угроз и адаптировать системы безопасности с учетом реальной тактики злоумышленников. Центр также способствует совершенствованию законодательства в области противодействия киберпреступности, предлагая изменения в нормативные акты на основе практического опыта борьбы с цифровыми угрозами.
Участие в информационном обмене остается добровольным для большинства организаций, однако практическая польза от получения актуальной информации об угрозах мотивирует финансовые компании активно сотрудничать с регулятором. Количество участников превысило тысячу организаций, включая абсолютно все коммерческие банки, работающие на российском рынке. Развитие платформы продолжается через внедрение новых функций анализа данных, расширение круга участников за счет небанковских финансовых организаций, углубление международного сотрудничества для противодействия трансграничным киберугрозам и интеграцию с другими системами мониторинга критической инфраструктуры государства.
