Финцерт что это такое
ФинЦЕРТ
Для организаций не поднадзорных Банку России
Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере — структурное подразделение Департамента информационной безопасности.
Контактные данные:
ФинЦЕРТ: 24/7
почта : fincert@cbr.ru
Адрес : г. Москва, Ленинский пр-т, д. 1/2
Информационные сообщения
Основная цель
Cоздание центра компетенции в рамках информационного взаимодействия Банка России, кредитных и некредитных финансовых организаций, компаний-интеграторов, разработчиков антивирусного программного обеспечения, провайдеров и операторов связи, а также для правоохранительных и иных государственных органов, курирующих информационную безопасность отрасли. Указанное информационное взаимодействие направлено на координацию работ по противодействию злоумышленникам, активность которых направлена на личное обогащение с использованием методов несанкционированного доступа к ИТ-инфраструктуре организаций, поднадзорных Банку России, а также с использованием уязвимостей в платежных технологиях.
Для достижения цели выполняются следующие задачи:
Информационный обмен
Участником информационного обмена может стать любое юридическое лицо, которое:
Для того чтобы принять участие в информационном обмене, заполните «Карточку участника» и отправьте запрос на электронный адрес info_fincert@cbr.ru с пометкой «Информационное взаимодействие».
Поля «Карточки участника» заполняются согласно вашим возможностям. В контактах ответственных лиц следует указать адрес электронной почты и телефон для связи.
По любым возникающим вопросам можно связаться с работниками Центра:
Отпечаток SHA-1 открытого ключа ЭП
57 82 6a c7 a1 5c d9 35 dd f6 31 82 53 23 e4 02 14 ac f0 3a
Взаимодействие c физическими лицами осуществляется через Интернет-приемную Банка России (www.cbr.ru/Reception)
Адрес: ул. Неглинная, 12, Москва, 107016
Телефоны: (для бесплатных звонков из регионов России),
(круглосуточно),
Содержание
Конечные собственники
По данным на 2018 год в рамках FinCERT взаимодействуют более 600 банков.
В конце сентября 2021 года стало о назначении Игоря Добровольцева новым руководителем Центра взаимодействия и реагирования Департамента информационной безопасности ЦБ (ФинЦЕРТ). Об этом сообщил «Коммерсантъ» со ссылкой на свои источники и пресс-службу ЦБ РФ. Подробнее здесь.
Соглашение с Wildberries о сотрудничестве по вопросам противодействия кибератакам
Российский онлайн-ритейлер Wildberries 24 сентября 2021 года сообщил о том, что присоединился к информационному обмену с ФинЦЕРТ Банка России, заключив соглашение по вопросам противодействия компьютерным атакам, а также мошенничеству в сети интернет. Подробнее здесь.
2020: ЦБ РФ запустил масштабную реструктуризацию ИБ-подразделения
В ноябре 2020 года Центробанк РФ уведомил сотрудников о реструктуризации департамента информационной безопасности (ДИБ). Регулятор не раскрыл подробности изменений, но, по данным «Коммерсанта», Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ), занимавшийся мониторингом киберрисков, будет ликвидирован, а его функции перераспределены между управлениями ДИБ.
Само название ФинЦЕРТ может остаться за одним из новых управлений департамента, потому что в раскрутку этого бренда за пять лет его существования вложено немало денег и сил, рассказал изданию источник на банковском рынке. Банкиры рассчитывают, что за счёт преобразований регулятор разнесёт надзор и мониторинг в разные управления, чтобы банки, сообщая об инцидентах, получали помощь, а не наказание.
Член совета директоров РНКО «Платежный центр» Александр Погудин считает, что специализация подразделений на каждом из блоков функционала позволит глубже погружаться в специфику работы.
В ЦБ подтвердили газете реструктуризацию ДИБ и объяснили ее необходимостью усиления основных бизнес-процессов, от которых «зависит достижение целевых показателей, предусмотренных «Основными направлениями развития информационной безопасности кредитно-финансовой сферы на период 2019–2021 годов».
Среди таких процессов — обработка информации о противодействии операциям без согласия клиентов финансовых организаций, которая поступает в ЦБ от участников информационного обмена. Кроме того, усиливается направление риск-ориентированного надзора за обеспечением финансовыми организациями киберустойчивости и операционной надежности. [1]
2019: ФинЦЕРТ назвал главный источник утечек банковских данных россиян
11 октября 2019 года стало известно, что в первом полугодии 2019 года специалисты обнаружили на черном рынке порядка 13 тыс. предложений купли/продажи данных россиян.
Главным источником утечек банковских и персональных данных являются не кредитные организации, а сами пользователи. Об этом сообщается в годовом отчете подразделения Центробанка РФ по кибербезопасности ФинЦЕРТ.
Согласно отчету, на долю банковских утечек приходится лишь 12% от всех данных, продававшихся на черном рынке в первой половине 2019 года (в общей сложности за указанный период времени было обнаружено порядка 13 тыс. предложений купли/продажи данных россиян).
Утечки данных часто происходят из неочевидных ресурсов, например, интернет-магазинов. На таких сайтах пользователь вводит всю необходимую информацию, которая может быть перехвачена и передана киберпреступникам с помощью вредоносного ПО.
Очень часто причиной утечки становятся сами пользователи и их устройства. Как правило, это финансово благополучные граждане, которым нравится использовать современные технологии, а также школьники, студенты, домохозяйки и пенсионеры.
Чаще всего мошенничества со счетами физических лиц осуществляются с помощью социальной инженерии (97 из 100 случаев). Типичная схема такова: преступники звонят потенциальной жертве и, представившись сотрудником банка, сообщают, будто ее деньги на карте «в опасности». Для перевода средств на «безопасный» счет жертва должна назвать пришедший в SMS-сообщении код. На самом деле, данный код подтверждает перевод денег на карту злоумышленника.
ЦБ закрепил форматы направления сообщений банками в ФинЦЕРТ
6 ноября 2018 года появилась информация о том, что Банк России закрепил форматы направления сообщений банками в ФинЦЕРТ в пятом стандарте по информбезопасности. Предыдущие четыре стандарта были добровольными для присоединения, однако в данном случае избежать работы по стандарту технически не удастся. Подробнее здесь.
ФинЦЕРТ заблокировал свыше 2,1 тыс. доменов за 8 месяцев 2018 г
20 сентября 2018 года стало известно, то ЦБ заблокировал свыше 2,1 тыс. доменов в 2018 году.
На самом деле количество доменов подлежащих блокировке (разделегированию), которые выявляет ФинЦЕРТ, и информацию о которых получает от банков, больше. По статистике центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России разделегированию в конечном итоге подлежат примерно 3 из 4-х доменов.
Руководитель ФинЦЕРТ отметил, что за последние два года наблюдается тренд на нецелевые атаки, поскольку изучение объекта атаки очень затратно для преступников, поэтому ими используются стандартные процедуры и производится массовая рассылка. Так, на кредитно-финансовые организации зарегистрировано 530 нецелевых и 160 целевых атаки. Некоторые организации по разным причинам подвергаются несколько раз.
По данным ФинЦЕРТ более 80% участников кредитно-финансовой сферы в разрезе банков уже подключены к платформе Банка России по обработке инцидентов (АСОИ ФинЦЕРТ). По словам А. Калашникова, есть ряд организаций, которые по каким-то причинам до сих пор не направили в ФИНЦерт информацию о тех, кто ответствен за информационный обмен, ряд организаций, которые уже получили учетные данные от ФинЦЕРТа для входа в АСОИ, но по тем или иными причинам не посещают личный кабинет.
Вхождение в состав департамента информационной безопасности ЦБ РФ
Соглашение с МТС
МТС и Центральный банк Российской Федерации (Банк России) объявили в мае 2018 года о подписании соглашения о сотрудничестве в сфере информационной безопасности и противодействия компьютерным атакам.
Банкиры не доверяют FinCERT
С начала 2017 года кредитные организации не сообщили в FinCERT о каждой пятой успешной атаке хакеров. Банкиры не доверяют структуре, созданной внутри ЦБ РФ для обеспечения информационной безопасности, опасаясь привлечь надзорное внимание регулятора, пишет в ноябре «КоммерсантЪ».
За последний год группировка Cobalt осуществила порядка 50 успешных атак на российские банки, сообщили газете участники рынка и собеседники в правоохранительных органах. Напомним, ранее эксперты Trend Micro сообщили о смене тактики группировки, целью которой сейчас стали не клиенты банков, а сами финансовые организации.
В последнем отчете FinCERT называет атаки Cobalt «основным трендом». Группировка атаковала банки разного масштаба, похищая внушительные суммы, однако несмотря на понесенный ущерб, в 10 из 50 случаев банки предпочли не сообщать об инцидентах ЦБ и правоохранительным органам. По данным собеседников издания, максимальная сумма хищений по скрытым атакам составляла 20 млн рублей.
По словам экспертов, основная причина неразглашения информации об атаках — передача информации из FinCERT в надзорный блок ЦБ. С 2017 года сотрудники FinCERT активно участвуют в проверках главной инспекции Банка России. При этом они сообщают в надзор обо всех замеченных нарушениях, выявленных при расследовании инцидентов.
Подобная скрытность, полагают эксперты, представляет угрозу для других участников рынка. Хакеры постоянно совершенствуют свое вредоносное ПО, поэтому крайне важно информировать FinCERT о каждой новой атаке, чтобы он оперативно мог предупредить рынок. Таким образом неатакованные банки могли бы принимать меры по предотвращению атак, обращаясь к экспертам в области кибербезопасности и используя соответствующие технологии защиты.
418 кредитных организаций
А. Сычев добавил, что ФинЦЕРТ отметил активное присоединение а информационному обмену небанковских кредитных организаций. Всего участникам информационного обмена являются 526 организаций.
Нацбанк Беларуси приступил к созданию центра финансовой кибербезопасности FinCERT
Национальный банк Беларуси (НБ РБ) в 2017-2018 годах планирует запустить центр финансовой кибербезопасности – FinCERT. Основным направлением деятельности структуры станет мониторинг и противодействие кибератакам в банковской сфере.
Планируется, что центр станет своеобразным хабом для обмена данными между банками, кредитно-финансовыми организациями, разработчиками ПО, поставщиками оборудования, операторами связи и правоохранительными органами. Так, сейчас Нацбанк собирает предложения о формате организации работы и взаимодействия в центре от заинтересованных участников.
План создания лаборатории киберзащиты банков
31 октября 2016 года стало известно о планах Центробанка создать лабораторию для защиты банков от киберугроз, изучающую технологии и последствия компьютерных атак. Регулятор собирается оснастить кредитные организации технологиями по предотвращению киберугроз.
Специалисты лаборатории станут изучать способы и последствия компьютерных угроз, включая атаки на банкоматы, POS-терминалы и устройства самообслуживания. Сотрудники ЦБ будут анализировать мошеннические интернет-ресурсы, мобильные устройства. Эта структура будет помогать кредитно-финансовым организациям корректно снимать и опечатывать передаваемые на исследование объекты. Центробанк со своей стороны займется подготовкой описания средств и методов атак на устройства самообслуживания, рекомендаций по противодействию атакам на устройства самообслуживания.
Точных сроков создания лаборатории, как и ее названия, не заявлено. Согласно «Известиям», в Банке России идет разработка плана запуска лаборатории и «дорожной карты», утверждение которой запланировано на конец 2016 года.
Представители банковского сообщества поддерживают намерение регулятора создать лабораторию. Илья Зибарев, председатель правления банка «Русский стандарт» ожидает, что результатами работы могли бы стать своевременные и полноценные расследования инцидентов для разработки соответствующих мер защиты на государственном уровне.
Подключение к SOC «Информзащиты»
Подключение к FinCERT дает возможность финансовым организациям оперативно узнавать об основных типах и механизмах реализации кибератак, а также об успешных методах противодействия подобного рода атакам. К сожалению, несмотря на детальное описание ключевых индикаторов компрометации, предоставляемое FinCERT, немногие финансовые организации могут на практике воспользоваться ими для выявления кибератак в своих системах, ввиду незрелости собственных процессов мониторинга инцидентов. Для решения такого рода задач возникла необходимость подключения к информационному обмену компании с успешно функционирующим Security Operation Center (SOC).
В сентябре 2016 года «Информзащита» стала первым интегратором в области информационной безопасности среди участников информационного обмена с FinCERT. SOC «Информзащиты» ежесекундно получает данные от тысяч устройств в сетях подключенных к нему финансовых организаций. Эксперты-практики «Информзащиты» в режиме 24/7 преобразуют информацию из бюллетеней FinCERT в правила выявления сценариев реализации угроз и признаков компрометации систем. Это позволяет достичь максимальной оперативности в выявлении и реагировании на инциденты ИБ в подключенных к SOC кредитных организаций.
FinCERT: За 12 месяцев в банках России похищено 1,37 млрд руб
19 июля 2016 года созданный Банком России Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (FinCERT) подвел итоги первого года деятельности. В отчете были представлены наиболее распространенные схемы кибермошенничества и способы противодействия злоумышленникам.
По данным FinCERT, с июня 2015 года по май 2016 года было зафиксировано более 20 крупных кибератак на платежные системы кредитных организаций. В рамках этих нападений преступники пытались украсть 2,87 млрд рублей. В сотрудничестве с банками и правоохранительными органами FinCERT удалось предотвратить хищение более 1,5 млрд рублей. Таким образом, хакеры смогли похитить около 1,37 млрд рублей у российских банков.
Согласно данным ЦБ, наиболее распространенной схемой мошенничества является массовая рассылка по электронной почте писем с вирусом. Вирусы типа Trojan.Downloader могут незаметно для пользователя устанавливать на компьютеры вредоносные программы, другие, например, позволяют злоумышленникам шифровать данные, за их «разблокировку» программа требует оплату.
Еще один распространенный метод мошенничества — SMS-рассылка от имени ЦБ или кредитных организаций. Особенно популярны рассылки с использованием номеров 8-800. Обманутые клиенты банков сообщали злоумышленникам личную информацию, которая использовалась для кражи денег или продавалась другим мошенникам.
В FinCERT отмечают низкую активность участников информационного обмена, не уведомляющих центр в силу различных причин о факте проведения DDoS-атак.
2015: Создание центра
FinCERT был создан как структура Банка России в июне 2015 года. Главной задачей Центра является противодействие злоумышленникам путем взаимного информирования и оповещения участников банковского сообщества об уязвимостях, угрозах и рисках, с которыми каждому из них приходится сталкиваться.
Финансовая сфера
Функционал ФинЦЕРТ остался в ДИБ ЦБ
Директор Департамента информационной безопасности (ДИБ) Банка России Вадим Уваров в интервью «Б.О» рассказал о нормотворческой работе Департамента, о киберучениях, а также о целях выстраивания единой доверенной среды
Директор Департамента информационной безопасности (ДИБ) Банка России
— Вадим, на ваш взгляд, сохранится ли и далее практика отраслевого регулирования ИБ (в частности, в финансовой сфере) в России в противовес общефедеральной? Какова будущая роль правопреемников ФинЦЕРТ ЦБ?
— Отраслевое регулирование идет не в противовес федеральному, а вместе с ним. Такой подход позволяет учитывать специфику ИБ именно на финансовом рынке. Например, благодаря отраслевому регулированию операционная надежность банков оценивается в том числе через призму способности противостоять киберугрозам.
Что касается правопреемников ФинЦЕРТ: весь функционал ФинЦЕРТ по-прежнему остался в ДИБ. Он распределен между четырьмя управлениями. Это позволит более эффективно решать вопросы, связанные с противодействием компьютерным атакам и ИБ финансового рынка.
— Продолжится ли политика импортозамещения ПО и средств ИБ?
— Да, мы поддерживаем этот процесс. Переход на российские софт и «железо» важен с точки зрения ухода от рисков, которые есть при использовании зарубежных продуктов. В первую очередь это касается суверенитета российского финансового и платежного пространства. Мы должны гарантировать потребителям бесперебойность предоставления качественных и надежных сервисов вне зависимости от международной обстановки. Обеспечить это можно прежде всего с помощью внедрения российских HSM-модулей — на это направлено Положение Банка России № 719П.
— На Уральском форуме 2020 была поднята тема перехода банков на риск-ориентированную практику обеспечения ИБ и были предложены другие меры в сфере ИБ. Что уже из начатого там было достигнуто и на что сообществу стоит обратить внимание?
— Базовый подход к управлению риском ИБ мы обозначили в Положении № 716-П, принятом в прошлом году. Более детальные вещи прописаны в другом документе, проходящем стадию обсуждения, — проекте ГОСТ Р «Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности (киберустойчивости)». Требования Положения обязательны к исполнению, с помощью ГОСТ мы как бы даем поднадзорным совет, как им лучше исполнять наши требования.
Переход на риск-ориентированную практику связан и с новыми методами контроля ИБ. Так, во второй половине 2020 года мы впервые вместе с банками провели киберучения (стресс-тестирование). Задача киберучений — выявить риски хищения денег с корреспондентских счетов, открытых в Банке России, возможность утечек конфиденциальных данных клиентов, операционных сбоев, прерывания финансовых услуг из-за несанкционированного воздействия на автоматизированные системы банков. Мы считаем, что эту практику есть смысл развивать и дальше, в том числе для некредитных финансовых организаций, финансовых объединений.
— Расскажите подробнее о целях и итогах состоявшихся киберучений ЦБ и крупнейших банков.
— Во время киберучений моделировались актуальные компьютерные атаки. Мы проверяли, с одной стороны, насколько успешно ИБ- и IT-подразделения банков могут противостоять этим атакам, с другой — готовность нашего департамента оперативно взаимодействовать с участниками киберучений и устранять возникшие проблемы.
С каждым банком мы отрабатывали несколько сценариев атак и реагирования на них. Это показало проблемы, характерные для того или иного участника рынка. Выяснилось, например, что некоторые банки основное внимание уделяют защите внутреннего периметра от внешних угроз, при этом защитные механизмы от угроз со стороны внутреннего нарушителя проработаны недостаточно полно. Кроме того, ИБ-специалисты иногда не очень хорошо понимают технологии обработки переводов денежных средств. Это может негативно повлиять на эффективность их работы во время атак на счета клиентов. Поэтому руководству банков следует уделять дополнительное внимание контролю защитных мер на всем жизненном цикле обработки электронных сообщений.
Мы планируем провести работу с каждым участником киберучений, чтобы снизить выявленные риски. Что именно будем делать? Усиливать контроль защитных мер на всех участках обработки электронных сообщений во время платежей, совершенствовать механизм, с помощью которого выявляются несанкционированные изменения в распоряжениях о переводе денег. Еще одна задача — совершенствовать механизм нейтрализации заражения инфраструктуры вредоносным кодом. Еще мы будем способствовать развитию корпоративного управления вопросами кибербезопасности.
Такие киберучения, когда банки с нашей помощью могут оценить собственную систему ИБ, определить самые «узкие» места, помогают им более эффективно организовать работу, чтобы противодействовать мошенникам, защитить от них свои деньги и деньги своих клиентов.
— Беспокоит ли ЦБ повсеместная практика ускорения time to market финансовых продуктов в ущерб их защищенности?
— Мы считаем, что нужно уделять особое внимание безопасности приложений клиентов, в которых есть функции идентификации, аутентификации и подписи электронных сообщений. Причем вопросы безопасности должны стоять во главе угла еще на стадии разработки этих приложений.
Сейчас практика ускоренного вывода финансовых продуктов на рынок — обычное явление, и это понятно: цифровизация стремительно развивается, на рынке жесткая конкуренция. Поэтому мы разрабатываем новую версию документа «Профиль защиты прикладного программного обеспечения автоматизированных систем и приложений кредитных организаций и некредитных финансовых организаций». Там будут определены требования к процессу безопасной разработки приложений. Мы понимаем, что должен быть баланс между безопасностью и скоростью: финансовые продукты должны быть безопасными, но при этом выводиться на рынок оперативно. И работа над документом идет с учетом этих аспектов.
— На SOC-форуме 2020 один из представителей ЦБ заявил, что с точки зрения регулирования ИБ грядут перемены в связи с «началом эпохи Open API и маркетплейсов». Можно ли подробнее расшифровать смысл этих слов?
— Технология Open API, маркетплейсы и другие современные финансовые технологии — это, скажем так, неизбежное добро, которое при всей очевидной пользе и удобстве несет и риски. В первую очередь это риски именно ИБ. Мы как финансовый регулятор, с одной стороны, всячески способствуем развитию этих финансовых технологий, а с другой — разрабатываем нормы, соблюдение которых вынуждает банки учитывать возможные риски и нивелировать их.
Обеспечивать безопасность API только техническими средствами, которые заложены в ГОСТ 57580, невозможно. Поэтому мы будем развивать нормативное регулирование.
В части Open API Банк России выпустил комплекс стандартов «Открытые банковские интерфейсы», а также Стандарт «Безопасность финансовых (банковских) операций. Прикладные программные интерфейсы обеспечения безопасности финансовых сервисов на основе протокола OpenID. Требования». Сейчас эти документы рекомендательные.
Также в этом году планируется выпуск еще одного Стандарта по безопасности — «Безопасность финансовых (банковских) операций. Прикладные программные интерфейсы. Обеспечение безопасности финансовых сервисов при инициации OpenID Connect клиентом потока аутентификации по отдельному каналу».
Из прикладных вещей: мы создали и тестируем сертификационный стенд открытых API, на котором финтех-организации смогут проверить разработанные API на соответствие требованиям.
Что касается проекта «Маркетплейс», сейчас разработан проект Положения Банка России «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций». Он устанавливает требования к обеспечению защиты информации для новых поднадзорных Банку России организаций: операторов финансовой платформы, регистраторов финансовых транзакций и других. Сейчас проект проходит межведомственное согласование.
— В связи с распространением платформ на базе блокчейн возникает вопрос о повсеместном использовании отечественной криптографии в целях выстраивания единой доверенной среды и получения юридически значимых документов, в том числе с использованием смарт-контрактов. Какова роль ЦБ в этом процессе?
Также мы планируем разработку методических рекомендаций, стандартов и других документов, которые будут затрагивать в том числе вопросы работы участников финансового рынка с единой доверенной средой.
ФинЦЕРТ — это Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере, специальное структурное подразделение Банка России (от CERT — computer emergency response team, группа реагирования на компьютерные инциденты). В информационном обмене с ФинЦЕРТ участвует более 800 организаций, в том числе все российские банки.