Журнал "Information Security/ Информационная безопасность" #5, 2019

Результаты анализа покушений на хищение денежных средств кредит- ных организаций показы- вают, что риску хищения подвержены денежные средства в объеме, сопоста- вимом со средним дневным остатком по корреспондент- скому счету кредитной орга- низации, открытому в Банке России, суммированным со средним дневным приходом по соответствующему кор- респондентскому счету. могут быть, но, по крайней мере, безуспешные. В данный момент наша систе- ма одновременно обрабатывает 116 запросов от кредитных орга- низаций. В перспективе ожида- ется повышение этой цифры – сообщений выявляется очень много, их нужно обрабатывать и оперативно отправлять о них информацию. Например, сейчас в системе порядка 30 тыс. сообщений. Но здесь есть такой нюанс – не обо всех случаях сообщают. Происходит это по разным причинам: иногда клиент не приходит в банк, считая, что сумма небольшая и не стоит внимания, или банки могут не сообщать из-за большого коли- чества запросов (у крупных орга- низаций их может быть очень много), полуручной ввод сообще- ний также затормаживает про- цесс обработки, поэтому мы ста- раемся его автоматизировать и предоставляем участникам обмена определенные сервисы. В целом эта система эффек- тивна. Были случаи, когда в сообщениях находили совпаде- ния, по этим операциям прово- дилась работа, зачисление средств приостанавливалось и часть денег удавалось вернуть клиентам или же удавалось предотвратить списание средств. – Как вы контролируете исполнение ваших реко- мендаций кредитно- финансовыми организа- циями? – Методы у нас есть. В первую очередь это дистанционный контроль. В рамках функциона- ла ФинЦЕРТ есть направление надзорной деятельности, состоящей из двух частей: 1) отчетность, которая пред- писана банкам, в том числе их сообщения в систему "Фид- Антифрод"; 2) непосредственно контакт- ные проверки, которые осу- ществляются совместно с над- зорным блоком, при которых выявляются проблемы приме- нения ИТ-технологий. Кроме того, мы отслеживаем публикации в СМИ в отношении деятельности кредитных орга- низаций. Здесь наша задача заключается в получении допол- нительной информации. Напри- мер, если банк не сообщил нам напрямую о каких-то случаях несанкционированных опера- ций, но информация о них появилась в СМИ, то такие при- меры мы тоже рассматриваем. В ближайшем будущем мы планируем автоматизировать наши сервисы и повысить их оперативность, а значит увели- чить скорость и объем инфор- мации, обрабатываемой систе- мой "Фид-Антифрод". l 6 • В ФОКУСЕ В настоящее время проводятся работы по дальнейшему развитию АСОИ ФинЦЕРТ, в том числе планируется увеличение технической инфраструктуры для обеспечения бесперебойной работы системы, снижения времени технологических перерывов, реализации полнофункционального тестового контура, а также следующих возможностей: l расширение функций информационно-сервисного портала и сервисов личных кабинетов АСОИ ФинЦЕРТ; l оптимизация интерфейсной части для повышения оперативности взаимодействия; l реализация возможности получения данных от участника в автоматическом режиме (по API) для всех видов инцидентов; l предоставление сервиса в личном кабинете участника по проверке ВПО (включая специализированную "песочницу"); l дополнительные функции по проверке авторства и целостности сообщений/запросов при взаимодействии с участниками с применением криптографических средств (сервис обмена электронными сообщениями между участниками и ФинЦЕРТ с использованием электронной подписи); l реализация возможности пошагового заполнения электронных форм при информировании об операциях, осуществленных без согласия клиента ("визарды" для упрощения заполнения информации); l реализация функционала распространения индикаторов компрометации (IOC, "фидов") в машиночитаемых форматах для последующего их использования (в том числе в SIEM-системах участников); l реализация функционала для участников по API-доступу к бюллетеням; l предоставление участникам возможности передачи через личный кабинет "дампов" сетевого трафика и лог-файлов Web-серверов для последующего анализа в ФинЦЕРТ; l сервис уведомлений о критических инцидентах по СМС; l сервис автоматического и автоматизированного взаимодействия участников с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА). Взаимодействие ФинЦЕРТ с иностранными партнерами продолжает развиваться в направлении создания единого киберпространства и доверенной финансовой среды в рамках Евразийского экономического союза (ЕАЭС) и информационного обмена с национальными и международными организациями по обеспечению кибербезопасности. В рамках информационного обмена ФинЦЕРТ сотрудничает с зарубежными организациями, в том числе с группами реагирования ряда государств постсоветского пространства, а также Франции, Испании, Болгарии и иных стран. ФинЦЕРТ уведомлял партнеров о выявленных уязвимостях в информационных ресурсах, находящихся в зоне их ответственности, о готовящихся кибератаках и преступлениях в зоне их юрисдикции. Ваше мнение и вопросы присылайте по адресу is@groteck.ru