Совсем недавно при Центральном Банке России был образован центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (FinCERT), который собирает информацию о происходящих через Интернет атаках на ресурсы финансовых учреждений. Пока по данным Артёма Сычёва, заместителя руководителя главного управления безопасности и защиты информации ЦБ РФ, обменивается информацией с FinCERT всего 30 кредитных организаций, тем не менее это уже позволяет предотвращать крупные скоординировать инциденты, направленные в целом против финансовой индустрии России.
Примером может служить недавно предотвращеный инцидент, о котором рассказал Артём Сычёв 30 сентября на встрече со СМИ. Информация о готовящейся атаке на пять российских банков сотрудники FinCERT получили по своим каналам в субботу 26 сентября. Сведения были о готовящейся на вечер воскресенья 27 сентября DDoS-атаке на пять крупнейших российских банков. Сотрудники FinCERT оперативно связались со службами безопасности потенциальных жертв, и те успели подготовиться к атаке, перейдя в усиленный режим работы как своей службы безопасности, так и партнёров, которые обеспечивали для банков защиту от DDoS-атак.
В результате, атака началась несколько с запазданием — в 7 часов утра понедельника 28 сентября и в пике достигала 25 Гбит/с, что перекрывает ёмкость каналов подключения к Интернет для любого банка. По сведениям FinCERT для атаки были использованы усилители — необновлённые NTP и DNS сервера по всему миру. Во время проведения атаки выяснилось, что ещё два банка могут быть атакованы злоумышленниками — с их службами безопасности также пришлось оперативно связываться, чтобы предупредить их о возможной атаке. Тем не менее, по заверениям Артёма Сычёва ни один из атакованных банков не пострадал и их сервисы не прекращали работу.
По результатам атаки злоумышленники послали письма с требованием 50 биткоинов за прекращение атак в будущем, однако по мнению Артёма Сычёва это была не коммерческая атака с целью получения выкупа, но политическая для дестабилизации финансовой системы. «Одним из современных трендов в области финансов является то, что кредитные организации начинают испытывать не только экономическое давление со стороны киберпреступников, но и политическое», — отметил он. Собственно, это не первая подобная атака — ранее уже выполнялись аналогичные атаки на Интернет-ресурсы российских банков, которые при детальном исследовании были скоординированы с территории Украины.
Сейчас FinCERT активно развивается и налаживает взаимодействие с другими центрами реагирования на инциденты. В частности, на прошлой неделе представители ФСБ, занимающиеся разработкой системы ГосСОПКА, предложили ЦБ обмениваться информацией о инцидентах. Также идут переговоры с центром JSOC, компании Solar Security. «Мы готовы взаимодействовать с любыми российскими центрами реагирования на инциденты, если они готовы пойти нам на встречу,» — пояснил Артём Сычёв. Планируется также расширение деятельности FinCERT на защиту других участников финансового рынка, таких как биржи и страховые компании. Подключение к центру реагирования не является обязательным, но сам FinCERT представляет информацию о нападениях не только подключенным к нему банкам, но и любым другим российским — такие прецеденты уже были. Основная цель создания FinCERT — обеспечивать стабильность работы финансовой системы России.
Валерий Коржов
