FinCERT
FinCERT — это структурное подразделение Центрального банка Российской Федерации (Банка России), созданное для обеспечения кибербезопасности финансовой сферы страны. Полное официальное название — Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (FinCERT). Основной задачей FinCERT является сбор, анализ и обмен информацией об инцидентах в области компьютерной безопасности, а также координация действий по противодействию киберугрозам в банковском секторе, страховых компаниях, профессиональных участниках рынка ценных бумаг и других финансовых организациях.
История и предпосылки создания
Создание FinCERT было обусловлено резким ростом числа кибератак на финансовые организации в России в начале 2010-х годов. В 2014 году Банк России зафиксировал значительное увеличение хищений денежных средств с банковских счетов с использованием методов социальной инженерии, вредоносного ПО и атак на системы дистанционного банковского обслуживания (ДБО). По данным регулятора, ущерб от таких атак в 2014 году превысил 1,5 млрд рублей.
В ответ на эти угрозы в 2015 году в составе Департамента информационной безопасности Банка России был официально учреждён FinCERT. Его создание стало частью государственной политики по укреплению киберустойчивости финансовой инфраструктуры. В 2017 году функции FinCERT были расширены, а его статус закреплён в нормативных документах Банка России.
Структура и функции
FinCERT функционирует как национальный центр реагирования на компьютерные инциденты (CSIRT) в финансовом секторе. Его деятельность регламентируется внутренними положениями Банка России и федеральными законами, в частности, Федеральным законом «О безопасности критической информационной инфраструктуры Российской Федерации» (№ 187-ФЗ).
Основные функции:
- Мониторинг киберугроз: постоянный сбор данных об атаках, уязвимостях и вредоносном ПО из различных источников, включая банки, платёжные системы, страховые компании и государственные органы.
- Реагирование на инциденты: координация действий финансовых организаций при обнаружении компьютерных атак, включая блокировку вредоносных доменов, IP-адресов и командных серверов.
- Анализ и прогнозирование: выявление новых видов угроз, анализ тактик, техник и процедур (TTP) злоумышленников, создание сценариев развития угроз.
- Обмен информацией: оперативное информирование участников финансового рынка об актуальных угрозах, уязвимостях и инцидентах через защищённые каналы связи.
- Методическая поддержка: разработка рекомендаций по защите информации, стандартов безопасности и типовых регламентов для финансовых организаций.
- Взаимодействие с правоохранительными органами: передача материалов о киберпреступлениях в МВД России, ФСБ России, Роскомнадзор и другие ведомства.
Взаимодействие с участниками рынка
FinCERT работает в тесной связи с кредитными и небанковскими финансовыми организациями. Для обмена данными используется защищённая автоматизированная система, к которой подключены все крупные банки России. Участники системы обязаны сообщать в FinCERT о выявленных инцидентах в установленные сроки (обычно в течение 24 часов). В ответ FinCERT предоставляет информацию о способах нейтрализации угроз и блокировке атак.
Основные направления деятельности
Противодействие хищениям с использованием социальной инженерии
Одно из приоритетных направлений — борьба с фишингом и телефонным мошенничеством (вишингом). FinCERT разрабатывает и распространяет среди банков базы данных мошеннических телефонных номеров, фишинговых сайтов и вредоносных программ. По данным Банка России, в 2023 году благодаря действиям FinCERT было заблокировано более 200 тысяч фишинговых ресурсов, имитирующих сайты банков и платёжных систем.
Защита систем дистанционного банковского обслуживания
FinCERT анализирует уязвимости в клиент-банк системах и мобильных приложениях. При обнаружении критических уязвимостей центр инициирует экстренное уведомление всех подключённых организаций, что позволяет предотвратить массовые атаки. Например, в 2022 году была предотвращена серия атак на системы ДБО малых и средних банков, использующих устаревшее ПО.
Противодействие DDoS-атакам
FinCERT координирует работу по отражению распределённых атак на отказ в обслуживании (DDoS), которые направлены на парализацию работы банковских онлайн-сервисов. Центр взаимодействует с провайдерами хостинга и телекоммуникационными операторами для фильтрации вредоносного трафика.
Анализ вредоносного ПО
Специалисты FinCERT проводят реверс-инжиниринг вредоносных программ, нацеленных на финансовые организации. Полученные данные (индикаторы компрометации, сигнатуры) передаются участникам системы для обновления антивирусных баз и систем обнаружения вторжений.
Результаты и эффективность
По данным Банка России, деятельность FinCERT позволила существенно снизить объём хищений в финансовом секторе. Если в 2015 году объём несанкционированных операций по картам и счетам составлял около 3,5 млрд рублей, то к 2023 году этот показатель снизился до 1,2 млрд рублей, несмотря на рост числа атак. В 2023 году FinCERT обработал более 17 тысяч инцидентов, из которых около 70% были связаны с социальной инженерией.
Центр также активно участвует в международном сотрудничестве в рамках Форума стран БРИКС по кибербезопасности и с национальными CSIRT дружественных стран (Китай, Индия, Иран, Беларусь и др.).
Критика и ограничения
Несмотря на положительные результаты, деятельность FinCERT подвергается критике со стороны некоторых участников рынка. Основные претензии:
- Недостаточная скорость реагирования: в условиях быстро меняющихся угроз время между обнаружением атаки и блокировкой может составлять несколько часов, что позволяет злоумышленникам наносить ущерб.
- Ограниченный охват: не все финансовые организации (особенно небольшие небанковские структуры) подключены к системе обмена данными FinCERT, что создаёт «слепые зоны».
- Бюрократизация: некоторые участники рынка отмечают излишнюю формализацию отчётности, что замедляет оперативное реагирование.
- Недостаток публичности: отчёты FinCERT носят закрытый характер, что затрудняет независимую оценку его эффективности.
Правовой статус и регулирование
FinCERT не является отдельным юридическим лицом, а входит в структуру Банка России. Его деятельность регулируется внутренними нормативными актами Банка России, а также федеральными законами «О Центральном банке Российской Федерации (Банке России)» и «О безопасности критической информационной инфраструктуры Российской Федерации». В 2022 году были приняты поправки, обязывающие все системно значимые кредитные организации (СЗКО) подключаться к системе FinCERT и передавать данные об инцидентах в обязательном порядке.
Перспективы развития
Планы развития FinCERT включают:
- Внедрение технологий искусственного интеллекта для автоматического анализа инцидентов и прогнозирования атак.
- Расширение сети партнёрских CSIRT в регионах России.
- Создание единой платформы обмена данными для всех участников финансового рынка, включая страховые компании, микрофинансовые организации и операторов платёжных систем.
- Усиление взаимодействия с международными организациями для противодействия трансграничным киберугрозам.
Источники
- Официальный сайт Банка России, раздел «Информационная безопасность».
- Годовые отчёты Банка России за 2015–2023 годы.
- Федеральный закон от 26 июля 2017 года № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
- Материалы конференций «Кибербезопасность в финансовой сфере» (2018–2024).
- Публикации в журнале «Банковское дело» (2016–2023).
- Данные Ассоциации банков России (АБР) о состоянии кибербезопасности в финансовом секторе.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →