FinCERT Банка России
FinCERT Банка России — это структурное подразделение Центрального банка Российской Федерации (Банка России), осуществляющее функции по мониторингу, предупреждению и реагированию на инциденты в сфере информационной безопасности в кредитно-финансовой сфере. Полное официальное название — Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России. FinCERT является ключевым элементом системы обеспечения кибербезопасности финансового сектора России, действуя в рамках государственной политики по защите критической информационной инфраструктуры (КИИ).
История создания
Необходимость создания специализированного центра реагирования на киберугрозы в финансовом секторе стала очевидной на фоне резкого роста числа атак на банковские системы в начале 2010-х годов. В 2013–2014 годах в России участились случаи хищения денежных средств с использованием вредоносного ПО (в частности, троянов типа Carberp и Buhtrap), а также атак на системы дистанционного банковского обслуживания (ДБО). Существовавшие на тот момент механизмы взаимодействия между банками и правоохранительными органами были недостаточно оперативными.
FinCERT был официально создан в 2015 году как подразделение Департамента информационной безопасности Банка России. Его появление стало ответом на рекомендации Международного валютного фонда и Базельского комитета по банковскому надзору, а также на национальные требования по усилению защиты финансовой системы. Первоначально центр занимался сбором и анализом данных об инцидентах, но со временем его функции значительно расширились.
В 2018 году, после вступления в силу Федерального закона № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», FinCERT получил статус ключевого участника государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). С этого момента его деятельность стала обязательной для всех субъектов КИИ в финансовой сфере.
Цели и задачи
Основная цель FinCERT — обеспечение стабильности и непрерывности функционирования финансового сектора России в условиях киберугроз. Для достижения этой цели центр решает следующие задачи:
- Мониторинг угроз: непрерывный сбор и анализ информации о компьютерных атаках, вредоносном ПО, уязвимостях и методах злоумышленников, targeting финансовые организации.
- Реагирование на инциденты: координация действий участников финансового рынка при возникновении киберинцидентов, оказание методической и технической помощи.
- Предупреждение атак: разработка и распространение рекомендаций по защите, блокировка вредоносных ресурсов (доменов, IP-адресов) и фишинговых сайтов.
- Обмен информацией: создание и поддержание защищенного канала связи для оперативного обмена данными об угрозах между Банком России, кредитными организациями, правоохранительными органами и ФинЦЕРТами других стран.
- Аналитика и прогнозирование: подготовка регулярных отчетов и бюллетеней о текущей киберугрозовой обстановке, выявление трендов и новых видов атак.
Структура и взаимодействие
FinCERT не является самостоятельным юридическим лицом, а входит в структуру Банка России. Его работа координируется с рядом государственных и частных организаций:
- ФСБ России: в рамках ГосСОПКА FinCERT передает информацию о наиболее опасных атаках в Национальный координационный центр по компьютерным инцидентам (НКЦКИ).
- МВД России: при выявлении признаков уголовных преступлений (например, кражи средств) материалы передаются в Управление «К» МВД.
- Банк России: напрямую подчиняется Департаменту информационной безопасности и взаимодействует с другими департаментами (банковского надзора, платежных систем).
- Кредитные организации: все российские банки, страховые компании, профессиональные участники рынка ценных бумаг обязаны подключаться к каналам FinCERT и предоставлять информацию об инцидентах.
- Международные организации: FinCERT сотрудничает с аналогичными центрами других стран (например, с CERT-Финляндия, CERT-Польша) и участвует в работе международных форумов по кибербезопасности.
Ключевые направления деятельности
Мониторинг и анализ угроз
FinCERT ежедневно обрабатывает тысячи сообщений об инцидентах. Центр использует собственную систему сбора данных, а также информацию от коммерческих вендоров (Kaspersky, Group-IB, Positive Technologies, Bi.Zone и др.). Особое внимание уделяется:
- Атакам на системы ДБО: хищение средств с использованием социальной инженерии (вишинг, фишинг) и вредоносного ПО.
- Атакам на банкоматы и терминалы: скимминг, логические атаки (black box), взлом через USB.
- DDoS-атакам: на сайты и онлайн-сервисы банков.
- Утечкам данных: кража персональных данных клиентов и банковской тайны.
- Атакам на SWIFT и межбанковские системы: попытки перехвата платежных сообщений.
Реагирование и блокировка
При обнаружении атаки FinCERT может инициировать экстренные меры:
- Блокировка доменов и IP-адресов: через взаимодействие с регистраторами и хостинг-провайдерами.
- Оповещение всех участников рынка: через защищенную систему обмена сообщениями.
- Координация расследования: совместно с правоохранительными органами.
- Выпуск бюллетеней: с описанием индикаторов компрометации (IoC) — хэшей файлов, IP-адресов, URL-адресов.
Профилактика и обучение
Центр регулярно публикует методические рекомендации, проводит вебинары и тренинги для сотрудников банков. Примеры тем:
- «Защита от социальной инженерии».
- «Безопасность мобильного банкинга».
- «Противодействие атакам на SWIFT».
Примеры громких инцидентов
- 2016 год — атака на банк «Россия»: злоумышленники пытались похитить 1,5 млрд рублей через SWIFT. FinCERT совместно с ФСБ предотвратил кражу, оперативно заблокировав транзакции.
- 2017 год — вирус-шифровальщик Bad Rabbit: атака затронула несколько российских банков и СМИ. FinCERT выпустил экстренные рекомендации и помог восстановить работоспособность систем.
- 2019 год — атака на банк «Открытие»: хищение 400 млн рублей через подделку платежных поручений. FinCERT участвовал в расследовании и выявил группу хакеров.
- 2022 год — массовые DDoS-атаки: на фоне геополитической напряженности были атакованы сайты крупнейших банков (Сбербанк, ВТБ, Альфа-Банк). FinCERT координировал отражение атак и блокировку ботнетов.
Критика и проблемы
Несмотря на эффективность, деятельность FinCERT подвергается критике по нескольким направлениям:
- Бюрократизация: некоторые банки жалуются на избыточную отчетность и задержки в получении информации от центра.
- Ограниченность ресурсов: при росте числа атак (особенно в 2022–2023 годах) центр не всегда успевает оперативно реагировать на все инциденты.
- Проблемы с международным обменом: после введения санкций против России многие зарубежные CERT прекратили сотрудничество, что снизило эффективность глобального мониторинга.
- Конфликт интересов: некоторые эксперты отмечают, что FinCERT, являясь частью регулятора, может быть заинтересован в сокрытии информации об уязвимостях в системах самого Банка России.
Законодательная база
Деятельность FinCERT регулируется следующими нормативными актами:
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
- Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
- Указание Банка России от 24.04.2018 № 4779-У «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств».
- Положение Банка России от 09.06.2021 № 758-П «О порядке взаимодействия Банка России с кредитными организациями и некредитными финансовыми организациями при выявлении компьютерных атак».
Значение для финансовой системы
FinCERT является одним из самых эффективных отраслевых CERT в мире. По данным Банка России, благодаря его работе в 2023 году удалось предотвратить хищение более 50 млрд рублей. Центр также активно участвует в разработке национальных стандартов кибербезопасности (ГОСТ Р 57580.1-2017) и внедрении технологий искусственного интеллекта для выявления аномалий. В условиях цифровой трансформации финансового сектора роль FinCERT продолжает расти, особенно в части защиты от атак с использованием социальной инженерии и криптовалютных схем.
Источники
- Официальный сайт Банка России — раздел «FinCERT».
- Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
- Указание Банка России № 4779-У.
- Отчеты Банка России о кибербезопасности за 2019–2023 годы.
- Публикации Ассоциации банков России (АБР) и Аналитического центра при Правительстве РФ.
- Материалы конференций «Cybersecurity for Financial Institutions» и «Infoforum».
- Статьи в журналах «Банковское обозрение» и «Финансовая безопасность» за 2020–2024 годы.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →