Открыть сервис

FinCERT Банка России

FinCERT Банка России — это структурное подразделение Центрального банка Российской Федерации (Банка России), осуществляющее функции по мониторингу, предупреждению и реагированию на инциденты в сфере информационной безопасности в кредитно-финансовой сфере. Полное официальное название — Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России. FinCERT является ключевым элементом системы обеспечения кибербезопасности финансового сектора России, действуя в рамках государственной политики по защите критической информационной инфраструктуры (КИИ).

История создания

Необходимость создания специализированного центра реагирования на киберугрозы в финансовом секторе стала очевидной на фоне резкого роста числа атак на банковские системы в начале 2010-х годов. В 2013–2014 годах в России участились случаи хищения денежных средств с использованием вредоносного ПО (в частности, троянов типа Carberp и Buhtrap), а также атак на системы дистанционного банковского обслуживания (ДБО). Существовавшие на тот момент механизмы взаимодействия между банками и правоохранительными органами были недостаточно оперативными.

FinCERT был официально создан в 2015 году как подразделение Департамента информационной безопасности Банка России. Его появление стало ответом на рекомендации Международного валютного фонда и Базельского комитета по банковскому надзору, а также на национальные требования по усилению защиты финансовой системы. Первоначально центр занимался сбором и анализом данных об инцидентах, но со временем его функции значительно расширились.

В 2018 году, после вступления в силу Федерального закона № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», FinCERT получил статус ключевого участника государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). С этого момента его деятельность стала обязательной для всех субъектов КИИ в финансовой сфере.

Цели и задачи

Основная цель FinCERT — обеспечение стабильности и непрерывности функционирования финансового сектора России в условиях киберугроз. Для достижения этой цели центр решает следующие задачи:

  • Мониторинг угроз: непрерывный сбор и анализ информации о компьютерных атаках, вредоносном ПО, уязвимостях и методах злоумышленников, targeting финансовые организации.
  • Реагирование на инциденты: координация действий участников финансового рынка при возникновении киберинцидентов, оказание методической и технической помощи.
  • Предупреждение атак: разработка и распространение рекомендаций по защите, блокировка вредоносных ресурсов (доменов, IP-адресов) и фишинговых сайтов.
  • Обмен информацией: создание и поддержание защищенного канала связи для оперативного обмена данными об угрозах между Банком России, кредитными организациями, правоохранительными органами и ФинЦЕРТами других стран.
  • Аналитика и прогнозирование: подготовка регулярных отчетов и бюллетеней о текущей киберугрозовой обстановке, выявление трендов и новых видов атак.

Структура и взаимодействие

FinCERT не является самостоятельным юридическим лицом, а входит в структуру Банка России. Его работа координируется с рядом государственных и частных организаций:

  • ФСБ России: в рамках ГосСОПКА FinCERT передает информацию о наиболее опасных атаках в Национальный координационный центр по компьютерным инцидентам (НКЦКИ).
  • МВД России: при выявлении признаков уголовных преступлений (например, кражи средств) материалы передаются в Управление «К» МВД.
  • Банк России: напрямую подчиняется Департаменту информационной безопасности и взаимодействует с другими департаментами (банковского надзора, платежных систем).
  • Кредитные организации: все российские банки, страховые компании, профессиональные участники рынка ценных бумаг обязаны подключаться к каналам FinCERT и предоставлять информацию об инцидентах.
  • Международные организации: FinCERT сотрудничает с аналогичными центрами других стран (например, с CERT-Финляндия, CERT-Польша) и участвует в работе международных форумов по кибербезопасности.

Ключевые направления деятельности

Мониторинг и анализ угроз

FinCERT ежедневно обрабатывает тысячи сообщений об инцидентах. Центр использует собственную систему сбора данных, а также информацию от коммерческих вендоров (Kaspersky, Group-IB, Positive Technologies, Bi.Zone и др.). Особое внимание уделяется:

  • Атакам на системы ДБО: хищение средств с использованием социальной инженерии (вишинг, фишинг) и вредоносного ПО.
  • Атакам на банкоматы и терминалы: скимминг, логические атаки (black box), взлом через USB.
  • DDoS-атакам: на сайты и онлайн-сервисы банков.
  • Утечкам данных: кража персональных данных клиентов и банковской тайны.
  • Атакам на SWIFT и межбанковские системы: попытки перехвата платежных сообщений.

Реагирование и блокировка

При обнаружении атаки FinCERT может инициировать экстренные меры:

  • Блокировка доменов и IP-адресов: через взаимодействие с регистраторами и хостинг-провайдерами.
  • Оповещение всех участников рынка: через защищенную систему обмена сообщениями.
  • Координация расследования: совместно с правоохранительными органами.
  • Выпуск бюллетеней: с описанием индикаторов компрометации (IoC) — хэшей файлов, IP-адресов, URL-адресов.

Профилактика и обучение

Центр регулярно публикует методические рекомендации, проводит вебинары и тренинги для сотрудников банков. Примеры тем:

  • «Защита от социальной инженерии».
  • «Безопасность мобильного банкинга».
  • «Противодействие атакам на SWIFT».

Примеры громких инцидентов

  • 2016 год — атака на банк «Россия»: злоумышленники пытались похитить 1,5 млрд рублей через SWIFT. FinCERT совместно с ФСБ предотвратил кражу, оперативно заблокировав транзакции.
  • 2017 год — вирус-шифровальщик Bad Rabbit: атака затронула несколько российских банков и СМИ. FinCERT выпустил экстренные рекомендации и помог восстановить работоспособность систем.
  • 2019 год — атака на банк «Открытие»: хищение 400 млн рублей через подделку платежных поручений. FinCERT участвовал в расследовании и выявил группу хакеров.
  • 2022 год — массовые DDoS-атаки: на фоне геополитической напряженности были атакованы сайты крупнейших банков (Сбербанк, ВТБ, Альфа-Банк). FinCERT координировал отражение атак и блокировку ботнетов.

Критика и проблемы

Несмотря на эффективность, деятельность FinCERT подвергается критике по нескольким направлениям:

  • Бюрократизация: некоторые банки жалуются на избыточную отчетность и задержки в получении информации от центра.
  • Ограниченность ресурсов: при росте числа атак (особенно в 2022–2023 годах) центр не всегда успевает оперативно реагировать на все инциденты.
  • Проблемы с международным обменом: после введения санкций против России многие зарубежные CERT прекратили сотрудничество, что снизило эффективность глобального мониторинга.
  • Конфликт интересов: некоторые эксперты отмечают, что FinCERT, являясь частью регулятора, может быть заинтересован в сокрытии информации об уязвимостях в системах самого Банка России.

Законодательная база

Деятельность FinCERT регулируется следующими нормативными актами:

  • Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
  • Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
  • Указание Банка России от 24.04.2018 № 4779-У «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств».
  • Положение Банка России от 09.06.2021 № 758-П «О порядке взаимодействия Банка России с кредитными организациями и некредитными финансовыми организациями при выявлении компьютерных атак».

Значение для финансовой системы

FinCERT является одним из самых эффективных отраслевых CERT в мире. По данным Банка России, благодаря его работе в 2023 году удалось предотвратить хищение более 50 млрд рублей. Центр также активно участвует в разработке национальных стандартов кибербезопасности (ГОСТ Р 57580.1-2017) и внедрении технологий искусственного интеллекта для выявления аномалий. В условиях цифровой трансформации финансового сектора роль FinCERT продолжает расти, особенно в части защиты от атак с использованием социальной инженерии и криптовалютных схем.

Источники

  1. Официальный сайт Банка России — раздел «FinCERT».
  2. Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
  3. Указание Банка России № 4779-У.
  4. Отчеты Банка России о кибербезопасности за 2019–2023 годы.
  5. Публикации Ассоциации банков России (АБР) и Аналитического центра при Правительстве РФ.
  6. Материалы конференций «Cybersecurity for Financial Institutions» и «Infoforum».
  7. Статьи в журналах «Банковское обозрение» и «Финансовая безопасность» за 2020–2024 годы.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →