Финансы
Бесплатный
Анна Еремина
Статья опубликована в № 4068 от 05.05.2016 под заголовком: Хакеры получили очередной платеж

Хакеры вывели с корсчета Русского международного банка в ЦБ более 500 млн рублей

Регулятор намерен пересмотреть требования к безопасности платежей

Русский международный банк раскрыл в своей отчетности, что 21 января на него была совершена хакерская атака, в результате которой с корсчета банка в ЦБ было похищено 508 млн руб.

В отчетности банка говорится, что из похищенной суммы 336 млн руб. удалось вернуть. Еще 28 млн руб. заблокировано на счетах банков-контрагентов, уточнил представитель банка, 103 млн руб. списано со счетов в других банках.

По итогам расследования банк внес коррективы во внутренние документы, в том числе в план обеспечения непрерывности и восстановления деятельности с учетом особенностей хакерской атаки, следует из отчетности. Там также указано, что банк приобрел «специализированное программное обеспечение для выявления аномальной сетевой активности».

Это вторая крупная атака на банк в этом году, информацию о которой раскрывает сам банк. В марте Металлинвестбанк опубликовал на своем сайте сообщение о том, что хакеры вывели с его корсчета в ЦБ 667 млн руб., инцидент произошел 29 февраля, списанные средства злоумышленники переводили на счета частных лиц в разных российских банках.

На острие атаки

По статистике ЦБ, 50–60% украденных средств вовремя удается вернуть, большую роль играет время, как быстро банк успевает заметить атаку и отреагировать на нее, говорит Прозоров из Solar Security.

Банк раскрывает ту или иную информацию, исходя из ее существенности, объясняет партнер ФБК Алексей Терехов. В данном случае реализовался операционный риск, указывает он, а сумма была значительной для банка и банк проделал большую работу, чтобы избежать таких ситуаций в будущем, поэтому он указал это в отчете. По его словам, если ущерб незначительный, то банк может и не раскрывать в отчетности информацию об атаке.

Представитель ЦБ подтвердил факт атаки на Русский международный банк и отметил, что в последнее время вектор хакерских атак сместился с клиентов кредитных организаций на сами банки.

Речь идет о выводе средств через автоматизированное рабочее место клиента Банка России (АРМ КБР): когда банк отправляет платежи в ЦБ, мошенники подделывают часть файлов, в результате средства с корсчета банка в ЦБ уходят на счета, подконтрольные злоумышленникам. По словам человека, отвечающего за безопасность в одном из банков, сейчас многие банки научились отслеживать мошеннические переводы и успевают заблокировать платеж до выяснения источника происхождения средств.

За IV квартал 2015 г. и I квартал текущего года потери банков от хакерских атак превысили 2 млрд руб., говорит представитель ЦБ, хакеры покушались еще примерно на 1,5 млрд руб., но эти атаки удалось отразить.

Регулятор, видя уязвимость АРМ КБР, заявил, что будет менять систему взаимодействия с банками. «Вся эта история привела к тому, что будем пересматривать концепцию работы АРМ КБР как такового и требования к безопасности не только в платежной среде, но и в рамках управления операционным риском», – заявлял в апреле замначальника Главного управления безопасности и защиты информации ЦБ Артем Сычев. По его словам, основное изменение будет в том, что подписание документов, которые из банка отправляются в платежную систему Банка России, должно осуществляться на стороне АБС (автоматизированная банковская система) кредитной организации. Сычев добавил, что банкам дадут на это время, но что это будет для всех обязательно. Вчера представитель ЦБ не стал комментировать этот вопрос. Для мелких и средних банков, у которых не хватает ресурсов на обеспечение информационной безопасности, ЦБ подготовит рекомендации по аутсорсингу таких услуг, обещает Сычев.

Инциденты происходят постоянно и это приведет к тому, что будут ужесточаться требования к безопасности, указывает руководитель экспертного направления Solar Security Андрей Прозоров: например, сейчас ЦБ готовит стандарт по реагированию на инциденты для банков и компаний, определяющий порядок действий в случае хакерской атаки. По его словам, сейчас банкам помогает оперативнее реагировать на атаки и FinCert, созданный при ЦБ.

Запрос в МВД остался без ответа.

В подготовке статьи участвовал Павел Кантышев