асои финцерт что это
ФинЦЕРТ
Для организаций не поднадзорных Банку России
Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере — структурное подразделение Департамента информационной безопасности.
Контактные данные:
ФинЦЕРТ: 24/7
почта : fincert@cbr.ru
Адрес : г. Москва, Ленинский пр-т, д. 1/2
Информационные сообщения
Основная цель
Cоздание центра компетенции в рамках информационного взаимодействия Банка России, кредитных и некредитных финансовых организаций, компаний-интеграторов, разработчиков антивирусного программного обеспечения, провайдеров и операторов связи, а также для правоохранительных и иных государственных органов, курирующих информационную безопасность отрасли. Указанное информационное взаимодействие направлено на координацию работ по противодействию злоумышленникам, активность которых направлена на личное обогащение с использованием методов несанкционированного доступа к ИТ-инфраструктуре организаций, поднадзорных Банку России, а также с использованием уязвимостей в платежных технологиях.
Для достижения цели выполняются следующие задачи:
Информационный обмен
Участником информационного обмена может стать любое юридическое лицо, которое:
Для того чтобы принять участие в информационном обмене, заполните «Карточку участника» и отправьте запрос на электронный адрес info_fincert@cbr.ru с пометкой «Информационное взаимодействие».
Поля «Карточки участника» заполняются согласно вашим возможностям. В контактах ответственных лиц следует указать адрес электронной почты и телефон для связи.
По любым возникающим вопросам можно связаться с работниками Центра:
Отпечаток SHA-1 открытого ключа ЭП
57 82 6a c7 a1 5c d9 35 dd f6 31 82 53 23 e4 02 14 ac f0 3a
Взаимодействие c физическими лицами осуществляется через Интернет-приемную Банка России (www.cbr.ru/Reception)
Адрес: ул. Неглинная, 12, Москва, 107016
Телефоны: (для бесплатных звонков из регионов России),
(круглосуточно),
Информационное взаимодействие с АСОИ «ФинЦЕРТ» Банка России через API
Руслан Рахметов, Security Vision
В условиях цифровизации и повсеместного перехода на безналичные способы оплаты проблема обеспечения кибербезопасности с каждым годом становится всё более актуальной. Динамика объема и количества несанкционированных операций с использованием платежных карт неуклонно растет от года к году.
ФинЦЕРТ Банка России в рамках своей деятельности осуществляет следующие основные функции:
Организует и координирует обмен информацией в сфере кибербезопасности
Анализирует данные о компьютерных атаках, готовит и рассылает участникам обмена аналитические материалы
Инициирует блокировку сайтов, содержащие противоправный контент
Ведет компьютерные исследования и проводит экспертизу в рамках взаимодействия с правоохранительными органами.
Субъекты КИИ, функционирующие в банковской сфере или иных сферах финансовых рынков, имеют возможность передавать информацию о компьютерных инцидентах в ГосСОПКА через техническую инфраструктуру Банка России (ФинЦЕРТ).
Порядок работы информационного обмена между организациями-участниками и ФинЦЕРТ:
Получение информации об инциденте или угрозе от участника информационного обмена
Проведение анализа полученной информации
Подготовка информационного бюллетеня с рекомендациями
Рассылка бюллетеня всем участникам информационного обмена с целью предотвращения инцидентов в других организациях.
С целью организации всех обозначенных процессов и обеспечения непрерывного информационного взаимодействия была создана автоматизированная система обработки инцидентов ФинЦЕРТ Банка России (далее — АСОИ ФинЦЕРТ). АСОИ ФинЦЕРТ предусматривает организацию взаимодействие с участниками как через личный кабинеты, так и через прикладной программный интерфейс (REST API) в формате JSON.
REST API АСОИ ФинЦЕРТ (https://api.fincert.cbr.ru) позволяет осуществлять обмен данными между информационным системами напрямую, без необходимости использовать браузер и различные пользовательские экранные формы личного кабинета участника ФинЦЕРТ (https://lk.fincert.cbr.ru).
Для регистрации и отправки информации об инциденте ИБ в REST API АСОИ ФинЦЕРТ предусмотрено указание вектора атаки:
EXT – если атака направлена на клиента организации-участника
INT – если атака направлена на инфраструктуру организации-участника.
В зависимости от вектора предусмотрена возможность указания различных типов инцидентов, каждый из которых содержит свой определенный перечень атрибутов. Общий перечень типов инцидентов ИБ для передачи в АСОИ ФинЦЕРТ представлен в таблице ниже.
Перечень типов инцидентов для передачи в АСОИ «ФинЦЕРТ»
Использование вредоносного программного обеспечения
Использование методов социальной инженерии
Эксплуатация уязвимостей информационной инфраструктуры
Реализация спам рассылки
Взаимодействие с центрами бот-нет сетей
Изменения IMSI на SIM-карте, смена IMEI телефона
Использование фишинговых ресурсов
Размещение запрещенного контента в сети «Интернет»
Размещение вредоносного ресурса в сети
Иная компьютерная атака
Изменение маршрутно-адресной информации
Использование вредоносного программного обеспечения
Реализации атаки типа «отказ в обслуживании»
Реализации несанкционированного доступа к банкоматам и платежным терминалам
Эксплуатация уязвимостей информационной инфраструктуры
Компрометация аутентификационных/учетных данных
Реализация спам рассылки
Взаимодействие с центрами бот-нет сетей
Использование фишинговых ресурсов
Размещение запрещенного контента в сети «Интернет»
Размещение вредоносного ресурса в сети «Интернет»
Выполнение изменения контента
Выполнение сканирования портов
Иная компьютерная атака
Также организация-участник, используя REST API АСОИ ФинЦЕРТ, может отправлять следующие виды запросов:
Создание запроса об изменении карточки участника
Создание запроса об уязвимости
Создание запроса о публикации
Регистрация запроса о блокировке корреспондентского счета
Регистрация запроса на анализ ВПО.
Помимо возможностей отправки информации, REST API АСОИ ФинЦЕРТ позволяет получать фиды из информационных бюллетеней. Такие бюллетени могут содержать URL или IP адреса злоумышленников, информацию об уязвимостях, а также хеш-суммы (MD5, SHA1, SHA256) вредоносного программного обеспечения.
Немного позже в рамках исполнения 167-ФЗ от 27.06.2018 г. «О внесении изменений в отдельные законодательные акты Российской Федерации в части противодействия хищению денежных средств» на базе платформы АСОИ ФинЦЕРТ была создана АС «Фид-Антифрод».
АС «Фид-Антифрод» реализует следующие основные функции:
осуществляет сбор данных от участников информационного обмена по операциям без согласия клиента (несанкционированные переводы)
осуществляет распространение информации («фиды») в адрес других участников, которая позволяет выявить и пересечь деятельность мошенников.
Так называемые «фиды» содержат следующе атрибуты по получателям несанкционированного перевода: ИНН, хэшированные данные паспортов, СНИЛС, банковские счета, номера платежных карт, номера телефонов, номера электронных кошельков, счета SWIFT, ID эквайера, номера СБП. Также в качестве фидов при информационном обмене могут быть зафиксированы идентификаторы устройства, с которого злоумышленник получил доступ к системе или программному обеспечению: IP адрес, IMSI, IMEI, AIIC банка-эквайера, CAT банкомата/терминала, CAIC географического расположения банкомата/терминала.
Получив эти данные от ФинЦЕРТ, финансовая организация должна осуществить поиск и проверку их наличия в своей АБС, в случае обнаружения осуществить блокировку счетов получателя несанкционированного перевода, по итогам проведения проверки предоставить информацию в ФинЦЕРТ.
Взаимодействие с использованием сервиса REST API АС «Фид-Антифрод» особенно актуально для средних и крупных финансовых организаций. Прямое техническое взаимодействие программного обеспечения участника и АС «Фид-Антифрод» позволяет получать и отправлять большой объем данных в автоматизированном режиме, тем самым минимизируя или даже в некоторых случаях исключая полностью участие человека в такого рода рутинных операциях.
Использование REST API АС «Фид-Антифрод» предусматривает выполнение следующих сценариев:
Осуществление отправки сообщения об инциденте с операцией без согласия клиента
Получение запросов от ФинЦЕРТ по операциям без согласия клиента
Предоставление ответов на запросы от ФинЦЕРТ по операциям без согласия клиента
Получение отчетов о приостановлении зачисления средств.
Получить детальную и актуальной информацию (руководства, инструкции, сертификаты, схемы данных и описание api) по работе и подключению к АСОИ ФинЦЕРТ и АС «Фид-Антифрод» можно на информационном портале по адресу: https://portal.fincert.cbr.ru *
*Примечание: для доступа к порталу необходимо иметь установленное СКЗИ с поддержкой отечественных алгоритмов шифрования и соответствующие сертификаты TLS-доступа.
Кибератаки на финансовую сферу: обзор ФинЦЕРТ
В 2018 году Банк России зафиксировал 687 кибератак на кредитно-финансовые организации, из них 177 атак были целевыми. При этом в большинстве случаев рассылки вредоносного программного обеспечения (ВПО) злоумышленники применяли спуфинг — подмену электронных почтовых адресов. Наибольшее количество атак было выявлено в IV квартале 2018 года, что связано с началом работы автоматизированной системы обработки инцидентов (АСОИ) ФинЦЕРТ Банка России.
Такие данные приводятся в Обзоре основных типов компьютерных атак в кредитно-финансовой сфере в 2018 году. Документ подготовлен Банком России совместно с компаниями, работающими в сфере информационной безопасности и участвующими в информационном обмене с ФинЦЕРТ. Привлечение к работе над докладом независимых экспертов позволяет сформировать более полную картину киберрисков и способствует объединению усилий рынка в борьбе с киберпреступностью.
Регулятор получил от участников рынка через АСОИ более 500 образцов ВПО, которое злоумышленники использовали при организации атак. Более половины выявленного ВПО относится к программам-вымогателям и шифровальщикам. По результатам анализа полученных сведений специалисты ФинЦЕРТ подготовили и направили финансовым организациям и другим участникам информационного обмена 155 оперативных бюллетеней с индикаторами компрометации систем и сетей — это почти в 4 раза больше, чем годом ранее. Бюллетени позволяют участникам информационного обмена быть в курсе наиболее актуальных киберугроз на финансовом рынке и вырабатывать эффективные меры по противодействию им.
В обзоре также сообщается, что в 2018 году в результате анализа данных, полученных от участников информационного обмена через АСОИ, выявлено свыше 540 интернет-ресурсов, которые распространяли ВПО или являлись его управляющими серверами. При этом более 500 из этих ресурсов зарегистрировано за пределами России. Расположение подобных ресурсов в доменных зонах, на которые не распространяются полномочия ФинЦЕРТ как организации, компетентной в определении нарушений, осложняет возможность приостановки деятельности этих сайтов. В настоящее время ко второму чтению в Государственной Думе готовится законопроект, наделяющий Банк России правом досудебной блокировки таких ресурсов на территории Российской Федерации вне зависимости от географической привязки доменного имени. Регулятор рассчитывает на принятие этого законопроекта.
Авторы обзора рекомендуют организациям кредитно-финансовой сферы уделять внимание как минимум двум направлениям работы. Во-первых, взаимодействию со своими клиентами и партнерами в части повышения осведомленности сотрудников в области безопасности (security awareness) и обеспечения необходимого уровня защиты на их стороне. Во-вторых, банкам следует сосредоточиться на обеспечении безопасности во внутренней сети и внедрении средств защиты, которые позволят оперативно выявлять следы атак в инфраструктуре.
Информация из обзора может быть использована руководителями и специалистами финансового рынка при планировании мероприятий по информационной безопасности и для ознакомления персонала с основными видами актуальных угроз.
Содержание
Конечные собственники
По данным на 2018 год в рамках FinCERT взаимодействуют более 600 банков.
В конце сентября 2021 года стало о назначении Игоря Добровольцева новым руководителем Центра взаимодействия и реагирования Департамента информационной безопасности ЦБ (ФинЦЕРТ). Об этом сообщил «Коммерсантъ» со ссылкой на свои источники и пресс-службу ЦБ РФ. Подробнее здесь.
Соглашение с Wildberries о сотрудничестве по вопросам противодействия кибератакам
Российский онлайн-ритейлер Wildberries 24 сентября 2021 года сообщил о том, что присоединился к информационному обмену с ФинЦЕРТ Банка России, заключив соглашение по вопросам противодействия компьютерным атакам, а также мошенничеству в сети интернет. Подробнее здесь.
2020: ЦБ РФ запустил масштабную реструктуризацию ИБ-подразделения
В ноябре 2020 года Центробанк РФ уведомил сотрудников о реструктуризации департамента информационной безопасности (ДИБ). Регулятор не раскрыл подробности изменений, но, по данным «Коммерсанта», Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ), занимавшийся мониторингом киберрисков, будет ликвидирован, а его функции перераспределены между управлениями ДИБ.
Само название ФинЦЕРТ может остаться за одним из новых управлений департамента, потому что в раскрутку этого бренда за пять лет его существования вложено немало денег и сил, рассказал изданию источник на банковском рынке. Банкиры рассчитывают, что за счёт преобразований регулятор разнесёт надзор и мониторинг в разные управления, чтобы банки, сообщая об инцидентах, получали помощь, а не наказание.
Член совета директоров РНКО «Платежный центр» Александр Погудин считает, что специализация подразделений на каждом из блоков функционала позволит глубже погружаться в специфику работы.
В ЦБ подтвердили газете реструктуризацию ДИБ и объяснили ее необходимостью усиления основных бизнес-процессов, от которых «зависит достижение целевых показателей, предусмотренных «Основными направлениями развития информационной безопасности кредитно-финансовой сферы на период 2019–2021 годов».
Среди таких процессов — обработка информации о противодействии операциям без согласия клиентов финансовых организаций, которая поступает в ЦБ от участников информационного обмена. Кроме того, усиливается направление риск-ориентированного надзора за обеспечением финансовыми организациями киберустойчивости и операционной надежности. [1]
2019: ФинЦЕРТ назвал главный источник утечек банковских данных россиян
11 октября 2019 года стало известно, что в первом полугодии 2019 года специалисты обнаружили на черном рынке порядка 13 тыс. предложений купли/продажи данных россиян.
Главным источником утечек банковских и персональных данных являются не кредитные организации, а сами пользователи. Об этом сообщается в годовом отчете подразделения Центробанка РФ по кибербезопасности ФинЦЕРТ.
Согласно отчету, на долю банковских утечек приходится лишь 12% от всех данных, продававшихся на черном рынке в первой половине 2019 года (в общей сложности за указанный период времени было обнаружено порядка 13 тыс. предложений купли/продажи данных россиян).
Утечки данных часто происходят из неочевидных ресурсов, например, интернет-магазинов. На таких сайтах пользователь вводит всю необходимую информацию, которая может быть перехвачена и передана киберпреступникам с помощью вредоносного ПО.
Очень часто причиной утечки становятся сами пользователи и их устройства. Как правило, это финансово благополучные граждане, которым нравится использовать современные технологии, а также школьники, студенты, домохозяйки и пенсионеры.
Чаще всего мошенничества со счетами физических лиц осуществляются с помощью социальной инженерии (97 из 100 случаев). Типичная схема такова: преступники звонят потенциальной жертве и, представившись сотрудником банка, сообщают, будто ее деньги на карте «в опасности». Для перевода средств на «безопасный» счет жертва должна назвать пришедший в SMS-сообщении код. На самом деле, данный код подтверждает перевод денег на карту злоумышленника.
ЦБ закрепил форматы направления сообщений банками в ФинЦЕРТ
6 ноября 2018 года появилась информация о том, что Банк России закрепил форматы направления сообщений банками в ФинЦЕРТ в пятом стандарте по информбезопасности. Предыдущие четыре стандарта были добровольными для присоединения, однако в данном случае избежать работы по стандарту технически не удастся. Подробнее здесь.
ФинЦЕРТ заблокировал свыше 2,1 тыс. доменов за 8 месяцев 2018 г
20 сентября 2018 года стало известно, то ЦБ заблокировал свыше 2,1 тыс. доменов в 2018 году.
На самом деле количество доменов подлежащих блокировке (разделегированию), которые выявляет ФинЦЕРТ, и информацию о которых получает от банков, больше. По статистике центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России разделегированию в конечном итоге подлежат примерно 3 из 4-х доменов.
Руководитель ФинЦЕРТ отметил, что за последние два года наблюдается тренд на нецелевые атаки, поскольку изучение объекта атаки очень затратно для преступников, поэтому ими используются стандартные процедуры и производится массовая рассылка. Так, на кредитно-финансовые организации зарегистрировано 530 нецелевых и 160 целевых атаки. Некоторые организации по разным причинам подвергаются несколько раз.
По данным ФинЦЕРТ более 80% участников кредитно-финансовой сферы в разрезе банков уже подключены к платформе Банка России по обработке инцидентов (АСОИ ФинЦЕРТ). По словам А. Калашникова, есть ряд организаций, которые по каким-то причинам до сих пор не направили в ФИНЦерт информацию о тех, кто ответствен за информационный обмен, ряд организаций, которые уже получили учетные данные от ФинЦЕРТа для входа в АСОИ, но по тем или иными причинам не посещают личный кабинет.
Вхождение в состав департамента информационной безопасности ЦБ РФ
Соглашение с МТС
МТС и Центральный банк Российской Федерации (Банк России) объявили в мае 2018 года о подписании соглашения о сотрудничестве в сфере информационной безопасности и противодействия компьютерным атакам.
Банкиры не доверяют FinCERT
С начала 2017 года кредитные организации не сообщили в FinCERT о каждой пятой успешной атаке хакеров. Банкиры не доверяют структуре, созданной внутри ЦБ РФ для обеспечения информационной безопасности, опасаясь привлечь надзорное внимание регулятора, пишет в ноябре «КоммерсантЪ».
За последний год группировка Cobalt осуществила порядка 50 успешных атак на российские банки, сообщили газете участники рынка и собеседники в правоохранительных органах. Напомним, ранее эксперты Trend Micro сообщили о смене тактики группировки, целью которой сейчас стали не клиенты банков, а сами финансовые организации.
В последнем отчете FinCERT называет атаки Cobalt «основным трендом». Группировка атаковала банки разного масштаба, похищая внушительные суммы, однако несмотря на понесенный ущерб, в 10 из 50 случаев банки предпочли не сообщать об инцидентах ЦБ и правоохранительным органам. По данным собеседников издания, максимальная сумма хищений по скрытым атакам составляла 20 млн рублей.
По словам экспертов, основная причина неразглашения информации об атаках — передача информации из FinCERT в надзорный блок ЦБ. С 2017 года сотрудники FinCERT активно участвуют в проверках главной инспекции Банка России. При этом они сообщают в надзор обо всех замеченных нарушениях, выявленных при расследовании инцидентов.
Подобная скрытность, полагают эксперты, представляет угрозу для других участников рынка. Хакеры постоянно совершенствуют свое вредоносное ПО, поэтому крайне важно информировать FinCERT о каждой новой атаке, чтобы он оперативно мог предупредить рынок. Таким образом неатакованные банки могли бы принимать меры по предотвращению атак, обращаясь к экспертам в области кибербезопасности и используя соответствующие технологии защиты.
418 кредитных организаций
А. Сычев добавил, что ФинЦЕРТ отметил активное присоединение а информационному обмену небанковских кредитных организаций. Всего участникам информационного обмена являются 526 организаций.
Нацбанк Беларуси приступил к созданию центра финансовой кибербезопасности FinCERT
Национальный банк Беларуси (НБ РБ) в 2017-2018 годах планирует запустить центр финансовой кибербезопасности – FinCERT. Основным направлением деятельности структуры станет мониторинг и противодействие кибератакам в банковской сфере.
Планируется, что центр станет своеобразным хабом для обмена данными между банками, кредитно-финансовыми организациями, разработчиками ПО, поставщиками оборудования, операторами связи и правоохранительными органами. Так, сейчас Нацбанк собирает предложения о формате организации работы и взаимодействия в центре от заинтересованных участников.
План создания лаборатории киберзащиты банков
31 октября 2016 года стало известно о планах Центробанка создать лабораторию для защиты банков от киберугроз, изучающую технологии и последствия компьютерных атак. Регулятор собирается оснастить кредитные организации технологиями по предотвращению киберугроз.
Специалисты лаборатории станут изучать способы и последствия компьютерных угроз, включая атаки на банкоматы, POS-терминалы и устройства самообслуживания. Сотрудники ЦБ будут анализировать мошеннические интернет-ресурсы, мобильные устройства. Эта структура будет помогать кредитно-финансовым организациям корректно снимать и опечатывать передаваемые на исследование объекты. Центробанк со своей стороны займется подготовкой описания средств и методов атак на устройства самообслуживания, рекомендаций по противодействию атакам на устройства самообслуживания.
Точных сроков создания лаборатории, как и ее названия, не заявлено. Согласно «Известиям», в Банке России идет разработка плана запуска лаборатории и «дорожной карты», утверждение которой запланировано на конец 2016 года.
Представители банковского сообщества поддерживают намерение регулятора создать лабораторию. Илья Зибарев, председатель правления банка «Русский стандарт» ожидает, что результатами работы могли бы стать своевременные и полноценные расследования инцидентов для разработки соответствующих мер защиты на государственном уровне.
Подключение к SOC «Информзащиты»
Подключение к FinCERT дает возможность финансовым организациям оперативно узнавать об основных типах и механизмах реализации кибератак, а также об успешных методах противодействия подобного рода атакам. К сожалению, несмотря на детальное описание ключевых индикаторов компрометации, предоставляемое FinCERT, немногие финансовые организации могут на практике воспользоваться ими для выявления кибератак в своих системах, ввиду незрелости собственных процессов мониторинга инцидентов. Для решения такого рода задач возникла необходимость подключения к информационному обмену компании с успешно функционирующим Security Operation Center (SOC).
В сентябре 2016 года «Информзащита» стала первым интегратором в области информационной безопасности среди участников информационного обмена с FinCERT. SOC «Информзащиты» ежесекундно получает данные от тысяч устройств в сетях подключенных к нему финансовых организаций. Эксперты-практики «Информзащиты» в режиме 24/7 преобразуют информацию из бюллетеней FinCERT в правила выявления сценариев реализации угроз и признаков компрометации систем. Это позволяет достичь максимальной оперативности в выявлении и реагировании на инциденты ИБ в подключенных к SOC кредитных организаций.
FinCERT: За 12 месяцев в банках России похищено 1,37 млрд руб
19 июля 2016 года созданный Банком России Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (FinCERT) подвел итоги первого года деятельности. В отчете были представлены наиболее распространенные схемы кибермошенничества и способы противодействия злоумышленникам.
По данным FinCERT, с июня 2015 года по май 2016 года было зафиксировано более 20 крупных кибератак на платежные системы кредитных организаций. В рамках этих нападений преступники пытались украсть 2,87 млрд рублей. В сотрудничестве с банками и правоохранительными органами FinCERT удалось предотвратить хищение более 1,5 млрд рублей. Таким образом, хакеры смогли похитить около 1,37 млрд рублей у российских банков.
Согласно данным ЦБ, наиболее распространенной схемой мошенничества является массовая рассылка по электронной почте писем с вирусом. Вирусы типа Trojan.Downloader могут незаметно для пользователя устанавливать на компьютеры вредоносные программы, другие, например, позволяют злоумышленникам шифровать данные, за их «разблокировку» программа требует оплату.
Еще один распространенный метод мошенничества — SMS-рассылка от имени ЦБ или кредитных организаций. Особенно популярны рассылки с использованием номеров 8-800. Обманутые клиенты банков сообщали злоумышленникам личную информацию, которая использовалась для кражи денег или продавалась другим мошенникам.
В FinCERT отмечают низкую активность участников информационного обмена, не уведомляющих центр в силу различных причин о факте проведения DDoS-атак.
2015: Создание центра
FinCERT был создан как структура Банка России в июне 2015 года. Главной задачей Центра является противодействие злоумышленникам путем взаимного информирования и оповещения участников банковского сообщества об уязвимостях, угрозах и рисках, с которыми каждому из них приходится сталкиваться.