Как украсть полмиллиарда из ЦБ? A− A= A+
Новость о хищении 500 млн. рублей с коррсчета в ЦБ опубликовал Царьград-ТВ.
И не просто опубликовал, а организовал ее обсуждение в прямом ТВ-эфире. Небольшая, но хлесткая заметка Царьграда вызвала резонанс в профильной банковской блогосфере. Одним читателям сам заголовок не понравился, другим – фраза о том, что «ЦБ выполнил поручение злоумышленников». Появилось и много конструктивных предложений, как не допустить повторения подобных ситуаций. Вправе ли банки предъявлять ЦБ претензии за выполнение фейковых поручений? Должна ли появиться в ЦБ система антифрода для отбраковки подозрительных платежных поручений от имени банков? Что нас ждет в будущем в отношении атак подобного уровня?
Историческая справка
Начнем с предыстории обсуждаемой темы. Массовые хищения с корсчетов банков в ЦБ появились примерно пять лет назад, тогда же и начали высказываться претензии в адрес ЦБ. Почему не посмотрел внимательнее? Почему не проверил – крупная сумма должна вызывать внимание, почему не перезвонил? Ну, и так далее. Некоторые пострадавшие банки после единственной успешной атаки прекращали существование – потеря суммы порядка 500+ млн. рублей оказывалась для них смертельной.
Платёжки в ЦБ поступали тогда (как и поступают сегодня) из АРМ КБР (Автоматизированное Рабочее Место Клиента Банка России, которое используется для коммуникации коммерческого банка с Центральным банком – прим.ред.) – именно его атаковали хакеры. В целях противодействия атакам была проведена трансформация технологических процессов – шифрование платежек «вытащили» из АРМ КБР и перенесли его полностью в АБС (АБС – автоматизированная банковская система – прим.ред.), а через АРМ КБР стали отправлять уже готовые, подписанные и зашифрованные в АБС платежки. Это возымело действие – атаки прекратились, исчезли и сомнения в какой-либо ответственности ЦБ за исполнение фейковых платежных поручений. Во всем всегда оказывался виноватым сам коммерческий банк – это стало полностью очевидным.
Антифрод в каждый дом
Отметим, что масса мошеннических платёжных поручений сегодня поступает в любой коммерческий банк ежедневно. Чтобы убедиться, что конкретное поручение дает действительно банковский клиент, ЦБ обязал каждый банк создать у себя автоматизированную систему «антифрода», которая по нескольким параметрам способна определять подлинность платёжного поручения. Любой антифрод при анализе исходит из того, что платежное поручение может быть поддельным – примеров, подтверждающих жизненность такой позиции, мы знаем массу. Самый известный и массовый пример – атаки социальных инженеров (СИ) – они предполагают формирование поддельных документов. Масштаб явления ужасающий – примерно 250 тыс. успешных атак СИ в каждом квартале и примерно 3 млрд. похищенных рублей. Справиться пока с этими атаками никто не может, никакой антифрод. Банки, не мудрствуя лукаво, переносят вину всех успешных атак СИ на своих клиентов. Клиент не следил, клиент сообщил коды подтверждения операции, клиент неправильно пользоваться платёжным инструментом и так далее, стало быть, он виноват. ЦБ в отношении атак мошенников занимает более взвешенную позицию – регулятор предложил всегда возвращать часть похищенного потерпевшим – некоторую небольшую сумму. Точную методологию расчета этой суммы ЦБ пока не раскрывает, мы знаем лишь, что она будет посчитана «исходя из целевого возврата денежных средств гражданам в среднем в 80–90% всех случаев социальной инженерии». Пока это только идея.
У сильного бессильный виноват
В случае хищения с коррсчета полумиллиарда рублей пострадавший коммерческий банк сам является клиентом – но уже банка Центрального. Никаких гарантий и компенсаций, конечно, ЦБ тут ему уже не предлагает. И вину на него ЦБ перенес без каких-либо сомнений – свои претензии к банку ЦБ изложил в информационном бюллетене ФинЦЕРТ в апреле 2021 года. Цитировать его не будем, но в подобных документах обычно упоминаются «дыры» в организации защиты периметра банка , недостатки в организации работы систем антифрода, отсутствие должного контроля работы средств удаленного доступа, ну, и так далее. Детали успешной атаки предала гласности компания Group IB, которая работала с пострадавшим банком и представила Отчёт об инциденте на своем сайте.
ЦБ выполнил фейковое платёжное поручение хакеров потому, что он оказался «сапожником без сапог» – в ЦБ нет собственной системы антифрода. Банки он заставил создать эти системы , а для себя не хватило административного пыла или желания, или, возможно, даже конкретной идеи как лучше его организовать. Сегодня очевидно – такая позиция оказалась непродуктивной. Антифрод или система, подобная ему, должна появиться, наконец, и в ЦБ. Тем более, что ЦБ вышел на рынок розничных платежей и уже запустил свой собственный сервис СБП. Стало быть, и по этой причине риски фрода возросли, а случаи хищений могут стать чаще. Опять же, новый цифровой рубль привлечет дополнительное внимание к счетам в ЦБ, на которых граждане будут «самым надежным образом хранить свои сбережения». Отсутствующий антифрод, к примеру, можно организовать по типу «светофора», который ЦБ планирует запустить уже в следующем году, но в других целях, связанных с KYC. Плодотворная идея присвоения «юрикам» трех разных цветов (и, соответственно, разных ограничений) в зависимости от совершаемых операций многовариантна и может стать инструментом, затрудняющим хищения и у банков.
Резюме
Что важно во всей этой истории с хищением? История публичная и пишут о ней многие. Но пишут одно и тоже. А самое важное так и осталось покрыто тайной. Мы не знаем, что за банк. Кто его руководители? Почему они это допустили? Как будут наказаны за хищение? Кто руководит (или уже «руководил в прошлом»?) службой ИБ, почему он это допустил? Давайте озвучим фамилии героев – конкретных людей, которые пропустили гол в свои ворота и неправильно организовали и защиту периметра, других важных задач ИБ. В свою очередь, возможно, они оправдаются и осветят публике, почему они это не обеспечивали? Может быть, даже претензии руководству банка предъявят – почему нет?
Разумно сделать открытое обсуждение случая этой атаки. Почему оно появилось в СМИ, лишь когда Group IB опубликовала свой отчёт – спустя более полугода после события? Таких вопросов много. Вопросы есть, но ответа на то, что надо сделать, чтобы снова не дать украсть эти полмиллиарда, но уже в другом банке у нас нет. И гарантий, что атака на банк не повторится, тоже нет.