К банкам может быть применено наказание в случае их несерьезного отношения к спам-рассылкам, содержащим прикрепленные вредоносные программы. Как пояснили в ЦБ, получение таких писем следует воспринимать как компьютерный инцидент, а значит, с 1 июля все такие случаи подлежат упоминанию в отчете, направляемом в ФинЦЕРТ. По словам экспертов, потенциально информобъем по всем спам-рассылкам может быть огромным, что приведет к значительным затруднениям в его обработке.
А если банки будут не полностью раскрывать информацию перед регулятором, их ждет наказание.
С 1 июля началось действие поправок к положению ЦБ №382-П, уточняющих требования к информбезопасности банков, участвующих в национальной платежной системе. Теперь на них возложена обязанность по информированию о всех компьютерных инцидентах ФинЦЕРТ Банка России. Причем, новая редакция документа не содержит конкретного перечня инцидентов, по которым нужно отчитаться. Его опубликуют отдельно на сайте ЦБ, правда, когда конкретно - неизвестно.
В итоге теперь перед участниками рынка встала дилемма: уведомлять ли надзорные органы о всех вредоносных спам-рассылках или же не все из них автоматически нужно считать компьютерными инцидентами. По словам бизнес-консультанта по безопасности Cisco Systems Алексея Лукацкого, одобренный текст проекта нового стандарта Банка России 1.5 об информобмене о выявленных инцидентах, спам, в том числе и содержащий вредоносный код, является инцидентам, о которых обязательно следует сообщать в ФинЦЕРТ. Причем этот стандарт требует уведомлять по каждому спам-сообщению. Сегодня в общем объеме e-mail на спам приходится 60–80%, в итоге задача по информированию ФинЦЕРТа усложняется.
По словам участников рынка, ежедневно каждый банк получает электронный спам в огромном объеме. По словам исполнительного директора, начальника управления ИБ банка «Ренессанс Кредит» Дмитрия Суркова, на публичную почту банки получают примерно по 500–700 писем, большинство из которых относится к откровенному спаму. Если банк крупный, то и писем будет много, и в части из них содержится потенциально опасная начинка. Например, Сбербанк ежедневно фиксирует свыше 2 тыс. фишинг-писем и свыше ста попыток доставить вредоносное ПО, которое на момент проверки антивирусное программное обеспечение определить не может. По словам Лукацкого, на весь объем почтового трафика спама приходится примерно 40%, около 1% представлено фишингом и вредоносным ПО. В целом в Сбербанке с начала года профильтровано свыше 35 млн писем. Как сказал Лукацкий, банкам фактически придется заниматься пересылкой всего спама в ФинЦЕРТ, что, по сути, будет похоже на реализацию DDoS-атак против регулятора. Это приведет к трудностям в самом ФинЦЕРТе, которому вынужденно придется обрабатывать миллионы сообщений. ЦБ подтвердил, что банки извещают о спам-рассылках с вредоносом, не уточнив, какой процент рыночных участников в полном объеме соблюдает это требование.
В то же время, по словам участников рынка, они выборочно уведомляют о спам-рассылках. по словам представителя ВТБ, письма, содержащие опасные вложения банк не расценивает как инциденты, ведь их автоматически блокируют банковские системы безопасности. Случаи, рассматриваемые в качестве инцидентов, минимальны, и о них ФинЦЕРТ уведомляется. По словам Суркова, только если банк выявляет целевую атаку или есть подозрение на таковую, он уведомляет ФинЦЕРТ. В Сбербанке напомнили, что в соответствии с положением ЦБ «О требованиях к защите информации …», финорганизации обязаны сообщать о каждом инциденте, при котором в банке обнаруживается вредоносное ПО на участке платежной системы Банка России (ПС БР). Но, с учетом высокой защищенности этого сегмента сети, возникновение подобных инцидентов пресечено. Большая часть фишинг-рассылок не адресована сегменту ПС БР, поэтому ФинЦеРТ о них не уведомляется. При этом, как сказала директор департамента нефинансовых рисков и финмониторинга Росевробанка Марина Бурдонова, в некоторых случаях банк сообщает и о рассылках, формально не считающихся инцидентом, которые, как считает банк, потенциально могут представлять опасность.
Теоретически отказ от информирования о всех случаях получения спам-рассылки с вредоносным ПО, может быть воспринят как нарушение, и тут ответственность распространяется на любой коммерческий банк в соответствии с ФЗ о Центробанке. Но, по мнению Лукацкого, определение факта такого нарушения - задача довольно сложная, если от банка будут поступать сообщения хоть о каких-нибудь фактах обнаружения спам-рассылок.
