Не так давно в средствах массовой информации широко освещалась новость о совместной деятельности Сбербанка России и ФСБ РФ по обеспечению кибербезопасности на территории России. Целью создания всероссийского центра является обеспечение защиты российской кредитно-финансовой системы страны от компьютерных атак. Известно, что в 2015 г. Сбербанк, в рамках первого этапа создания SOC, разработал и внедрил единый операционный центр информационной безопасности. Компания IBM выбрана разработчиком Центра ИБ Сбербанка.
Специалисты провели обследование и анализ процессов управления и обеспечения инфраструктуры внешнего и внутреннего сетевых сегментов банка, проверку и анализ текущего состояния системы управления инцидентами ИБ (SIEM). Информации о том, от какой компании SIEM поставлен, в открытом доступе не нашел, но компания IBM на рынке России успешно продвигает свой продукт QRadar SIEM. Данный продукт осуществляет консолидацию данных из журналов событий, поступающих от тысяч устройств, конечных точек и приложений в сети. Продукт выполняет нормализацию и анализ корреляции для выявления угроз безопасности, а также использует передовой механизм Sense Analytics для выявления нормального поведения, обнаружения аномалий, раскрытия угроз и удаления ложноположительных результатов.
Сбербанк располагает пятью центрами кибербезопасности и, по информации руководителей Сбербанка, в сутки система защиты фиксирует до 1 млн событий, которые могут нести риски. Сейчас Сбербанк реализовывает второй этап работ в области SOC (Проект SOC 2.0.).
Интересный факт: SOC от Сбербанка не только обеспечивает защиту своих активов, но и на безвозмездной (пока) основе помогает другим «слабым» (с точки зрения уровня зрелости ИБ) банкам.
Еще одним примечательным трендом в данной области является создание в этом году дочерней компании «Безопасная информационная зона» («Бизон»), которая отслеживает деятельность киберпреступников в России и в мире.
С учетом того, что в информационном потоке фигурирует ФСБ России, можно прогнозировать включение SOC Сбербанка РФ в общую систему Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), например, как корпоративный или ведомственный центр.
Таким образом, крупнейший банк России и один из крупнейших банков Европы, контролируемый Центральным банком Российской Федерации, серьезно вкладывается в обеспечение безопасности страны, но что делать с концепцией другого центра – FinCERT?
Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (FinCERT) – структурное подразделение Главного управления безопасности и защиты информации Банка России (ГУБиЗИ). Центр начал свою работу 1 июня 2015 г., возглавил его начальник управления ГУБиЗИ Центробанка Дмитрий Фролов. Центр мониторинга имеет дело с четырьмя типами инцидентов: DDoS-атаки, вредоносное программное обеспечение, мошеннические действия (в том числе SMS и звонки), попытки несанкционированного доступа к защищаемой информации и т. п. FinCERT работает только с финансовыми организациями и не входит в экзоскелет ГосСОПКИ.
Несколько слов о направлениях работы данного центра. FinCERT осуществляет сбор информации от финансовых учреждений о кибератаках, анализирует полученные сведения и дает обратную связь кредитно-финансовым организациям о возможных угрозах информационной безопасности, разрабатывает рекомендации по отражению хакерских атак, взаимодействует с правоохранительными органами и оперативными службами ФСБ. При этом обязательных условий по предоставлению информации банками в данный центр нет, передача будет происходить только на добровольной основе (бесплатно). Хотя «лазейка» есть. Согласно указанию Банка России № 2831-У «Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств», кредитно-финансовые учреждения с лета 2012 г. ежемесячно предоставляют регулятору сведения о выявленных инцидентах при осуществлении переводов денежных средств, в частности, в виде кражи (в том числе несостоявшейся).
Теперь вопрос: с каким из центров работать банкам? Кто «главнее»? Кто «милее»? Сейчас банки работают, причем довольно успешно, с FinCERT. Зачем им за деньги работать с кем-то еще?
Думаю, что следующий год расставит все по местам. Покупаем попкорн.