Банки могут быть наказаны за несерьезное отношение к спам-рассылкам с прикрепленными вредоносными программами. ЦБ разъяснил, что получение таких писем является компьютерным инцидентом, а значит, с 1 июля о всех таких случаях нужно отчитываться в ФинЦЕРТ. Эксперты указывают, что потенциально объем направляемой регулятору информации по всем спам-рассылкам может быть огромен, что вызовет значительные затруднения в обработке таких данных.

Банки могут столкнуться с трудностями в связи с необходимостью направлять информацию в ЦБ обо всех спам-рассылках, содержащих вредоносные программы. Об этом рассказали “Ъ” представители кредитных организаций и эксперты. Кроме того, банки рискуют подвергнуться наказанию за неполное раскрытие информации перед регулятором.

С 1 июля вступили в силу поправки к положению ЦБ №382-П, уточняющие требования к информационной безопасности участников национальной платежной системы. Теперь они обязаны информировать о компьютерных инцидентах Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) Банка России. При этом конкретный перечень инцидентов, подлежащих отчету, в новой редакции документа не определен. Он будет опубликован отдельным документом на сайте ЦБ, однако сроки публикации неизвестны.

В связи с этим участники рынка столкнулись с дилеммой: следует ли сообщать надзорным органам о получении всех вредоносных спам-рассылок или же не следует все из них автоматически относить к разряду компьютерных инцидентов. «В соответствии с одобренным текстом проекта нового стандарта Банка России 1.5 об информационном обмене о выявленных инцидентах, спам, в том числе и с вредоносным кодом, относится к инцидентам, о которых необходимо в обязательном порядке сообщать в ФинЦЕРТ»,— указывает бизнес-консультант по безопасности Cisco Systems Алексей Лукацкий. При этом данный стандарт требует уведомлять о каждом спам-сообщении. «В общем объеме e-mail спам сегодня составляет 60–80%, что делает задачу информирования ФинЦЕРТа непростой»,— указывает он.

Объем ежедневно получаемого каждым банком электронного спама огромен, подтверждают участники рынка. «На публичные почтовые ящики приходит порядка 500–700 писем, большая часть из них — откровенный спам»,— рассказывает исполнительный директор, начальник управления ИБ банка «Ренессанс Кредит» Дмитрий Стуров. Чем крупнее банк, тем больше спам-рассылок он получает, и часть таких писем содержит потенциально опасную начинку. Так, в Сбербанке фиксируют в сутки более 2 тыс. фишинговых писем и более ста попыток доставки вредоносного ПО, не определяемого на момент проверки антивирусным программным обеспечением. «Из всего объема почтового трафика около 40% — это спам, и около 1% — фишинг и вредоносное ПО. Всего с начала года через механизмы фильтрации прошло более 35 млн писем»,— сообщили в пресс-службе Сбербанка. По словам господина Лукацкого, банки вынуждены фактически пересылать весь спам в ФинЦЕРТ, по сути, реализуя «DDoS-атаки против регулятора». По его словам, это создает трудности самому ФинЦЕРТу, «который вынужден будет обрабатывать уже миллионы сообщений». В ЦБ подтвердили, что банки сообщают о спам-рассылках, содержащих вредонос, однако не уточнили, какая доля участников рынка полностью соблюдает это требование.

Вместе с тем участники рынка указывают, что сообщают о спам-рассылках выборочно. «Письма с опасным вложением не являются для банка инцидентами, так как они автоматически блокируются нашими системами безопасности. Количество случаев, которые можно рассматривать как инциденты, минимально, и о них мы в установленном порядке уведомляем ФинЦЕРТ»,— указывают в ВТБ. Дмитрий Стуров подтверждает, что только при выявлении целевой атаки или подозрении на таковую банк сообщает об этом в ФинЦЕРТ. В Сбербанке напоминают, что положение ЦБ «О требованиях к защите информации …» обязывает финансовые организации сообщать об инцидентах, связанных с обнаружением вредоносного ПО внутри организации на участке платежной системы Банка России (ПС БР). «Но, учитывая высокую защищенность данного сегмента сети, до возникновения подобных инцидентов мы не доводим. Большинство фишинговых рассылок не направлено на сегмент ПС БР, поэтому мы не информируем о них ФинЦЕРТ»,— отметили в пресс-службе кредитной организации. При этом, по словам директора департамента нефинансовых рисков и финансового мониторинга Росевробанка Марины Бурдоновой, в ряде случаев банк сообщает даже о рассылках, которые формально не считаются инцидентом, но которые, по мнению банка, потенциально могут быть опасны.

Теоретически неинформирование обо всех случаях получения спам-рассылки, содержащей вредоносы, может быть отнесено к нарушению. Коммерческий банк «несет ответственность в соответствии с федеральным законом о Центральном банке», указывают в пресс-службе регулятора. Однако, уверен господин Лукацкий, определить факт такого нарушения будет достаточно сложно, если банк будет сообщать хоть о каких-то спам-рассылках.

Мария Сарычева, Вероника Горячева