Платформа по обмену информацией о киберугрозах начнет работать в полную силу
Дочерняя компания Сбербанка Bi.Zone и Ассоциация банков России (АБР) запустят в 2019 г. платформу по обмену информацией о киберугрозах в промышленную эксплуатацию. Пилотный проект прошел успешно: за пять месяцев работы платформы удалось предотвратить ущерб на сумму не менее 3 млрд руб.
Платформа представляет собой сервис, в котором участники делятся друг с другом информацией об инцидентах в области информационной безопасности. Пилотный проект платформы запустился в июне 2018 г. (см. новость ComNews от 19 июня 2018 г.). Тогда 17 организаций согласились подключиться к единой платформе для обмена данными о киберугрозах.
К началу декабря участниками платформы стали уже более 30 кредитных организаций. При этом еще 40 компаний находятся на стадии заключения договоров или ведут переговоры о вступлении.
Директор компании Bi.Zone Дмитрий Самарцев отметил, что на текущий момент в платформу поступает более миллиона агрегированных индикаторов и более 5000 запросов данных в сутки. "В ближайшей перспективе планируется обеспечить возможность подключения банков в качестве источников данных, расширить возможности интеграции и сценариев использования и произвести переход на коммерческое использование. Будет расширяться взаимодействие с регуляторами", - сказал он.
Для подключения к платформе по обмену информацией о киберугрозах нужно подписать соглашение с Ассоциацией банков России. По словам представителя Bi.Zone, будут действовать три пакета - базовый, расширенный и партнерский.
Вице-президент Ассоциации банков России Алексей Войлуков пояснил корреспонденту ComNews, что базовый пакет - бесплатный для всех. Однако для тех организаций, которые не являются участниками АБР, разовый платеж за подключение к платформе составит 200 тыс. руб. Базовый пакет позволяет работать на платформе, но распространяется на ограниченное количество запросов.
Расширенный пакет будет стоить 1,5 млн руб. в год. Он будет включать все возможные сценарии использования платформы, включая платные коммерческие источники и пользование функционалом платформы без ограничений.
При этом активным участникам, готовым загружать свои данные на платформу, будет присвоен статус партнера, который включает в себя бесплатный доступ к полному набору источников.
Алексей Войлуков отметил, что на сегодняшний день в платформу загружено 13 тыс. скомпрометированных номеров мобильных телефонов, около 300 тыс. номеров зараженных абонентов. Таким образом, по оценкам банков, предотвращено потенциальных хищений не менее чем на 3 млрд руб.
В ходе пилотного проекта ассоциация получила более 100 предложений по улучшению работы платформы, испытала 11 новых источников. Однако из-за качества выгрузки данных подключила в платформу только два источника. По словам Алексея Войлукова, больше всего предложений поступило по вопросам интеграции с платформой. "По итогам общения были внесены правки в инструкции по подключению и документацию. 30 из 100 обращений было об удобстве интерфейса для анализа данных, - поделился он статистикой. - В результате активной обратной связи расширена структура хранения данных, ускорен и улучшен поиск, сегодня система позволяет работать на потоке более 100 обращениям в секунду".
Учитывая предметный интерес со стороны некоторых иностранных организаций, АБР начнет взаимодействовать с ними по вопросам подключения и обмена уже со следующего года. По словам Алексея Войлукова, срок появления зарубежных пользователей напрямую будет зависеть от результативности этих переговоров. В частности, возможность информационного обмена обсуждалась с представителями Ассоциации банков Италии. К платформе уже проявили интерес португальские и белорусские фирмы.
Почта Банк не участвовал в этом пилоте. Однако вице-президент, директор по безопасности Почта Банка Станислав Павлунин сообщил ComNews о том, что компания внимательно наблюдает за этим проектом и будет в следующем году принимать решение о присоединении к платформе.
Банк ВТБ обменивается данными о киберугрозах через Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России. Как отметила пресс-служба банка, подключение к другим платформам в настоящее время не планируется.
В ГК InfoWatch полагают, что появление единой платформы по обмену информацией о киберугрозах будет способствовать повышению уровня компетенций среди ИБ-специалистов банковского сектора, улучшит скорость реагирования и качество устранения подобных инцидентов. Как следствие, это поможет снизить экономический ущерб от киберпреступлений для всего банковского сектора.
Технический директор Eset Russia Виталий Земских полагает, что платформа необходима и очень своевременна. "Скоро будет пять лет, как мы начали этот проект с Хартией, продолжили с ФинЦЕРТ и сейчас вместе с Bi.Zone помогаем агрегировать данные для Ассоциации банков России, чтобы повысить безопасность финансового сектора страны, - напомнил Виталий Земских. - Актуальность обусловлена тем, что банки и финсектор в целом остаются приоритетной целью киберпреступных групп. Атаки на критическую инфраструктуру или производственные объекты имеют политическую подоплеку и носят зачастую экспериментальный характер, демонстрируя, что многие АСУ ТП и протоколы давно устарели. В то же время финсектор - привычное средство для быстрого обогащения кибергрупп".
Ведущий антивирусный эксперт "Лаборатории Касперского" Сергей Голованов поддерживает инициативу. Он объясняет это тем, что платформа - средство для обмена информацией об инцидентах, поэтому появление доверенных участников позволит профессиональному сообществу быстро узнавать о новом вредоносном ПО.
Аналитик ГК "Финам" Леонид Делицын придерживается позиции, что банк не может бесконечно наращивать ресурсы, выделяемые для борьбы с киберугрозами. С другой стороны, в период, когда банкам приходится постоянно внедрять новые услуги, в том числе разработанные сторонними подрядчиками, проконтролировать все уязвимости банк тоже не в состоянии. По словам аналитика "Финама", это и усиливает привлекательность атак на банковский бизнес для злоумышленников. "Банки можно уподобить разрозненным княжествам, регулярные набеги на которые совершает многочисленная орда киберпреступников. Безусловно, в этой ситуации выгодно обмениваться информацией о нападениях, о скомпрометированных устройствах, о дефектах средств защиты и т.п.", - привел пример он.
Аналитик ИК "Фридом Финанс" Анастасия Соснова обращает внимание на то, что необходимость такой платформы возникла в рамках сообщества. По ее убеждению, для эффективного обмена данными о киберугрозах такая платформа должна быть одна, тогда как количество ее участников - неограниченным.
Позиции, что платформа будет единственной, придерживается и Леонид Делицын. "Наибольшие выгоды платформа принесет, если она будет стандартизованной, кроме того, зарабатывать на ней ее разработчики смогут тоже только в этом случае. Наконец, сама банковская отрасль, в том числе и обеспечение безопасности, находится под надзором ЦБ -ведь в конечном счете банки обеспечивают сохранность, а в идеале - рост наших денежных средств. В силу этих факторов платформа, скорее всего, станет единственной", - полагает он.