Платформа по обмену информацией о киберугрозах начнет работать в полную силу

Дочерняя компания Сбербанка Bi.Zone и Ассоциация Банков России (АБР) запустят в 2019 г. платформу по обмену информацией о киберугрозах в промышленную эксплуатацию. Пилотный проект прошел успешно: за пять месяцев работы платформы удалось предотвратить ущерб на сумму не менее 3 млрд рублей. Платформа представляет собой сервис, в котором участники делятся друг с другом информацией об инцидентах в области информационной безопасности. Пилотный проект платформы запустился в июне 2018 г. (см. новость ComNews от 19 июня 2018 г.). Тогда 17 организаций согласились подключиться к единой платформе для обмена данными о киберугрозах. К началу декабря участниками платформы стали уже более 30 кредитных организаций. При этом еще 40 компаний находятся на стадии заключения договоров или ведут переговоры о вступлении. Директор компании Bi.Zone Дмитрий Самарцев отметил, что на текущий момент в платформу поступает более миллиона агрегированных индикаторов и более 5 тысяч запросов данных в сутки.  "В ближайшей перспективе планируется обеспечить возможность подключения банков в качестве источников данных, расширить возможности интеграции и сценариев использования и произвести переход на коммерческое использование. Будет расширяться взаимодействие с регуляторами", – сказал он. Для подключения к платформе по обмену информацией о киберугрозах нужно подписать соглашение с Ассоциацией банков России. По словам представителя Bi.Zone, будут действовать три пакета: базовый, расширенный и партнерский. Вице-президент Ассоциации банков России Алексей Войлуков пояснил корреспонденту ComNews, что базовый пакет бесплатный для всех. Однако для тех организаций, которые не являются участниками АБР разовый платеж за подключение к платформе будет стоить 200 тыс. руб. Базовый пакет позволяет работать в платформе, но распространяется на ограниченное количество запросов. Расширенный пакет будет стоить 1,5 млн руб. в год. Он будет включать все возможные сценарии использования платформы, включая платные коммерческие источники и пользование функционалом платформы без ограничений. При этом активным участникам, готовым загружать свои данные в платформу, будет присвоен статус партнера, который включает в себя бесплатный доступ к полному набору источников. Алексей Войлуков отметил, что на сегодня в платформу загружено 13 тыс. скомпрометированных номеров мобильных телефонов, около 300 тысяч номеров зараженных абонентов. Таким образом, по оценкам банков, предотвращено потенциальных хищений не менее чем на 3 млрд руб. В ходе пилотного проекта Ассоциация получила более 100 предложений по улучшению работы платформы, испытала 11 новых источников. Однако из-за качества выгрузки данных подключила в платформу только два источника. По словам Алексея Войлукова, больше всего предложений поступило по вопросам интеграции с платформой. "По итогам общения были внесены правки в инструкции по подключению и документацию. 30 из 100 обращений было об удобстве интерфейса для анализа данных, –поделился он статистикой. – В результате активной обратной связи была расширена структура хранения данных, ускорен и улучшен поиск, на сегодня система позволяет работать на потоке более 100 обращений в секунду". Учитывая предметный интерес со стороны некоторых иностранных организаций, АБР начнет взаимодействовать с ними по вопросам подключения и обмена уже со следующего года. По словам Алексея Войлукова, срок появления зарубежных пользователей напрямую будет зависеть от результативности этих переговоров. В частности, возможность информационного обмена обсуждалась с представителями Ассоциации банков Италии. К платформе уже проявили интерес португальские и белорусские фирмы. "Почта Банк" не участвовал в этом пилоте. Однако вице-президент, директор по безопасности "Почта Банка" Станислав Павлунин сообщил ComNews о том, что компания внимательно наблюдает за этим проектом и будет в следующем году принимать решение о присоединении к этой платформе. Банк ВТБ обменивается данными о киберугрозах через Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России. Подключение к другим платформам в настоящее время не планируется, отметила пресс-служба банка. В ГК InfoWatch полагают, что появление единой платформы по обмену информацией о киберугрозах будет способствовать повышению уровня компетенций среди ИБ-специалистов банковского сектора, улучшит скорость реагирования и качество устранения подобных инцидентов. Как следствие, это поможет снизить экономический ущерб от киберперступлений для всего банковского сектора. Технический директор Eset Russia Виталий Земских полагает, что платформа необходима и очень своевременна. "Скоро будет пять лет, как мы начали этот проект с Хартией, продолжили с ФинЦЕРТ и сейчас вместе с Bi.Zone помогаем агрегировать данные для Ассоциации банков России, чтобы повысить безопасность финансового сектора страны, – напомнил Виталий Земских. – Актуальность обусловлена тем, что банки и финсектор в целом остаются приоритетной целью киберпреступных групп. Атаки на критическую инфраструктуру или производственные объекты имеют политическую подоплеку и носят зачастую экспериментальный характер, демонстрируя, что многие АСУ ТП и протоколы давно устарели. В то же время финсектор – привычное средство для быстрого обогащения кибергрупп". Ведущий антивирусный эксперт "Лаборатории Касперского" Сергей Голованов поддерживает инициативу. Он объясняет это тем, что платформа – средство для обмена информацией об инцидентах, поэтому появление доверенных участников позволит профессиональному сообществу быстро узнавать о новом вредоносном ПО. Аналитик ГК "Финам" Леонид Делицын придерживается позиции, что банк не может бесконечно наращивать ресурсы, выделяемые для борьбы с киберугрозами. С другой стороны, в период, когда банкам приходится постоянно внедрять новые услуги, в том числе разработанные сторонними подрядчиками, проконтролировать все уязвимости банк тоже не в состоянии. По словам аналитика "Финам", это и усиливает привлекательность атак на банковский бизнес для злоумышленников. "Банки можно уподобить разрозненным княжествам, регулярные набеги на которые совершает многочисленная орда киберпреступников. Безусловно, в этой ситуации выгодно обмениваться информацией о нападениях, о скомпрометированных устройствах, о дефектах средств защиты и т.п.", – привел пример он. Аналитик ИК "Фридом Финанс" Анастасия Соснова обращает внимание на то, что необходимость такой платформы возникла в рамках сообщества. По ее убеждению, для эффективного обмена данными о киберугрозах такая платформа должна быть одна, тогда как количество ее участников неограниченным. Позиции, что платформа будет единственной, придерживается и Леонид Делицын. "Наибольшие выгоды платформа принесет, если она будет стандартизованной, кроме того, зарабатывать на ней ее разработчики смогут тоже только в этом случае. Наконец, сама банковская отрасль, в том числе и обеспечение безопасности, находятся под надзором ЦБ (ведь, в конечном счете банки обеспечивают сохранность, а в идеале - рост  наших денежных средств). В силу этих факторов, платформа, скорее всего, станет единственной", – полагает он. Ссылка на источник