211
Кто заказал утечку из ЦБ РФ?
— Кредит&Депозит
Кража базы данных ЦБ продемонстрировала незащищенность госструктур от «инсайдерских» злоупотреблений
Скандал вокруг похищения базы данных ЦБ набирает обороты: во вторник депутаты Госдумы призвали Генпрокуратуру изучить обстоятельства кражи и наказать виновных. Между тем, как стало известно RBC daily, Центробанк знал об утечке информации о банковских платежах еще в 2004 году. По иронии судьбы, спам с предложением о продаже базы дошел даже до работников самого ЦБ. Источники в Банке России опровергают слухи о взломе расчетной системы хакером: по их данным, в утечке виноват кто-то из технического персонала ЦБ. Близкие к Генпрокуратуре собеседники RBC daily отмечают, что базы расчетной системы были доступны на «черном рынке» как минимум последние два-три года. Вопрос в том, почему утечка была предана огласке именно сейчас – причем не только в СМИ, но и при поддержке «тяжелой артиллерии» в лице Госдумы. Возникает подозрение, что такое массированное «паблисити» может быть выгодно политическим оппонентам ЦБ. Как бы то ни было, кража базы данных поднимает проблему защищенности госорганов от недобросовестности «инсайдеров». В ЦБ сетуют на то, что существующие государственные регламенты рассчитаны главным образом на защиту от атак извне. А внутреннюю угрозу государство пока не воспринимает всерьез.
Как сообщил RBC daily собеседник в Центробанке на условиях анонимности, основные подозрения падают на администраторов расчетной системы. «Все разговоры о хакере, о взломе системы извне не имеют под собой ни малейших оснований: расчетная система ЦБ полностью изолирована от сети Интернет. Маловероятно, что те, кто имеет доступ к этой системе как пользователи, могли похитить данные: все обращения пользователей фиксируются, – сказал сотрудник ЦБ. – Очевидно, что утечка могла быть организована преимущественно техническими специалистами, администраторами системы. Причем, скорее всего, информация была украдена с резервных копий, а не из самой расчетной системы». По его словам, ЦБ обнаружил утечку данных еще во второй половине 2004 г. Тогда пошла первая волна спама с предложениями о продаже базы. Впрочем, тогда при попытке купить данные продавцы тянули время, говорили, что база еще «не готова». Реальная продажа информации началась только осенью – по времени это совпало со второй волной спама. Третья волна была запущена в начале 2005 г. «Канал утечки был перекрыт вскоре после того, как о краже информации узнали в ЦБ. Руководство банка и служба безопасности дали персоналу понять, что они в курсе событий и держат этот вопрос на контроле, – говорит сотрудник ЦБ. – В результате вор, видимо, испугался и «залег на дно» – и утечка прекратилась. Это подтверждает тот факт, что обновление базы платежей за декабрь-февраль на рынок так и не было выведено, хотя такие обещания продавцы давали».
Во вторник к скандалу вокруг украденной базы подключились парламентарии. Председатель комитета Госдумы по кредитным организациям и финансовым рынкам Владислав Резник призвал Генпрокуратуру расследовать этот инцидент. «В главном банке страны похищена информация о вкладах, и она свободно распространяется, и комитет считает, что на это должна отреагировать Генпрокуратура», – заявил глава комитета. Впрочем, по данным ЦБ, сведения г-на Резника о составе похищенной базы неверны. «Была украдена база данных по транзакциям, проведенным через расчетную систему в Московском регионе с апреля 2003 по октябрь 2004 г. Это в основном информация о межбанковских платежах и налоговых отчислениях в бюджет, – говорит сотрудник Банка России. – Там есть номера счетов, но нет никаких данных об их состоянии. Поэтому заявления о том, что в украденной базе содержались данные о вкладчиках, совершенно абсурдны». Кроме того, по его словам, представленная на «черном рынке» база была неполной: в ней отсутствовала информация о части платежей. «Эти пробелы были бессистемными. Видимо, злоумышленник просто брал то, что попадалось под руку, – отмечает собеседник RBC daily. – Это лишний раз доказывает, что работал «технарь», а не специалист по финансам. Финансист понимает, что в таком виде база практически бесполезна».
Впрочем, по другим сведениям, украденная база данных была несколько обширнее. «Базы данных ЦБ по транзакциям, проводимым российскими банками, – причем по всей России – были доступны как минимум два-три года, – сказал RBC daily ведущий научный сотрудник НИИ Генпрокуратуры Аслан Юсуфов. – Желающие могли получать информацию о любой проводке на территории России с запаздыванием всего на два-три дня. Просто огласку это явление получило лишь недавно». По его словам, этой информацией пользовались многие банкиры, для того чтобы, например, отследить ту или иную сделку. «Это выгоднее и удобнее, чем обращаться в те же кредитные бюро. Обновления для этих баз были доступны на черном рынке с такой же регулярностью, как, например, для легальных юридических баз данных, – говорит г-н Юсуфов. – Вся эта информация была доступна до конца прошлого года. После этого, видимо, были приняты более жесткие меры, и канал утечки действительно перекрыли». Собеседник RBC daily в Центробанке эту информацию не подтвердил. Любопытно, почему утечка информации из ЦБ – о которой, как выясняется, было известно многим – стала достоянием гласности лишь сейчас. Нельзя исключать, что нынешняя информационная кампания может иметь политическую подоплеку. С одной стороны, в дискредитации руководства Центробанка (особенно на фоне неудач на экономическом фронте) могут быть заинтересованы претенденты на пост главы ЦБ. Среди тех, кто имеет виды на кресло Сергея Игнатьева, чаще всего называют руководителей некоторых крупных государственных банков. Кроме того, огласка такого «прокола» ЦБ теоретически может быть выгодна структурам, борющимся за часть его полномочий. Известно, что в свое время звучали предложения о передаче расчетной системы Казначейству, а функций контроля над банковским сектором – финансовой разведке.
В любом случае, кража данных из Центрального банка поднимает проблему защищенности информации на государственном уровне. В ЦБ сетуют на то, что нынешние стандарты не позволяют ему дать симметричный ответ «инсайдерам». «Наши госорганы неплохо защищены от проникновения извне. Но риски злоупотреблений внутри системы – со стороны того же технического администратора, например, – до сих пор никто не оценивал всерьез, – говорит собеседник RBC daily в Центробанке. – Для того чтобы контролировать «инсайдеров», необходимы не только специальные средства – и программные, и аппаратные, – но и некоторые изменения в моделях угроз. Любая система защиты информации требует расходов, расходы требуют обоснования. Существующая нормативная база, которой руководствуются госструктуры, не дает возможности сделать это». По его словам, попытки контактов со структурами, отвечающими за оценку новых рисков и разработку новых стандартов со стороны ЦБ предпринимаются. Но эти структуры известны своим консервативным подходом. Аслан Юсуфов соглашается с тем, что проблемы в нормативной базе существуют. «Ответственность за разглашение служебной информации четко не определена. В соответствии с ГК РФ (статья 139) служебная тайна по основаниям отнесения к ней информации и условиям её правовой охраны приравнена к коммерческой, – говорит он. – Указ президента № 188 от 6 марта 1997 г. определяет служебную информацию как сведения, доступ к которым ограничен органами государственной власти. При этом по действующему законодательству Центробанк таким органом не является».
Однако, по мнению Аслана Юсуфова, ЦБ все же недостаточно эффективно использует действующие нормы и собственные полномочия. «Что мешает ЦБ самостоятельно оптимизировать свою систему безопасности? По закону ЦБ сам уполномочен принимать нормативно-правовые акты в этой сфере. Возможно, они просто сами не могут найти адекватные меры, – говорит он. – Ответственность за это должны нести лица в руководстве ЦБ, которые неспособны, но обязаны по действующему законодательству обеспечить сохранность вверяемой Банку России информации». Но специалисты по защите информации признают, что нынешние стандарты не всегда могут эффективно защитить госструктуры изнутри. «Создать систему безопасности, которая бы контролировала действия всех "инсайдеров", вплоть до системного администратора, очень сложно и неоправданно дорого. Это обычно делается там, где работают со сведениями, составляющими государственную тайну, где вопросы удобства пользования и стоимости защиты имеют наименьший приоритет, – сказал RBC daily замдиректора по консалтингу компании «Информзащита» Максим Эмм. – В ЦБ система защиты информации, пожалуй, лучшая из всех госорганов. Но информация из похищенных баз данных не приравнивалась к государственной тайне, поэтому требования к их защите, очевидно, были ниже». Он отмечает, что готовых программных или аппаратных продуктов, которые позволяют защищать систему от злоупотреблений своих технических специалистов, в мире вообще не существует. «Однако есть технологии, которые сильно затрудняют такие злоупотребления. Но в основном они применимы на этапе проектирования автоматизированной системы, то есть система должна быть изначально создана с учетом таких рисков, – говорит он. – Если это не было сделано изначально, то никакие наложенные средства защиты не помогут – кроме разве что тотального контроля за каждым нажатием кнопки на каждом компьютере. Технически это возможно, но в реальности такую информацию будет невозможно обработать, так как ее объем будет слишком велик».
По материалам: РБК
Поделиться новостью
