В октябре 2017 года хакеры из северокорейской группы Lazarus атаковали банк Far Eastern International Bank на Тайване. Получив доступ к международной системе передачи финансовых сообщений и платежей SWIFT, киберпреступники смогли вывести почти $60 млн на счета в Камбодже, США и на Шри-Ланке. Полиция заблокировала три счета на Шри-Ланке с $1,3 млн и задержала двух человек, пытавшихся снять в банке деньги.
Киберпреступность становится еще более быстрой, масштабной и трансграничной. Лучше всего это заметно на примере целевых атак на банки с использованием SWIFT. Хакеры находятся в одной стране, их жертва-банк — в другой, а обналичивание происходит в третьей.
Атаки с использованием SWIFT в прошлом году прокатились по всему миру. Они были зафиксированы в Эквадоре и Непале, а в конце 2017 года впервые в истории российской финансовой сферы группа Cobalt провела успешную целевую атаку на российский банк с использованием SWIFT. Хакеры пытались украсть 55 млн рублей, но, как сообщали СМИ, вывести им удалось только 10% — остальные транзакции были оперативно заблокированы.
Впрочем, в середине февраля Банк России объявил, что потери гораздо серьезнее. Оценивая прошлогодний ущерб российских банков и платежных систем от действий киберпреступников в 1,35 млрд рублей, регулятор уточнил, что в результате одной успешной атаки из банка вывели через SWIFT 339,5 млн рублей. Какую сумму удалось вернуть в Россию и удалось ли вообще — ЦБ не уточнил.
Для того чтобы оперативно замораживать и возвращать деньги, выведенные за рубеж в результате кибератак, Центробанк предлагает использовать возможности Росфинмониторинга и систему взаимодействия финразведок 150 государств и юрисдикций, входящих в группу подразделений финансовой разведки «Эгмонт». Росфинмониторинг — член «Эгмонт» с 2002 года, и в прошлом году он даже стал победителем конкурса Best Egmont Case Award (BECA).
Каждый за себя
Из-за масштаба проблем рынку стоит поддерживать инициативы, направленные на арест денег киберпреступников и разрушение их финансовой экосистемы. Однако идея ЦБ нуждается в существенной доработке, так как в предложенном формате она вряд ли «выстрелит». Основные трудности связаны с различиями в законодательстве стран, входящих в «Эгмонт», и отсутствием оперативного взаимодействия между финразведками разных государств.
У Росфинмониторинга нет инструментов и полномочий блокировать транзакции, которые уходят за рубеж, в режиме реального времени. Росфинмониторинг, хоть он и называется финразведкой, не занимается оперативно-розыскной деятельностью — ведомство только накапливает информацию о сомнительных сделках, подпадающих под действие закона об отмывании доходов.
Деньги, похищенные в результате кибератак, быстро перебрасываются на другие счета и размываются. Координация работы международных ведомств должна достигаться в течение нескольких часов, еще лучше — минут. Пока же финразведки мира не взаимодействуют в круглосуточном режиме, а скорость реагирования на запросы составляет 30-60 суток. Мгновенное реагирование осуществляется только на уровне прямых контактов руководства.
Стоит учесть, что на фоне санкций и политического противостояния между государствами общий язык можно найти далеко не со всеми. К слову, этим пользуются киберпреступники — они часто выводят деньги или скрываются в странах, где потерпевшая сторона не сможет их достать в силу определенных межгосударственных процессов.
Сейчас даже внутри России у банков нет возможности быстро блокировать и задерживать денежные средства. Например, у некой аптеки похитили логин и пароль электронной подписи и от ее имени купили 30 экскаваторов. На самом деле злоумышленники провели платежи на большую сумму и написали договор о покупке машин, которых не существовало. Банальное хищение средств: деньги уходят из одного банка в другой, оттуда еще в пять других банков, после чего успешно обналичиваются. Сами банки ничего сделать в такой ситуации не могут.
Учитывая, что платеж совершен с использованием легальной подписи и формально выглядит законно — банк не имеет права, опираясь на свои подозрения, задержать средства, тем более на долгое время. А для того чтобы подтвердить факт хищения, необходима криминалистическая экспертиза инфицированного компьютера того же аптечного бухгалтера, по результатам которой можно возбудить уголовное дело и потенциально получить судебное решение на арест средств. Очевидно, этот процесс может занимать от одного месяца и больше.
Кооперация против хакеров
В одиночку ни у одного государства нет возможности эффективно бороться с киберпреступностью, которая не имеет границ. Сейчас на уровне ООН необходима разработка и синхронизация законов о противодействии киберкриминалу. Нужен обмен оперативной информацией между правоохранительными органами разных стран в режиме реального времени, а также четкие правила блокировки счетов, через которые выводят деньги, и неблагонадежных транзакций в режиме 24/7.
Отказывать в проведении платежей, замораживать счета — это верное, но второстепенное решение. Когда боксер на ринге уже пропустил «двоечку» и летит в нокаут, поздно ставить блок — самое время вдохнуть нашатыря и приложить пакет со льдом. То, что реально нужно финансовым организациям — это технологии предотвращения преступлений на максимально ранней стадии. Это может быть мониторинг активности кибепреступников на закрытых хакерских форумах, где продают новые банковские трояны, собирают группы для совершения преступлений, а также сбор и анализ технической информации, «цифровых следов» уже совершенных атак и своевременное предупреждение кредитных организаций о готовящихся атаках.