Компьютерный вирус, с помощью которого неизвестные хакеры руками Энергобанка на короткое время взвинтили курс доллара, был внедрен за несколько месяцев до атаки, а, сделав черное дело, он уничтожил все данные. Об этом в эксклюзивном интервью «БИЗНЕС Online» рассказал председатель правления Энергобанка Дмитрий Вагизов. По его мнению, преступники, намеренно затерявшись среди добросовестных трейдеров, изобрели новую схему мошенничества, которая будет тиражироваться, если не дать ей общий отпор.
|
| Дмитрий Вагизов: «Для нас главное, что следствие установило сам факт внедрения зловредного программного обеспечения и установило факт неправомерного доступа к компьютерной информации банка» |
«ВИРУС БЫЛ ВНЕДРЕН ЗА НЕСКОЛЬКО МЕСЯЦЕВ ДО ИНЦИДЕНТА»
— Дмитрий Ильгизович, уже пару недель Энергобанк не сходит с первых полос федеральных СМИ. Пожалуй, впервые в публичную сферу попала информация об ограблении банка с использованием компьютерных вирусов. Да и еще на такую крупную сумму. Расскажите, как это все происходило?
— Все случилось 27 февраля, в обеденный перерыв. В это время наш трейдер непосредственно на бирже не торговал, занимался отчетностью, но за рынком следил. В какой-то момент он заметил, что на экране появились какие-то странные сделки. Мы позвонили на Московскую биржу уточнить, может, какой-то сбой происходит? Но нам сказали, что никаких сбоев в работе биржи нет, это ваши сделки, и система видит, что это вы торгуете.
— В течение какого времени осуществлялись несанкционированные операции через терминал Энергобанка?
— С 12:30 до 12:43:57, то есть в течение 14 минут. За это время было подано 7 заявок.
— Злоумышленники надеялись, что никого из сотрудников банка у терминала не будет?
— Я думаю, что да. Через вредоносные файлы злоумышленники получили полный удаленный несанкционированный доступ к терминалу и могли отслеживать и модифицировать его работу. Видимо, они следили за графиком работы наших трейдеров, заранее планируя свои действия. В 12:43:57, достигнув цели преступления, злоумышленники прекратили свою деятельность и отдали внедренному в терминал вирусу команду на уничтожение жесткого диска.
— Даже так?
— Да. Компьютер стер данные с жесткого диска и «умер».
— Удалось восстановить данные на жестком диске?
— Да. Сейчас успешно заканчивается первый этап расследования — было проведено исследование жесткого диска, в ходе которого удалось восстановить данные и расшифровать код вируса. Теперь мы знаем, с каким вредоносным программным обеспечением нам пришлось столкнуться.
— Этот вирус уже известен специалистам или это что-то новое?
— Не знаю, могу ли я раскрывать какие-то детали. Для нас главное, что следствие установило сам факт внедрения зловредного программного обеспечения и установило факт неправомерного доступа к компьютерной информации банка, с незаконным использованием которой совершены неправомерные сделки в указанный период на бирже.
— Когда был внедрен вирус?
— Специалисты выяснили, что обнаруженный на восстановленном жестком диске вирус был внедрен заранее, за несколько месяцев до инцидента.
— Он спал?
— Нет, не спал. Как я уже сказал, это очень серьезный вирус с большими возможностями по сбору информации, по отслеживанию переписки. Он позволяет полностью взять компьютер под контроль, копировать и отсылать информацию на удаленный сервер и предоставлять доступ к бирже без ведома пользователя с модификацией информации от имени банка. Наше штатное антивирусное обеспечение его не обнаружило. Его обнаружила экспертная московская фирма, которая по поручению следствия проводила экспертизу.
— Сняты ли подозрения с вашего трейдера? Или, может, был какой-то инсайдер, который помог осуществить операцию?
— В интересах следствия нельзя раскрывать всю имеющуюся информацию. Сам способ несанкционированного доступа свидетельствует, по нашему мнению, о наличии третьих лиц. Мы рассчитываем, что дальнейшее расследование приведет к поимке злоумышленников — конкретных лиц, виновных в проведении с нашего терминала несанкционированных биржевых операций.
«ЗЛОУМЫШЛЕННИКИ «ПОИЛИ» ВЕСЬ РЫНОК»
— Какой в итоге урон они вам нанесли? Участники торгов говорят о 470 миллионах рублей...
— Это была первая условная цифра до завершения всех расчетов. Сейчас речь идет примерно о 300 миллионах рублей, включающих 250 миллионов рублей обеспечительных мер, которые мы предпринимали по блокировке средств клиентов брокерских компаний «Финам», БКС и «Открытие», получивших выгоду в результате такого несанкционированного доступа.
— Но, насколько известно, кроме клиентов этих трех компаний ситуацией воспользовались десятки других частных брокеров, которые остались неизвестными.
— Основные объемы сделок заключались клиентами этих брокерских компаний. Да, есть часть нераскрытых участников с нерыночными курсами. И мы не считаем часть операций, попавших в рыночный диапазон, и претензий к ним мы не имеем.
— Каким на тот момент был рыночный диапазон?
— 60 рублей за доллар при покупке и 62 рубля за доллар при продаже, что соответствует средневзвешенному курсу на 27 февраля и курсу Банка России на 28 февраля. Сделки в этом диапазоне не нанесли нам никакого ущерба, и, соответственно, у таких лиц нет выгоды в результате преступления злоумышленника. Нам был нанесен ущерб за пределами этого диапазона. И среди заявок, поданных, вероятнее всего, с 12:37 до 12:43 по самым нерыночным курсам, когда уже видели и использовали аномальную ситуацию, по нашему мнению, могут находиться лица, состоящие в сговоре со злоумышленниками. Остальные нерыночные заявки поданы участниками торгов, безусловно, без связи с преступниками, но воспользовавшись текущим моментом и получив выгоду в результате заявок злоумышленника, то есть в результате преступления другого лица.
— В чем смысл атаки?
— Смысл в том, чтобы захватить под контроль терминал и подать с него от нашего имени заявки на покупку и продажу значительных сумм валюты — были лоты по 50 - 200 миллионов долларов. Причем без указания цены отсечения, то есть по курсу, который будет в данный момент на бирже от любого участника. Такая возможность предусмотрена системой торгов Московской биржи. Но когда в короткий срок выставляются значительные объемы на продажу и покупку без указания цены, это приводит к тому, что удовлетворяются все сделки, которые в данный момент стоят на бирже «в стакане» и по любому курсу. На протяжении этой короткой сессии — 13 минут — стакан несколько раз полностью опустошался, то есть удовлетворялись все заявки. В результате курс доллара резко подпрыгнул — наш терминал стал удовлетворять заявки на покупку по 62, 63, 64, 65 и даже по 66 рублей за доллар. Думается, такие сопутствующие сделки случайных выгодоприобретателей были неизбежны по специфике торгов и позволяли замести следы и определенному соучастнику получить выгоду, затерявшись в общей массе.
— То есть злоумышленники, открыв шлюз, поделились со всеми участниками валютных торгов?
— Да, злоумышленники для сокрытия конкретного лица заодно «поили» и весь рынок. Сама схема произошедшего нам понятна, но возникают вопросы: почему именно в тот момент появились заявки на большие суммы по котировкам, значительно отличающимся от рыночных? До и после этого трейдеры нормально торговались в рыночном диапазоне 60 - 62 рубля за доллар. Но почему именно в те 14 минут на бирже неожиданно стали появляться, причем выставленные именно в этот период, заявки на продажу по 63 - 66 рублей за доллар или на покупку по курсу 59 - 55 рублей за доллар? Это серьезный вопрос к участникам торгов, на который мы хотим получить ответ.
— Кто-то из участников торгов связан со злоумышленниками, которые перехватили контроль над вашим терминалом?
— Исходя из логики преступления, думаю, да. Во всяком случае, скорее всего, именно эта цель была у преступников и есть очень подозрительные сделки. Выяснить, так ли это, дело следствия. Хочу еще раз подчеркнуть, что Энергобанк понимает очевидное отсутствие связи с преступниками у основной массы биржевых игроков, которые в тот момент торговали на Московской бирже, но, поскольку сделки совершены в результате преступления и за счет ущерба банку по объективно не имеющему предпосылок нерыночному курсу (кроме самого факта преступления), такие выгоды должны быть возвращены банку.
— К кому обращены претензии?
— Имущественные претензии обращены к тем сделкам, которые в результате преступления злоумышленника получили выгоду за счет курсов, существенно отличающихся от объективно рыночных, то есть до факта преступления (в том числе до 12:29 и после 12:45).
— Известны ли конкретные лица, у кого были такие заявки?
— Нет. Иные участники и сами клиенты отказываются раскрываться в добровольном порядке. Согласие Московской бирже выразили на собственное раскрытие только три брокерские компании: те самые БКС, «Финам» и «Открытие». Но своих клиентов они отказались раскрывать, ссылаясь на то, что те не дают своего согласия. Пока ситуация с клиентами тупиковая.
— Какое-то прямо идеальное ограбление XXI века: подозреваемые — все участники рынка, а деньги затерялись среди тысяч других аналогичных сделок. Видно, что у преступников было глубокое понимание сути биржевой торговли, они знали, как отреагирует рынок на их действия и как они на нем смогут замести следы.
— Да, это высокотехнологичное преступление, совершенное на открытом рынке, что само по себе уникально. К сожалению, злоумышленник, видимо, хорошо знал психологию трейдеров и имел основания надеяться, что, затерявшись среди нормальных участников торгов, он не окажется в одиночестве, его не просто не выдадут, но и получившие случайный выигрыш лица объединятся с ним против потерпевшего банка. Родилась какая-то новая схема мошенничества.
«У ТРЕЙДЕРОВ ДОЛЖНА ВКЛЮЧАТЬСЯ ПРОФЕССИОНАЛЬНАЯ ЭТИКА»
— Много шума наделало введение судом обеспечительных мер к этим трем брокерским компаниям. По вашему иску были заморожены 247 миллионов рублей, которые заработали в ту сессию их клиенты. Участники биржевых торгов говорят о том, что принудительный возврат денег, потерянных в результате торгов, станет опасным прецедентом, который разрушит принципы биржевой торговли. Они опасаются, что в этом случае любой трейдер, потерявший деньги в результате своего просчета или недогляда, будет требовать возврата денег, ссылаясь на то, что управление его монитором перехватили неизвестные злоумышленники.
— Если бы это была ошибка нашего трейдера, то, конечно, у нас просто не было оснований возбуждать уголовное дело, юридически сделки оставались бы сделками банка, и тогда выходом было бы только договариваться, как это принято на рынке, о добровольном возврате средств с дисконтом. В этой области уже наработан определенный опыт, как правило, деньги возвращаются с 50-процентным дисконтом. Но в данном случае другая ситуация. Несанкционированные действия в результате преступления иных лиц не могут повлечь законных оснований для получения такой выгоды любым лицом. Поэтому опасений прецедента нет, только преступление, в отличие от ошибки, может влечь такую защиту потерпевшего по статье 52 Конституции РФ. И задача рынка при сохранении его стабильности — одновременно не содействовать замыслам преступника и случайно обогатившихся в ущерб потерпевшего лиц, не допустить легализацию средств, полученных в результате преступления иного лица.
|
| «Брокеры встали горой за своих клиентов и по непонятным причинам кидают в нас камни, а банковское сообщество пока просто наблюдает» |
— Почему вы предложили участникам рынка дисконт в размере 15 - 20 процентов?
— Как я уже сказал, в данном случае произошла не ошибка трейдера, а преступление. Мы понимаем, что расследование — это не быстрый путь для ускорения расчетов и добровольных возвратов, надо предложить добросовестным людям стимул, но, естественно, меньше, чем 50 процентов, поскольку тут не должно быть наказания потерпевшего банка. Нам бы хотелось, чтобы пошел переговорный процесс с максимально широким кругом честных участников тех злополучных торгов. Мы считаем, что поскольку оперативно довели до рынка информацию о преступлении, то должна включиться не только законопослушность, но и профессиональная этика. Кодексы корпоративного управления, кстати, уже приняты у всех крупных структур. В них банки и брокерские дома взяли на себя обязательство вести бизнес честно, соблюдая этические нормы. А в данных обстоятельствах аномальность ситуации на бирже была всем очевидна и люди получили сверхприбыль исключительно на нашей беде.
— Как на ваше предложение отреагировали участники торгов?
— От клиентов брокерских компаний реакция пока отрицательная. Люди хотят найти оправдание своему нежеланию вернуть свалившееся с неба, и они подогревают друг друга в сетях. От них идут коммерческие предложения о 50 процентах дисконта. Но это не может устраивать нас с учетом факта преступления: мы не ошибались, а стали жертвой злоумышленника, от чего, строго говоря, не застрахован никто. С физическими лицами всегда сложно договориться. Они ни о какой корпоративной этике и слышать не хотят, хотя сами являются профессионалами рынка. Они заработали случайные большие деньги, и сейчас у них эйфория, кураж. Но они должны знать, что это не просто несправедливо, но и противоречит закону, эти деньги получены в результате преступления другого лица и, независимо от невиновности самого выгодоприобретателя, подлежат возврату. Долго, упорно и мучительно, но справедливость торжествует, мы должны вернуть похищенное.
— Процесс возврата может затянуться на годы. Не боитесь, что инфляция съест ту разницу дисконта, вокруг которой вы ломаете копья?
— Мы для этого и предлагаем частным участникам дисконт. Но нам некуда торопиться. Для нас главное — установить истину, поймать виновных и возместить ущерб.
— Говорят, что некоторые участники тех торгов готовы добровольно, даже без дисконта, вернуть деньги. Это правда?
— Да. Пока речь идет об одном крупном банке, который выразил такое желание. Сейчас идет проработка технических деталей. Но само желание не пользоваться результатами преступления злоумышленника даже случайно говорит о высочайшей порядочности такого банка, многократно повышает его авторитет и одновременно вселяет надежду, что иные честные игроки, понимающие, что прибыль получается не любой ценой, не захотят оставлять себе полученную за счет прямого ущерба банку в результате преступления прибыль.
— О какой сумме идет речь?
— Приличная сумма — десятки миллионов рублей.
|
| Энергобанк лишился 300 млн. рублей за 14 минут |
«КИБЕРАТАКИ ИДУТ НЕПРЕРЫВНО»
— Насколько остра проблема кибербезопасности на финансовом рынке?
— Очень остра. Это общемировая серьезная угроза. Чего стоит последнее заявление компании «Лаборатория Касперского» о хакерской операции Carbanak, которая затронула более сотни банков и финансовых учреждений по всему миру с ущербом около миллиарда долларов. Наша проблема вышла наружу из-за публичных исков в суд. Обычно же все пытаются как-то это дело замалчивать, чтобы не создавать нездоровый ажиотаж. Но постоянно идут атаки — и через интернет, и через систему дистанционного банкинга, через различные терминалы и т.д.
— А сколько вы атак отразили? Есть такая статистика?
— Атаки идут непрерывно. Несколько крупных атак в месяц. И это для небольшого банка. Я думаю, что крупные банки пытаются атаковать каждый день.
— Можно ли оценить потери рынка от кибератак?
— Наверное, этот вопрос лучше задать специалистам по кибербезопасности. Я эту тему специально не изучал.
— Вы уже, наверное, проводили внутреннее расследование. Почему все-таки это произошло с Энергобанком, а не каким-то другим? Были ли какие-то предпосылки?
— Специалисты предполагают, что в таких случаях рассылают вредоносных захватчиков по ряду крупных организаций. Банки, работающие с электронными средствами и огромными оборотами, находятся на самом видном месте. Точный ответ на этот вопрос будет получен в рамках расследования по уголовному делу. Но я не исключаю, что это не последний подобный случай на бирже. И от того, насколько рынок и правосудие позволят преступникам завершить их замысел, настолько будет зависеть перспектива подвергнуться массовому тиражированию преступной схемы.
— То есть на вас отрабатывали технологию, чтобы потом ударить по-крупному?
— Возможно. Именно поэтому рынку надо как можно быстрее договориться о том, как сообща противостоять новым угрозам. Каждый может оказаться в подобной ситуации. К сожалению, первая реакция рынка — «сами виноваты»: трейдер ошибся, клавиши перепутал, или робот некачественно написан (как в анекдоте об убитом, случайно упавшем на нож 7 раз!). Такое ощущение складывалось, что Энергобанк стоит один против всего рынка и не у него украли, а он украл. Но постепенно участники рынка начинают понимать, что, действительно, для них появляется общая новая угроза. Надо что-то делать, но что делать — пока никто не знает.
— Видимо будут ждать, когда в такую же ситуацию попадет крупный банк. Тогда быстро примут какие-то новые регламенты...
— Возможно. Но пока мы одни: брокеры встали горой за своих клиентов и по непонятным причинам кидают в нас камни, а банковское сообщество пока просто наблюдает. Желание сохранить случайную прибыль любой ценой по принципам торгующего человека понятно, но все-таки это недобросовестно и несовременно. Так не должен работать развитый рынок, о котором мы все говорим.
— А какова реакция регулятора рынка — ЦБ РФ?
— Они анализировали ситуацию. Мы думаем, к ряду сделок по объективно нерыночным курсам у них могли быть претензии с точки зрения защиты от манипулирования рынком.
— Сообщалось, что они выразили неудовольствие тем, что вы потребовали заблокировать средства брокерских компаний.
— Да, это так. Учитывая позицию регулятора мы и подали ходатайство в Вахитовский районный суд Казани об отмене обеспечительных мер, которые были приняты по нашей просьбе. Мы не можем игнорировать мнение мегарегулятора и надеемся, что его меры будут направлены и на защиту банка, как потерпевшей кредитной организации, и возврат ущерба для сохранения стабильности рынка
— Какие оргвыводы из случившегося вы будете делать?
— Безусловно, мы будем еще больше усиливать подразделение информационной безопасности. Заключен договор с экспертом в сфере защиты от киберпреступлений. Теперь у нас много новой информации, которая позволит нам серьезно повысить компьютерную безопасность. Жаль, конечно, что за это знание нам пришлось заплатить такую большую цену. Но теперь с нами такой фокус не пройдет. Можем даже консультировать других участников рынка, как избежать подобного.
|
| «Мы хотим в одни руки выдавать большие суммы кредитов — не 800 миллионов рублей, как сейчас, а 1 миллиард рублей» |
«У НАС ОГРОМНЫЙ ЗАПАС ПРОЧНОСТИ»
— К каким последствиям для Энергобанка приведет потеря такой крупной суммы денег?
— Ущерб от курсовой разницы в размере около 300 миллионов рублей, конечно, это неприятно для нас, это значительная сумма, за которую мы будем бороться. Но она не способна оказать какого-то серьезного влияния на наше финансовое состояние. У нас не нарушились ни нормативы ликвидности, ни нормативы достаточности капитала. Даже на прибыль это не оказало влияние, мы демпфировали потери.
Кстати, когда ЦБ РФ оценивал ситуацию, они в первую очередь изучили влияние случившегося на финансовое положение банка. Когда они поняли, что никаких угроз для Энергобанка нет, то они, собственно говоря, успокоились.
— Каковы результаты работы Энергобанка по итогам 2014 года и за первые 2 месяца этого года?
— За прошлый год наша прибыль составила около 370 миллионов рублей. По итогам января-февраля прибыль составила 21 миллион рублей.
— То есть за 14 минут банк потерял сумму, сравнимую с тем, что заработал за прошлый год... Придется ли как-то пересматривать планы Энергобанка, потребуется ли докапитализация?
— Случившееся не потребует экстренной докапитализации. У нас и так показатель достаточности капитала один из лучших в банковской системе России. Запас прочности огромный. Но для того, чтобы расширить возможности обслуживания крупных клиентов, мы в этом году планируем увеличить капитал банка путем размещения субординированного займа. Этот вопрос был согласован еще в прошлом году с Нацбанком РТ и никак не связан с событиями 27 февраля.
— О каком объеме докапитализации идет речь?
— Порядка 300 миллионов рублей. Мы хотим в одни руки выдавать большие суммы кредитов — не 800 миллионов рублей, как сейчас, а 1 миллиард рублей.
— То есть инвестиционные программы банка не пострадают?
— Не думаю. На кредитование сейчас большее влияние оказывает общерыночная ситуация — высокие процентные ставки, кризис в отдельных отраслях, существенно выросшие риски, связанные с кредитованием. Нас это очень беспокоит, хотя у нас блестящий кредитный портфель.
— Потому что у вас обслуживаются в основном «свои»?
— Зря вы так думаете. Доля аффилированных структур в нашем кредитном портфеле неуклонно снижается. Акционеры банка (известные татарстанские предприниматели братья Хайруллины — прим. ред.) нам постоянно говорят: в свое время мы вам помогли, но сейчас зарабатывайте на рынке сами. Мы шаг за шагом реализуем стратегию развития универсального регионального банка и соблюдаем нормативы предельных сделок с группами. Порядка 70 процентов — операции с юридическими лицами, и до 30 процентов — операции с физлицами. Мы считаем такой баланс для себя близким к идеалу и стараемся его соблюдать.
— У вас нет амбиций воспользоваться кризисом и увеличить свою долю на рынке?
— Мы в первую очередь думаем о рисках. Резкое увеличение рыночной доли, как правило, сопровождается ростом рисков. Поэтому мы предпочитаем планомерное, постепенное, но устойчивое развитие.
Внимание!
Комментирование временно доступно только для зарегистрированных пользователей.
Подробнее
Комментарии 121
Редакция оставляет за собой право отказать в публикации вашего комментария.
Правила модерирования.