Дмитрий Вагизов, Энергобанк: «Злоумышленники знали: трейдеры их не выдадут!»
24.03.2015
Ограбление XXI века, из-за которого банк братьев Хайруллиных лишился 300 млн. рублей за 14 минут, лишь проба пера?
Компьютерный вирус, с помощью которого неизвестные хакеры руками Энергобанка на короткое время взвинтили курс доллара, был внедрен за несколько месяцев до атаки, а, сделав черное дело, он уничтожил все данные. Об этом в эксклюзивном интервью «БИЗНЕС Online» рассказал председатель правления Энергобанка Дмитрий Вагизов. По его мнению, преступники, намеренно затерявшись среди добросовестных трейдеров, изобрели новую схему мошенничества, которая будет тиражироваться, если не дать ей общий отпор.
«ВИРУС БЫЛ ВНЕДРЕН ЗА НЕСКОЛЬКО МЕСЯЦЕВ ДО ИНЦИДЕНТА»
— Дмитрий Ильгизович, уже пару недель Энергобанк не сходит с первых полос федеральных СМИ. Пожалуй, впервые в публичную сферу попала информация об ограблении банка с использованием компьютерных вирусов. Да и еще на такую крупную сумму. Расскажите, как это все происходило?
— Все случилось 27 февраля, в обеденный перерыв. В это время наш трейдер непосредственно на бирже не торговал, занимался отчетностью, но за рынком следил. В какой-то момент он заметил, что на экране появились какие-то странные сделки. Мы позвонили на Московскую биржу уточнить, может, какой-то сбой происходит? Но нам сказали, что никаких сбоев в работе биржи нет, это ваши сделки, и система видит, что это вы торгуете.
— В течение какого времени осуществлялись несанкционированные операции через терминал Энергобанка?
— С 12:30 до 12:43:57, то есть в течение 14 минут. За это время было подано 7 заявок.
— Злоумышленники надеялись, что никого из сотрудников банка у терминала не будет?
— Я думаю, что да. Через вредоносные файлы злоумышленники получили полный удаленный несанкционированный доступ к терминалу и могли отслеживать и модифицировать его работу. Видимо, они следили за графиком работы наших трейдеров, заранее планируя свои действия. В 12:43:57, достигнув цели преступления, злоумышленники прекратили свою деятельность и отдали внедренному в терминал вирусу команду на уничтожение жесткого диска.
— Даже так?
— Да. Компьютер стер данные с жесткого диска и «умер».
— Удалось восстановить данные на жестком диске?
— Да. Сейчас успешно заканчивается первый этап расследования — было проведено исследование жесткого диска, в ходе которого удалось восстановить данные и расшифровать код вируса. Теперь мы знаем, с каким вредоносным программным обеспечением нам пришлось столкнуться.
— Этот вирус уже известен специалистам или это что-то новое?
— Не знаю, могу ли я раскрывать какие-то детали. Для нас главное, что следствие установило сам факт внедрения зловредного программного обеспечения и установило факт неправомерного доступа к компьютерной информации банка, с незаконным использованием которой совершены неправомерные сделки в указанный период на бирже.
— Когда был внедрен вирус?
— Специалисты выяснили, что обнаруженный на восстановленном жестком диске вирус был внедрен заранее, за несколько месяцев до инцидента.
— Он спал?
— Нет, не спал. Как я уже сказал, это очень серьезный вирус с большими возможностями по сбору информации, по отслеживанию переписки. Он позволяет полностью взять компьютер под контроль, копировать и отсылать информацию на удаленный сервер и предоставлять доступ к бирже без ведома пользователя с модификацией информации от имени банка. Наше штатное антивирусное обеспечение его не обнаружило. Его обнаружила экспертная московская фирма, которая по поручению следствия проводила экспертизу.
.....
«ЗЛОУМЫШЛЕННИКИ «ПОИЛИ» ВЕСЬ РЫНОК»
— Какой в итоге урон они вам нанесли? Участники торгов говорят о 470 миллионах рублей...
— Это была первая условная цифра до завершения всех расчетов. Сейчас речь идет примерно о 300 миллионах рублей, включающих 250 миллионов рублей обеспечительных мер, которые мы предпринимали по блокировке средств клиентов брокерских компаний «Финам», БКС и «Открытие», получивших выгоду в результате такого несанкционированного доступа.
— Но, насколько известно, кроме клиентов этих трех компаний ситуацией воспользовались десятки других частных брокеров, которые остались неизвестными.
— Основные объемы сделок заключались клиентами этих брокерских компаний. Да, есть часть нераскрытых участников с нерыночными курсами. И мы не считаем часть операций, попавших в рыночный диапазон, и претензий к ним мы не имеем.
— Каким на тот момент был рыночный диапазон?
— 60 рублей за доллар при покупке и 62 рубля за доллар при продаже, что соответствует средневзвешенному курсу на 27 февраля и курсу Банка России на 28 февраля. Сделки в этом диапазоне не нанесли нам никакого ущерба, и, соответственно, у таких лиц нет выгоды в результате преступления злоумышленника. Нам был нанесен ущерб за пределами этого диапазона. И среди заявок, поданных, вероятнее всего, с 12:37 до 12:43 по самым нерыночным курсам, когда уже видели и использовали аномальную ситуацию, по нашему мнению, могут находиться лица, состоящие в сговоре со злоумышленниками. Остальные нерыночные заявки поданы участниками торгов, безусловно, без связи с преступниками, но воспользовавшись текущим моментом и получив выгоду в результате заявок злоумышленника, то есть в результате преступления другого лица.
— В чем смысл атаки?
— Смысл в том, чтобы захватить под контроль терминал и подать с него от нашего имени заявки на покупку и продажу значительных сумм валюты — были лоты по 50 - 200 миллионов долларов. Причем без указания цены отсечения, то есть по курсу, который будет в данный момент на бирже от любого участника. Такая возможность предусмотрена системой торгов Московской биржи. Но когда в короткий срок выставляются значительные объемы на продажу и покупку без указания цены, это приводит к тому, что удовлетворяются все сделки, которые в данный момент стоят на бирже «в стакане» и по любому курсу. На протяжении этой короткой сессии — 13 минут — стакан несколько раз полностью опустошался, то есть удовлетворялись все заявки. В результате курс доллара резко подпрыгнул — наш терминал стал удовлетворять заявки на покупку по 62, 63, 64, 65 и даже по 66 рублей за доллар. Думается, такие сопутствующие сделки случайных выгодоприобретателей были неизбежны по специфике торгов и позволяли замести следы и определенному соучастнику получить выгоду, затерявшись в общей массе.
— То есть злоумышленники, открыв шлюз, поделились со всеми участниками валютных торгов?
— Да, злоумышленники для сокрытия конкретного лица заодно «поили» и весь рынок. Сама схема произошедшего нам понятна, но возникают вопросы: почему именно в тот момент появились заявки на большие суммы по котировкам, значительно отличающимся от рыночных? До и после этого трейдеры нормально торговались в рыночном диапазоне 60 - 62 рубля за доллар. Но почему именно в те 14 минут на бирже неожиданно стали появляться, причем выставленные именно в этот период, заявки на продажу по 63 - 66 рублей за доллар или на покупку по курсу 59 - 55 рублей за доллар? Это серьезный вопрос к участникам торгов, на который мы хотим получить ответ.
— Кто-то из участников торгов связан со злоумышленниками, которые перехватили контроль над вашим терминалом?
— Исходя из логики преступления, думаю, да. Во всяком случае, скорее всего, именно эта цель была у преступников и есть очень подозрительные сделки. Выяснить, так ли это, дело следствия. Хочу еще раз подчеркнуть, что Энергобанк понимает очевидное отсутствие связи с преступниками у основной массы биржевых игроков, которые в тот момент торговали на Московской бирже, но, поскольку сделки совершены в результате преступления и за счет ущерба банку по объективно не имеющему предпосылок нерыночному курсу (кроме самого факта преступления), такие выгоды должны быть возвращены банку.
— К кому обращены претензии?
— Имущественные претензии обращены к тем сделкам, которые в результате преступления злоумышленника получили выгоду за счет курсов, существенно отличающихся от объективно рыночных, то есть до факта преступления (в том числе до 12:29 и после 12:45).
— Известны ли конкретные лица, у кого были такие заявки?
— Нет. Иные участники и сами клиенты отказываются раскрываться в добровольном порядке. Согласие Московской бирже выразили на собственное раскрытие только три брокерские компании: те самые БКС, «Финам» и «Открытие». Но своих клиентов они отказались раскрывать, ссылаясь на то, что те не дают своего согласия. Пока ситуация с клиентами тупиковая.
— Какое-то прямо идеальное ограбление XXI века: подозреваемые — все участники рынка, а деньги затерялись среди тысяч других аналогичных сделок. Видно, что у преступников было глубокое понимание сути биржевой торговли, они знали, как отреагирует рынок на их действия и как они на нем смогут замести следы.
— Да, это высокотехнологичное преступление, совершенное на открытом рынке, что само по себе уникально. К сожалению, злоумышленник, видимо, хорошо знал психологию трейдеров и имел основания надеяться, что, затерявшись среди нормальных участников торгов, он не окажется в одиночестве, его не просто не выдадут, но и получившие случайный выигрыш лица объединятся с ним против потерпевшего банка. Родилась какая-то новая схема мошенничества.
......
— Почему вы предложили участникам рынка дисконт в размере 15 - 20 процентов?
— Как я уже сказал, в данном случае произошла не ошибка трейдера, а преступление. Мы понимаем, что расследование — это не быстрый путь для ускорения расчетов и добровольных возвратов, надо предложить добросовестным людям стимул, но, естественно, меньше, чем 50 процентов, поскольку тут не должно быть наказания потерпевшего банка. Нам бы хотелось, чтобы пошел переговорный процесс с максимально широким кругом честных участников тех злополучных торгов. Мы считаем, что поскольку оперативно довели до рынка информацию о преступлении, то должна включиться не только законопослушность, но и профессиональная этика. Кодексы корпоративного управления, кстати, уже приняты у всех крупных структур. В них банки и брокерские дома взяли на себя обязательство вести бизнес честно, соблюдая этические нормы. А в данных обстоятельствах аномальность ситуации на бирже была всем очевидна и люди получили сверхприбыль исключительно на нашей беде.
— Как на ваше предложение отреагировали участники торгов?
— От клиентов брокерских компаний реакция пока отрицательная. Люди хотят найти оправдание своему нежеланию вернуть свалившееся с неба, и они подогревают друг друга в сетях. От них идут коммерческие предложения о 50 процентах дисконта. Но это не может устраивать нас с учетом факта преступления: мы не ошибались, а стали жертвой злоумышленника, от чего, строго говоря, не застрахован никто. ......
......
— То есть на вас отрабатывали технологию, чтобы потом ударить по-крупному?
— Возможно. Именно поэтому рынку надо как можно быстрее договориться о том, как сообща противостоять новым угрозам. Каждый может оказаться в подобной ситуации. К сожалению, первая реакция рынка — «сами виноваты»: трейдер ошибся, клавиши перепутал, или робот некачественно написан (как в анекдоте об убитом, случайно упавшем на нож 7 раз!). Такое ощущение складывалось, что Энергобанк стоит один против всего рынка и не у него украли, а он украл. Но постепенно участники рынка начинают понимать, что, действительно, для них появляется общая новая угроза. Надо что-то делать, но что делать — пока никто не знает.
— Видимо будут ждать, когда в такую же ситуацию попадет крупный банк. Тогда быстро примут какие-то новые регламенты...
— Возможно. Но пока мы одни: брокеры встали горой за своих клиентов и по непонятным причинам кидают в нас камни, а банковское сообщество пока просто наблюдает. .....
......
— Каковы результаты работы Энергобанка по итогам 2014 года и за первые 2 месяца этого года?
— За прошлый год наша прибыль составила около 370 миллионов рублей. По итогам января-февраля прибыль составила 21 миллион рублей.
— То есть за 14 минут банк потерял сумму, сравнимую с тем, что заработал за прошлый год... Придется ли как-то пересматривать планы Энергобанка, потребуется ли докапитализация?
— Случившееся не потребует экстренной докапитализации. У нас и так показатель достаточности капитала один из лучших в банковской системе России. Запас прочности огромный. Но для того, чтобы расширить возможности обслуживания крупных клиентов, мы в этом году планируем увеличить капитал банка путем размещения субординированного займа. Этот вопрос был согласован еще в прошлом году с Нацбанком РТ и никак не связан с событиями 27 февраля.
— О каком объеме докапитализации идет речь?
— Порядка 300 миллионов рублей. Мы хотим в одни руки выдавать большие суммы кредитов — не 800 миллионов рублей, как сейчас, а 1 миллиард рублей.
— То есть инвестиционные программы банка не пострадают?
— Не думаю. На кредитование сейчас большее влияние оказывает общерыночная ситуация — высокие процентные ставки, кризис в отдельных отраслях, существенно выросшие риски, связанные с кредитованием. Нас это очень беспокоит, хотя у нас блестящий кредитный портфель.
— Потому что у вас обслуживаются в основном «свои»?
— Зря вы так думаете. Доля аффилированных структур в нашем кредитном портфеле неуклонно снижается. Акционеры банка (известные татарстанские предприниматели братья Хайруллины — прим. ред.) нам постоянно говорят: в свое время мы вам помогли, но сейчас зарабатывайте на рынке сами. Мы шаг за шагом реализуем стратегию развития универсального регионального банка и соблюдаем нормативы предельных сделок с группами. Порядка 70 процентов — операции с юридическими лицами, и до 30 процентов — операции с физлицами. Мы считаем такой баланс для себя близким к идеалу и стараемся его соблюдать.
— У вас нет амбиций воспользоваться кризисом и увеличить свою долю на рынке?
— Мы в первую очередь думаем о рисках. Резкое увеличение рыночной доли, как правило, сопровождается ростом рисков. Поэтому мы предпочитаем планомерное, постепенное, но устойчивое развитие.
Александр Андреев
http://www.business-gazeta.ru/article/128580/