Что может быть хуже, чем потеря 50 миллионов долларов?

Десятки миллионов долларов были выведены 19 июня 2016 года из проекта DecentralizedAutonomousOrganization (DAO, децентрализированная автономная организация), который оперирует виртуальной валютой, созданной на основе технологии blockchain, сообщает портал bankir.ru.

В результате стоимость «эфира», внутренней валюты Etherium, упала с 15 до 11 долларов. Однако злоумышленник утверждает, что действовал полностью в рамках «умного контракта», лежащего в основе The DAO, и угрожает Etherium и лично Виталику Бутерину (сооснователю проекта Ethereum) юридическим преследованием в том случае, если «ушедшие» со счета финансы будут заморожены или возвращены.

Атака началась утром 17 июня. Неизвестный злоумышленник использовал описанную в «умном контракте» The DAO функцию для вывода денег из инвестиционного фонда, которая позволяла внутри себя, кроме перевода финансов, выполнять другой программный код. Атаковавший многократно вызывал эту функцию из самой себя, что привело к многократному переводу «эфира» на его счет. Примечательно, что эта уязвимость была опубликована неделю назад, и разработчики уже сообщали о ее устранении.

В настоящий момент установлен адрес дочернего DAO, на который переводился «эфир» злоумышленником, и у сообщества есть 27 дней (за это время вывести деньги из дочернего DAO невозможно), чтобы решить — что же делать.Кроме этого принято решение о закрытии The DAO и переводе его в обычный контракт, что позволит пользователям вернуть вложенные деньги.

Самому Etherium грозят перемены — Виталик Бутерин предлагает сперва создать софтфорк системы («мягкую» версию с небольшими изменениями), в результате которого будут отменены транзакции, приведшие к утечке средств. Затем последует хардфорк («жесткая» версия с глобальными изменениями), который принудительно вернет средства их бывшим владельцам.

Однако проблема всей этой истории заключается в той самой неумолимости «умных контрактов», которую обычно считают их плюсом. Привычные бумажные контракты, содержащие ошибки или лазейки, можно оспорить, изменить или исправить — на этом кормятся десятки тысяч юристов. Вмешаться в исполнение «умного контракта» невозможно, равно как и повернуть вспять уже проведённые транзакции — это гарантирует блокчейнEthereum.

А заявленный Бутереным вариант решения данной конкретной проблемы заронит сомнение в том, что криптовалюта не настолько децентрализована и неконтролируема, как считается. В ее работу можно вмешаться и повернуть законные сделки вспять. Если так можно поступить с одной сделкой, прошедшей в рамках «умного контракта», то кто помешает это сделать с любым другим количеством сделок?Возможно, это еще хуже, чем потеря 50 миллионов.

Новые ценности ВЭБ

Председатель ВЭБСергей Горьков в среду, 15 июня, собрал своих сотрудников в театре EtCetera, чтобы презентовать новые ценности госкорпорации, назвав их проектом «ВЭБ 2:0». Он перечислил шесть ценностей, которые лягут в основу стратегии ВЭБ, — это «развитие, лидерство, партнерство, команда, честность, патриотизм». Об этом событии рассказывает издание РБК.

В презентации ВЭБа, подготовленной ктимбилдингу, в частности, говорилось, что «развитие — это ключ к успеху», поэтому сотрудники должны быть готовы к переменам, «не цепляться за стереотипы в работе» и не избегать новых задач, потому что это «развивает личность».

«Патриотизм — это приверженность интересам развития банка и страны», поэтому сотрудники должны гордиться принадлежностью к ВЭБ, чтить и уважать его историю, помогать социально незащищенным слоям населения, не работать только ради материального вознаграждения. Сотрудники ВЭБ не должны «перекладывать работу на плечи товарищей», должны говорить «нет» безразличию, эгоизму и др.

«Мы стоим с вами на пороге новой эры. Эры «ВЭБ 2:0», — подхватила соведущая мероприятия, руководитель группы департамента инноваций и высоких технологий ВЭБа Жанна Панина. Каждый сотрудник ВЭБа должен примерить на себя эти ценности, осознать их, и, если готов, принять.

Глава АСВ предложил государству вмешаться в банковскую консолидацию во избежание ликвидации до 90% банков

Генеральный директор Агентства по страхованию вкладов (АСВ) Юрий Исаев предложил властям вмешаться в процесс консолидации банковского сектора во избежание ликвидации до 90% оставшихся на рынке банков. С соответствующим заявлением глава госкорпорации выступил на ПМЭФ-2016. Об этом сообщает портал banki.ru.

«Консолидация и уход банков с рынка неизбежны. Вопрос в том, дадим ли мы возможность банкирам уйти по-хорошему, или они все пройдут через горнило принудительной ликвидации и банкротства. Уйти по-хорошему банкирам сейчас невозможно, потому что невозможно продать свой бизнес на рынке... Если государство не вмешается в такую консолидацию, то минимум 80%, а то и 90% оставшихся банков пройдут через процедуру не совсем приятного общения с АСВ», — сказал Исаев.

Он указал, что российская банковская система носит универсальный характер. «Банковская система так или иначе консолидируется. Вопрос: эта консолидация будет в той или иной мере управляться государством, или нет? Если эта консолидация государством управляться не будет, тогда нам хватит сил, чтобы оставшиеся банки, так сказать, обработать и «похоронить». Если же какая-то будет вводная по консолидации, то тогда нам будет меньше работы», — пояснил глава АСВ.

«Если же мы найдем способ дать возможность людям из своего бизнеса выходить до того момента, когда все стало совсем плохо, тогда есть шанс, что этот процесс консолидации будет относительно миролюбивым», — резюмировал Исаев.

Быть монолайнером в России можно, но это опасно

Рынок розничного кредитования постепенно оживает, а вместе с ним улучшают свои показатели и его крупнейшие игроки. Так, один из них — Тинькофф Банк в первом квартале 2016 года получил по МСФО рекордную для себя чистую прибыль в 1,9 млрд рублей и рентабельность капитала на уровне 32,3%.

О проектах, позволяющих банку быть прибыльным, ближайших планах и о том, почему он перестал быть монопродуктовым, «Интерфаксу» рассказал глава кредитной организации Оливер Хьюз.

Цитаты:

• Сейчас готовится запуск ряда новых продуктов. Мы вот-вот должны запустить брокерские услуги совместно с БКС. Осенью мы запустим брокера страховых услуг — будем продавать все продукты любых качественных страховых компаний. Далее мы планируем начать продавать кредитные продукты банков-партнеров (в основном кредиты наличными). Заметьте, я не сказал — «конкурентов». Именно наши партнеры, потому что мы сами не делаем упор на кредиты наличными. Вот так выглядит программа на этот год.

• Известно, что прошлой осенью мы рассматривали НПФ «Уралсиб» с целью покупки, и, в принципе, нам понравилось то, что мы видели. Но мы были вынуждены отказаться. Параллельно с этим мы рассматривали возможность создания пенсионного брокера. В конце концов, остановились на втором варианте как на более оптимальном — не брать отдельный фонд на баланс группы, а создать пенсионного брокера, который будет привлекать и обслуживать клиентов для всех пенсионных фондов страны. Этот проект у нас на очереди в списке.

• Мне кажется, все розничные банки сейчас продумывают коррекцию своих бизнес-моделей, которые, по большому счету, были сломаны. У кого-то получится перепрофилироваться или адаптироваться (как мы: отращиваем новые «ноги», не отказываясь при этом от старых), а кому-то придется отказаться от дальнейшего существования.Если отвечать на вопрос, будут ли монолайнеры в будущем, — скорее всего, нет.

• Не всегда, но часто стартапы в России покупают те банки, у которых закаменела организация, потому что они забюрократизированы, у них нет идеи, нет творчества, и структура просто не позволяет что-то схожее делать самим. И вот они создают некие лаборатории, куда «помещают» эти стартапы и где они, как правило, не очень хорошо себя чувствуют.

• Тинькофф Банк — сам по себе как одна большая финтех-лаборатория. Внутри нас постоянно что-то происходит: мы экспериментируем, тестируем, запускаем. Что-то работает — мы развиваем, что-то не работает — убиваем или меняем. Есть ли смысл покупать какой-то стартап-проект? Не исключаю такой возможности, но мы, все-таки, предпочитаем все делать «внутри себя».Нам интереснее отбирать хорошие молодые кадры, талантливых людей, которые, не побоюсь это сказать, не испорчены другими корпоративными культурами, а не проекты. Вот в частности с июля мы совместно с МФТИ запускаем финтехшколу для таких ребят.

• Мы готовы вернуться на рынок рублевых облигаций, европейских коммерческих бумаг (ECP), евробондов, но они сейчас дороже, чем депозиты. Депозиты прут, они дешевые и ставки снижаются дальше, соответственно, это просто экономически бессмысленно делать какое-то искусственное размещение. Может быть, в целях диверсификации мы сделаем это в какой-то момент, но это будет не скоро.

Киберворы под прикрытием

Хакеры легко проникают в автоматизированные системы банков и начинают отслеживать типичные операции, чтобы в один прекрасный момент послать в рейс типичную же платежку и совершенно незаметно украсть деньги. Ни департаменты по защите данных банков, ни спецуправление Центробанка, ни управление «К» МВД не в силах этому противостоять. Об этой проблеме 15 июня 2016 года говорили на круглом столе в Торгово-Промышленной Палате РФ и то, о чем пишет издание Finversia.ru.

Цитаты:

• По данным, которые сообщил модератор дискуссии Тимур Аитов, за последние несколько месяцев от действий хакеров пострадал 21 банк. Только из одного из них было похищено порядка 500 млн рублей. Однако после этого правоохранительными органами была задержана организованная группа, в которую входило 50 кибермошенников. В течение двух лет они организовывали сетевые атаки, в том числе и на банки. Активное участие в их разоблачении принял Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России (ФинСЕРТ).

• «Могу сказать только, что, начиная с 4-го квартала прошлого года под угрозой оказалось 2,87 млрд рублей. Часть из этой суммы удалось быстро заблокировать усилиями банковских IT-специалистов. А реальный ущерб составил около 1,5 млрд рублей», — заявил консультант Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере ГУБиЗИ ЦБ Александр Чебарь.

• «О какой безопасности мы вообще можем говорить? Вот в пункте 3.1.3 правил Платежной системы “Мир“сказано, что получить деньги можно, используя только номер карты и пин-код. Все, занавес! Никакого пластика даже не нужно!», — раздраженно докладывал Николай Пятиизбянцев из Газпромбанка.

• «Ни одна из 7-ми антивирусных программ не может поймать эти вирусы в банке!», — утверждает начальник управления ИБ ЗлаткомбанкаАлександр Виноградов.

• Илья Медведовский, генеральный директор DigitalSecurity: «Сейчас мошенники почувствовали вкус крови. То есть вкус денег. Сейчас они получают огромные средства и не проедают их, а реинвестируют обратно — в дело. Нам противостоит сегодня не отдельно взятый злоумышленник, а целая индустрия криминальных сервисов».

«На темную сторону ЦБ склоняет нас…»

Сотрудники — вот главная причина регулярных инцидентов с информационной безопасностью в финансово-кредитной сфере. Об этом обозреватели портала bankir.ru говорили в интервью сАлексеем Лукацким, экспертом по информационной безопасностиCisсo, и коснулись очень узкой прослойки финансовых работников, а именно сотрудников служб информационной безопасности (отделов защиты информации), которые в последнее время все чаще и чаще пополняют когорту увольняемых в первую очередь банковских специалистов.

Цитаты:

• Кого банк сокращает в первую очередь? Тех, кто, по мнению руководства, не приносит прямых доходов. И безопасники — одна из тех категорий, которая первой и попадает «под нож». Ведь продемонстрировать свою ценность представитель службы ИБ может далеко не всегда. Клиентов он не привлекает и даже наоборот, всячески препятствует управлению по работе с физлицами привлекать новых, и очень часто подозрительных и потенциально опасных клиентов, которые не смогут выплатить взятые кредиты. С клиентами он не работает. В кассе не сидит и денег не выдает. И даже инкассацией, то есть защитой материальных ценностей, занимаются совсем другие люди.

• И вот тут-то и кроется основная «засада» для банка. Как сказал в одной беседе уволенный из банка коллега: «На темную сторону ЦБ склоняет нас…» И это действительно так. Представитель службы информационной безопасности, что руководитель, что его подчиненные, очень хорошо знают обо всех слабых местах своих, да и, не будем лукавить, чужих банков тоже, включая ЦБ. Они прекрасно осведомлены о методах, которыми пользуются мошенники и киберпреступники для кражи денег у клиентов банка. И тут их выбрасывают на улицу…

• Как мне кажется, ни руководство финансовых организаций, ни HR-специалисты просто не понимают той опасности, которая может проявиться при увольнении специалиста и тем более руководителя своей службы информационной безопасности. Если уж и увольнять специалиста по ИБ, то грамотно — с нормальным выходным пособием, а то и с помощью в трудоустройстве. Иначе это плохо обернется — «пусть экономят, а потом плачут, что их лимоны увели на Каймановы».

• В конце концов совсем скоро ЦБ установит новые обязательные требования по аттестации специалистов по информационной безопасности. Об этом недавно заявил первый зампред ЦБ Сергей Швецов. И вот тогда придется кусать локти по уволенным безопасникам.