Финансовая сфера

Банковское обозрение


  • ЦБ РФ требует обезопасить переводы
12.08.2013

ЦБ РФ требует обезопасить переводы

Центробанк счел положение 382-П недостаточным и внес ряд изменений, которые в большинстве своем повысят нагрузку на банки. Прежде всего, это касается регистрации действий в банковских системах


Указание №3007-У Банка России от 05.06.2013 года «О внесении изменений в Положение Банка России от 9 июня 2012 года № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»».

В указании вводится понятие инцидента — события, которое возникло вследствие нарушения требований к обеспечению защиты информации при осуществлении переводов денежных средств: не соблюдены сроки проведения платежа, платеж произведен неправомерно или информация в нем искажена. При этом все инциденты нужно регистрировать.

Также усиливаются требования по регистрации действий в банковской системе как своих работников, так и клиентов. При этом должна собираться информация не только о времени и идентификаторе действий клиента, а также его собственном идентификаторе, но и об устройстве, с которого осуществляется действие: «IP-адрес, MAC-адрес, номер SIM-карты, номер телефона и (или) иной идентификатор устройства».

«Большого смысла все попытки фиксировать IP, MAC, IMEI, номер телефона и т.п. не имеют. Злоумышленники могут их легко обойти, а вкладывать инвестиции в более надежные способы нецелесообразно. Особенно в условиях, когда, даже обнаруженный и пойманный, злоумышленник может выйти сухим из воды из-за пробелов в отечественном законодательстве. Мне кажется, что для борьбы с мошенниками все силы надо бросать на изменение Уголовного и Уголовно-процессуального кодексов, а также на обучение сотрудников правоохранительных и судебных органов. Технические меры, безусловно, важны, но и заменить ими организационно-правовые методы борьбы с киберпреступниками не получится», — писал по этому поводу в своем блоге эксперт по информационной безопасности Алексей Лукацкий.

Есть и хорошая для банков новость — если ранее считалось, что получать сертификат ФСБ нужно на все средства криптозащиты информации, то теперь указание уточняет, что наличие сертификата обязательно только для СКЗИ российских производителей.

Участникам платежной системы предписывается привести системы в соответствие 382-П через шесть месяцев со дня вступления указания в силу, то есть к началу 2014 года. Правда, в части, касающейся регистрации действий в системе, в частности, дана отсрочка еще на 180 дней.

МНЕНИЕ ЭКСПЕРТА

Сергей Котов
Эксперт по информационной безопасности «Аладдин Р.Д.»

Уточняющие положения 3007-У явно идут на пользу исходному документу 382-П (понятие инцидента и кто их регистрирует). Однако требования по регистрации действий клиента и персонала, а также установление реальных сроков отчетности по форме 202 у многих вызывают озабоченность. На мой взгляд, все это только на пользу (любая определенность — лучше, чем ее отсутствие). Дополнительные затраты будут, но они не так велики, хотя в розничных банках они будут повыше. В серьезных банках и раньше многое, если не все из перечисленного, подвергалось логированию. Трудозатраты на разработку некоторого количества дополнительных документов и дополнительную отчетность тоже вполне приемлемы. С другой стороны, доступность этих данных — шаг на пути к более объективному ранжированию кредитных организаций по уровню безопасности размещенных в них клиентских денег.

 

Информационная безопасность
Visa: В России крадут 5 копеек из тысячи рублей

Как заявил глава департамента управления рисками Visa в России, СНГ и Юго-Восточной Европе Олег Скородумов, за 20 лет уровень мошенничества по картам Visa сократился на две трети. При этом в России, по его словам, уровень мошенничества в 10 раз ниже, чем в целом по миру. Средний россиянин теряет, таким образом, всего 5 копеек из тысячи рублей, что, по образному сравнению Visa, меньше, чем средние потери наличных, которые, как говорит Олег Скородумов, составляют 365 долларов на человека в год.

Мобильные вирусы размножились

China Daily со ссылкой на экспертов по информационной безопасности из китайского CNCERT сообщила, что в течение 2012 года им удалось обнаружить 162,98 тыс. различных вредоносных программ, ориентированных на мобильные платформы и распространяемых на территории страны. В сравнении с данными за 2011 год их количество увеличилось в 25 раз. 82,5% обнаруженных вирусов были предназначены для компрометации устройств на базе Android.
Китайские эксперты отметили, что наиболее распространенным источником заражения являются различные сайты и форумы, предназначенные для скачивания всевозможного контента, в том числе пиратского.

Олимпиадник взломал терминал

В Иркутске полиция задержала молодого человека, пытавшегося взломать платежный терминал в одном из магазинов. Охранники обратили внимание, что он подозрительно долго стоит рядом с устройством.
Хакером оказался 19-летний студент-первокурсник, обучающийся на факультете информационных систем и технологий управления в Чите, который приехал в Иркутск к другу. Интересно, что молодой человек весной этого года занял второе место на Всероссийской олимпиаде по информатике.
Как выяснили сотрудники отделения «К» ГУ МВД России по Иркутской области, студент перепрограммировал терминал с помощью написанной им компьютерной программы и провел через него несколько платежей, отправив на сим-карты подставных лиц 75 тыс. рублей.

Создателей Carberp посадят, но дело их живет

В марте 2012 года была задержана преступная группа, которая, согласно сообщению на официальном сайте Службы безопасности Украины (СБУ), создала троян Carberp — известное вредоностное ПО, помогающее злоумышленникам похищать данные о банковских счетах с компьютеров пользователей.
Печерский районный суд Киева назначил преступникам, возглавляемым гражданином России, наказание в виде пяти лет лишения свободы, однако до исполнения приговора была также назначена отсрочка на три года. При этом в СБУ не уточнили, по каким причинам вступление приговора в силу было отложено.
«В ходе досудебного следствия, которое проводил следственный отдел ГУ СБ Украины в Киеве, вина членов группировки была полностью доказана, а материалы криминального дела были переданы в суд», — говорится на сайте СБУ.
В то же время эксперты компании Group-IB сообщили, что исходный код известного банковского трояна Carberp оказался доступным в Интернете. Размер архива составляет 5 Гб, а продается он по цене 5 тыс. долларов.

Половина банков игнорируют чип

Банк России провел исследование состояния и перспективах внедрения платежных карт с микропроцессором стандарта EMV. В опросе приняли участие 83 кредитных организации, из них четыре входят в десятку лидирующих российских кредитных организаций по количеству банкоматов, пять респондентов входят в десятку лидеров по количеству электронных терминалов и пять – в десятку ведущих кредитных организаций по количеству банковских карт.
Выяснилось, что платежные карт с микропроцессором стандарта EMV не выпускает половина банков из числа опрошенных. Треть кредитных организаций ответили, что осуществляют выпуск частично и 16,9% — что осуществляют полностью. 92,8% банков указали основным мотивом перехода на чип улучшение состояния системы защиты информации при переводах денежных средств
В частности, в июле о прекращении выпуска карт, не оборудованных чипом, заявил Волго-Вятский банк Сбербанка России. Сейчас вся сеть устройств самообслуживания и торгово-сервисных точек Сбербанка может принимать карты с чипом, что позволяет проводить операции именно по чипу, а не по магнитной полосе, которая также остается на карте, в соответствии с требованиями платежных систем.





Новости Релизы
Сейчас на главной

ПЕРЕЙТИ НА ГЛАВНУЮ