Банковское обозрение (Б.О принт, BestPractice-онлайн (40 кейсов в год) + доступ к архиву FinLegal-онлайн)
FinLegal ( FinLegal (раз в полугодие) принт и онлайн (60 кейсов в год) + доступ к архиву (БанкНадзор)
Четыре из пяти выведенных со счетов рублей попадают в карманы злоумышленников совершенно безнаказанно
Атаки методами социальной инженерии (СИ) создали огромную воронку, в которой пропадает более 80% всех денег, похищаемых злоумышленниками со счетов физических лиц. Никаких средств защиты от СИ (кроме повышения бдительности) банковским клиентам не предлагается, а вся система банковской безопасности при СИ работает почти вхолостую — каждые четыре из пяти выведенных со счетов рублей попадают в карманы злоумышленников совершенно безнаказанно, не встречая какого-либо противодействия.
Самое печальное, что основные участники борьбы с хищениями в сфере платежей не заинтересованы противодействовать «социальным инженерам». МВД по традиции с такого рода преступниками не работает, ссылаясь на быстротечность преступления, отсутствие доступа к инфраструктуре банковских сетей, а также на несовершенство законодательства, например, в части Закона о банковской тайне.
Парадокс, но и сами банки не заинтересованы менять ситуацию. В центре внимания топ-менеджеров банка всегда остается прибыль, которая является мерилом эффективной работы любой кредитно-финансовой организации (пусть даже в ущерб требованиям ИБ). За хищения методами СИ банк не несет никакой ответственности — ни одного случая возврата средств клиенту в рамках требований ст. 9 Закона № 161-ФЗ пока не зарегистрировано. Если же банк по своей инициативе вдруг захочет противодействовать атакам СИ (усложнит доступ к счету многочисленными проверками, введет изощренную систему антифрода и пр.), то и сам может пострадать — подавляющее число пользователей не любит сложные процедуры платежей, и были примеры, когда изощренные системы ДБО вызывали отток клиентов.
Компании, предлагающие на рынке услуги аутсорсинга в сфере ИБ, задачи противодействия атакам СИ также серьезно не рассматривают. Какие к нам возможны претензии, если клиент добровольно сделал тот или иной перевод?
Возможно, ситуацию изменила бы коррекция законодательства в части ст. 9 Закона № 161-ФЗ. Эта странная по конструкции статья (плод многочисленных компромиссов при ее появлении) выхолостила защитные функции в отношении прав клиентов и при атаках СИ практически бесполезна.
Напомним, что ст. 9 в случае хищения возлагает на банк бремя доказательства нарушений со стороны клиента в порядке пользования инструментом платежа. Этим уже подразумевается презумпция вины банка в отсутствие должной защиты средств. Противоречивость статьи — в том, что банк не имеет возможности представить юридически корректные доказательства вины клиента и даже не вправе этим заниматься. Банк, являясь заинтересованным лицом, не является органом следствия, он не имеет права осуществлять оперативно-розыскную деятельность, проводить дознание в отношении действий клиента, собирать о нем информацию и пр. Кроме того, банк не полностью контролирует всю ситуацию с хищениями, например, в части устройств, используемых клиентом при проведении операций по ДБО, поэтому многие «доказательства», собираемые банком в рамках ст. 9, достаточно эфемерны. При этом у недобросовестного злоумышленника всегда остается масса возможностей сделать так, что банк не сможет доказать его вину. В итоге в рамках существующей версии ст. 9 честный клиент не защищен, а злоумышленник, напротив, имеет возможности для мошенничества.
В борьбе с СИ давно пора сменить базовые парадигмы диспозиции ст. 9. Необходимо исходить из того, что банк мог и обязан был предположить, что клиента введут в заблуждение методами СИ, особенно если клиент «среднестатистический», а стало быть, недостаточно грамотный. Важно ограничивать его возможности по переводу средств, когда сумма перевода начинает возрастать. Иными словами, основой борьбы с СИ должен стать риск-ориентированный подход, предполагающий максимальное снижение статистически ожидаемых потерь при сохранении достаточного уровня качества сервисов.
Основой борьбы с СИ должен стать риск-ориентированный подход, предполагающий максимальное снижение статистически ожидаемых потерь при сохранении достаточного уровня качества сервисов
Необходимо срочно подготовить и принять новые стандарты ИБ в системах дистанционных платежей, которые заставляли бы банк ограничивать суммы транзакций (снижать лимиты) дифференцировано, в зависимости от рисков, зависящих, в свою очередь, как от вида операции, так и от уровня надежности методов аутентификации и подтверждения операций по счету (МАП). Например, для МАП, при которых возможны атаки методами СИ, лимиты должны быть меньше. Правильно будет, если новый стандарт ИБ обяжет предлагать клиентам как набор разных МАП, так и возможности самостоятельно управлять своими лимитами. Доступный набор МАП должен быть таким, чтобы клиенту было комфортно, удобно и, конечно, безопасно работать с любыми суммами. По умолчанию все лимиты должны быть достаточно низкими, однако клиент должен иметь возможность самостоятельно поднимать их до некоторого максимального уровня, ограниченного банком.
Формального и полного описания предлагаемых процедур безопасного обслуживания до сих пор не создано. Конечно, есть требования к безопасности ДБО в Положении 382-П, но они касаются общих вопросов обеспечения защиты информации. Имеющиеся несколько пунктов, затрагивающих процедуры доступа клиента по каналам дистанционного доступа, механизмы идентификации, аутентификации и подтверждения операций (п. 2.8.2, 2.8.3, 2.8.7, 2.8.8) не работают в случае СИ. Как результат в случае хищений с помощью СИ спрашивать сегодня с банка формально не за что — он не нарушает ни единого требования, прописанного в нормативно-правовых актах. Стандартов и требований, ограничивающих стремление банка упростить использование сервисов ДБО (здесь имеются в виду ДБО, а не карты) в ущерб безопасности клиента, также не существует. Отсутствие должной нормативной базы и, конечно, неграмотность среднестатистического клиента банка дает мошенникам возможность успешной реализации атак типа СИ.
Помимо ограничений, касающихся операций по счету, будет правильным предоставлять «продвинутым» клиентам набор инструментов, при помощи которых они могли бы самостоятельно минимизировать риски. Запросов на эту тему у клиентов много — например, в части выделения отдельного счета для хранения «больших» сумм. Целесообразно, если клиент будет иметь возможность открывать счета с разным уровнем защиты, в том числе с полным отсутствием инструментария ДБО. То же самое справедливо и в отношении карточных продуктов. Любая «кредитка» с лимитом в 1 млн рублей и более, должна предполагать гибкие средства управления сублимитами со стороны клиента, клиент должен иметь возможность не «светить» карту с большим лимитом.
Таким образом, сегодня при хищениях методами СИ между тремя действующими сторонами — банком, клиентом и государством в лице Законодателя — сложились нелепые отношения, в которых клиент всегда прав, но в действительности всегда виноват и не защищен, банк всегда виноват, но сделать с ним клиент ничего не может, ну, а Законодатель уверенно гарантирует, что сделано все достаточное для того, чтобы защитить клиента и прекратить хищения. Эту конструкцию надо срочно менять. На смену ей должна прийти простая конструкция, основанная на двух постулатах — есть нормативные требования, которые в случае их исполнения обеспечивают оптимальный уровень защиты как клиентов, так и банков от действий злоумышленников, есть и ответственность за невыполнение этих требовании.
Выравнивание и облечение условий конкурентной борьбы банков за новых клиентов — такая сверхзадача стоит перед новыми инфраструктурными проектами ЦБ — «Маркетплейс» и Система быстрых платежей. Должны ли сами объекты инфраструктуры становиться предметами конкурентной борьбы за их создание? Не приведет ли новая инфраструктура от Центробанка к еще более искусственной госмонополии, чем Сбербанк?
Для противостояния киберугрозам в России не хватает примерно 50 тыс. специалистов по информационной безопасности. Предлагаем присмотреться к явлению — найти его причины, уточнить, в каких ИБ-специалистах есть потребность и глазами экспертов взглянуть на готовность вузовских выпускников
2 октября 2024 года ОТП собрал на своем вечернем приеме журналистов в Музее русского импрессионизма. Здесь в неформальной атмосфере топ-менеджеры банка рассказали о том, почему для банка важно общаться со СМИ и что они по-прежнему остаются «четвертой властью»
Первые государственные банки располагались в бывших частных домах и даже на монастырском подворье, а первое здание, построенное специально для банка, появилось в 1783 году по Указу императрицы Екатерины II о строительстве в Санкт-Петербурге Ассигнационного банка
В рамках акции банк перечисляет один рубль за каждую покупку еды в супермаркетах, кафе и ресторанах в период с 30 сентября по 30 октября 2024 года в благотворительный фонд «Дари еду» на развитие проекта «Социальные кухни»