В условиях беспрецедентного роста количества атак на финансовую отрасль, а также на иные объекты критической инфраструктуры (КИИ) страны, последовавшего после февраля 2022 года, выяснилось, что без объединения усилий финансистов, телекомов, а также государственных учреждений не обойтись. Важно и то, что кроме собственно банкиров и связистов этот факт стал очевиден и регуляторам, и законодателям. Поэтому и на трибунах, и в залах можно было увидеть депутатов Государственной думы, сенаторов, а также представителей нефинансовых регуляторов, например из отрасли связи.

Связисты задали тренды

Неудивительно, что именно директору департамента обеспечения кибербезопасности Минцифры Владимиру Бенгину принадлежали наиболее резонансные заявления. В частности, в ходе сессии «Взаимодействие операторов связи с кредитно-финансовой сферой и противодействие мошенничеству» он объяснил банкирам, что идея сделать телефонный номер универсальным идентификатором клиента банка является далеко не лучшей. Дело в том, что изначально сети связи общего назначения, а потом и мобильные сети никак не были защищены на архитектурном уровне от того, что сейчас называется подменой номеров.

Владимир Бенгин (Минцифры). Фото: Уральский форум «Кибербезопасность в финансах»

Чтобы эта защита появилась, потребовались немалые усилия регуляторов и колоссальные инвестиции операторов мобильной связи. Основная идея этих изменений заключалась в том, чтобы появилась такая доверенная среда, в которой конкретный абонент сотового оператора был уверен в том, что он общается с конкретным финансовым учреждением, и наоборот. Ситуация вышла на нужную траекторию лишь благодаря совместным усилиям Минцифры, Роскомнадздора и Главного радиочастотного центра, который на этой секции представлял Сергей Хуторцев, директор Центра мониторинга и управления сетью связи общего пользования этой организации.

Сергей Хуторцев (Главный радиочастотный центр). Фото: Уральский форум «Кибербезопасность в финансах»

Он рассказал о том, что в начале 2023 года Роскомнадзор запустил платформу «Антифрод» для борьбы с телефонным мошенничеством и для блокировки звонков и СМС-сообщений с подменных номеров. «В настоящий момент к системе подключились четыре крупных оператора. До конца этого года планируется подключение всех оставшихся операторов телефонной связи в России. Около 90% вызовов должно быть верифицировано. После подключения к системе всех операторов связи подменить номер в России будет невозможно технологически», — отчитался перед банкирами Сергей Хуторцев.

Сергей Хренов («МегаФон»). Фото: Уральский форум «Кибербезопасность в финансах»

Однако Сергей Хренов, директор департамента предотвращения мошенничества и потерь доходов компании «МегаФон», и Петр Алферов, директор по управлению фродом компании «Билайн», огорчили зал статистикой, которая говорит о том, что с уменьшением доли мошенничества с подменных номеров растет новая угроза, которая исходит со стороны мессенджеров, главным образом от WhatsApp. Дело в том, что звонок в мессенджере на смартфоне по внешнему виду трудно отличить от телефонного вызова. Люди в своем большинстве не видят разницы, однако она есть: мессенджеры не используют инфраструктуру голосовой связи телеком-операторов, поэтому связисты практически никак не могут ограничить вал мошеннических вызовов по этому каналу. Кроме того, WhatsApp принадлежит структуре из недружественной страны, поэтому исключить намеренные утечки данных из него нельзя.

ФОТО

Петр Алферов («Билайн»). Фото: Уральский форум «Кибербезопасность в финансах»

Все это дало Владимиру Бенгину повод для крайне тревожного для банкиров заявления: «Минцифры выступает против оказания банковских услуг через мессенджеры».

У банкиров есть предложения

Что касается финансового регулятора, то свою позицию в лице Андрея Борисенко, заместителя директора юридического департамента Банка России, он четко обозначил в сессии «Нормативное регулирование и стандартизация информационной безопасности и операционной надежности». Модератором дискуссии выступил Андрей Емелин, председатель НСФР. В зале присутствовал и Анатолий Аксаков, председатель Комитета Государственной думы по финансовому рынку, который имел возможность кратко донести позицию законодателей.

Андрей Борисенко (Банк России). Фото: Уральский форум «Кибербезопасность в финансах»

В первую очередь речь зашла о внесенном в Госдуму в сентябре 2022 года проекте поправок в ст. 8 и 9 Федерального закона «О национальной платежной системе», регулирующих работу межбанковской системы антифрода. По словам Андрея Борисенко, предлагается расширить понятие «операции, совершаемые с добровольным согласием клиента», чтобы включить в юридическое поле операции, совершаемы людьми под воздействием на них социальной инженерии. К сожалению, нередко физическое лицо добровольно передает мошенникам логины и пароли, а порой снимает со своего счета денежные средства и вносит их посредством банкомата на счет преступников. Понятно, что человек находится под внешним влиянием на него, но ногами до банкомата он доходит по своей воле, т.е. согласие есть, но оно вынужденное.

Андрей Емелин (НСФР). Фото: Уральский форум «Кибербезопасность в финансах»

Второе, что меняют поправки, это разделение моментов, когда банк обязан осуществить проверку на наличие или отсутствие признаков попытки перевода без добровольного согласия клиента на это. Сейчас ст. 8 Закона такого разделения не содержит. Теперь Банк России разделяет эти моменты: когда операция совершается при помощи карт или СБП, то такая проверка будет осуществляться до приема поручения, а при осуществлении платежа классическим способом — как и ранее. Это очень важно в связи со скоростями, присущими новым электронным средствам платежей.

Следствием такого разделения станут различия в действиях банков: либо приостановка платежа на два дня, либо отказ от исполнения вообще. Кроме того, изменяются механизмы извещения клиентов банками о статусе перевода. При этом, если клиент в течение двух рабочих дней не подтвердит желание осуществить перевод, то в случае принятия поправок законодателями банк прекратит процесс перевода. Есть и другие нововведения, но все они направлены на то, чтобы минимизировать риски социальной инженерии.

Александр Стремоусов (Tinkoff). Фото: Уральский форум «Кибербезопасность в финансах»

Кроме того, на этой секции обсуждали событие, которое, по словам Андрея Емелина, может претендовать на «явление, близкое к уникальному». Речь шла об инициативе Тинькофф Банка, с которой он вышел на уровень регуляторов, представив довольно хорошо проработанное предложение скоринговой платформы по счетам. Об этом имел возможность рассказать Александр Стремоусов, руководитель управления сопровождения бизнеса Tinkoff.

Данил Трофимов (ВТБ). Фото: Уральский форум «Кибербезопасность в финансах»

Данил Трофимов, заместитель руководителя департамента интегрированного управления рисками, вице-президента Банка ВТБ, в свою очередь, доказал, что ИБ — крайне многогранное понятие, постепенно интегрирующееся с операционными рисками и операционной стабильностью банка.

Вадим Уваров (Банк России). Фото: Уральский форум «Кибербезопасность в финансах»

Что главное в секциях первого дня? Отсутствовал самообман по поводу реального уровня ИБ, зато были предложения по развитию систем безопасности, основанных на использовании отечественной научной школы на базе межотраслевых платформенных решений, например ЕИС ПСА (Единой информационной системы проверки сведений об абонентах). Эту мысль продолжил Вадим Уваров, директор департамента информационной безопасности Банка России, в рамках своей сессии. Обещал всячески поддержать коллег и Анатолий Аксаков.