10 июля, 2012, BIS Journal №3(6)/2012

В мечтах о безопасном ДБО


Кашенкова Елена

Редактор-обозреватель (BIS Journal)

Кредитно-финансовые организации поддерживают намерения Банка России аккумулировать и анализировать оперативную информацию об уровне безопасности национальной платежной системы

7 июня в Москве состоялась летняя сессия Уральского форума — Межбанковская конференция «Вопросы обеспечения безопасности национальной платежной системы и дистанционного банковского обслуживания». Лейтмотивом обсуждения стала необходимость обмена информацией о попытках хищений в системе электронных платежей, сведениями об инструментарии, персоналиях и организациях IT-злоумышленников. Участниками выстраиваемой системы информационного обмена станут сами банки, Банк России как ключевой государственный регулятор и другие органы надзора и контроля, а также правоохранительные органы.

РЕГУЛЯТОР ОБРЁЛ ПОЛНОМОЧИЯ

Организаторами мероприятия традиционно выступили Ассоциация российских банков (АРБ) и НП «АБИСС», официальную поддержку оказал Банк России при участии ФСБ России, ФСТЭК России и Роскомнадзора. Представитель Банка России А.П. Курило, открывая конференцию, рассказал о подготовке документов Банка России по информационной безопасности, конкретизирующих выполнение требований федерального закона «О национальной платежной системе».

Информация была самая актуальная, поскольку Андрей Петрович, прежде занимавший в Банке России пост заместителя начальника Главного управления безопасности и защиты информации (ГУБиЗИ), в связи с внутренними перестановками и организационными изменениями стал заместителем директора департамента регулирования расчётов. По его словам, федеральный закон ФЗ-161 «О национальной платежной системе» (НПС) серьёзно изменил ситуацию как в регулируемой среде — кредитно- финансовой сфере, так и в самом Банке России.

ГУБиЗИ отныне будет в большей степени концентрировать свои усилия на обеспечении информационной безопасности структур самого Банка России. А вот департамент регулирования расчётов будет осуществлять надзор и наблюдение за другими кредитно-финансовыми организациями, а также разрабатывать нормативные документы, регламентирующие безопасность и бесперебойность всей национальной платёжной системы.

Впервые описав всю сложную и многовариантную среду национальной платёжной системы, федеральный закон ФЗ-161 предоставляет Банку России прекрасные возможности повысить эффективность регулирующей деятельности. В национальной платёжной системе присутствует много субъектов, которые играют разные роли и связаны различными взаимоотношениями. Сам закон носит не жесткий, а полифонический характер, и, являясь рамочным, задаёт лишь общие правила игры.

Такова и мировая практика: коллеги из центральных банков других стран, в том числе Банка Англии и Федеральной резервной системы США, озадачены точно такими же вопросами безопасности: всех беспокоит полифония и изменчивость платёжной среды. К ней не подходят жёсткие и простые правила регулирования, которые бы сделали её примитивной, негибкой, неэффективной и неконкурентоспособной.

ФЗ-161 наделил Банк России полномочиями регулировать национальную платёжную систему России. Раньше подразделения банковского надзора и государственного регулирования рассылали по отрасли инструкции и рекомендации, вырабатывали и продвигали стандарты информационной безопасности. Ситуация радикально изменилась: Банк России получил прямые права нормативно регулировать платёжную сферу.

А.П. Курило выразил сожаление, что пока сохраняется неоднозначное восприятие стандартов, к которым отечественные юристы пока не сформулировали своё отношение. «Мы не представляем, какова сфера действия стандарта, какая ответственность при его использовании. Этим наше общество сильно отличается от европейского: на Западе люди не делают разницы между стандартом и нормативным актом. Для нашей среды, видимо, необходимо нормативное регулирование», — пояснил Андрей Петрович.

Закон о национальной платёжной системе России вступает в силу поэтапно. Очередная дата — 1 июля 2012 года, к которой Банк России тщательно разрабатывал 43 нормативных документа. В том числе 2 — по информационной безопасности. Сверхзадачей разработчиков было не навредить, не создать массовых рисков несоответствия участников платёжной системы предъявляемым требованиям.

Поскольку предъявлять требования без контроля их исполнения не имеет смысла, была разработана соответствующая методика и шкалы степеней соответствия. А.П. Курило заверил сотрудников банковских подразделений информационной безопасности: разработанные на основе закона о национальной платежной системе новые нормативные акты преемственны принятым ранее, в том числе и стандартам Банка России.

ПОДОТЧЁТНЫМИ СТАНУТ ВСЕ

Предъявляемые требования должны дополняться правилами оценки выполнения и сбором отчётной информации по всей отрасли. А.П. Курило подтвердил, что Банк России будет собирать отчётность о выполнении требований, на основании которой можно делать выводы о достигнутой степени соответствия им. Отчётность будет использоваться для организации надзора за субъектами национальной платёжной системы всех типов, и за кредитными организациями, и за прочими участниками.

С кредитными организациями, коих большинство, дело проще: продолжает оставаться в силе традиционная процедура предоставления сбора отчётности, дополненная информацией о выполнении требований участия в национальной платёжной системе. Иначе дело обстоит с оставшимися субъектами — операторами электронных денег, платёжными системами банковских карт и другими организациями. Раньше их отчётность Банк России не собирал, но теперь будет.

Появляется форма отчётности субъектов национальной платёжной системы об инцидентах и правонарушениях в сфере электронных платежей. Банки будут сдавать в течение 10 дней с момента окончания очередного месяца отчёт об инцидентах в сфере информационной безопасности. «Это конфиденциальная информация, но её нужно собирать, чтобы, наконец, появились объективные данные, что происходит в стране в этой сфере», — твердо заявил А.П. Курило.

В Банке России поставлена задача в течение 1 года создать технологию обмена информацией со всеми субъектами национальной платёжной системы посредством специального портала, надёжно защищенного от несанкционированного доступа. Такая система заработает, предположительно, 1 июня 2013 года и послужит каналом не только передачи отчётности и анкет, но и обмена более широкой информацией. Правда, в виртуальном режиме онлайн, чтобы соблюдать требования безопасности.

Возникает вопрос: как быть со стандартом информационной безопасности банков. «Неужели «любимая жена» стала нелюбимой? Нет. Эти документы аккумулируют лучшие отечественные и мировые практики. На их базе развиваются нормативные документы», — подчеркнул Андрей Петрович. Что касается защиты персональных данных, то, возможно, придётся выполнять технические требования, установленные Правительством России.

А.П. Курило ещё раз напомнил азбучную истину: целью компьютерной преступности являются, прежде всего, денежные средства. Потери имиджа, отказ в обслуживании — в настоящее время вопросы второго порядка. Именно поэтому Банк России просит участников национальной платёжной системы с должным пониманием отнестись к важности обеспечения информационной безопасности. Существенным элементом эффективного управления этой деятельностью является отлаженная и чётко работающая система обратной связи — сбора отчётности.

Департамент регулирования расчетов не уклоняется от взаимодействия с банками, напротив, планирует проводить мероприятия и в регионах, обеспечивать взаимодействие с кредитными организациями, регуляторами, центральными аппаратами. Такая обширная работа поможет выстроить сбалансированную систему, способствующую выполнению цели, поставленной руководством страны, — развитию банковской системы и, в целом, экономики страны.

Говоря о надзоре за операторами электронных денег, позицию регулятора пояснил М.Е. Карлик — начальник отдела мониторинга розничных платёжных услуг департамента регулирования расчетов Банка России. Регулирование национальной платёжной системы — новая задача Банка России. Базовой в России является банковская модель электронных денег и расчётов, регулируемая достаточно строго. Подобные нормы регулирования постепенно начнут применяться и к небанковским организациям — операторам электронных денег.

ОБШИРНЫЙ ПЕРЕЧЕНЬ НОВШЕСТВ

О целях и задачах Некоммерческого партнёрства «Национальный платежный совет» рассказал его президент А.В. Емелин. Партнёрство учредили в феврале 2012 года 8 крупных российских и международных компаний — Сбербанк России, Банк ВТБ, «Альфа-банк», Дойче Банк, Промсвязьбанк, ОАО «Вымпел-Коммуникации», КБ «Юнистрим» и межбанковская платежная система ЗАО «Золотая Корона». Представители различных сегментов рынка объединились, чтобы создать площадку для обсуждения вопросов, касающихся всех участников национальной платежной системы.

Также Андрей Викторович отметил открытость Банка России для сотрудничества в подготовке нормативных документов, регулирующих национальную платёжную систему. Ключевой регулятор отрасли проводит многочисленные консультации с представителями всех участников. Следует ожидать, что разрабатываемый пакет документов действительно будет способствовать развитию отрасли.

Исполнительный директор АРБ В.В. Шипилов поделился своим видением влияния закона «О национальной платежной системе» на платежные технологии. Одна из крупных проблем отрасли — отсутствие системного подхода в развитии сервисов дистанционного банковского обслуживания (ДБО). Разработчиков много, и системы ДБО используются самые разные. Но эволюция международных платежных систем и их инструментария свидетельствует: на рынке выживают только те, которые поддержаны всей отраслью, а единичные обособленные разработки отмирают. Унификация, сопровождающая формирование национальной платёжной системы, уготавливает такую судьбу и системам ДБО, используемым в России.

Закон о национальной платёжной системе вынуждает пересматривать существующие бизнес-задачи и ставить новые, которые требуют своих IT-решений. Перечень новшеств, отвечающих требованиям нового закона, обширен, участникам национальной платёжной системы предстоит:

• соблюдать новые нормы российского законодательства в отрасли, включая касающиеся защиты персональных данных;
• выполнять требования к информационной безопасности стандарта Банка России и международного стандарта PCI/DSS, а также содержащиеся в других нормативных документах Банка России, в том числе к отчётности;
• создавать автоматизированные системы клиринга и электронных расчетов, в зависимости от применяемых схем, валовой или «чистой» позиции;
• обеспечивать отвечающее уровню значимости платёжной системы гарантированный уровень доступности и бесперебойности оказания услуг (включая применение систем мониторинга состояния терминалов и хостов, а также телекоммуникационных каналов);
• налаживать оповещение клиентов обо всех совершенных с его средствами операциях;
• выстраивать онлайн-мониторинг и управление рисками, включая проверку наличия надлежащих условий для участников субъектов платёжных систем, противодействие мошенничеству и отмыванию средств.

Главной темой выступления председателя Некоммерческого партнёрства «АБИСС» П.В. Гениевского было обеспечение взаимодействия с регулирующими и контрольными органами как кредитных, так и некредитных организаций — субъектов национальной платежной системы. Сообщество «АБИСС» переформатировано в некоммерческое партнерство, чьей задачей является оказание практической помощи банкам и другим участникам НПС в реализации требований Комплекса БР ИББС, федеральных законов «О персональных данных» и «О национальной платежной системе».

Павел Владимирович подчеркнул, что конечная цель — высокое качество работы, обеспечение безопасности. В случае, если кредитная организация достигнет соответствия всем действующим требованиям к системам информационной безопасности, доверие клиентов и инвесторов к ней, несомненно, возрастет.

В.М. Кузнецов, начальник отдела построения систем управления информационной безопасности ООО «КАБЕСТ», рассказал об особенностях построения комплексной системы защиты информации субъектов национальной платёжной системы. Новый взгляд на минимизацию рисков участников дистанционного банковского обслуживания представил М.С. Плахута, руководитель отдела поддержки продаж департамента информационной безопасности компании «Softline».

Опыт использования систем компании ORACLE в противодействии мошенничеству обобщил Р.Н. Бялькин, директор по работе с ключевыми клиентами. Заместитель начальника инженерно-технического отдела департамента информационной безопасности компании «Энвижн Груп» О.В. Ли представил систему обнаружения и предотвращения мошенничества в банковской сфере. А.Ю. Крючков, инженер ООО «Микротест», продемонстрировал технические решения защиты приложений ДБО. Также с докладами выступили представители компаний InfoWatch и ФОРС.

Нормативные вопросы обеспечения безопасности систем ДБО осветил А.Ф. Беликов, заместитель начальник управления информационной безопасности ОАО «Россельхозбанк».

СТОЛКНОВЕНИЕ ПОЗИЦИЙ

Завершило конференцию живое общение всех участников — «круглый стол» «Защита от мошенничества в системах ДБО. Что нового?». А.В. Чахеев, руководитель департамента информационной безопасности банка «Уралсиб», отметил: количество атак на банки увеличивается, количество и объёмы хищений растут. Раньше мошенники покушались на небольшие суммы, а теперь не стесняются красть миллионы. Примерно с середины прошлого года изменился способ мошенничества. Преступники поняли, что банки начали применять средства выявления мошеннических платежей. Поэтому теперь похищают учетные данные своих жертв, пытаются осуществлять операции с их компьютеров, а не со своих.

В последнее время значительно улучшилось взаимодействие банков. Обмен информацией о дроперах позволяет останавливать подозрительные платежи. Получив информацию из других банков, банк «Уралсиб» анализирует деятельность подозрительного клиента, проверяет его операции в системе клиент-банк. Если подозрения о мошенничестве подтвердятся, можно по цепочке выявить IP-адреса, которыми пользуются злоумышленники. Видя, что хакеры меняют схемы мошеннических операций, банк «Уралсиб» решил внедрить промышленную систему фрод-менеджмента вместо установленной ранее «самописной». Сравнение показало, что промышленные системы позволяют быстрее добиться более высоких результатов.

А.Ф. Беликов («Россельхозбанк») подчеркнул: лишь комплексный подход может привести к положительным результатам. Борясь с внешними угрозами, нельзя забывать о внутренних проблемах. Люди, увольняясь из банка, часто уносят с собой важную информацию, чего нельзя допускать. К счастью, правоохранительные органы поняли, что возникла организованная IT-преступность, которая угрожает всей стране.

На вопрос начальника управления информационной безопасности Банка Москвы В.А. Окулесского, как ловить тех, кто проводит кибератаки, последовал ответ А. В. Чахеева (банк «Уралсиб»): информации о личностях преступников нет, банк может только организовывать совместный с правоохранительными органами розыск. У банка нет полномочий самостоятельно вести оперативно-розыскные действия, он не может легально подключаться к ботнет-сетям, взламывать защиту и получать персональную информацию мошенников.

Из зала прозвучал вопрос об арестованных недавно двух хакерских группировках, которые похищали деньги с электронных счетов юридических лиц — клиентов Сбербанка России и физических лиц, обслуживающихся в банке ВТБ24. Разве это не говорит о повышении эффективности борьбы с IT-хищениями? А.Ф. Беликов с сожалением ответил, что «свято место» пусто не бывает, и вместо «выбывших из строя» хакеров можно ожидать пополнения из числа несознательных выпускников вузов. Здесь многое зависит от политики государства — талантливых студентов нужно своевременно трудоустраивать.

Однако, прибавил Александр Филиппович, нельзя ослаблять борьбу с правонарушителями, важную сдерживающую роль должна играть неотвратимость наказания за нарушение закона. В частности, нужно совершенствовать нормы Уголовного кодекса РФ, а также эффективно использовать уже существующие для банков возможности воздействовать на собственных недобросовестных клиентов. Например, возможности ФЗ-115 — противодействия отмыванию доходов и финансировании терроризма.

Проблема дроперов, — возразил В.А. Окулесский, — не самая острая, они, по сути, — расходный материал. Важнее внимание к исходному пункту хищения — атаке на компьютеры клиентов и сервера управления, нужно отслеживать все попытки несанкционированного доступа. Также следует иметь непосредственный контакт с управлением «К» БСТМ МВД России и сообщить клиенту, что если у него появилась платёжка, которую он не создавал, это говорит о том, что компьютер заражён. Банк должен объяснить клиенту, что если такое происходит, нужно писать заявление в милицию. Банк должен выдать инструкцию сотрудникам управления «К», тогда они всё делают изумительно, а в противном случае лучше и не начинать.

«Где можно взять такие инструкции?» — спросил Д.М. Осипов, начальник управления программного обеспечения «Кредит Европа Банк». Потому что не все юристы банков знают, с какими документами нужно обращаться в правоохранительные органы и в суд. А.Ф. Беликов ответил, что на основании документов, поступивших из БСТМ МВД России, такие методические рекомендации готовятся АРБ, и скоро у банков появится эффективный инструмент.

О давнем инциденте хищения в Москве 220 000 рублей у клиента поведала заместитель начальника управления безопасности екатеринбургского «ВУЗ-банка» Н.А. Шитова. Екатеринбургская полиция посчитала, что преступление совершилось в Москве, и направила клиента банка в столицу. После того, как раздосадованный клиент подал судебный иск, банк предложил сделать техническую экспертизу компьютера, проверить наличие вирусов. Но в то время сделать экспертное заключение, обладающее юридическим значением, не смогли ни управление «К» БСТМ МВД России, ни компании, занимающиеся криптографией. Недавние аресты обидчиков клиентов Сбербанка России и ВТБ24 показывают, что ситуация постепенно начала меняться в лучшую сторону.

ВОКРУГ ДБО: ХОРОВОД МНЕНИЙ

На «круглом столе» встал вопрос, задумывались ли банки о страховании систем ДБО. В.А. Окулесский признался, что такая тема в Банке Москвы обсуждалась, и для страховых компаний данная ниша тоже представляет интерес. Но банк и страховщик пока не смогли договориться, какие инциденты считать страховыми случаям и на основании каких доказательств. Является ли несовершенная попытка увода денег страховым случаем? С точки зрения банка — скорее да, а для страховой компании — однозначно нет.

Подозрение, что любой банк боится быть первопроходцем, высказал Д.Ф. Чалахян, начальник управления корпоративного банковского страхования страховой компания «Альянс». Стоит одному банку начать страховать риски ДБО, другие последуют его примеру. Импульс придаст вступление в силу ФЗ-161 «О национальной платежной системе», а у страховых компаний подходящий продукт для рынка уже готов. Страховщик готов платить по всем случаям, в которых отсутствует вина страхователя, за исключением форс-мажорных обстоятельств. Конкретные юридические формулировки будут обсуждаться с каждым банком.

Яркое описание реакции клиентов на кражу средств дал Н.Д. Яковлев, начальник управления информационной безопасности ОАО «АИКБ «Татфондбанк». Очень часто потерпевшие вообще отказываются взаимодействовать с банком, что не может способствовать ответному доверию. Востребованы технические средства, которые помогли бы распространить доверенную зону на клиентов без особого для них обременения.

Участник дискуссии, не назвавший себя, репликой из зала возразил: даже клиент, обладающий высокой квалификацией в сфере информационной безопасности, подвергается рискам хищения средств. Пример — история профессионала-безопасника IT-компании, который использовал систему банк- клиент для юридических лиц на своём рабочем компьютере, а не на специально выделенном для ДБО. Несмотря на лицензионную операционную систему и отсутствие заходов на «левые» сайты, полное сканирование антивирусом выявило заражение троянской программой Carberp. К сожалению, токены пока не защищают от этого коварного вируса.

Участники конференции сошлись на том, что нужны мощные системы мониторинга онлайн, адаптированные к российским условиям, способные выявлять среди большого количества приостановленных подозрительных платежей по-настоящему мошеннические. Хотелось бы, чтобы разработчики, IT-компании, взялись за этот «социальный заказ» и выполнили его. А до тех пор, в самом деле, вся надежда — на результаты сбора и анализа Банком России оперативной отчётности об уровне информационной безопасности участников национальной платёжной системы РФ.

 

Смотрите также

Омский старт

5 июня, 2012
Подпишись на новости!
Подписаться