Под защитой – добросовестность

В работе над федеральными законами, регулирующими информационную безопасность кредитно-финансовой сферы, есть свои трудности, связанные с быстрым развитием IT-сервисов, расширением индустрии и клиентской базы, ростом перечня проблем, угроз и рисков. В связи с этим в законодательной работе по совершенствованию нормативно-правовой базы существует целый ряд сложностей, преодоление которых требует совместного согласованного взаимодействия законодателей, регулирующих органов и кредитно-финансовых организаций.

К ГАРМОНИЗАЦИИ НОРМ

Говоря о проблемах совершенствования законодательства, сразу можно привести пример актуальной проблемы    – обеспечения безопасности персональных данных в кредитно-финансовой сфере. Одной из важных задач является детализация и конкретизация областей применения установленных законом требований защиты персональных данных. Трудность в том, что в действующих законах встречаются нормы, которые могут противоречить друг другу.

В частности, налицо несоответствие друг другу положений двух федеральных законов РФ, № 152-ФЗ «О персональных данных» от 27 июля 2006 года и №395-1-ФЗ «О банках и банковской деятельности» от 02 декабря 1990 года. В частности, отдельного разговора требует вопрос соотношения понятий «банковская тайна» и «персональные данные». Другой пример – требования международных платёжных систем, которые соответствуют стандарту PCI DSS, но часто вступают в противоречия с национальными стандартами, в том числе российскими. С подобными проблемами сталкиваются и государственные органы, и кредитно-финансовые организации.

Далее, закон не может содержать подробную регламентацию действий на все случаи жизни, что порождает неприятные для банков и их клиентов правовые коллизии. Специалисты по информационной безопасности банков аккумулируют обращения клиентов, ставших жертвами мошенников, причём далеко не всегда в связи с хищением банковских карт или их данных. Расследование инцидентов показывает, что клиенты – владельцы банковских карт – сами часто проявляют беспечность, не подключая услугу SMS-информирования обо всех операциях по карточному счёту. Или же своевременно не реагируют на сообщения о несанкционированном снятии денег или покупках в другой стране.

Проблема и в том, что законодатели не могут оперативно поспевать за всеми изменениями реалии, «в режиме онлайн» это просто невозможно. Но периодически совершенствование законодательства приводит нормативно-правовую базу в соответствие с назревшими практическими потребностями. Хорошим подспорьем в преодолении нестыковок норм различных законов является постоянный диалог государственных регуляторов и банков. Причём по довольно широкому спектру вопросов регулирования, организации контроля и проведения проверок обеспечения безопасности персональных данных.

Порознь трудно решать, например, такой частный вопрос как определение оптимальной формы контроля процесса внедрения методик, которые позволяют банку прогнозировать угрозы и оценивать риски информационной безопасности. Потребность во взаимодействии испытывают и разработчики законодательной базы, для которых важна обратная связь, учёт сигналов и инициатив, поступающих из банков.

СОВЕРШЕНСТВОВАТЬ УГОЛОВНЫЙ КОДЕКС

В последнее время массовыми стали требования совершенствовать статьи уголовного законодательства, квалифицирующих преступления в сфере электронных расчётов. Речь идет об изменении определений ст.159 Уголовного кодекса РФ «Мошенничество», которое позволило бы более чётко квалифицировать и карать преступников, совершающих хищения чужих денег в электронных системах платежей при помощи «высокотехнологичного» инструментария.

Другая проблема правоохранительных органов в том, что в настоящее время расследование киберпреступлений должно проводиться по месту физического получения мошенником денежных средств. Но если деньги переведены и снимались в разных городах, за тысячи километров друг от друга, приходится передавать дела в разные территориальные органы внутренних дел.

Тем самым следственные действия децентрализуются, значительное время уходит на передачу материалов от одного подразделения другому, что резко снижает возможности оперативно задержать преступников. Поэтому логично было бы изменить правовую норму, определив местом преступления, совершённого с использованием средств удаленного доступа, расположение банка, со счёта которого произошло незаконное списание денег.

Вопросов реформирования уголовного законодательства много, формулировки ответственности за преступления в сфере компьютерной информации пора привести в соответствие с сегодняшней практикой. Хочется надеяться, что депутатам Государственной думы РФ в самой близкой перспективе удастся сделать это, закрыв наметившиеся бреши в Уголовном кодексе РФ. Внесение необходимых изменений позволит существенно облегчить расследование киберпреступлений в финансовой сфере, тем самым критически повысив риски злоумышленников.

Отдельная важная тема – выработка единого механизма взаимодействия в борьбе с «высокотехнологичными» правонарушениями кредитно-финансовых организаций между собой и с правоохранительными органами. Многие представители банков акцентируют внимание на отсутствии в настоящее время чёткого механизма блокирования сомнительных или явно незаконно переводимых денежных средств.

Решать вопросы можно будет путём закрепления, возможно, положениями федерального закона, механизма, допускающего в ряде случаев такую приостановку сомнительного электронного платежа, с возможностью последующего возврата средств хозяину. Также для таких случаев должны быть определены процедуры взаимодействия плательщика, банка плательщика и банка получателя, а также Банка России, правоохранительных и других компетентных органов.

Возможно, именно в федеральном законе потребуется прописать порядок действий банка-плательщика, предпринимаемых при получении заявления клиента о не санкционированном им списании денежных средств с его счёта. Таким же образом нужно будет конкретизировать процедуры и сроки реагирования банков при инцидентах в сфере электронных платежей. В частности, как быстро банк-получатель, получив от банка- плательщика документальный запрос о возврате оспариваемого платежа, должен вернуть средства либо документально отказать, указав причины.

ОБЕЗОПАСИТЬ ПЛАТЁЖНЫЕ КАРТЫ

В последнее время, в связи с быстрым ростом количества мошенничеств с пластиковыми картами, банковское сообщество живо обсуждает меры усиления защиты средств клиентов. Налицо быстрое увеличение не только количества платёжных карт в обращении и доли безналичных оплат товаров и услуг, но также и активности киберпреступников. Статистика показывает: количество случаев мошенничества с банкоматами и банковскими картами в России за последний год выросло в 9 раз.

В I квартале 2012 года было зафиксировано столько же случаев скимминга, то есть сканирования данных карты для использования средств при помощи поддельного дубликата или электронного образа карты, сколько за весь 2011 год. Если в 2008 году потери от хищений, по данным платёжных систем Visa и Mastercard, составили 762 млн рублей, то в 2011 году – уже почти 2,4 млрд рублей.

Следует учитывать, что это не все потери: статистика составляется на основании обращений клиентов, которые опротестовывали операции по своим картам. Также не полны данные МВД России, согласно которым среди всех финансовых киберпреступлений доля хищений карточных средств составила за первую половину 2011 года всего 0,15%.

Частично это объясняется тем, что взаимодействие правоохранительных органов и банков разных стран при расследовании подобных инцидентов не урегулировано. Если платёжная карта выпущена в России, а сомнительная операция совершена за границей, то преступление считается совершенным «у них», а не у нас. Подобным же образом, когда мошеннические операции совершаются на территории России с картой иностранного банка, заявления в правоохранительные органы подаются редко. В таких случаях многие банки США не утруждают себя даже проведением внутренних процедур расследования, а просто списывают средства на невозвратные потери.

Пытаясь обезопасить себя и клиентов от мошенничеств, российские банки выводят на рынок новую услугу – страхование от кражи платёжных карт. Предполагается, что, в случае хищений денег в результате несанкционированного доступа к карточному счёту, полис покроет ущерб. Как правило, страховая компания обещает покрыть убытки не только при краже, но и при утере карты.

Однако этот страховой продукт пока не гарантирует полного возмещения средств. Страховыми случаями признаются авторизованные операции по застрахованной карте, совершённые с момента утраты до блокировки карты. Каждый из страховщиков устанавливает свой временной порог и предел возмещения ущерба от несанкционированных операций по карте.

Чаще всего это 48 часов до момента блокировки карты в случаях её потери или кражи. По транзакциям, совершённым при помощи банкоматов, «страховое» время короче – 2 часа. Кроме того, не все страховщики готовы покрывать убытки, понесённые в результате таких видов мошенничества как фишинг – хищения карточных данных через интернет с компьютера клиента.

Трудно предсказать, насколько популярным продуктом станет страхование рисков использования платёжных банковских карт. Представляется, что без прямого участия банка-эмитента вряд ли стоит рассчитывать на особенный успех.

Обеспечение безопасности электронных расчётов – задача, в первую очередь, банка, его конкурентное преимущество. Именно банк должен первым принимать информационные риски на себя, избавлять клиентов от лишней «головной боли».

ЗАКОН НА СТОРОНЕ КЛИЕНТА

В последнее время подвергается широкой критике п.15 ст. 9 федерального закона № 161-ФЗ от 27 июня 2011 года «О национальной платежной системе», вступающий в силу в январе 2013 года. Новая норма обязывает операторов перевода денежных средств, в том числе банки, возмещать клиенту сумму, несанкционированно списанную с его счёта. Считают, что это ухудшит негативную статистику, будет способствовать увеличению случаев мошенничества с банковскими картами.

Насколько оправданы такие пессимистические прогнозы? До принятия закона «О национальной платежной системе» сложилась ситуация, при которой клиент нёс практически все риски использования банковской карты. Если деньги украдены, судебная власть руководствуется, прежде всего, условиями договора банковского обслуживания. Увы, в российской практике было мало случаев, когда требования клиентов удовлетворялись и деньги возвращали владельцу.

Клиент как заведомо слабая сторона договорных отношений с банком обычно проигрывал. Владелец карты, как правило, не имеет возможности доказать, что кража средств произошла не по его вине. Напротив, у банка есть и технические, и юридические возможности выиграть суд. Именно поэтому законодатели встали в вопросах возмещения убытков, вызванных кражей средств с карты, на сторону клиента.

Закон «О национальной платёжной системе» четко обозначил: основная ответственность за случаи хищения средств клиента лежит на банках. Норма этого закона и решение главного отраслевого регулятора, Банка России, обязали банки своевременно уведомлять клиентов о каждой проведённой операции по их счетам. Включая операции посредством любых систем дистанционного банковского обслуживания, в том числе совершаемые посредством банковских карт и различных систем доступа к электронным кошелькам.

Порядок и способ доведения до сведения клиентов этой информации – посредством звонка по телефону, SMS-сообщений, электронной почты или других каналов связи – устанавливается кредитной организацией в договоре с клиентом. В случае не информирования об операции банк обязан возместить клиенту сумму операции, которая была совершена без согласия клиента и оспорена им.

Таким образом, положения закона, которые вступают в силу с 1 января 2013 года, кардинально меняют сложившуюся ситуацию. Клиент в случае исчезновения денег с карты не должен будет доказывать свою непричастность к мошенничеству.

Банк сначала возместит потери по карте, и лишь потом будет искать доказательства вины клиента. Такая норма полностью соответствует аналогичным в европейском законодательстве.

НЕ РЕВАНШ, А КОНСЕНСУС

Однако банки резко критикуют эту новую норму, ссылаясь на угрозу со стороны недобросовестных клиентов, которые будут «воровать у самих себя». Потому что подобные мошенничества, которые иногда называют «семейными», поскольку в них часто бывают замешаны родственники держателя карты, в настоящее время составляют до четверти от общего объема хищений.

Конечно, угроза увеличения количества подобных злоупотреблений существует. Но это значит, что банки должны жёстче контролировать расходы по картам, не жалея средств на современные системы защиты от мошенничеств. В свою очередь, банки, сознавая, что расходы на обслуживание карт существенно увеличатся, хотят переложить их на клиентов, увеличивая тарифы обслуживания. Что может вообще резко снизить мотивы пользоваться банковскими картами.

В настоящее время в Государственной думе РФ находится на рассмотрении законопроект с поправками в Гражданский кодекс РФ, которые, по мнению банковского сообщества, смогут нейтрализовать «презумпцию невиновности» клиента. Этими поправками предлагается совершенно иной подход. Чтобы претендовать на возмещение по операциям, проведенным по карте без его ведома, владелец должен доказать, что лишился электронного средства платежа не по своей воле. Другие поправки устанавливают максимальный предел возмещения средств по заявлению клиента в 90% от похищенной суммы.

Члены Комитета Государственной думы РФ по финансовому рынку не согласны с таким подходом, поскольку предлагаемые изменения Гражданского кодекса РФ противоречат закону «О национальной платёжной системе». Сформирована рабочая группа, которая занимается доработкой как вызывающих дискуссии положений этого закона, так и предлагаемых изменений Гражданского кодекса РФ, устраняя их взаимное противоречие.

Тенденция современного банкинга – создание для клиента условий обслуживания, которые позволяют ему один раз появиться в банке для удостоверения личности, открывая счёт, а потом все операции осуществлять дистанционно, в том числе через интернет. Поэтому в кредитных организациях приоритетное внимание уделяется вопросам обеспечения информационной безопасности бизнес-процессов и дистанционного обслуживания. Сейчас ведущим является риск-ориентированный подход к оценке технологических процессов, на основе которого определяется реальный уровень операционных рисков банковских активов.

В банках ведется разработка эффективных мер, направленных на устранение или нейтрализацию угроз, существующих и потенциальных, внешних и внутренних. Непременным условием является строгое соблюдение требований действующего законодательства, регулирующего обеспечение информационной безопасности, нормативных и регламентирующих документов отраслевого стандарта, Банка России - СТО БР ИББ, а также ФСБ России, ФСТЭК России и Роскомнадзора.

ДЕТАЛИЗАЦИЯ ТРЕБОВАНИЙ

Постановлением Правительства РФ от 13 июня 2012 года № 584 было утверждено «Положение о защите информации в платёжной системе», в котором сформулированы вполне ожидаемые требования к участникам национальной платёжной системы, к операторам - кредитным организациям и к агентам, непосредственно принимающим платежи. Каждый участник, оператор или агент, обязан создать структурное подразделение, ответственное за информационную безопасность, назначить ответственное должностное лицо, включить требования защиты информации в должностные инструкции сотрудников.

Каждый оператор национальной платёжной системы обязан спроектировать систему технической защиты информации, исключив возможность перехвата информации в интернете. Для этого он должен разработать пакет внутренних документов о защите информации, установить правила доступа к средствам обработки информации и организовать мониторинг выполнения установленных правил, систему выявления инцидентов и реагирования.

«Положение о защите информации в платёжной системе» содержит полный перечень инструментария: средства защиты от несанкционированного доступа и контроля защищённости, в том числе криптографические и антивирусные, а также межсетевые экраны и системы обнаружения вторжений.

Перед кредитными организациями стоит задача использовать модульные иерархически взаимоувязанные системы обеспечения информационной безопасности: удостоверяющий центр, сертифицированную криптографию, комплекс дистанционного банковского обслуживания и систему управления ключевой информацией. От банковской отрасли требуется применение сложных многокомпонентных и глубоко интегрированных решений в области информационной безопасности.

В заключение стоит напомнить о необходимости профильным подразделениям банка постоянно взаимодействовать с производителями и поставщиками систем дистанционного банковского обслуживания и решений в области информационной безопасности.

Комплексный подход банков к информационной безопасности систем дистанционного обслуживания, противодействие попыткам хищений со стороны киберпреступников позволяет эффективно защищать средства клиентов и электронные платежи. Практика показывает, что все затраты ресурсов на эти цели окупаются сторицей: безопасное обслуживание повышает доверие к банку, благодаря чему растёт клиентская база и повышается прибыльность бизнеса.

Всегда следует помнить, что ни одно решение, защищающее банковские активы или клиентские средства, к сожалению, не может обеспечить абсолютной информационной защиты. Выход видится в комплексном подходе, который, кроме организационных мер и использования технических решений, включает соблюдение требований закона, нормативных документов и отраслевых стандартов.

Юрий Исаев -- Депутат, заместитель председателя комитета по финансовому рынку (Государственная дума РФ)

BIS Journal №4(7)/2012

20 ноября, 2012

Смотрите также