23 августа, 2012, BIS Journal №3(6)/2012

Принцип эшелонированной обороны


Беликов Александр

Начальник отдела сопровождения информационной безопасности – удостоверяющего центра управления информационной безопасности Департамента безопасности (ОАО «Россельхозбанк»)

Угрозы дистанционному банковскому обслуживанию растут, и банкам приходится применять организационные меры защиты, которые пока не предусмотрели законодатели

В связи с бурным развитием инновационных технологий через системы дистанционного банковского обслуживания (ДБО) проходит всё больше денег, которые, несомненно, представляют интерес для мошенников. По данным прессы, только в 2011 году хакеры похитили у пользователей ДБО около $ 2,3 млрд. Злоумышленники ежедневно осуществляют более 50 кибер-атак на используемые клиентами системы ДБО различных кредитных организаций. По статистике, средний «улов» специализированных банковских бот-сетей – от 20 000 до 40 000 аккаунтов, а средняя стоимость «атаки» – 30 000 рублей.

СОБЛАЗН «ЛЕГКИХ ДЕНЕГ»

Несложно подсчитать, что доходность этой незаконной деятельности начинает обгонять доходность наркоторговли и незаконного оборота оружия. Привлекательности кибермошенничества способствует тот факт, что законодательство не в должной мере препятствует преступной деятельности в сфере компьютерного мошенничества.

В федеральном законе «О национальной платежной системе» позиционируется двусторонняя связь с клиентом, что, при наличии других норм законодательства, привносит ряд сложностей. Банк должен уведомить клиента о платеже и получить его подтверждение легитимности операции. В то же время банк обязан провести платеж в установленные сроки. При этом законодатель до настоящего момента не дал банкам возможности увеличить этот временной промежуток.

В связи с изложенным у мошенников сформировалось ощущение безнаказанности, возможности получения «лёгких денег». Наблюдается массовое распространение инструментария для этого и вовлечение в преступную деятельность новых участников.

ПРОБЕЛЫ В ЗАКОНАХ  – ЛАЗЕЙКИ ДЛЯ ЗЛОУМЫШЛЕННИКОВ

Уголовный кодекс Российской Федерации разрабатывался до 1996 года, когда материальные нормы права не учитывали возможности существования виртуальных денег. Поэтому диспозиции ст. 159 в единстве с требованиями ст.ст. 272 и 273 требуют значительной корректировки.

В настоящее время Верховный Суд внёс в Государственную думу РФ законопроект о детализации понятия мошенничества. Несмотря на это, рассматриваемые диспозиции ст. 159.3 «Мошенничество с платежными картами» и ст. 159.6 «Мошенничество в сфере компьютерной информации» не учитывают ряд возникших после 1996 года обстоятельств. В итоге облегчён вывод финансовых средств в теневой оборот, наносится ущерб государству.

В целом в банковской системе риски, связанные с проведением платежей, растут. В то же время, приняв закон «О национальной платежной системе», законодатели переложили всё бремя ответственности на банки. При наличии признаков вины клиента в инциденте при проведении платежа именно банк, оставаясь наедине с Фемидой, вынужден доказывать, что платёж был санкционированным.

Статистика банковского сообщества свидетельствует, что атакам подвергаются все пользователи, и «толстые», и «тонкие» клиенты. Статистика атак показывает: их интенсивность не снижается. В последние несколько лет наблюдается рост количества инцидентов по разным типам ДБО. Значит, сформировалась «высокотехнологичная» преступная среда, которая специализируется на хищениях средств в системах ДБО, устоялся и рынок смежных криминальных услуг.

НОРМ МНОГО, НО НЕДОСТАТОЧНО

Перечень законодательных актов, регулирующих ДБО, довольно велик.

В первую очередь, это Конституционные принципы равенства защиты всех форм собственности (ст. ст. 8, 35, 55 Конституции Российской Федерации).

Законодательство Российской Федерации, регулирующее банковскую деятельность:

  • федеральный закон от 10.07.2002 № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)» и нормативные акты Банка России;
  • федеральный закон от 02.12.1990 № 395-1 «О банках и банковской деятельности»;
  • федеральный закон от 30.12.2004 № 218-ФЗ «О кредитных историях»;
  • федеральный закон от 07.08.2001 №115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;
  • федеральный закон от 10.12.2003 №173-ФЗ «О валютном регулировании и валютном контроле»;
  • федеральный закон от 22.04.1996 №39-ФЗ «О рынке ценных бумаг»;
  • федеральный закон от 25.02.1999 №40-ФЗ «О несостоятельности (банкротстве) кредитных организаций»;
  • федеральный закон от 23.12.2003 №177-ФЗ «О страховании вкладов физических лиц в банках Российской Федерации»;
  • федеральный закон от 01.04.1996 №27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования».

Законодательство Российской Федерации, регулирующее институты банковской, коммерческой и служебной тайны, конфиденциальности персональных данных, тайны связи, средств электронной- цифровой подписи (электронной подписи), электронных средств платежа и др.:

  • институт банковской тайны: федеральный закон от 02.12.1990 №395-1 «О банках и банковской деятельности» (ст. 26), Гражданский кодекс Российской Федерации от 26.01.1996 №14-ФЗ (ст. 857), Конституция Российской Федерации (ст. 2, 17, 22);
  • институт коммерческой тайны: федеральный закон от 29.07.2004 №98- ФЗ «О коммерческой тайне»;
  • институт конфиденциальности персональных данных: федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных» (ст. 5-7, 9), Гражданский кодекс Российской Федерации (ст. 150), Конституция Российской Федерации (ст. 2, 17, 22, 23);
  • институт тайны связи: федеральный закон от 07.07.2003 №126-ФЗ «О связи» (ст. 7, 17, 18, 44, 53, 62-64), Конституция Российской Федерации (ст. 23);
  • институт служебной тайны: Указ Президента Российской Федерации от 06.03.1997 №188 «Об утверждении перечня сведений конфиденциального характера», Конституция Российской Федерации (ст. 2, 17);
  • институт конфиденциальности средств электронной цифровой подписи: федеральный закон от 06.04.2011 №63-ФЗ «Об электронной подписи», федеральный закон от 10.01.2002 №1- ФЗ «Об электронной цифровой подписи»;
  • институт конфиденциальности электронных средств платежа: федеральный закон от 27.06.2011 №161-ФЗ «О национальной платежной системе» (ст. 7, 8, 9, 10);
  • федеральный закон от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и защите информации» и др.

Положения Банка России, регулирующие услуги ДБО:

  • «Положение о Правилах ведения бухгалтерского учета в кредитных организациях, расположенных на территории Российской Федерации» (утв. Банком России 26.03.2007 №302-П);
  • «Положение о безналичных расчетах в Российской Федерации» (утв. Банком России 03.10.2002 №2-П);
  • «Положение о порядке ведения кассовых операций и правилах хранения, перевозки и инкассации банкнот и монеты Банка России в кредитных организациях на территории Российской Федерации» (утв. Банком России №318-П) (п.2.8 «Организация работы с денежной наличностью при использовании банкоматов, электронных кассиров, автоматических сейфов и других программно-технических комплексов»);
  • «Положение о межрегиональных электронных расчетах, осуществляемых через расчетную сеть Банка России» (утв. Банком России 23.06.1998 №36-П);
  • «Положение о правилах обмена электронными документами между Банком России, кредитными организациями (филиалами) и другими клиентами Банка России при осуществлении расчетов через расчетную сеть Банка России» (утв. Банком России 12.03.1998 №20-П);
  • «Временное Положение о порядке приема к исполнению поручений владельцев счетов, подписанных аналогами собственноручной подписи, при проведении безналичных расчетов кредитными организациями» (утв. Банком России 10.02.1998 №17-П);
  • Письмо Банка России от №128-Т «О Рекомендациях по информационному содержанию и организации Web-сайтов кредитных организаций в сети Интернет»;
  • Письмо Банка России от 30.08.2006 №115-Т «Об исполнении федерального закона «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма в части идентификации клиентов, обслуживаемых с использованием технологий дистанционного банковского обслуживания (включая интернет-банкинг)»;
  • Письмо Банка России от 27.04.2007 №60-Т «Об особенностях обслуживания кредитными организациями клиентов с использованием технологии дистанционного доступа к банковскому счету клиента (включая интернет-банкинг)»;
  • Письмо Банка России от 07.12.2007 №197-Т «О рисках при дистанционном банковском обслуживании»;
  • Письмо Банка России от 31.03.2008 №36-Т «О рекомендациях по организации управления рисками, возникающими при осуществлении кредитными организациями операций с применением систем интернет-банкинга»;
  • Письмо Банка России от 31.01.2009 №11-Т «О рекомендациях для кредитных организаций по дополнительным мерам информационной безопасности при использовании систем интернет-банкинга»;
  • Письмо Банка России от 26.10.2010 №141-Т «О Рекомендациях по подходам кредитных организаций к выбору провайдеров и взаимодействию с ними при осуществлении дистанционного банковского обслуживания».

ВНУТРЕННИЕ И ВНЕШНИЕ ФАКТОРЫ РИСКОВ

Но, несмотря на наличие такого большого количества документов, риски продолжают оставаться очень высокими.

Внутренние факторы возникновения рисков связаны, прежде всего, с несоблюдением законодательства РФ. В том числе требований идентификации клиентов, изучения их документации и установления выгодоприобретателей (лиц, в чьих интересах они действуют). Практика банковской деятельности показывает, что риски возникают из-за несоблюдения принципа «знай своего клиента», в результате чего среди клиентов оказываются дроперы.

Кроме того, к сожалению, федеральный закон «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» в России работает лишь частично. Отмывать деньги на Западе почти невозможно, у человека обязательно спросят, каков источник этих средств. У нас дроперы обходят ограничения, выводя не всю сумму сразу, а разделяя её на ряд платежей.

Второй фактор – несоответствие внутренних документов организации законодательству РФ, а также неспособность своевременно приводить свою деятельность и документы ДБО, в соответствие с изменениями законодательства.

Мало кто из банковского сообщества внёс изменения в нормативные документы, связанные с тем, что с 1 июля 2012 года утрачивает силу старый федеральный закон №1-ФЗ «Об электронной цифровой подписи». Понятно, что на это есть объективные причины, но появление нового фактора риска никто не отменит.

Следующий фактор – неэффективная организация работы ДБО, которая приводит к ошибочным действиям персонала, участвующего в дистанционном банковском обслуживании. Отсутствие внутреннего контроля влечет рост операционных рисков, которые, в свою очередь, повышают вероятность проведения мошеннических операций.

Не проверил операционист входящий документ на признаки мошенничества, подписал операционист вместо клиента, и получается, что совершил ошибку банк. Раньше банки в большинстве случаев могли переложить подобные операционные риски на клиента. Но теперь законодатель однозначно запретил делать так.

Ещё один фактор – нарушение кредитной организацией условий договоров, связанных с ДБО. И, наконец, следует отметить недостаточную проработку технологических, организационных и других вопросов при разработке и внедрении новых технологий и условий осуществления ДБО.

Есть и внешние факторы возникновения рисков. Это, прежде всего, несовершенство правовой системы и отсутствие надлежащего правового регулирования. Встречаются противоречия в самом законодательстве РФ, оно подвержено изменениям. Далеки от совершенства методы государственного регулирования и надзора.

Имеют место и некорректные применения законодательства иностранного государства, норм международного права. Законодатели пока не повернулись лицом к названной проблеме. Видимо, до той поры, пока в банковской системе не случится по указанным причинам каких-либо чрезвычайных происшествий.

В учебнике криминалистики за 1969 год была такая фраза: «Волна, связанная с хищением денежных средств с использованием компьютеров, захлестнула США. В СССР это невозможно». Если обратиться к истории, то в новой истории России тоже появились поддельные авизо. Вначале эта проблема была решена с помощью факсов, затем электронной почты, далее – отчуждаемых ключевых носителей. Но и более совершенные технические устройства тоже можно взломать. Мошенникам удаётся идти на шаг впереди. Только определенные организационные меры могут помочь избежать банковской системе реализации рисков.

НЕЙТРАЛИЗОВАТЬ УГРОЗЫ

Поэтому частью решения проблемы могут быть следующие меры. Они довольно понятные и простые. Нужно провести стандартизацию банковских операций ДБО (порядки, процедуры, технологии осуществления). Обязательно распределить зоны ответственности кредитной организации и клиента. Банк при необходимости должен уметь документально подтвердить факт предупреждения клиента о возможных уловках мошенников. Например, собственноручной подписью клиента в соответствующем документе.

Внутри банка должен быть установлен внутренний порядок согласования заключаемых договоров ДБО, отличающихся от стандартизированных и типовых. Иначе появятся лазейки для киберпреступников. В обязательном порядке должен проводиться анализ влияния факторов риска на показатели деятельности ДБО, причём на постоянной основе.

При этом работники правового направления должны перманентно осуществлять мониторинг изменений законодательства РФ, касающегося ДБО. И, наконец, банк должен выполнять требования стандартизации комплекса документов Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации».

К мерам стандартизации действий должно относиться своевременное информирование клиентов ДБО о требованиях безопасности, выполнение которых обязательно для предотвращения хищений денежных средств злоумышленниками. Также банкам нужно разработать типовые рекомендации по обеспечению информационной безопасности системы ДБО. Разработка типового порядка разбора инцидентов позволит оперативно получить всю необходимую информацию для передачи в территориальные подразделения «К» органов внутренних дел.

Требуется разработать и типовой порядок взаимодействия с территориальными подразделениями «К» органов внутренних дел при разборе инцидентов. В банке должна существовать примерная схема неотложных мероприятий при разборе инцидентов и типовой порядок взаимодействия с банками – конечным получателем и транзитным.

Банки должны обмениваться информацией о дроперах, без этого невозможно оперативно и эффективно реагировать на инциденты. Такая площадка информационного обмена для банков уже создана на базе Ассоциации российских банков. Объединение начиналось несколькими банками, теперь их более 220. Все кредитные организации должны вступить в этот «клуб» и передавать коллегам информацию о мошеннических операциях, попытках хищения средств. Только совместно банки смогут своевременно останавливать группировки кибермошенников.

ТИПОВЫЕ ДОКУМЕНТЫ  – ОСНОВА БЫСТРОГО РЕАГИРОВАНИЯ

Банки должны разработать типовые формы документов, в частности, заявлений – что сделать, чтобы остановить платеж, вернуть средства. Ведь среагировать нужно в считанные часы. Типизация поможет действовать быстро в инертной банковской системе.

Банк должен разработать типовые формы следующих документов:

  • типовая форма заявления в банк- получатель или оператору платежной системы о приостановлении платежа,возврате средств;
  • типовая форма обращения плательщика в банк-плательщик о факте хищения денежных средств;
  • типовая форма заявления плательщика (потерпевшего) в правоохранительные органы о факте хищения денежных средств;
  • типовая форма сообщения в системе SWIFT о приостановлении платежа, возврате средств;
  • типовая форма обращения банка плательщика в банк-получатель о факте хищения денежных средств;
  • типовая форма объяснения банка плательщика о факте хищения денежных средств;
  • типовая форма заявления о расследовании инцидента информационной безопасности в системе интернет-банк;
  • типовая форма заявления об оказании содействия в расследовании факта хищения денежных средств;
  • перечень документов, касающихся потерпевшего юридического лица и (или) юридического лица, на счёт которого неправомерно зачислены денежные средства;
  • перечень документов, касающихся потерпевшего физического лица и (или) физического лица, которому неправомерно зачислены денежные средства;
  • регламент создания полной электронной копии информации, находящейся на жёстком диске компьютерного средства клиента системы ДБО;
  • типовая форма акта создания полной электронной копии информации, находящейся на жестком диске компьютерного средства клиента системы ДБО;
  • примерный перечень рекомендуемого программного обеспечения для создания полной электронной копии информации, находящейся на жестком диске компьютерного средства клиента системы ДБО;
  • типовая форма обращения о создании экспертной комиссии по проверке подлинности электронной цифровой подписи под платежом (санкционированным или несанкционированным).

Все перечисленные материалы можно включить в регламент или в договор с клиентом. Отказ клиента сотрудничать с банком в расследовании произошедшего согласно установленному порядку поможет банку выиграть возможное судебное разбирательство.

СПАСЕНИЕ ВО ВЗАИМОДЕЙСТВИИ

Кредитная организация должна типизировать порядок сбора сведений о выявлении инцидентов ДБО, связанных с хищениями денежных средств. В первую очередь следует определить вредоносный код и его воздействие, которое фальсифицирует предоставление услуг ДБО. Затем нужно выявить воздействие на объекты информационной инфраструктуры, используемые в ДБО для осуществления переводов денежных средств, в результате которого эти услуги становятся временно или вообще недоступными. Следующий шаг заключается в обнаружении нарушений конфиденциальности информации, необходимой для осуществления электронных платежей – подтверждающей право клиентов ДБО распоряжаться денежными средствами. За этим должно следовать выявление обстоятельств компрометации ключевой информации СКЗИ, используемых в ДБО.

Далее необходимо выявить факты осуществления переводов денежных средств лицами, не обладающими правом распоряжения этими денежными средствами. Причины могут быть две. Первая – нарушение конфиденциальности информации, подтверждающей при проведении электронного платежа право клиентов ДБО распоряжаться денежными средствами. Вторая – компрометация ключевой информации СКЗИ, используемых при осуществлении переводов денежных средств. Также устанавливается факт воздействия вредоносного кода, приводящего к осуществлению переводов денежных средств путём использования искажённой информации, а именно распоряжений клиентов, пользующихся данной формой ДБО.

В заключение следует документально зафиксировать невозможность предоставления услуг перевода денежных средств в платежной системе в течение 3 часов и более.

Сейчас банковским сообществом ведётся активная работа по объединению усилий всех заинтересованных сторон. Организовано взаимодействие служб и специалистов информационной безопасности банков. Банк России, осуществляя надзор и регулирование платёжной системы, осознаёт необходимость участия в этой работе и активно поддерживает усилия банковского сообщества по противодействию преступности в ДБО. МВД России предоставило ряд рекомендаций по сопровождению уголовных дел по хищениям в ДБО.

Пока статистика по результатам обращений клиентов в органы МВД такова: уголовные дела возбуждаются примерно в 8% случаев, в 27% случаев проводятся проверки, в 10% – полиция отказывает в возбуждении уголовных дел. В 55% случаев проверки не инициируются, в том числе из-за неправильных действий самих пострадавших клиентов.

Кроме того, идёт формирование единых стандартов безопасности платёжных приложений. Инициируется внесение изменений в законодательство. В частности, банковским сообществом, по введению юридического понятия дропер – человека, который замыкает цепочку по выводу денежных средств в теневой оборот.

Наблюдается консолидация государственных регулирующих и правоохранительных органов, банковского сообщества и операторов связи. Проблемы информационной безопасности национальной платёжной системы осознаются на государственном уровне. Без этого невозможно добиться внесения необходимых поправок в законодательство. Ну а до тех пор банкам следует подумать, как организационными мерами закрыть бреши в нормативно-правовой базе, которые пока не смогли ликвидировать законодатели.

 

Смотрите также

Активная защита ДБО

15 декабря, 2011

Презумпция вины

28 ноября, 2011
Подпишись на новости!
Подписаться