Заметки на полях ICC: быстрый платеж – удобен, приятен, но влечет с собой риски
Система быстрых платежей в нашей стране возникла не так давно, зато очень быстро прижилась – как, впрочем, и любое решение, позволяющее облегчить нашу непростую жизнь.
Вряд ли кто-то всерьез будет оспаривать то, что совершать денежные переводы по мобильному устройству – гораздо легче и приятнее, чем говорить правду, как это утверждал один из персонажей «Мастера и Маргариты». Но вот что сближает эти два момента – денежные переводы по мобильникам и изречение правды: и там, и там есть существенные риски для тех, кто совершает первые и изрекает вторую.
Признает это и Банк России, ставший инициатором разработки и внедрения в нашей стране системы быстрых платежей. Так, Артем Калашников, руководитель ФинЦерт Банка России в своем выступлении на тематической пленарной сессии в рамках ICC отметил, что изменения в наше время происходит все быстрее и быстрее. Раньше, чтобы провести платеж, требовалось много времени, и либо терялось актуальность самого действия, либо это приводило даже к худшим результатам. Сейчас некоторые платежные операции можно проводить в доли секунды, это плюс для нас как потребителей, и, конечно же, плюс для финансово-кредитных организаций, предоставляющих подобные услуги.
«Но не бывает так, чтобы что-то приносило только плюсы, неизбежно возникают и минусы или риски.Например, при ошибочном переводе деньги на той стороне могут быть сняты одномоментно, и поминай их как звали. Второй момент – банк не знает на той стороне получателя, и не может проверить его и установить, какие риски представляет получающая средства сторона. И третий момент – баланс между быстротой и безопасностью, если он не будет достигнут, то могут быть аннулированы все плюсы новой технологий. Соответственно, неизбежны очень высокие требования к механизмам обеспечения безопасности», - пояснил свою точку зрения Артем Калашников.
С своим коллегой из Банка России солидаризировалась Анна Гольдштейн,руководитель центра программных решений АО НСПК. По ее мнению, основные риски, связанные с P2P-переводами – в том, что банк-плательщик, какими бы развитыми не были его системы антифрода, не видит второй стороны и практически ничего об этом не знает. «Это общая проблема для всех межбанковских переводов и решаться она может только путем совмещения информации с двух сторон – со стороны банка-плательщица и банка-получателя. И тут уже мы естественным образом приходим к необходимости обмена информацией, в том числе и обмена своими оценками об уровнях рисков при осуществлении переводов», - подчеркнула Анна Гольдштейн.
А вот далее последовала конкретизация, и дьявол, то есть один из основных рисков в сфере быстрых платежей оказался в такой детали как номера телефонов, привязанных к счетам клиентов. Как пояснил Дмитрий Гадарь, вице-президент – директор департамента информационной безопасности Тинькофф банк, злоумышленники, стремящиеся совершать хищения средств, занимаются «переборами» телефонных номеров, похищают их, устанавливают над ними контроль и благодаря этим мерам осуществляют непосредственно хищения. При этом, как выяснилось, ошибочным является убеждение, что так можно поступать только с номерами, «привязанными» к физлицам. Участники пленарной сессии вспомнили прецеденты, когда для хищений использовались и номера юридических лиц.
Что делать в данном случае? Пока, как пояснил представитель Тинькофф банка, достаточно эффективно работает система введения лимитов по источнику платежа. Например, ограничивается количество возможных «переборов» номеров. Но эксперты согласились в том, что вечно такая простая для участников системы быстрых платежей продолжаться не может: если пока достаточно сравнительно простых лимитов, впоследствии система лимитов будет усложняться. Это будет требовать от участников системы быстрых платежей на обеих сторонах процесса поведенческого анализа.
Анна Гольдштейн в связи с этим отметила еще один важный момент: поведенческий анализ – это один из инструментов более масштабной системы оценки рисков. И коль скоро, в системе быстрых платежей много участников, то, значит, их подходы к рискам, их модели поведенческого анализа, их правила передачи информации об уровнях риска той или иной операции – все это должно быть стандартизировано. В противном случае может выйти «сумбур вместо музыки», тем более, что, как отметил Артем Калашников, банки у нас остаются очень разными – причем не только по своим финансовым и технологическим возможностям, но и по другим критериям и параметрам.
Резюме, которое лично я бы сделала по итогам этой сессии, следующее: хорошо известно – и неоднократно констатировано в ходе самых разных публичных мероприятий – что в наше время для атаки на информационные системы банков недостаточно «кустарей-одиночек». Теперь подобные атаки – удел хорошо организованных групп, которые зачастую ставят перед собой не цель стремительного обогащения, а перехват управления над системой в целом. Но спросите любого криминалиста, любого сотрудника правоохранительных структур, работающих на земле, и он скажет вам, что преступность состоит как из серьезных правонарушений, так и из «низового уровня». В данном контексте это означает, что попытки хищения, пусть на первых порах небольших по суммам средств, переводимых в СБП, будут осуществляться. И можно только согласиться с участниками пленарной сессии ICC – лучше думать об этом сейчас, чем когда проблема масштабируется, не встречая должного противодействия.