BIS Journal №1(1)/2011

2 июня, 2010

Пока милиция не остановит

Не все воры пока поняли, что кража денег клиентов в системе дистанционного банковского обслуживания сейчас – настоящее золотое дно. Условия для роста этого вида преступлений очень комфортные, чуть ли не тепличные. Ничтожные затраты, легко и повсеместно доступный инструментарий, очень ощутимый выигрыш, высочайшая рентабельность при максимальном чувстве безнаказанности.

ВЫГОДНО И БЕЗОПАСНО

Рентабельность этого вида IT-воровства зашкаливает: стартового капитала как такового не нужно, цена хакерской атаки – в районе $ 300, а куш, в случае удачи – от сотен тысяч рублей. Норма прибыли чуть не как у торговцев наркотиками, а риски не выше, чем при краже стираного белья, вывешенного сушиться на верёвке во дворе.

Немалый соблазн для тех молодых многообещающих IT-талантов, для кого закон – лишь препятствие на пути к лёгкому обогащению. Риски для воров просто минимальные, и они чувствуют себя недосягаемыми для правосудия. Банковские службы безопасности не имеют законного права проводить оперативные и следственные мероприятия, тем более «выбивать» украденные деньги.

Учитывая перечисленные плюсы этого нового вида «высокотехнологичных» преступлений, остаётся только радоваться высокому моральному уровню и стойкости правосознания банковских IT-специалистов. Поскольку они продолжают трудиться в составе подразделениях информационной безопасности банков, а не пополняют в массовом порядке ряды кибер-преступников.

У милиции, в лице БСТМ – Бюро специальных технических мероприятий МВД России, и, конкретнее, Управления «К», которым подведомственны подобные преступления, есть полномочия возбуждать уголовные дела и проводить следственно-розыскные мероприятия, а также нужные технические и людские ресурсы.

Однако милиционеры пока не проявляют должного рвения в раскрытии хищений средств в системе дистанционного банковского обслуживания. Возможно потому, что полагает более значимым дела вроде отлова в интернете распространителей порнографии. Или потому, что недостаёт понимания актуальности и роста потенциальной опасности кибер-воровства для общества.

Между тем кибер-преступность растёт стремительно. Действуют уже не одиночки, не хакеры-любители, а профессионалы, организованные в бригады с разделением труда. Молодые IT-дарования могут сделать великолепную преступную карьеру, далеко пойти, пока милиция не остановит. Можно снимать новый кино-триллер – ремейк популярной российской гангстерской саги «Бригада», только теперь уже про кибер-преступников. Динамичного жизненного материала хватит на целый телевизионный сериал.

НА ПОРОГЕ ПАНДЕМИИ

Особенную опасность представляет трансграничность высоких технологий, возможность образования международных преступных сообществ, специализирующихся на хищениях в системе интернет-банкинга. Вину доказывать сложнее, чем для обычных преступлений, свои сложности существуют во взаимодействии правоохранительных органов разных стран.

Если не поставить надёжный заслон кибер-ворам, в самое ближайшее время нас захлестнёт шквал, лавина, эпидемия хищений денег клиентов, которая может изрядно дискредитировать удобную и надёжную систему дистанционного банковского обслуживания. Преимущественным объектом хакерских атак служат юридические лица – компании, как правило, представители малого и среднего бизнеса.

Безусловно, в подавляющем большинстве случаев удачных хищений виноваты сами клиенты, которые нарушают элементарные правила пользования интернет-банкингом, подробно прописанные в договоре обслуживания. Недостаточная осторожность приводит к тому, что персональные компьютеры клиентов, при помощи которых производятся операции с банковским счётом, оказываются заражёнными вредоносными программами. Может сознательно навредить и «крот» ? вредитель-инсайдер из числа недобросовестных сотрудников или сторонней организации, оказывающей IT-услуги.

Тем или иным образом злоумышленники получают доступ к служебной информации компании ? реквизитам, логинам, паролям, ключам электронной подписи. Затем, якобы от имени компании, жулики производят фиктивные платежи, переводят якобы за выполненные работы или поставку оборудования деньги на счёта своих фирм-однодневок. Не редкость, когда такие платежи уходят на счета подставных физических лиц. Средние объёмы хищений такой «кибер-бригады», как правило, составляют от 500 000 рублей за один перевод, и могут суммарно достигать десятков миллионов рублей.

Однако банки не оставляют своих клиентов в беде, не говорят: сами виноваты, сами и ищите украденные деньги, или обращайтесь в милицию. Как правило, банковские службы безопасности, включая подразделения информационной безопасности, проявляют всяческое участие и оказывают всестороннюю помощь в расследовании преступления, поисках похищенных средств и злоумышленников.

Хотя «виноват» клиент, это, скорее, его беда. Поэтому банки предпринимают реальные усилия по совершенствованию средств защиты, информированию и обучению клиентов и поиску преступников, т.к. не хотят терять обиженного клиента, который может уйти со своими деньгами к конкуренту. Не обладая правом ни вести оперативно-розыскную деятельность, ни предпринимать действия в отношении найденных преступников, ни обязать их возместить ущерб, службы безопасности банков могут лишь оказать всестороннее содействие правоохранительным органам.

АЛГОРИТМ ВОЗМЕЗДИЯ

Как решить проблему, поставить надёжный заслон кибер-воровству? Первое, что приходит на ум ? повышать «пользовательскую культуру», неустанно напоминать клиентам правила безопасного интернет-банкинга. Можно пойти и путём повышения уровня информационной безопасности, в том числе криптозащиты, специально обучать клиентов безопасности, «сертифицировать» специалистов, допускаемых к дистанционным операциям со средствами на счёте.

Эти меры способны на порядок повысить защищённость дистанционного обслуживания, но одновременно удорожат и усложнят эту услугу, что может привести к снижению привлекательности услуги для клиента. Затраты на безопасность банки вынуждены компенсировать за счет тарифов на обслуживание. Более дорогой сервис может оказаться недоступным для самого массового клиента ? малого, а может быть, и среднего бизнеса.

Решение проблемы видится такое: нужно сообща, коллективными усилиями обременить кибер-преступность неприемлемо высокими рисками. Приучить к мысли, что вор в системе интернет-банкинга неотвратимо будет пойман, вина его легко доказана в суде, и получит он реальный тюремный срок, и немалый.

Только так можно задушить опасную тенденцию в зародыше, пока она не разрослась до масштабов пандемии, на борьбу с которой потребуются солидные ресурсы  правоохранительных органов, банков, операторов связи и регуляторов в лице Минсвязи и Центробанка России. Чувство безнаказанности делает преступный бизнес массовым, а это куда страшнее одиночки-профессионала или одной-двух, пусть и крупных, организованных преступных групп.

Ведущим ведомством в борьбе с кибер-преступностью может быть только МВД. По мнению банковского сообщества, для начала кампании нужна исключительно политическая воля руководства, постановка задачи перед Управлением «К». Причем не в масштабах одного или двух-трёх банков, а всей банковской системы Российской Федерации. Безусловно, это возможно при тесном взаимодействии МВД с Центральным банком Российской Федерации и операторами связи.

Программа может включать активные мероприятия, создание виртуальных «мышеловок» для кибер-воров и ещё много что. То, до чего профессиональные сыщики могут додуматься куда лучше и быстрее, чем дилетанты, начитавшиеся плохих детективов.

Хватило бы 10-15 громких уголовных дел по фактам воровства в системе дистанционного банковского обслуживания, которые были бы доведены милицией до суда и жёстких адекватных приговоров. Широкая информационная поддержка кампании в средствах массовой информации убедила бы потенциальных преступников: риски в этой сфере несоизмеримы с кажущейся лёгкостью воровства и сомнительными выгодами.

Со своей стороны, банки не пожалеют усилий, чтобы оказывать самое всестороннее содействие в выработке типовой методологии, совершенствовании процессуальных моментов, методик сбора доказательной базы в сфере дистанционного обслуживания клиентов. Помогут всеми силами и в проведении профилактических мероприятий, и в раскрытии конкретных преступлений – хищений средств в системе интернет-банкинга.

Смотрите также