Статья "Термопара ЕС-Россия. Ожидаемое охлаждение, в котором опять замаячил SWIFT…"

8 сентября 2020, 13:25

159

Конец лета и начало осени традиционно воспринимаются большинством россиян как период возможных перемен и разнообразных кризисов. В этом августе наиболее критичные явления обошли нашу страну стороной, хотя и в непосредственной близости от ее границ. Однако в целом последний летний месяц и в России выдался богатым на события.

Термопара ЕС-Россия. Ожидаемое охлаждение, в котором опять замаячил SWIFT… — Фото: plusworld.ru

Начнем с наиболее значимых событий последних дней, которые несут на себе явный политический акцент. Точнее – с деклараций о шагах, которыми в очередной раз начали жонглировать в преддверии президентских выборов в США, с дальнейшего ухудшения взаимоотношений между Россией и ЕС и прочих геополитических махинаций.

SWIFT опять на повестке дня?

На фоне продолжающей усиливаться геополитической конфронтации ряд экспертов вновь стали высказывать опасения по поводу намерений отключения России от системы SWIFT. Давайте разберемся: в какой мере они имеют под собой почву, и насколько обоснованны эти ожидания именно сейчас? Дело в том, что серьезность таких намерений вызывает большие сомнения именно сегодня, когда в США набирает обороты предвыборная кампания, а апологеты дальнейшего ухудшения взаимоотношений России и ЕС продолжают свой многовековой русофобский курс. Изолировать Россию от мирового финансового сообщества – прекрасный лозунг во всех этих случаях, однако большинству даже самых возмущенных российской самостоятельностью западных политиков реальный поворот «рубильника» представляется шагом за «красную линию», последствия которого с большой вероятностью окажутся прямо противоположными их целям.

Самый наглядный тому пример – мощная поддержка Китаем очередной страны, назначенной на роль «международного изгоя», – Ирана, чья экономика продолжает пополняться китайскими нефтедолларами в пику политике США. Такой поворот событий был вполне предсказуем – если ты хочешь «наказывать» сразу несколько государств, они очень быстро найдут между собой общий язык – хотя бы чтобы отплатить тебе той же монетой. На этом фоне отключение России или Китая от SWIFT (второе, кстати, более вероятно, поскольку именно КНР является экономическим конкурентом США на мировой арене и не только) неизбежно послужит катализатором для еще более тесного сотрудничества двух супердержав «против третьей», включая как финансовые, так и военные аспекты. А если (что вполне вероятно) к ним еще присоединятся страны БРИКС, эффект «отключки» станет похож на бег по граблям.

Именно поэтому есть все основания полагать, что наша страна в обозримом будущем продолжит работать со SWIFT в штатном режиме. Дополнительную уверенность в этом дают и результаты активности регулятора по созданию в России альтернативных систем – именно поэтому мы советуем банкам активно продолжать работать в этом направлении, следуя проверенному временем афоризму «хочешь мира – готовься к войне».

Термопара ЕС-Россия. Ожидаемое охлаждение, в котором опять замаячил SWIFT… - рис.1

Пандемия. Сети оперативно перешли с постоплаты на предоплату?

Самым главным фактором для банковского сектора и платежного рынка остается, к сожалению, влияние пандемии. На сегодняшний день наиболее актуальными представляются следующие моменты. Озвученные ВОЗ риски использования наличных при всей своей неочевидности во многом способствовали росту безналичных (в основном – карточных) платежей в офлайновом ритейле. В свою очередь в интернет-торговле произошла смена поведенческой парадигмы регуляторов, потребителей и торгово-сервисных предприятий, за счет чего покупки в интернете из не слишком понятной для многих категорий потребителей (и из-за этого во многом рискованной) деятельности перешли в разряд повседневной необходимости.

По мнению Марии Красенковой, нашего независимого эксперта, среди наиболее значимых изменений можно выделить следующие:

в условиях резкого увеличения спроса многие сетевые онлайн-ритейлеры перешли с постоплаты на предоплату, осуществляемую в основном безналичными способами платежа;

ритейлеры увидели необходимость в организации многофакторного приема платежей, в том числе и по СБП (по данным RBK.money и Data Insight, 50% покупателей бросают свои корзины в интернет-магазинах, если отсутствует предпочитаемый ими способ оплаты);

также много ритейлеров, которые ранее не видели себя в онлайн-среде, в том числе несетевые рестораны, клиники, салоны красоты, начали активно принимать предоплату для организации выезда специалиста (прием анализов, маникюр и т. д.) и доставки заказа;

резко вырос сегмент предоставления услуг самозанятыми (в том числе информационного контента – тренинги, консультации и т. д.);

граждане в большинстве случаев преодолели психологические барьеры при осуществлении оплаты в интернете. Один из примеров – рост платежей в Декатлоне или на сайте госуслуг – более чем на четверть (!);

на государственном уровне предприняты меры по стимулированию интернет-торговли, в том числе в ранее законодательно ограниченных секторах, таких как аптеки и т. п.

СБП. Конкуренция не торопится оживляться?

Продолжая тему роста популярности безналичных платежей, вспомним, что на 25 августа 2020 года к Системе быстрых платежей (СБП) подключились 100 российских банков. Цифра действительно эффектная, однако еще важнее, что статистика банков и крупных торгово-сервисных предприятий, таких, например, как Wildberries (73% роста в первой половине августа по сравнению с июлем), в целом показывает реальную востребованность сервиса у граждан России. При этом, правда, остается открытым вопрос, насколько возможным будет подключение оставшихся 155 банков с универсальной лицензией (по данным ЦБ на 01.08.2020), которые, в соответствии с требованием закона, должны будут подключиться к СБП до 1 октября 2020 года.

Есть здесь и ряд других нюансов. Как уже отмечал журнал «ПЛАС», обратной стороной такого действительно исторического для СБП момента, как подключение к системе Сбербанка, стало введение крупнейшим банком Центральной и Восточной Европы новых комиссий для пользователей Сбербанк Онлайн. За счет них, как считают эксперты, Сбербанк с лихвой окупил свои расходы на подключение и работу в СБП, при этом даже самые продвинутые клиенты банка по-прежнему предпочитают пользоваться его собственной системой онлайн-переводов, нежели Системой быстрых платежей. Более того, сам банк отнюдь не проявляет настойчивость в популяризации среди своей клиентуры нового сервиса (например, его нет даже в интерфейсе личного кабинета).

Как известно, одной из стратегических задач создания СБП было возродить здоровую конкуренцию на платежном рынке. И сегодня, как мы видим, пока нет веских оснований считать, что она не только выполнена, но хотя бы начала реально решаться.

Термопара ЕС-Россия. Ожидаемое охлаждение, в котором опять замаячил SWIFT… - рис.2

Мошенничество в СБП. Первая ласточка?

Между тем во второй половине августа ФинЦЕРТ разослал в банки бюллетень с описанием новой схемы хищения средств со счетов клиентов банка – с использованием Системы быстрых платежей. При установке в мобильном банке одной из кредитных организаций возможности переводов по СБП была оставлена уязвимость, связанная с открытым API. Через нее мошенники смогли подменять счета отправителя. Эксперты отмечают, что это первый случай использования СБП в схеме успешной хакерской атаки на банк. Как быстро удастся устранить эту угрозу, и какие новые риски нас еще ожидают в связи с развитием СБП?

Большинство экспертов сходятся во мнении, что уязвимость была выявлена именно в протоколе обмена информацией между платежным приложением банка и сервером дистанционного банковского обслуживания, поэтому устранить ее на уровне разработчика будет легко. Так, например, по оценке Алексея Голенищева, директора Дирекции мониторинга электронного бизнеса Альфа-Банка, в данном случае мы имеем дело не столько с уязвимостью технологии СБП, сколько с уязвимостью протокола обмена между приложением клиента (мобильным/интернет-банком) и сервером дистанционного банковского обслуживания (ДБО), который не регламентируется стандартом СБП.

Определенные риски связаны и с самой технологией Системы быстрых платежей в ее текущей реализации

Злоумышленник подменял в исходящем на сервер ДБО сообщении о подтверждении платежа значение поля «Номер счета отправителя» на номер счета жертвы. А сервер ДБО не осуществлял проверку принадлежности счета списания авторизованному пользователю, что и позволило злоумышленникам осуществить подмену. В СБП уходили сообщения с ранее сформированными реквизитами списания и получения, а в АБС банка по итогам исполнения платежа производилось списание денег с номера счета жертвы.

Подобные угрозы устраняются путем простой установки соответствующих программных патчей в ПО, продемонстрировавшее уязвимость. Этот процесс, как правило, не занимает много времени, хотя, разумеется, зависит от характера уязвимости, объема требуемых доработок и т. д.

В то же время определенные риски связаны и с самой технологией СБП в ее текущей реализации. Сейчас она подразумевает возможность пробивок по номеру телефона названий банков, в которых у владельца номера имеется счет, по большей части плохо контролируемых операторами денежных переводов. Во-первых, это несет в себе риск нарушения Закона о банковской тайне, а во-вторых, успешно используется мошенниками для повышения «доверия» жертвы при применении методов социальной инженерии. Сейчас оборот операций СБП еще относительно невелик, но с его ростом, а также с реализацией планов по использованию этой технологии для расчетов с торговыми предприятиями данный сервис может стать гораздо более интересен для мошенников, и к этому необходимо быть готовыми.

С таким мнением согласен и Николай Пятиизбянцев, начальник управления противодействия мошенничеству в сфере информационной безопасности Департамента защиты информации Газпромбанка, который считает наиболее критичным тот факт, что через СБП по номеру телефона мошенники могут легко узнать имя, отчество клиента, а также наличие счета/карты в конкретном банке. Как правило, банки делают функцию использования сервисов СБП для своих клиентов включенной по умолчанию, хотя безопаснее было бы ее по умолчанию отключать, включая только по требованию клиента, которому в мобильном банке должен предоставляться простой механизм включения и отключения данной опции.

Свою роль сыграла и программно-функциональная уязвимость самого ПО мобильного приложения банка. В соответствии с требованиями положений ЦБ № 382-П

и № 683-П такое приложение должно быть сертифицировано, также необходимо провести анализ его уязвимостей и контроль отсутствия недекларированных возможностей. Судя по всему, в рассматриваемом нами случае этого сделано не было.

А в соответствии с требованием Положения ЦБ РФ № 672-П выявление операций, соответствующих признакам осуществления переводов денежных средств без согласия клиента, приостановление процедуры приема к исполнению и исполнения распоряжений о переводе денежных средств в рамках выявленной операции, соответствующей признакам осуществления переводов денежных средств без согласия клиента, при осуществлении переводов денежных средств с использованием СБП должен осуществлять не кто иной, как ОПКЦ (читай – НСПК), что в рассматриваемом нами случае тоже не было сделано.

Термопара ЕС-Россия. Ожидаемое охлаждение, в котором опять замаячил SWIFT… - рис.3

«Тройка» стала персональной?

В августе 2020 года карта «Тройка» стала наконец персонализированной. Теперь любой пассажир Московского метрополитена сможет сделать свою карту «Тройка» персональной, зарегистрировавшись в личном кабинете. Собственно, в этом заключается главная опция обновленного мобильного приложения «Метро Москвы», которое готовится к выпуску. Чем был обусловлен данный шаг и какие новые возможности он открывает перед транспортными операторами? Какие качественные изменения карточного продукта за ним следуют, и, наконец, почему это не было сделано раньше?

Как отмечает ряд экспертов, первопричина кроется в следующем – 3 августа 2020 года вступили в силу изменения в Закон «О национальной платежной системе», ограничивающие пополнение наличными неперсонифицированных электронных кошельков. Несмотря на разъяснения регулятора о том, что требования закона не распространяются на транспортные карты, эмитируемые транспортными организациями или пополняемые через них, нельзя забывать, что во многих случаях в транспортном проекте участвуют несколько транспортных компаний, и по требованиям 161-ФЗ эмитентом карт выступает оператор электронных денежных средств, т. е. банк. В этом случае указанные изменения в законе продолжат действовать, что ограничивает возможность пополнения таких карт и ставит вопрос существования таких транспортных проектов. На этом фоне миграция на персонализированные карты «Тройка» выглядит вполне логичной. Более того, этому примеру могут последовать и участники других проектов транспортных карт.

Возвращаясь к «Тройке», стоит вспомнить, что персонализированные карты для учета льгот для проезда на транспорте – в Москве уже достаточно давняя история. Теперь возможность иметь персонализированный проездной есть и у обычных граждан. Для потребителей это возможность восстановления карты в случае ее утери, что может быть очень актуально, например при покупке абонемента на 365 дней на все виды транспорта в Москве (19 500 рублей ) и пригороде (24 450 рублей).

Для метрополитена же это – возможность дальнейшего развития своей экосистемы, например, по пути Ez-link Card (Сингапур), которая помимо возможности удаленного пополнения предоставляет возможности оплаты в транспорте (в том числе такси), а также большом количестве магазинов и ресторанов.

Наряду со многими другими актуальными темами эти вопросы будут обсуждаться в ходе 11-го Международного ПЛАС-Форума «Платежный бизнес 2020», который пройдет 18–19 ноября 2020 года в московском КВЦ «Сокольники».

Не забывайте, мы всегда с Вами! Даже во время кризисов и пандемий, что, безусловно, свидетельствует о важности и прочности нашего общего дела!

Рубрика:

{}

Теги: