1 июня 2016, 14:33
Количество просмотров 187

В сухом остатке. «Анонимные» платежи как движитель ID-технологий

     По мере сужения сегмента «анонимных» кошельков в России должны симметрично развиваться способы удаленной упрощенной идентификации...
В сухом остатке. «Анонимные» платежи как движитель ID-технологий

По мере сужения сегмента «анонимных» кошельков в России должны симметрично развиваться способы удаленной упрощенной идентификации

ГИС ЖКХ - вопросов больше, чем ответов. Новые форм-факторы НСПК. Что защищать при кибератаке на банкомат? ИБ для банков – от SWIFT и ЦБ

Преддверие лета ознаменовалось целым рядом вопросов, вызывающих горячие дискуссии среди участников банковского сектора, рынка платежей, торгового ритейла и, конечно же, регуляторов.

Что придет на смену «анонимным» платежам?
Из последних трендов российской платежной индустрии сегодня можно выделить несколько ключевых моментов, основной из которых – переход от неидентифицированных (так называемых «анонимных») электронных кошельков к идентифицированным, характеризующий собой общемировую тенденцию «сжатия» разросшегося за последние годы сегмента небольших «анонимных» платежей и роста доли идентифицированных платежей, осуществляемых на новом технологическом уровне. На фоне обострившихся террористических угроз, продолжающегося в ряде стран и сегментах бизнеса разгула коррупции, ухода от налогов и отмывания финансовых средств этот тренд наблюдается сегодня не только в России, но и во всех развитых странах мира. При этом в РФ и ряде других стран к перечисленным факторам может быть добавлено противодействие финансированию внесистемной оппозиции.

Что касается нашего государства, то в первую очередь Росфинмониторинг, Минфин и Центробанк планируют добиться полной прозрачности рынка электронных кошельков. По мнению этих регулирующих органов, возможность совершения «анонимных» платежей в российском интернете может быть использована для финансирования незаконной деятельности. Среди рассматриваемых мер – введение полного запрета на «анонимные» электронные кошельки путем привязки электронного платежного средства к банковскому счету клиента. Ожидается, что это создаст преференции для банков, однако мнения экспертов относительно оптимального сценария ухода от «анонимности» в платежной сфере расходятся.

Так, по мнению Виктора Достова, председателя ассоциации «Электронные деньги», запрет на «анонимные» средства платежа должен повлечь за собой законодательное разрешение платежным операторам упростить процедуру идентификации клиента. В противном случае доступность платежных сервисов для населения окажется под вопросом, а целый ряд видов платежей попросту останется «по ту сторону» закона. И такой роковой ошибки наши власти не должны допустить.

Последнее неизбежно повредит самой финансовой системе и розничной торговле – сейчас через электронные кошельки, по некоторым экспертным оценкам, ежегодно проходит 300 млрд рублей, а оборот растет примерно на 30% в год. При этом следует принять во внимание, что 99,99% пользователей заводят «анонимные» кошельки не ради анонимности как таковой, поскольку вовсе не собираются заниматься противозаконной деятельностью, но исключительно из-за удобства, гибкости и универсальности данного средства платежа. Поэтому взамен «анонимных» кошельков, служащих своего рода входными воротами в мир безналичных платежей, населению необходимо предложить альтернативу, обладающую всеми этими свойствами плюс простой, удобной и прозрачной процедурой идентификации.

Здесь при желании можно увидеть и новую нишу для того же Почта Банка, который при верных акцентах и условиях мог бы использовать данное направление для усиления одной из выбранных им стратегий по наращиванию клиентской базы во всех регионах своего присутствия.

По прогнозам председателя ассоциации «Электронные деньги», по мере сужения сегмента «анонимных» кошельков в России должны симметрично развиваться способы удаленной упрощенной идентификации – например, по номеру телефона, с делегированием полномочий идентификации третьим лицам и т. д.

Так или иначе, представляется неизбежным внесение ряда соответствующих изменений в Закон № 115-ФЗ в части вопросов противодействия финансированию терроризма (ФТ). Сегодня требования ФАТФ и других международных организаций, отвечающих за установку мировых стандартов (Standard Setting Bodies, SSB), диктуют рискоориентированный подход к идентификации плательщика, предусматривающий свои правила идентификации для каждого типа операций в зависимости от уровня риска. Очевидно, что реализация такого подхода весьма сложна и противоречит российскому законотворческому и корпоративному менталитету, традиционно тяготеющему к универсальному регулированию. В то же время подобное регулирование, как известно, отличается максимальной рациональной жесткостью именно в силу своей универсальности и ориентированности, в том числе, на самые высокорисковые транзакции.

Так или иначе, считает В. Достов, ситуация постепенно будет меняться, и формальные ограничения идентификационного характера на проведение низкорисковых с точки зрения ФТ операций уйдут в прошлое вместе с «анонимными» платежными средствами.

«Фрагментарное» регулирование или развитие идентификационной инфраструктуры?

По оценке Марии Михайловой, исполнительного директора Ассоциации «Национальный платежный совет», на пути отказа от «анонимных» платежей существует два противоположных по своей сути сценария. Первый из них подразумевает избирательный отказ, когда для ряда низкорисковых видов платежей делаются исключения – например, сохраняется анонимность платежей населения в адрес государства и т. д. При всей своей кажущейся логичности (ведь подобные исключения позволяют сохранить простоту, удобство и доступность многих регулярных платежей для населения) такой подход стратегически неверен, поскольку ключевым направлением развития рынка безналичных платежей является прежде всего развитие идентификационной инфраструктуры и расширение способов идентификации, а не усложнение сугубо административных правил игры.

«Фрагментарное» регулирование с поправками на каждый отдельный сегмент, когда клиент может анонимно оплатить штраф ГИБДД, но не может приобрести страховку, является тормозом для развития новых способов безналичных платежей, обрекая российский рынок на неизбежное технологическое и экономическое отставание. Действительно, зачем инвестировать значительные средства в развитие, например, ЭЦП и размещать ее на чипе банковской карты или SIM-карте смартфона, если те же госплатежи по-прежнему останутся анонимными, а для ряда других ЭЦП не будут считаться средством идентификации с точки зрения регулятора?! Тем более что именно P2G-платежи являются сегодня основным драйвером развития платежных и идентификационных технологий, а также инфраструктурного развития во всем мире!

Поэтому основная и единственная альтернатива «анонимности» в России – простым, удобным и доступным должен стать любой идентифицированный платеж. При этом, как отмечает М. Михайлова, следует избегать откровенных «имитаций» – заведомо неэффективных методов идентификации, усложняющих и удорожающих процедуру платежа, но не делающих при этом транзакцию безопаснее, в том числе, с точки зрения ПОД/ФТ. К таким методам в ряде случаев можно отнести предлагаемую сегодня для повсеместного использования удаленную идентификацию клиента только по номеру банковской карты. Даже для неспециалистов очевидно, что таким образом гарантированно установить идентичность личности плательщика и законного держателя карты на момент проведения транзакции не представляется возможным.

В сухом остатке. «Анонимные» платежи как движитель ID-технологий - рис.1
«Фрагментарное» регулирование с поправками на каждый отдельный сегмент является тормозом для развития новых способов безналичных платежей

При этом нельзя забывать, что даже уже прописанные в Законе № 115-ФЗ требования по идентификации плательщиков на практике выполняются далеко не всегда, и здесь уже давно пора многое менять. Резюмируя сказанное, можно утверждать, что «гордиев узел» завязался здесь уже достаточно давно, и в интересах всех участников рынка – развязать его как можно скорее, внедряя эффективные доступные высокотехнологичные способы идентификации любых видов платежей.

Данный вопрос во многом созвучен еще одной перспективной инициативе – разрабатываемой сегодня Министерством связи и массовых коммуникаций РФ упрощенной процедуре банковского онлайн-кредитования – направлению, которые призвано стимулировать рынок розничного банковского обслуживания и, одновременно, отечественный ритейл.


У банков вызывают вопросы технические моменты сбора и накопления информации для передачи в ГИС ЖКХ


ГИС ЖКХ – вопросов больше, чем ответов
Еще одним важным трендом является появление у банков с 1 июля 2016 года новых обязанностей перед государством, в том числе – подготовить свои ИТ-системы для взаимодействия с ГИС ЖКХ, которая, как планируется, с этой даты заработает в полном объеме. Согласно Закону № 209-ФЗ, к этому сроку банкам, принимающим коммунальные платежи населения, необходимо организовать прием и передачу соответствующей информации в ГИС ЖКХ. По мнению ряда экспертов, такой подход создает ряд прецедентов, один из которых заключается в следующем: если ранее информация о задолженностях конкретных лиц перед поставщиками услуг ЖКХ хранилась у получателей платежей, то теперь ГИС ЖКХ фактически будет выступать единым информационным центром, хранящим, собирающим и актуализирующим такого рода данные. Возникновение подобного игрока национального масштаба может принципиально изменить лицо платежного рынка.

Как заявил недавно замминистра связи и массовых коммуникаций РФ Михаил Евраев, ГИС ЖКХ будет носить универсальный характер: поставщики информации (организации сферы ЖКХ и органы власти) сами будут решать, каким образом заносить информацию в систему. По его словам, сегодня около 380–400 информационных систем проходит бесплатное тестирование на портале, т. е. любая заинтересованная структура может провести интеграцию своей системы с ГИС ЖКХ.

Несмотря на это, у многих банков вызывают сегодня вопросы технические моменты, связанные в первую очередь со сбором и накоплением информации для передачи в ГИС ЖКХ.

Учитывая большой объем информации, который предстоит внести в ГИС ЖКХ, Минсвязи в течение полугода предлагает полностью завершить этот процесс без каких-либо штрафных санкций в отношении организаций ЖКХ. Однако уже с 1 января 2017 года система автоматически начнет отправлять в контрольные органы информацию об административных нарушениях.

Несмотря на то, что система, по мнению руководства Минсвязи, призвана сделать сферу ЖКХ открытой и прозрачной по аналогии с государственными закупками, отдельные эксперты выказывают скепсис в отношении данной инициативы. По их мнению, речь идет о риске определенной монополизации данного сегмента со стороны Почты России. При этом ставится под сомнение успешность очередного монопольного государственного (либо «окологосударственного») проекта – примеры, когда клиенты выигрывали бы от наличия монополии, пока неизвестны.

Карты «Мир»: перегибы на местах
Еще одно показательное событие – попытки Роспотребнадзора штрафовать торгово-сервисные предприятия за отказ принимать к оплате карты «Мир». Характерно, что все четыре дела, обнаруженные в картотеке арбитражных судов, относятся к 2015 году, причем к периоду, когда даже пилотная эмиссия данных карт еще не началась. Очевидно, что штрафовать за неготовность приема еще не выпущенного платежного инструмента – не более чем излишнее административное рвение. Неслучайно в ходе арбитражных судов все штрафы, кроме одного (выписанного еще в мае 2015 года, когда для карты «Мир» только выбирался логотип), были отменены. В двух решениях апелляционных инстанций отмечается, что карты не принимали в то время, когда они еще не появились, в третьем случае не было доказано, что клиент пытался расплатиться картой.

В сухом остатке. «Анонимные» платежи как движитель ID-технологий - рис.2

В сухом остатке. «Анонимные» платежи как движитель ID-технологий - рис.3
В настоящее время НСПК активно разрабатывает собственное мобильное решение, при этом соответствующий пилот должен стартовать уже в сентябре 2016 года

В то же время, как предостерегают эксперты, попытка реализовать существенные преференции, записанные в законе в отношении карты «Мир», может привести ни больше ни меньше чем к откату к наличным платежам. Сегодня, когда в некоторых небольших российских ТСП уже зачастую демонтируют POS-терминалы, в результате бессмысленного затягивания гаек на фоне падения оборота в ритейле мы можем потерять тот потенциал, который более чем за десятилетие нарабатывался в сегменте СМБ в плане приема безналичных платежей.

Показателен в этом отношении перенос на более поздний срок вступления в силу так называемого закона об онлайн-фискализации, который планировалось принять во втором-третьем чтении Госдумы уже к концу мая. Отсрочка выглядит совершенно оправданной на фоне отсутствия понимания бизнесовой стороны вопроса, а также всех необходимых изменений, которые потребуется осуществить в работе ТСП с банковскими картами. В противном случае такие меры могут лишь подталкивать рынок ритейла к наличным платежам. Не говоря уже о том, что различного рода маркетплейсы, призванные сегодня стать платформами для продвижения российских товаров за рубеж, могут существовать только при наличии развитой прозрачной системы безналичных платежей.

НСПК: новые приложения, новые форм-факторы
В то же время нельзя не видеть за деревьями леса – на фоне отдельных «перегибов на местах» обращает на себя внимание дальнейшее динамичное развитие проекта Национальной системы платежных карт, в том числе успехи команды НСПК в дальнейшем развитии приложения карты «Мир». По словам Виктора Сестреватовского, директора по развитию бизнеса в области банковских, транспортных и NFC-приложений компании NXP, сегодня в рамках НСПК ведется активная работа по адаптации эквайринговой инфраструктуры для приема национальных карт. Одновременно реализована новая версия приложения НСПК – 1.3, при этом все вновь выпускаемые контактные карты «Мир» тестируются на работу именно с этой версией апплета. Когда заканчивал верстаться этот номер, поступила информация, что НСПК приступила к тестированию социального и транспортного приложений для карт «Мир».

Важно отметить – выбранная для реализации и развития национального приложения технологическая концепция и стратегия, предусматривающая фокусирование на GlobalPlatform и Java-технологии, позволяет очень гибко и быстро запускать и портировать платежные приложения на самые различные форм-факторы.

На этом фоне можно ожидать, что уже в самом обозримом будущем команда НСПК сможет показать рынку готовые наработки в этой области, включая в первую очередь карты «Мир» с дуальным контактно-бесконтактным интерфейсом, выпуск которых запланирован на 2017 год.

Эта инициатива прекрасно вписывается в глобальный тренд, связанный с массовым внедрением такого рода продуктов по всему миру.

По имеющейся у редакции ПЛАС информации, сейчас НСПК также активно разрабатывает мобильное решение. Соответствующий пилот должен стартовать уже в сентябре 2016 года.

Реализации всех этих задач будет способствовать запущенный в рамках НСПК процесс проведения тренингов, которые выступают эффективным каналом коммуникаций между представителями всех участников рынка, регулятором и АО «НСПК».

Кибератаки на банкоматы – что, как и чем защищать?
Среди негативных тенденций, продолжающих свое развитие, эксперты называют кибератаки на банкоматы, которые за последнее время становятся все более распространенным видом мошенничества. По данным «Лаборатории Касперского», за последние два года только в рамках таких резонансных киберограблений, как Tyupkin и Carbanak, преступники смогли несанкционированно изъять из банкоматов сотни миллионов долларов США по всему миру.

По словам Алексея Голенищева, директора дирекции мониторинга электронного бизнеса Альфа-Банка, в данном случае мы имеем дело с целым рядом различных уязвимостей банковских устройств самообслуживания, среди которых уязвимость собственно программного обеспечения является лишь одной из составляющих. Действительно, сегодня большинство установленных ATM по-прежнему используют уже не поддерживающуюся, а стало быть, небезопасную ОС Windows XP. В свою очередь специальное ПО, отвечающее за взаимодействие системного блока банкомата с банковской инфраструктурой и аппаратными модулями банкомата, во многих случаях работает на устаревшем стандарте XFS. Так, в прошлом году преступниками был «анонсирован» новый вирус Suceful, как раз «атакующий» именно XFS. В результате зловредное ПО может отправить команду любому блоку банкомата (например, картридеру – скопировать данные карты, изъять карту, или диспенсеру – выдать деньги из банкомата). Также до сих пор очень популярны атаки на бакнкоматы, такие как host emulation («подмена хоста»), когда заранее установленное зловредное ПО подменяет данные авторизационных сообщений процессингового центра банка, изменяя суммы запросов и/или коды «отказа» на «разрешение выдачи»). Распространена и установка в разрыв диспенсера и ПО банкомата внешних устройств, так называемых black box’ов, – позволяющих преступникам удаленно управлять выдачей наличных банкоматом (например, с мобильного телефона по Bluetooth).

В сухом остатке. «Анонимные» платежи как движитель ID-технологий - рис.4
Весьма своевременными видятся рекомендации ЦБ РФ по обеспечению информационной безопасности организаций банковской системы, которые начали действовать с 1 мая 2016 г.

Однако не стоит забывать, что даже повсеместный переход на самое современное ПО в этом случае не станет панацеей – любое софтверное решение имеет «дыры» в системе обеспечения безопасности, и выявление их для преступного сообщества – всего лишь вопрос времени. Поэтому защита банкоматов от киберугроз обязательно должна быть комплексной и осуществляться как на программном, так и на физическом уровне. Последнее особенно важно, учитывая, что большинство современных кибератак осуществляются путем несанкционированного проникновения преступниками в сервисную зону устройства. Сегодня у многих установленных в России банкоматов открытие сервисной зоны осуществляется единым ключом, подходящим ко всем устройствам того или иного вендора. Надо ли говорить, что на фоне упомянутых угроз такая практика совершено неприемлема? Необходимо внедрять управления и контроля доступа (СКУД) с использованием электронных и электронно-механических замков, бесконтактных ID-карт, сигнализации, системы мониторинга доступа, в рамках которых доступ к сервисной зоне каждого устройства будет обеспечиваться отдельным ключом и мониториться специализированными службами банка. Это в определенной степени затруднит преступникам несанкционированный доступ к «мозгам» банкомата, а стало быть, сильно усложнит возможность установки вредоносных приложений и black box’ов. Но решаемо ли данное предложение с экономической и административно-логистической точек зрения при массовом обслуживании банкоматов банками, абсолютное большинство из которых сейчас не могут позволить себе реализовать значительное количество своих планов из недалекого прошлого? Вот в чем заключается серьезный вопрос!

Тем более, что, по словам ряда экспертов, практика показывает: порядка 90% преступлений такого рода совершается инсайдерами, т. е. специалистами, по роду своих задач имеющими доступ к сервисной части банкоматов. Нельзя забывать – попытка доступа совершенно посторонних лиц к банкомату под видом его обслуживания в большинстве случаев увенчается вызовом полиции бдительной охраной местного торгового центра и т. д. Нередки случаи, когда охранники задерживали за этим занятием даже уполномоченных сервисных инженеров, о визите которых их по тем или иным причинам забыли предупредить.

Кроме того, как отмечает А. Голенищев, перечисленные мероприятия стоят денег (а если парк банкоматов значителен, то больших денег), а также значительно усложнят сервис банкоматов, инкассацию и т. д. Но здесь все зависит от выбора каждого конкретного банка – при каких рисках на какие затраты он готов пойти.

Как одна из идей: повышение требований к самим производителям банкоматов в части обеспечения безопасности. Как правило, сегодня банкоматы в базовой комплектации в большинстве случаев плохо защищены от киберпреступников как на программном, так и на аппаратном уровне. В результате банк вынужден либо дооснащать такие устройства за свой счет, что обходится ему очень недешево, либо (и это практикуется значительно чаще) устанавливать банкомат «как есть» со всеми вытекающими рисками. Тем более что та же смена замков, запирающих сервисную часть банкомата, помимо необходимости серьезных инвестиций, требует обязательной сертификации у поставщика и связана с достаточно сложной процедурой оформления целого ряда документов. Поэтому, например, со стороны регулятора было бы правильно обязать поставщиков оборудования, по аналогии с существующими требованиями к классу защищенности сейфов устройств самообслуживания (УС), уже в базовой комплектации оснащать свою продукцию всеми необходимыми средствами для защиты от атак на ПО и физических атак на сервисную часть и конкретные отдельные модули – хотя бы на минимально приемлемом уровне. В этом случае стоит ввести требования и к защите банкомата от скимминга, обязав поставщиков оснащать все УС современными антискимминговыми решениями.

Такой подход был бы оправдан и с экономической точки зрения: изначальное оснащение всей линейки выпускаемых банкоматов комплексными средствами обеспечения безопасности значительно дешевле последующего апгрейда отдельных устройств и не должно привести к критичному повышению отпускной цены оборудования. И с этим, по мнению редакции «ПЛАСа», нельзя не согласиться. Правда, один из мировых лидеров – банкоматных вендоров сегодня уже находится на стадии поглощения другим. Да и все ведущие игроки с точки зрения прибыльности своих бизнесов сегодня оставляют желать лучшего.

Кроме того, защита всей банковской инфраструктуры (и платежной особенно) от действий преступного сообщества уже давно должна была бы стать делом государственным, социально и общественно значимым. Но, конечно же, ни в коей мере не являться тем направлением, обеспечение безопасности в котором было бы отдано на откуп госструктурам. Потому что при всей нашей лояльности к государству мы не готовы делать предложение, после реализации которого придется столкнуться с гораздо большим количеством проблем, нежели было ранее. Примеров тому, к сожалению, великое множество!

Бесконтактные транзакции – удар по скиммингу
Возвращаясь к вопросам противодействия скиммингу, следует отметить, что ряд экспертов ожидает значительного прогресса в этом направлении в связи с массовым распространением бесконтактных карт. Так, по словам А. Голенищева, тех карточных данных, которые способен скопировать бесконтактный скиммер, будет недостаточно для последующего изготовления поддельной карты. В лучшем случае преступникам удастся изготовить «дубликат» с магнитной полосой. Однако на ней будет размещен прописанный на чипе действительной бесконтактной карты ICCV (вместо обычного CVV, размещаемого на «магнитных» картах). При попытке проведения операции по такой карте (при корректной настройке процессинга эмитента) операция будет классифицирована как «фрод» и отклонена. Что же касается возможности «клонирования» чипа и изготовления именно поддельной чиповой карты, то этот вопрос пока остается в области «лабораторных исследований» – на практике таких случаев пока не выявлено, хотя не исключено, что и это вопрос времени. В настоящее же время операции в банкоматах, осуществляемые по бесконтактному протоколу, представляются экспертам наиболее безопасными.


«Атаки на корсчета» становятся все более массовыми и более критичными с точки зрения объемов похищенных средств


SWIFT предупреждает о новых угрозах
Еще более настораживают банковское сообщество участившиеся атаки мошенников на банки «изнутри». Так, недавно международная межбанковская система передачи информации SWIFT предупредила своих клиентов об имевших место множественных «киберинцидентах». Согласно разосланному клиентам системы уведомлению, выявлен целый ряд случаев, когда злоумышленники, действовавшие внутри системы или снаружи, сумели отправить сообщения SWIFT из бэк-офисов финансовых учреждений, персональных или рабочих компьютеров, подключенных к локальному интерфейсу сети SWIFT. По мнению А. Голенищева, а также некоторых других специалистов в области безопасности, которым «ПЛАС» предложил прокомментировать ситуацию, упомянутые атаки действительно были направлены именно на рабочие места банковских операторов, осуществляющих взаимодействие со SWIFT, но отнюдь не на каналы самой межбанковской системы, которые, в отличие от компьютеров операторов, надежно защищены. В противном случае последствия были бы гораздо трагичнее и затронули бы всю мировую банковскую систему.

В результате заражения данных компьютеров вредоносным ПО преступникам удалось перехватить управление рабочими местами операторов SWIFT. В качестве одного из предполагаемых последствий этого единичного пока инцидента эксперты называют недавнее хищение из ЦБ Бангладеш порядка 81 млн долл. США.

Тем не менее нужно признаться, что несколько лет назад данная ситуация казалась абсолютно немыслимой. В чем все мировое банковское сообщество небезуспешно многие годы не только пытались убедить, но и успешно убеждали под убаюкивающий стройный хор самых разных аргументов. Приходится также признать, что в случае, когда преступное сообщество планирует похитить суммы с восемью и более нулями, риски инсайда буквально стремятся к бесконечности. Как известно, все системы безопасности работают по принципу: риск возникает только тогда, когда возможная выгода злоумышленников от успешной атаки должна значительно превысить размеры средств, потраченных на подготовку и совершение преступления. В случае со SWIFT суммы, на хищение которых могут рассчитывать преступники, столь велики, что их потенциальные возможности, в том числе, и в плане подкупа инсайдеров, практически не ограничены.

Данная тенденция, когда атаки начинают осуществляться не на банковских клиентов, а на сами банки, сегодня характерна и для России. Не так давно руководство главного управления безопасности и защиты информации ЦБ РФ выступило с заявлением: кибермошенники переключаются на корсчета банков, резко повысив свою активность в этом направлении по сравнению даже с 2015 годом. Так, за последний квартал 2015 года и первый квартал 2016-го потери банков от такого рода атак превысили 2 млрд рублей, хищение еще 1,5 млрд рублей удалось предотвратить.

По мнению экспертов, в этих случаях речь также идет не о взломе банковской сети как таковой, но о перехвате управления рабочими местами операторов банков путем внедрения вредоносного ПО в компьютеры, с помощью которых они производят те или иные операции с корсчетами. Само заражение может осуществляться как через публичные сети, так и задействованием недобросовестных (или просто халатных) банковских сотрудников, имеющих доступ к соответствующим компьютерам.

Таким образом, можно утверждать, что так называемые атаки на корсчета банков имеют ту же природу, что и прежние атаки на компьютеры пользователей банковскими услугами – как физических, так и юридических лиц. В обоих случаях можно говорить о явном несоблюдении элементарных требований ИБ: машины, имеющие доступ к столь значимым приложениям, должны быть как минимум изолированы от публичных сетей, доступ к ним необходимо строго регламентировать, при этом такие компьютеры должны иметь максимальную защиту от несанкционированного проникновения на программном и аппаратном уровне.

При этом если грамотность пользователей в области ИБ зачастую бывает близка к нулю, и по этой причине они с полным основанием считаются самым слабым звеном в цепочке обеспечения безопасности, то в ситуации с банками подобное положение вещей представляется недопустимым. Банковские сотрудники, осуществляющие операции подобного уровня ответственности, должны быть не просто знакомы с политикой и основными принципами и правилами ИБ, но иметь соответствующее образование и самые высокие компетенции в этой области. Как правило, на практике во многих банках ситуация совершенно иная.

В результате «атаки на корсчета» становятся сегодня не только все более массовым, но и все более критичным видом мошенничества с точки зрения объемов похищенных средств.

Характерно, что когда верстался этот номер, руководство SWIFT заявило о своем намерении в ближайшее время представить комплексный план по борьбе с кибермошенничеством в связи с участившимися случаями крупных виртуальных краж у членов системы. В частности, SWIFT намерена анонсировать план по обмену информацией, усилению системы безопасности и более эффективному выявлению случаев мошенничества. В том числе, у ее руководства есть намерения ужесточить требования к программному обеспечению, используемому клиентами SWIFT, с целью обеспечения лучшей защиты, а также представить требования к сертификации сторонних провайдеров.

Информационная безопасность – ЦБ рекомендует
На этом фоне весьма своевременными видятся и рекомендации ЦБ РФ по обеспечению информационной безопасности организаций банковской системы, которые начали действовать с 1 мая 2016 года. Речь идет о комплексе мер по выстраиванию эффективной системы мониторинга и контроля информационных потоков, основная цель которых – минимизация риска утечки информации.

По оценкам внешних экспертов «ПЛАСа», данный документ выглядит очень продуманным. В отличие от многих других «инициатив сверху», он составлялся очень опытными специалистами-практиками. Например, одной из его «изюминок» является пристальное внимание к системам фрод-мониторинга – документ подробно рассматривает все аспекты данного направления вплоть до конкретных критериев мониторинга и настроек системы. Ряду участников рынка такая конкретика в документе, который планируется запускать в открытую рассылку по кредитным организациям (и, возможно, опубликовать на сайте ЦБ), представляется даже несколько рискованной. На их взгляд, данными рекомендациями могут воспользоваться не только банки, но и преступное сообщество, приняв их к сведению и сделав для себя соответствующие выводы. На фоне этих соображений данный документ безопаснее было бы адресно рассылать по службам безопасности банков, как это делают, например, международные платежные системы, направляя информацию такого рода под грифом «confidential» исключительно банкам-участникам. Справедливости ради следует отметить, что в отличие от рекомендаций Центробанка соответствующие документы МПС не содержат столь конкретных советов по обеспечению ИБ.

P.S. Итак, несмотря на обилие тенденций, тема безопасности по-прежнему на переднем плане, и нам остается лишь пожелать всем участникам рынка, чтобы их инвестиции в это направление позволили им (а следовательно, и всем клиентам этих банков) избежать убытков, на несколько порядков более значительных. Как этого добиться – читайте на страницах этого и последующих номеров «ПЛАСа»!

Не забывайте, мы всегда с Вами!

Рубрика:
{}
Теги:
#

PLUSworld в соцсетях:
telegram
vk
dzen
youtube