В сухом остатке. Санировать нельзя лишить? Оказывается, можно, если кому-то очень хочется!

О масштабах проблем, вызванных ситуацией с банком «ЮГРА», можно судить хотя бы по тому факту, что уже 31 июля Агентство по страхованию вкладов (АСВ) после решения о рекордных выплатах вкладчикам банка «ЮГРА» запросило у  Банка России дополнительное финансирование на 210 млрд рублей, а также продление срока действия кредитов регулятора. Каковы же окажутся в реальности убытки от очередного отзыва лицензии, покажет только время.

Положение № 552-П: «живые» рекомендации к выполнению?

Читайте также:

Цифровой рубль может обеспечить трансгран при поддержке ЦБ дружественных стран – результаты ПЛАС-Опроса

При этом убытки банков от мошенничества и кибератак, как известно, также остаются актуальными. На этом фоне недавно Ассоциация участников рынка платежных услуг «Некоммерческое партнерство «Национальный платежный совет» (НП «НПС») разработала Методические рекомендации по Положению Банка России от 24.08.2016 № 552-П «О требованиях по защите информации в платежной системе Банка России».

Напомним, что причиной разработки и принятия мегарегулятором Положения № 552-П в августе 2016 года стала волна эффективных атак на корсчета кредитных организаций через АРМ КБР клиента Банка России в коммерческих банках. Однако после выхода Положения Банка России № 552-П у участников финансового рынка возникли серьезные вопросы по его практическому применению в своей работе. Несмотря на то что регулятором был выпущен дополнительный документ с разъяснениями, он не охватил всей проблемной области, и ряд вопросов оставался без ответа.

По словам Андрея Курило, главного советника компании «Российские наукоемкие технологии» и одного из разработчиков документа, рекомендации НП «НПС» направлены на то, чтобы помочь кредитным организациям правильно выполнять требования Банка России. Формат документа позволяет также по мере возникновения новых вопросов давать ответы в виде дополнительных рекомендаций. По мнению эксперта, необходимость новых комментариев может возникнуть в следующем году, с выходом нового Положения № 382-П.

В свою очередь советник председателя Правления НП «НПС» Андрей Лисицын, также принимавший участие в разработке рекомендаций, подчеркивает, что необходимость в методологических рекомендациях была связана прежде всего с тем, что она затрагивает большой пласт деятельности в платежной сфере любой кредитной организации. По его мнению, документ НП «НПС» затрагивает самые различные аспекты, связанные в том числе с документированием, физическим и логическим доступом, вредоносным кодом и пр.

Авторы документа отмечают, что им удалось создать «живой» документ, который будет дополняться по мере необходимости, и призывают участников рынка обсуждать и формулировать новые вопросы, которые требуют разъяснений. Кроме того, в любых случаях отклонения применительной практики от этих рекомендаций они просят сообщать об этом для дальнейшей совместной проработки с мегарегулятором.

Как отмечает председатель правления НП «НПС» Алма Обаева, команда НПС ждет от рынка дополнительных предложений и готова дальше совершенствовать этот документ. Он доступен всем желающим, при этом поступает достаточно много обращений, особенно из регионов. Одновременно НП «НПС» планирует продолжить работу с Банком России в таком же ключе и по другим направлениям деятельности.

Отметим, что в официальном письме из Главного управления безопасности и защиты информации Банка России от 30 июня 2017 года за подписью заместителя начальника ГУБЗИ ЦБ РФ Артема Сычева отмечается, что разработанные НП «НПС» Методические рекомендации не противоречат требованиям нормативных и иных актов Банка России по вопросам защиты информации при осуществлении переводов денежных средств, в том числе требованиям Положения Банка России от 24.08.2016 № 552-П.

«Анонимные» SIM-карты уступят место «подставным»?

Между тем госрегулирование в сфере обеспечения безопасности вскоре повлечет серьезные изменения и в деятельности мобильных операторов. Речь идет о мерах, направленных на пресечение распространения «анонимных» SIM-карт, уже давно вызывающих законные вопросы к государству у всех участников рынка. Новые поправки к проекту Федерального закона «О внесении изменений в Федеральный закон «О связи» призваны избавить рынок от этого опасного явления.Законопроект был одобрен Государственной думой и Советом Федерации, а 31 июля подписан Президентом РФ. Закон вступит в силу с 1 июня 2018 года.

По мнению экспертов, для банковского и платежного сообщества данный закон важен тем, что направлен на борьбу с рынком SIM-карт, зарегистрированных на подставных лиц. Как известно, сегодня большое количество преступлений осуществляется с помощью таких SIM-карт (причем преступлений не только в области высоких технологий и банкинга, но и связанных с другими направлениями криминальной деятельности).

Как отмечает независимый эксперт Николай Пятиизбянцев, черный рынок таких SIM-карт весьма развит и держится на двух схемах: физические лица получают карты на свое имя и перепродают их, в свою очередь юридические лица или ИП получают корпоративные карты и поступают с ними аналогичным образом.

Принятие закона существенно снизит количество предлагаемых анонимных SIM-карт и позволит правоохранительным органам более эффективно бороться с преступностью (в современной жизни мобильный телефон, даже если не используется непосредственно для совершения преступления, практически всегда находится с преступником, и по его локации можно установить его местонахождение, не говоря уж о звонках и связях).

В то же время, по мнению эксперта, у закона есть один существенный недостаток. Дело в том, что в настоящий момент большинство крупных руководителей коммерческих структур (топ-менеджеров), а также наиболее обеспеченных абонентов (VIP-клиентов) пользуются корпоративными SIM-картами. Новый закон обяжет этих граждан сообщать оператору связи свои персональные данные, в результате чего возможна нежелательная утечка информации. Впрочем, вполне возможно, что данные клиенты смогут обойти закон, например, указывая персональные данные других сотрудников своей компании, которые будут подтверждать оператору связи собственные данные, притом что телефон в действительности будет передаваться том-менеджеру или VIP’у.

Однако нетрудно догадаться, что если проверка достоверности личности пользователя услугами связи будет происходить разово при выдаче SIM-карты, это позволит злоумышленникам регистрировать корпоративные карты на подставных лиц, подтверждать достоверность персональных данных и только потом продавать такие карты «на сторону». Иными словами, SIM-карты формально не будут «анонимными», но все равно могут быть оформлены на других лиц (как сейчас происходит с банковскими картами для обналичивания денежных средств). И эта лазейка значительно снизит эффективность закона.

По мнению некоторых экспертов, последнее особенно досадно, учитывая, что сегодня абонентский счет у мобильного оператора очень часто служит преступникам каналом вывода средств, похищенных с использованием целого ряда различных схем, включая фишинговые сайты.

Трояны опасны для касс ТСП?

Еще одно событие месяца в сфере безопасности – 10 июля 2017 года «Лаборатория Касперского» распространила сообщение об активном появлении особой модификации трояна Neutrino, якобы атакующей POS-терминалы и компрометирующей данные банковских карт. Эта информация, получившая широкий резонанс в СМИ, уже успела вызвать дискуссию среди авторитетных экспертов платежной индустрии. Портал PLUSworld.ru провел собственное журналистское расследование, и сегодня мы подводим его результат. В этом номере вас ждет развернутый анализ ситуации, подготовленный по нашему запросу представителями крупнейших участников рынка и резюмированный более чем внятными разъяснениями ведущего антивирусного эксперта «Лаборатории Касперского» Сергея Голованова. Как оказалось, в пресс-релизе «Лаборатории Касперского» речь действительно идет не о POS-терминале как о специализированном платежном устройстве, но о действительно уязвимом для троянов кассовом компьютере под управлением ОС Windows, подключенном к устройству, принимающему платежные карты. Как вы убедитесь, ознакомившись с материалом нашей рубрики «Круглый стол», вендоры POS-терминалов по понятным причинам не имеют к ситуации никакого отношения – ответственность здесь ложится скорее на производителей кассового ПО, допускающих реализацию таких небезопасных схем с внесением карточных данных в ККМ. В то же время эксперты отмечают, что продвижение решений для обеспечения кибербезопасности кассовых компьютеров в сегменте ритейла по-прежнему проблематично – торговые сети ставят киберриски на одно из последних мест в списке актуальных для себя угроз, лидерство в котором до сих пор отводится кражам товара из торговых залов и мошенничеству персонала. Впрочем, на фоне недавней кибератаки, в ходе которой пострадали в том числе кассы украинского АШАНа, чьи данные оказались зашифрованы вирусом-шифровальщиком, ситуация может измениться.

Ресайклеры стали мейнстримом?

Следующий долгосрочный тренд, нашедший отражение в недавних событиях, коснулся банкоматного бизнеса. Ассоциация «Финансовые инновации» (АФИ) предложила вниманию участников рынка результаты своего анализа практики использования банкоматов-ресайклеров (читатели журнала «ПЛАС» могут ознакомиться с ними на страницах этого номера). Несмотря на очевидную полезность этого документа в целом, некоторые наши внешние эксперты уже выразили свое несогласие с рядом его ключевых моментов. В частности, по словам Максима Дарешина, начальника управления по развитию систем самообслуживания Альфа-Банка, ресайклинговые банкоматы являются гибко настраиваемыми устройствами самообслуживания с точки зрения динамики использования и специфики конкретных точек установки. Именно поэтому разделять их на терминалы, устанавливаемые для юрлиц из числа ритейлеров, депонирующих через банкоматы свою выручку, и банкоматы, ориентированные на физлиц, как это предлагается в рекомендациях АФИ, некорректно с точки зрения существующей практики. Напротив, сегодня банки стремятся максимально унифицировать свои ресайклеры под любой тип клиента. Примером здесь могут послужить ведущие кредитные организации, одними из первых сделавшие ставку на ресайклинг, включая Почта Банк: их машины изначально были установлены для обслуживания массового розничного клиента и лишь затем стали использоваться и ритейлерами.

По мнению М. Дарешина, последний момент крайне важен для использования ресайклера, поскольку гарантированное поступление значительных сумм наличных обеспечивает высокий KPI эффективности ресайклинга. Последний принято рассчитывать как соотношение доли наличных денег, заложенных в устройство (именно они обусловливают расходы банка, связанные с отвлеченными средствами), и доли средств, внесенных клиентами, в общем объеме наличных, выданных этим устройством клиентам. Чем меньше доля отвлеченных средств, тем эффективнее ресайклинг. Рекордный показатель, которого удалось добиться Альфа-Банку в одной из точек, составляет соотношение 15:85, где 15 – доля отвлеченных средств, изначально загружаемых в устройство, а 85 – доля внесенных клиентами наличных. Конечно же, такого результата можно добиться только в идеальных точках с соотношением выдачи/приема 50/50. Например, удачный в этом отношении вариант – «зарплатный» ресайклер, которым наряду с работниками обслуживаемого предприятия, снимающими наличные, пользуется местное ТСП для депонирования выручки. Следует учесть, что использование ресайклеров обеспечивает банку прежде всего неплохую экономию за счет сокращения сумм наличных, загружаемых в банкоматы, помимо всем известной экономии на инкассациях, которые в случае ресайклера проводятся значительно реже.

По мнению эксперта, одно из ключевых преимуществ использования данной технологии не нашло в полной мере отражения в рекомендациях АФИ. Также было оставлено без внимания такое направление, как выдача и прием ресайклером иностранной валюты, которое также способно в ряде случаев приносить банку существенный доход, хотя и вынуждает занимать под валюту одну-две кассеты устройства в зависимости от модели.

Еще один момент, на который обращают внимание эксперты, – снизившаяся за последнее время цена ресайклеров, которая сегодня, на фоне широкого спроса и прихода на рынок целого ряда производителей, начинается уже не «от 17, 5 тыс. долл. США», как указано в рекомендациях АФИ, – на одном из недавних тендеров речь шла о 14 тыс. долл. за машину. Последнее неудивительно, учитывая, что ряд крупных игроков сегодня уже отказались от закупок не только многофункциональных банкоматов, но и традиционных cash-out устройств в пользу ресайклеров.

В то же время некоторые эксперты обращают внимание, что далеко не все банки сегодня реально нуждаются в установке ресайклеров. Так, например, некоторые региональные банки располагают широкой сетью отделений, где предлагают полный спектр услуг, включая депонирование выручки ТСП, при этом обеспечить необходимый объем поступления наличных в отдельно установленный ресайклер им во многих случаях не представляется возможным в силу объективных обстоятельств.

«Мир» для бюджетников: эмиссия 2.0?

Как известно, с 1 июля 2018 года все выплаты государственных средств соответствующим категориям клиентов, включая работников бюджетных учреждений, пенсионеров, студентов и т. п., должны осуществляться исключительно на счет карты национальной платежной системы «Мир». И уже сегодня головной болью российских банков является открытие счетов карт «Мир» своим многочисленным клиентам, попадающим под действие закона. Интересно отметить, что многие банки делают это уже не в первый раз, причем первые карты «Мир», которые они раздали бюджетникам, были привязаны к уже открытым счетам карт международных платежных систем. Дело в том, что только в начале мая 2017 года выяснилось, что закон в окончательной редакции требует иметь для таких выплат отдельный счет, к которому привязана только национальная карта. До этого момента обсуждались две вероятные позиции, одна из которых предусматривала возможность довыпустить карту «Мир» к уже имеющемуся у бюджетника счету карты МПС. По понятным причинам многие поспешили реализовать именно такой вариант как наиболее беспроблемный и наименее затратный. Увы, окончательный вариант закона требует открытия отдельного счета, и теперь банкам приходится вновь заниматься массовым довыпуском национальных карт. Справедливости ради стоит упомянуть, что для полной переэмиссии у них есть еще год, но работы, как показывает практика, хватает уже сегодня.

Национальная карта локального действия?

Интересно, что крупнейший эмитент платежных карт – Сбербанк России – приступил к выпуску карт «Мир», которые не могут использоваться во всей инфраструктуре национальной платежной системы. В соответствии с тарифами, представленными на сайте Сбербанка, по картам «Мир Социальная» эмитентом установлен запрет на получение наличных денежных средств в банкоматах других банков.

Таким образом, сложилась ситуация, когда операции по снятию наличных по картам платежной системы «Мир» ограничены устройствами только банка-эмитента. По мнению экспертов, такой подход противоречит антимонопольному законодательству, поскольку позволяет одному из участников платежной системы – Сбербанку, занимающему монопольное положение на рынке, – предлагать более низкие тарифы за счет несправедливых ограничений для других участников платежной системы, обеспечить привлечение новых клиентов и еще сильнее упрочить свои позиции.

При этом некоторые участники рынка высказывают мнение, что подобные ограничения со стороны эмитентов ведут к негативным последствиям для держателей карт и, как следствие, к имиджевым потерям для платежной системы и ее участников, к финансовым потерям банков, занимающихся развитием эквайринговой сети, а также к снижению доступности финансовых услуг для российского населения.

Как отмечают отдельные эксперты, наличие такого прецедента может привести к повторению другими банками-эмитентами этой схемы для различных типов операций, а в конечном итоге – к дискредитации самого понятия «платежная система» и общих правил работы банков в системе.

Вместе с другими актуальными темами этот вопрос будет также обсуждаться на 9-м Международном ПЛАС-Форуме «Банковское самообслуживание, ритейл и НДО 2017», который состоится 4–5 октября 2017 года в московском КВЦ «Сокольники».

Не забывайте, мы всегда с Вами!