О развитии банковских технологий и возникающих в этой связи новых уязвимостях в сфере безопасности, о ближайшем будущем в сфере платежных средств в интервью Bankir.Ru рассказывает аудитор, сертифицированный тренер по стандарту Банка России в области информационной безопасности, эксперт по информационной безопасности Академии информационных систем Евгений Царев.
- Вопрос борьбы с мошенничеством – один из самых острых для банковского бизнеса. Могут лиIT-технологии помочь кредитным организациям нашей страны бороться с преступностью на финансовом рынке?
- Сегодня мы все «движемся в облака». Банки становятся облачными структурами. Появился и давно развивается дистанционный банкинг. Клиент может проводить транзакции без терминала и даже без карты как средства платежа, используя интернет-банкинг и мобильный телефон.
Криминальный бизнес тоже не стоит на месте, развивается, становится высокотехнологичным. Теперь, чтобы обналичить украденные денежные средства, мошенникам не нужно искать подставных лиц для получения наличных. Они тоже пользуются новыми банковскими технологиями, в частности дистанционным банкингом. Сегодня необязательно приходить банк в масках и с оружием для хищения денег, можно совершить атаку на рабочее место бухгалтера какого-нибудь предприятия, заразить его троянской программой и совершать «левые» переводы со счетов предприятия. Такие операции сложно отследить, к тому моменту, когда служба безопасности банка или пострадавшего предприятия сможет разобраться в инциденте, деньги уже будут выведены со счетов.
Для предотвращения таких явлений рынок информационной безопасности предлагает антифрод системы и средства мониторинга транзакций, позволяющие проанализировать каждую транзакцию, присвоить ей определенный рейтинг, а в случае высокого риска мошенничества заморозить транзакцию до выяснения обстоятельств оператором банка.
Приведу личный пример: совершая покупки в заграничном супермаркете, я обнаружил, что моя карта заблокирована. Банк посчитал, что для меня (как для его клиента) нетипично делать покупки в этой стране, и заблокировал мою карту. Операционист банка пытался до меня дозвониться с целью выяснения реальной ситуации. Но я на отдыхе обычно выключаю телефон, и ему это не удалось.
С одной стороны это неудобно, с другой стороны позволяет сохранить деньги клиента. Существуют разные точки зрения на подобные ситуации. Для одного клиента – блокировка карты сама по себе может привести к серьезным проблемам в командировке и большим расходам, для другого – это очень полезная функция безопасности.
Существуют различные варианты таких систем: для пластиковых карт, для web-приложений и т.д. и т.п. Появляются и другие решения, при осуществлении транзакции снимается контрольная сумма, и пользователь с помощью мобильного телефона может проверить правильность реквизитов платежа.
Важный момент, помимо служб безопасности созданием систем защиты должны заниматься и разработчики решений дистанционного банкинга. Пока компании, занимающиеся такими разработками, крайне неохотно уделяют внимание вопросам безопасности. Им невыгодно вкладывать в это средства в силу собственной олигополитичности.
- Не является ли этот факт причиной того, что банки совместными усилиями отсрочили свою ответственность за мошеннические транзакции по картам своих клиентов, вмененную им по закону о национальной платежной системе?
- Да, одной из причин. В законе 161-ФЗ есть 9-я статья, предписывающая банкам уведомлять клиента о проведении транзакций по его счету и возвращать сумму незаконно снятых средств. Но существуют две проблемы.
Некоторые банки, в том числе и очень крупные, долгие годы не актуализировали сведения о клиентах. У таких банков есть клиенты – юридические лица с 20-летней историей, за время которой у них не единожды менялся адрес, руководство, ответственные сотрудники. Банки просто не имеют контактных данных для уведомления. С физическими лицами несколько проще. Но в любом случае, в банке кто-то должен этим заниматься. Это инвестиции. Для банков, у которых тысячи и миллионы клиентов, собрать, а самое главное поддерживать актуальность такой клиентской базы, очень сложно.
Вторая проблема – возмещение денег. На мой взгляд, банки справедливо возмутились попыткой слепого копирования западного законодательства. Правоохранительная система стран, где деньги возвращаются клиенту в очень короткие сроки, работает несколько иначе. За отведенные по закону 30 дней на выплату денег наши правоохранительные органы вряд ли смогут провести расследование с каким-либо существенным результатом. К тому же, банк не может на законном основании затребовать у другого контрагента дополнительную информацию. Например, запросить у оператора связи данные клиента.
- То есть все наши проблемы на законодательном уровне?
- Не столько на законодательном, сколько на исполнительном. Закон недостаточно принять, его нужно исполнить. Тот вариант, который существует сейчас, способен принести немалый убыток для банков. А это означает убыток для рядовых клиентов, так как банкам свойственно перекладывать свои дополнительные расходы на клиентов. Отсрочка вызвана необходимостью коррекции 9-й статьи под российские условия. Надеюсь, будет найдено адекватное решение.
Дело в том, что принятие закона дало существенный положительный импульс в росте интереса банков к технологиям защиты информации, в частности, к средствам мониторинга транзакций. Банки готовы были инвестировать в это немалые средства, потому что понимали, что в противном случае прямой убыток будет гораздо больше. Отсрочка, к сожалению, приостановила проекты.
- Все больше платежей можно реализовать на мобильных телефонах. С точки зрения информационной безопасности телефоны достаточно надежные «средства платежа»?
- Как в любой новой технологии, в мобильных устройствах на сегодня существует много уязвимостей. Но большое число уязвимостей не означает большое число эксплуатаций этих уязвимостей. Банки, предоставляющие сегодня услуги мобильного банкинга, могут вовсе не иметь инцидентов в этой сфере. Злоумышленники пока еще не активно эксплуатируют уязвимости мобильных девайсов. Но это вопрос времени. Полгода – год…
К тому же, у мобильных устройств есть еще одна проблема. Они собирают огромное количество сведений о пользователе, а устанавливаемые приложения получают доступ к этим данным.
Приведу пример: выходя через мобильник в Facebook, вы фактически передаете в сеть сведения о себе (ваше местоположение, информацию из памяти телефона, записи аудио/фото/видео, данные из других приложений, контакты, полный доступ к Интернету, журналы вывозов и много чего еще). Facebook становится доступна почти вся информация, которая есть на вашем мобильнике. Сразу же всплывает вопрос безопасности этой информации и, как следствие, мобильных платежей.
Уязвимостей масса. Я уверен на десятилетие вперед, рынок безопасности будет себя прекрасно чувствовать, работы еще очень и очень много.
- На ваш взгляд, кто быстрее адаптируется на рынке, службы безопасности или мошенники?
- Злоумышленники. Это можно отследить даже по письмам ЦБ касательно информационной безопасности.
Я в свое время провел исследование, как развивалась ситуация на рынке регулирования безопасности платежей в зависимости от действий злоумышленников. Появилась информация, что происходит обналичивание денег через системы ДБО, тут же пошли рекомендательные письма от ЦБ по корректному исполнению 115-ФЗ (закон «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»). На рубеже 2007–2008 годов курс сменился. Злоумышленники стали использовать ДБО не только как инструмент для обналичивания денег, но и как средство воровства. Сейчас они работают над взломом мобильного банкинга… ЦБ своевременно реагирует на происходящие события, но только после того, как они происходят.
Однако, надо отдать должное, рынок банковской безопасности в плане скорости реакции на угрозы гораздо более развит в сравнении с таковым для промышленных систем. Разница между ними в плане процессов безопасности может достигать 15 лет.
- Вы – автор множества курсов по защите персональных данных. «Введение в стандарт Банка России СТО БР ИББС-1.0-2010», «Внедрение стандарта Банка России СТО БР ИББС-1.0-2010», «Аудит информационной безопасности организаций банковской системы Российской Федерации» и другие. Пожалуйста, несколько слов о них…
- Вы перечислили довольно старые, общие курсы. Критериев и стандартов аудита достаточно много. PCIDSS – стандарт безопасности пластиковых карт, стандарт Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации, недавно появился новый важный для банков документ – 382-П (Положение о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств).
Новые курсы по аудиту становятся все более специфическими. Если раньше аудит проводился так сказать «в целом», сегодня мы смотрим глубже и уделяем много внимания деталям. Если раньше работник службы информационной безопасности мог себе позволить незнание специфики банковских процессов, сегодня, имея только технические знания, безопасник не сможет провести аудит, например, по 382-П. Классические «технические решения» стоят у всех, но у кого-то они работают хорошо, а у кого-то – плохо. Сегодня более интересны практические курсы.
Самый интересный и актуальный – «Защита информации в национальной платежной системе (НПС)». Вызвано это тем, что в отличие от остальных требований, защита информации в НПС – обязательное требование ЦБ, предписанное к выполнению всеми банками, операторами электронных денег и другими платежными системами.
- Что входит в этот курс?
- Курс достаточно большой, 5-дневный. Три дня посвящены оценке соответствия. Я рассказываю о глобальной системе расчетов, вкратце о развитии «безналичного» законодательства в России. Конечно же, рассматривается 161-ФЗ «О национальной платежной системе» и 10 требований по защите информации (584-ПП), происходит знакомство с основными ведомственными требованиями ЦБ, ключевыми регуляторами и участниками отрасли. Обязательная практика. Выполнение кейса «Оценка соответствия Банка» по заранее заданным свидетельствам с использованием автоматизированного программного продукта.
Следующие 2 дня посвящены внедрению требований с обязательным практическим занятием – подготовка всей документации по одному направлению защиты информации и плана по выстраиванию процесса.
- Евгений, дайте, пожалуйста, несколько рекомендаций по безопасному использованию онлайн-банкинга.
- Я советую обратиться к документу под названием «Методические рекомендации о порядке действий в случае выявления хищения денежных средств в системах дистанционного банковского обслуживания, использующих электронные устройства клиента» подготовленному рабочей группой Ассоциации российских банков и Национального платежного совета. Там дана пошаговая инструкция, как для банков, так и для их клиентов, что делать, если вы попали в ситуацию кибермошенничества. Сложная, но, тем не менее, она есть. Конечно, инструкция носит рекомендательный характер, но, по-моему, большинству пользователей просто необходимо с ней ознакомиться.
- Ваш прогноз, что будет с наличными денежными средствами, прекратят ли они свое существование?
- Да. В Западной Европе и США уже все минимальные покупки оплачиваются карточкой. Для государства это выгодно. С одной стороны оно получает контроль над движениями денежных средств, с другой экономит на «печати» денег. Выпуск наличных денег стоит ДЕНЕГ. Себестоимость однокопеечной монетки – 64 копейки. Это прямые убытки для государства в целом. Но с исчезновением наличных денег и возникновением их электронного аналога, мы получаем массу других проблем, таких как уязвимости платежных систем и риски высокотехнологичного мошенничества. Количество инцидентов, связанных с электронными платежами, будет только расти. Подключатся, пока не ощущаемые нами, активные мошенничества из-за рубежа.
Приведу пример: в сегодняшней Германии до 40% мошенничеств с электронными деньгами происходит из-за рубежа. Из них только 20% – страны Евросоюза. Мир становится глобальным. Именно поэтому необходимо создавать национальные платежные системы, чтобы научиться их регулировать как единое целое. Следующий шаг: национальные платежные системы от лица государств будут интегрироваться между собой, создавать институты безопасности и контроля.
- Если пойти еще дальше… Исчезнут ли пластиковые карты как средство платежа?
- В Японии это уже реализовано. Проведено исследование, подтверждающее, что, имея в своем распоряжении лишь мобильник, человек может спокойно жить. В телефоне есть чип для прохода в метро, возможность оплаты коммунальных услуг и связи, возможность использования его как средства платежа на автозаправках. Такие внедрения национального масштаба проходили в Японии еще в 2008–2009 годах. Сейчас идут в Западной Европе и Штатах, а значит, будут и у нас, года через три.