УЧАСТНИКИ «КРУГЛОГО СТОЛА», ОРГАНИЗОВАННОГО НБЖ ПРИ СОДЕЙСТВИИ АРБ:
Андрей БАЖИН, директор департамента нефинансовых рисков Абсолют Банка;
Александр БЕЛКИН, руководитель разработки ДБО компании «Инверсия»;
Сергей ВАХОНИН, ИТ-директор ЗАО «Смарт Лайн Инк»;
Александр ВЕЛИГУРА, председатель комитета по банковской безопасности Ассоциации российских банков;
Роман ВЕРБИЦКИЙ, начальник отдела информационной безопасности Морского Банка;
Владимир ВЯЗОВСКИЙ, менеджер продукта отдела дистанционного банковского обслуживания управления пассивных и комиссионных операций департамента розничного бизнеса ВТБ24;
Андрей Г0Л0НЕНК0, начальник отдела безопасности и защиты информации банка «Стройкредит»;
Александр ГОРШКОВ, технический директор департамента по работе с финансовыми организациями компании «Техносерв»;
Виктор ГУДКОВ, руководитель направления интегрированных систем ИБ группы компаний IITD;
Борис ЗЕМЛЯНУХИН, начальник управления по страхованию кредитных и специальных рисков ОАО СК «Альянс»;
Эльвир ЗИГАНШИН, советник председателя правления ОАО «Актив Кап и тал Банк»;
Дмитрий КВАШНИН, начальник управления информационных технологий АКБ «Легион»;
Михаил ЛЕВАШОВ, советник генерального директора Финансовой Корпорации «Открытие», член консультативного совета при Роскомнадзоре;
Игорь ЛИПЧАНСКИЙ, начальник отдела информационной безопасности управления безопасности ЗАО «ГЛОБЭКСБАНК»;
Алексей МАЛЬЧУКОВ, главный инженер Банка России;
Илья МИТРИЧЕВ, директор по развитию департамента по работе с корпоративными клиентами АМТ-ГРУП;
Дмитрий СТУРОВ, начальник управления защиты информации КБ «Ренессанс Капитал»;
Виталий УС, директор Центра страхования финансовых рисков ОАО С К «Альянс»;
Александр ЧЕРНЕНКО, аудитор информационных систем департамента аудиторских и консультационных услуг финансовым институтам ФБК;
Даниил ЧЕРНОВ, руководитель отдела консалтинга ИБ компании «Инфосистемы Джет»;
Сергей ШИРМАНОВ, главный специалист дирекции разграничения и контроля доступа департамента информационной безопасности БАНКа УРАЛСИБ;
Иван ЯНСОН, заместитель руководителя службы информационной безопасности Промсвязьбанка.

ВЕДУЩИЕ:
Анастасия СКОГОРЕВА, главный редактор НБЖ;
Оксана ДЯЧЕНКО, заместитель главного редактора НБЖ

ПОЛНАЯ БЕЗНАКАЗАННОСТЬ МОШЕННИКОВ И ЗАКОНОДАТЕЛЬНАЯ УЯЗВИМОСТЬ БАНКОВ

А. СКОГОРЕВА: Нынешний «круглый стол» - не первый, который мы проводим по теме обеспечения информационной безопасности банковской деятельности. В конце октября гон года мы также поднимали этот вопрос в рамках очередного «круглого стола», организованного НБЖ при содействии Ассоциации российских банков. Столь частое обращение к данной теме обусловлено тем, что она является очень актуальной для банковского рынка, особенно в контексте создания «банков будущего» - финансово-кредитных организаций, отличающихся высочайшим уровнем информационных технологий.

В ходе прошлого «круглого стола» все его участники пришли к выводу о невозможности обеспечения гоо-про-центной безопасности банковской деятельности. Поэтому первый вопрос, который хотелось бы задать в рамках нынешнего мероприятия, - какой уровень ИБ может рассматриваться как приемлемый и желательный с точки зрения создания «банков будущего»?

М. ЛЕВАШОВ: Для банков вопросы обеспечения информационной безопасности в значительной степени решаются регулятором в лице Банка России -и решаются более эффективно, чем в других отраслях экономики. Это следует из того, что, по сути, ни для одной другой отрасли не разработаны стандарты, аналогичные СТО БР ИББС. Более того, Банк России сумел после долгих дискуссий найти способ не только закрепить этот стандарт, но и сделать его практически обязательным для банков.

0. ДЯЧЕНКО: Поясните, пожалуйста, что означает - практически обязательным?

М. ЛЕВАШОВ: Сделать его обязательным с точки зрения законодательства в силу ряда причин не удалось. Но Банк России сумел добиться того, чтобы финансово-кредитные организации закрепили этот стандарт своими внутренними документами и стали ре-ализовывать его в своей деятельности. По моим сведениям, на сегодняшний день СТО БР ИББС внедряют больше половины российских банков.

Далее, этот стандарт позволяет получить количественную оценку степени его реализации в банке. Такую оценку может получить как сам банк, так и внешние аудиторы. Эта оценка фактически показывает уровень обеспечения информационной безопасности и позволяет периодически контролировать этот уровень в процессе решения в банке задач ИБ. Конечно, максимальный уровень безопасности обеспечить невозможно, это недостижимая вершина для любой организации. К ней можно только стремиться и приближаться по мере совершенствования процессов обеспечения ИБ. В стандарте достаточно подробно расписаны механизмы его внедрения, так что особых методологических проблем у банков не возникает.

В середине апреля в Москве проходил очередной Съезд директоров по информационной безопасности, и в ходе его работы стало очевидным, что банкиров очень волнуют те изменения в законодательстве, которые могут оказать - и неизбежно окажут - существенное влияние на состояние дел с информационной безопасностью в банках. Речь идет, например, о вступлении в силу ФЗ-161 «О национальной платежной системе». В соответствии с этим законом финансово-кредитные организации должны будут в ряде случаев возвращать клиенту похищенные по системе дистанционного банковского обслуживания (ДБО) средства. Особенно это становится актуальным в связи с ростом количества инцидентов в этой области и связанного с ними объема похищенных средств.

А. СКОГОРЕВА: Это значит, что если я, как клиент, свой пароль или «ключ» разместила в доступном для злоумышленника месте, то банк все равно компенсирует мне потерянные средства?

М.ЛЕВАШОВ: Не так буквально. Конечно, инцидент будет расследоваться. Если установят, что вы, как клиент, виноваты в случившемся, то, скорее всего, банк будет освобожден от необходимости возврата вам средств. Но ведь такие расследования достаточно сложны, и иногда трудно доказать, что клиент неправильно хранил свои ау-тентификационные данные. Какие решения будут приниматься по таким расследованиям после вступления этого закона в силу, какая ситуация сложится в отрасли в результате правоприменительной практики? Опасаюсь, что достаточно сложная.

0. ДЯЧЕНКО: Хотелось бы задать вопрос представителям других банков: вы разделяете только что высказанные опасения?

И. ЛИПЧАНСКИЙ: Вполне, поскольку количество инцидентов в сфере ИБ резко возросло с конца прошлого года. Расследуя инциденты, произошедшие с клиентами нашего банка, мы столкнулись, во-первых, с полной безнаказанностью мошенников и, во-вторых, с отсутствием у банков возможности вести расследования на стороне клиентов.

То есть мы не имеем на сегодняшний день никаких механизмов урегулирования инцидентов в сфере ИБ.

Еще одно «открытие», которое, правда, ни для кого не является секретом: в условиях полной анонимности в «сетях» найти злоумышленников не так-то просто. И даже если удается их установить, то привлечь к ответственности крайне затруднительно. Возможно, мошенников сдерживало бы, если бы тема компьютерных преступлений и расследований получала больший резонанс как в банковском сообществе, так и на страницах прессы. Поэтому было бы очень желательным, если бы Ассоциация российских банков, как организация, представляющая интересы банковского сообщества, заняла активную позицию по данному вопросу: возможно, создала бы совместные группы и комиссии с правоохранительными органами.

Что касается вступающего в силу ФЗ-161, то в нем, на мой взгляд, есть слабые места: например, как уже было сказано, положение, обязывающее банки компенсировать клиенту его потери.

Повторюсь - мы не можем проводить расследование на стороне клиентов, поэтому не можем в некоторых случаях доказать, что имела место не вина банка, а неосмотрительность или халатность самого клиента.

0. ДЯЧЕНКО: Вы говорите о безнаказанности мошенников. Позволю себе уточняющий вопрос - а можно ли по закону привлечь людей, занимающихся компьютерным мошенничеством, к реальной ответственности?

И. ЛИПЧАНСКИЙ: Я не юрист, но полагаю, что в Кодексе об административных правонарушениях есть статьи, которые позволяют привлекать граждан к ответственности за подобные мошеннические действия. Конечно, при условии наличия доказательной базы. А доказательную базу собрать крайне сложно в силу причин, о которых я уже говорил. Как раз поэтому финансово-кредитные организации делают все возможное, чтобы не допустить фактов мошенничества, - предотвратить совершение преступления легче, чем провести расследование и доказать свою невиновность уже после инцидента.

Хотел бы также пояснить ситуацию с возвратом средств клиентам, пострадавшим от действий злоумышленников. Не стоит думать, что речь идет о стопроцентном возврате - за исключением, конечно, случаев, когда мошенническую операцию по «переброске» средств клиента на счет в другом банке удалось остановить в процессе ее совершения. Если операция совершена и деньги ушли на другой счет, то они обычно оказываются обналиченными в течение 24 часов, и шансы вернуть их обратно стремятся к нулю.

М. ЛЕВАШОВ: На Съезде директоров по информационной безопасности, о котором я уже упомянул, как раз поднимался вопрос, что делать, если средства клиента мошеннически уведены со счета, и как можно их вернуть. Здесь проблема состоит в том, что банк, в который мошенник перевел средства, не обязан предоставлять информацию о персональных данных получателя этих средств банку, в котором обслуживается пострадавший клиент. Более того - это запрещено законодательством. Ассоциация руководителей служб информационной безопасности в настоящее время обсуждает сложившуюся ситуацию и возможные пути законодательного выхода из нее. Возможно, будет подготовлено и направлено в законодательные и регулирующие органы соответствующее письмо.

А. ВЕЛИГУРА: Было правильно отмечено, что законодательство о персональных данных и ряд других законодательных норм препятствуют как обмену информацией между банками, так и остановке платежей. То есть, к сожалению, на сегодняшний день мы вынуждены констатировать: действующее законодательство не мешает мошенникам и не помогает банкам бороться с ними. Оно, на мой взгляд, приспособлено даже не к прошлому веку, а скорее к позапрошлому. Но это не означает, что надо сложить руки и покориться судьбе. Мы должны бороться, и в рамках этой борьбы активизировалось взаимодействие между Ассоциацией российских банков и МВД. Министерство разработало и предложило банкам рекомендации, как следует себя вести в случае, если инцидент в сфере информационной безопасности произошел. Конечно, этого недостаточно, но все-таки движение вперед есть.

А. СК0Г0РЕВА: Что не может не радовать.

А. ВЕЛИГУРА: Да, но расслабляться не стоит, особенно если учесть, что нам противостоят не одиночки, а целая индустрия. Это признают и банки, и МВД. И с организованным характером этой преступности мы ничего не сможем сделать, если не изменится законодательство. Позитивный момент в том, что это понимает вновь сформированный думский Комитет по безопасности, и в том, что Центральный банк перестал считать инциденты в сфере ИБ частным делом отдельных финансово-кредитных организаций. ЦБ, насколько нам известно, наметил четыре конкретных шага, которые, по его мнению, помогут банкам в борьбе с компьютерными мошенниками. Скоро мы узнаем, в чем конкретно эти шаги заключаются.

Я не хочу сказать, что они, а также различные рекомендации, как вести себя банкам в случае возникновения инцидентов, станут волшебной палочкой, взмах которой навсегда избавит нас от злоумышленников и мошенников. Но, возможно, наши действия станут более осмысленными и скоординированными. Надеюсь, что сообщество сможет бороться тогда с данным явлением вместе, а не по принципу «у тебя украли деньги - разбирайся, как хочешь».

И. МИТРИЧЕВ: Я хотел бы поднять тему, слегка затронутую одним из предыдущих спикеров, - тему принятия превентивных мер. Почему-то сейчас в России действительно очень тщательно прорабатывается вопрос, что же делать, если хищение средств или иное противоправное действие уже произошло. Зарубежная практика показывает, что превентивные меры бывают эффективнее, а у нас, к сожалению, нет ни методик, ни рекомендаций ЦБ или АРБ относительно таких мер - какими они должны быть, как их применять.

Кроме того, зарубежная практика показывает, что различные банковские объединения создают fraud networks -сети защиты от мошеннических действий. Такие сети позволяют буквально за минуту предупреждать участников: заработала такая-то модель мошенничества, ее можно нейтрализовать с помощью следующих мер. Это очень актуально сейчас и будет еще более актуальным в будущем. Мы движемся в сторону новых технологий, при этом риски и уязвимости этих технологии пока нам до конца не известны. Когда человек в виде мобильного устройства приобретает некий универсальный коммуникатор, то на первое место, по моему убеждению, как раз выходят превентивные меры - меры, направленные на предотвращение инцидентов в сфере ИБ.

ОБУЧАТЬ КЛИЕНТОВ «ГИГИЕНЕ» ИЛИ НАДЕЯТЬСЯ НА ТЕХНОЛОГИЧЕСКИЙ ПРОРЫВ?

А. Г0Л0НЕНК0: Львиная доля мошенничеств сегодня совершается с помощью ДБО. И на самом деле это не только проблема банков, но и проблема клиентов. Решать ее нужно, безусловно, обоюдными усилиями. В последнее время мы сталкиваемся с фактами вопиющего пренебрежения правилами безопасности, причем не только со стороны клиентов - физических лиц, но и со стороны юридических лиц. Возникает парадоксальная   ситуация:   когда   деньги находятся у людей в кошельках, они заботятся об их сохранности, как только деньги попадают в банки на счета, возникает иллюзия, что теперь клиент вообще может забыть про безопасность, делать с паролями и «ключами» все, что угодно. Нам надо работать над тем, чтобы таких иллюзий не возникало, чтобы клиенты одинаково заботились и о сохранности средств в кошельках, и о сохранности средств на своих счетах. Надо информировать их о новых мерах по соблюдению информационной безопасности, возможно, даже навязывать клиентам использование этих мер.

И. ЛИПЧАНСКИЙ: Можно составлять рекомендации и методички для клиентов, только не уверен, что от этого будет много пользы. У нас в банке такая методичка занимает 18 страниц. Но как это поможет в ситуации, когда банки используют промышленные платформы, которые объективно привлекательны для хакеров? Когда эти хакеры - люди творческие,  прекрасно  мотивированные и очень хорошо образованные? Что мы можем этому противопоставить? Обучение клиентов? Мне это кажется абсолютно неразумным и бесперспективным. Куда более эффективным мне представляется совершенствование банковских технологий.

А. ВЕЛИГУРА: Можно задать два вопроса. Первый - как уважаемые участники «круглого стола» видят перспективы воспитания клиентов в контексте тех изменений в законодательстве, о которых говорилось в начале нашего заседания? Клиент всегда прав - этот принцип, с вашей точки зрения, стимулирует «гигиену» клиента или нет? А второй вопрос - как должны совершенствоваться банковские технологии, например, в сфере ДБО?

А. Г0Л0НЕНК0: Наличие закона, за которым клиент чувствует себя как за каменной стеной, конечно, не будет способствовать более внимательному отношению клиента к соблюдению требований безопасности. Тем не менее я не считаю, что работа с клиентами -это тупиковый путь. Если клиент не только не противодействует мошенничеству, но и активно помогает ему своим халатным отношением к соблюдению норм безопасности, то как может банк предотвратить совершение мошеннических действий? Даже если он использует самые передовые технологии, это будет невозможно.

И. ЛИПЧАНСКИЙ: Отвечу на второй вопрос: можно предложить сертификацию банковских систем дистанционного обслуживания, при этом в рамках неформальных объединений имеет смысл создать группы, которые смогут дать разработчикам соответствующие рекомендации. То есть должен быть найден определенный «порог», который мошенники не смогут перешагнуть. Возможно, это стало бы нестандартным решением - но в сложившейся ситуации как раз такое и нужно.

В. ГУДКОВ: Здесь прозвучала ссылка на зарубежную практику. Так вот - она подтверждает, что даже если вы заставите клиента следовать вашим рекомендациям, мошенники все равно всегда будут быстрее него. На мой взгляд, выход в следующем: банки должны очень хорошо знать своих клиентов и понимать, какие операции для них типичны, а какие - нет. И в этом смысле соглашусь с предыдущими спикерами: очень полезными могли бы быть различные формы взаимодействия банков, обмен информацией. Например, стало известно, что клиент такой-то совершил нетипичную операцию и практически одновременно с ним нетипичную операцию совершил клиент другого банка. На каждом этапе рейтинг мошенничества возрастает, и на каком-то из этих этапов у банка появляется основание затормозить дальнейшее прохождение операции.

И. ЯНСОН: Начну с вопроса об обязанности банка возвращать средства клиенту в случае, если он оспаривает платеж. Соответствующие обязанности действительно прописаны в ст. 9 ФЗ-161. Ситуация зависит от двух факторов: от того, уведомлял ли банк клиента о совершенной операции и от того, к какой категории относится клиент (является ли он физическим или юридическим лицом). Согласно п.13 статьи 9, если банк не уведомил клиента об операции, то он в любом случае обязан возместить сумму операции, если клиент ее оспорит. Если же клиент является физическим лицом, то согласно п.15 этой же статьи, даже если банк уведомил клиента о совершенной операции, то все равно он обязан возместить ему сумму оспариваемой операции, если не сумеет доказать, что она была совершена из-за нарушения клиентом порядка использования электронного средства платежа.

По поводу комментариев коллег относительно регулирования сферы ИБ ДБО Центральным банком и необходимости проработки превентивных, а не только реактивных мер в рамках защиты ДБО от мошеннических операций. Ситуация в кредитно-финансовой сфере выгодно отличается наличием комплекса документов по информационной безопасности. Несмотря на рекомендательный характер, данные документы были приняты как обязательные в подавляющем большинстве банков. Во многом такое положение вещей явилось следствием удобства отраслевого подхода, например, в сравнении с другими НПА в сфере обеспечения защиты персональных данных. В настоящее время появилась замечательная возможность придать этим требованиям обязательный характер в рамках исполнения закона 161-ФЗ. Согласно статье 27 указанного закона Банк России является регулятором в области определения требований по защите информации. Соответственно, сейчас весьма удобный  момент для  формирования как требований к системам ДБО в части их защищенности, так и требований к мониторингу сомнительных платежей. За несколько дней до нашего «круглого стола» в этом же зале в рамках совместной встречи комитета по ИБ АРБ, ГУБЗИ ЦБ, ФСБ и ФСТЭК был рассмотрен проект Положения «О требованиях к защите информации при осуществлении переводов денежных средств и порядке осуществления Банком России контроля за соблюдением требований к защите информации при осуществлении переводов денежных средств». В этом документе уже заложены определенные требования к системам ДБО, здесь же уместно сказать и о мониторинге подозрительных платежей.

Следует отметить, правда, наличие одной проблемы: требования, сформулированные в упомянутом документе, будут распространяться на банки и на операторов платежных систем, но не на производителей систем ДБО. Конечно, опосредованно через банковское сообщество соответствующие требования будут транслированы производителям, и они, отвечая на запросы заказчиков, с большой вероятностью внедрят соответствующие механизмы в системы ДБО, но для достижения максимального эффекта все же, на мой взгляд, необходимо вовлечь в круг законодательного регулирования и компании-производители. Если это произойдет, то банковское сообщество гораздо быстрее сможет обеспечить должный уровень защиты клиентов.

В частности, в случае распространения требований ЦБ на производителей систем ДБО гораздо легче будет решить и уже обсуждавшийся вопрос о взаимодействии кредитных организаций в рамках anti-fraud сетей. Если производители систем ДБО будут работать в одном «ключе», выполняя одни и те же требования, используя одни и те же форматы данных и методы взаимодействия, то гораздо проще будет наладить обмен данными о действиях потенциальных мошенников и их пособников.

Д. КВАШНИН: В части повышения информационной безопасности наш банк активно взаимодействует с клиентами, используя различные варианты такого взаимодействия - с помощью опроса, аудита, консультаций, плюс клиенты приглашают к себе независимые экспертные компании, специализирующиеся на построении информационной безопасности. Благодаря этому взаимодействию нам удалось выявить несколько алгоритмов, по которым могут производиться попытки несанкционированного списания средств. В целом речь идет о создании внутренней антифрод-систе-мы в нашем банке, и я думаю, что и другие финансово-кредитные организации делают что-то подобное. Таким образом, банк наращивает степени защиты, которые могут помочь в борьбе с несанкционированными списаниями в системе ДБО. Но вот в чем проблема: нет законодательной нормы, которая обязывала бы клиентов пользоваться всеми видами защиты, предлагаемыми банком. Обязательства и ответственность клиента фиксируются только заключенным между ним и банком договором. Банк может лишь предлагать клиенту ту или иную дополнительную услугу по обеспечению безопасности, но не может заставить ею воспользоваться. Попробуй мы сейчас настаивать на этом, и любой клиент будет иметь право предъявить нам претензию за навязывание услуг. И даже в случаях, когда банк меняет сам принцип работы системы ДБО, внедряя дополнительные меры защиты, для клиента совсем не очевидно, что это внедрение относится к требованиям системы информационной безопасности, а не к дополнительной услуге. И иногда случается, к сожалению, что клиент не желает менять что-то в своей работе, а настойчивые рекомендации банка вызывают его недовольство вплоть до разрыва отношений. В таких ситуациях банк вынужден осознанно идти на потерю какой-то небольшой части клиентской базы в целях усиления мер информационной безопасности для всей базы в целом.

На сегодняшний день самым уязвимым звеном в цепи информационной защиты ДБО было и остается клиентское место. Наша задача - обезопасить его, когда нет законодательства, дающего нам возможность принудительно сделать это, - почти невыполнима. Что бы мы ни говорили клиентам, что бы мы им ни объясняли, за ними остается право определять свой порядок работы в системе ДБО в части использования дополнительного функционала, способного усилить информационную безопасность системы в целом. До тех пор пока клиент не осознает, что гарантом безопасности является, прежде всего, он сам, ничего невозможно сделать. Но, как правило, большинство ответственных клиентов, работающих в системе ДБО, далеки от информационных технологий, и потому риски возникновения несанкционированного списания оцениваются ими не до конца. Банки готовы поставить на рабочие места клиентов некие ревизоры. Такой опыт в банках есть, так как рабочие места собственных сотрудников банка в части информационной безопасности контролируются. Но законодательство не позволяет нам установить какое-либо дополнительное программно-аппаратное решение клиенту без его согласия и контролировать его работу. Вот поэтому и складывается парадоксальная ситуация: мы могли бы помочь клиентам, в том числе бить «на лету» вирусы, так как у всех банков уже есть определенные наработки в этой части, но мы бессильны, потому что клиенты не пойдут на это из чисто психологических мотивов. И их тоже можно понять - кому интересно, чтоб за его работой кто-то наблюдал.

Справедливости ради стоит заметить, что и перекладывать весь груз проблем на клиентов тоже не стоит. У банков есть собственные внутренние базы по недобросовестным получателям, плательщикам. С филиалами своего банка сотрудники такой информацией обмениваются, а на межбанковском уровне такого нет.

Конкретный пример: допустим, мы сообщаем в другой банк данные, что к ним незаконно ушли деньги. Налицо явное мошенничество. Мы предоставляем в этот банк копию заявления клиента о необоснованном списании и информацию, что уже начато дело в отношении компании-злоумышленника, и просим заблокировать платеж. Банк его блокирует. И тут же рядом другой банк, у которого точно такой же вирус «съел» деньги клиента и выслал их в адрес той же компании-злоумышленника, но этот платеж не блокируется. Возникает вопрос - почему? Ведь если были заблокированы, допустим, наши юо тыс, то почему же осталась возможность списать через того же злоумышленника миллион со счета клиента другого банка? Ответ - потому что у банка нет официальных оснований для того, чтобы заблокировать полностью весь счет и отказать в обслуживании какой-то компании «рога и копыта».

О чем же просят нас сами клиенты? На специализированных форумах в Интернете можно прочесть о попытках хищения средств со счетов ИТ-компаний - почему-то по статистике они очень часто становятся жертвами нападений. Такие компании говорят: дайте нам возможность построить VPN-туннель до сервера банка, организуйте, чтобы блокировались все к нему подключения, кроме нашего, и создайте сессию на вашем сервере, где мы еще раз будем подтверждать свои платежи. На первый взгляд, прекрасное предложение, но возникают нестыковки по зонам ответственности. Потому что если мы их пустили на наш сервер, то мы должны им гарантировать правомочность платежей, сделанных с нашего сервера. И если вдруг у них произойдет хищение средств, то виноват в этом будет банк. Учитывая то, что индустрия создания вирусов не стоит на месте, реализация такого решения была бы сомнительной для банка. Это объясняется тем, что даже такой подход не сможет гарантировать надежную защиту от попыток несанкционированного списания, так как клиентское рабочее место может быть проконтролировано только клиентом.

БАНКАМ ПРОТИВОСТОЯТ НЕ ХАКЕРЫ-ОДИНОЧКИ, А ОРГАНИЗОВАННАЯ ПРЕСТУПНОСТЬ

А. ГОРШКОВ: Затронутая коллегами проблема очень глубока. Если бы она решалась просто законодательно или технически, то была бы давно урегулирована. Но проблема значительно сложнее, поэтому ее надо решать в комплексе. Большинство хищений происходит на стороне клиента, но это еще требуется доказать. К тому же все операции проводятся через банк, и банк должен нести за них ответственность. Несмотря на все применяемые технические средства, предотвратить хищения удается не всегда.

Если посмотреть на жалобы клиентов, то чаще всего их не устраивает то, что банк несвоевременно отработал по их заявке. Была утеряна карта или пин-код, об этом было сообщено в банк через пять минут после обнаружения пропажи, а счет был заблокирован только через час после получения заявки от клиента. И за это время произошло несанкционированное снятие или перевод денежных средств. В этом случае помимо технических решений требуется организация взаимодействия с клиентом, его поддержка. Клиенты обращаются в банки по самым разным вопросам, отнюдь не только в случае утери карточки, пин-кода или любых других персональных данных. Надо выстраивать процессы с нескольких сторон: улучшать взаимоотношения между банками и клиентами, совершенствовать законодательную базу, внедрять современные решения технической защиты. Коллеги, выступавшие передо мной, правильно сказали - проще предотвратить хищение денежных средств, чем потом обеспечить их возврат.

Платежи в банке выполняются разными путями. Если по пластиковым картам давно существуют решения для контроля движения денежных средств, то для других способов платежей, которые сейчас становятся довольно популярными (интернет-банк, мобильный банк и пр.), таких систем мало разработано и внедрено. Банкам следует больше внимания уделить этому вопросу, выходить с предложениями, что такие системы необходимо ставить. А критерием оценки эффективности этих систем может быть только одно: либо эта система соответствует заявленному функционалу, либо нет. Например, мы говорим, что предлагаем такую-то систему, она решит такие-то вопросы, через месяц или год после внедрения даст такой-то экономический эффект. Это относится не только к обсуждаемым сегодня вопросам, но и ко многим другим. Мы стараемся предлагать заказчикам решения, затраты на которые окупаются в течение одного года. Если этот эффект оказывается не достигнутым, то в соответствии с договором сумма вознаграждения, которую компания должна получить после внедрения предлагаемого решения, уменьшается или становится нулевой.

Такой подход представляется нам абсолютно справедливым. Потому что все системы в той или иной мере хорошие, а конечный результат зависит от того, как налажен процесс их внедрения у исполнителя. Если этот процесс выстроен правильно, то система заработает на полную силу, если нет, то ее эффективность, конечно, будет ниже обещанной.

А. БАЖИН: Мы опять видим ту же тенденцию, что и раньше: сразу же после принятия

Здесь я бы обратился к процессингу и пластиковым картам, потому что этот бизнес тихо и спокойно живет десятилетиями. Там проблемы мошенничества поднимались с самого начала и достаточно эффективно и успешно решались,  практически  по  всем направлениям есть решения (чиповые карты, антискимминг, зЕ> secure, стандарты/лучшие практики (PSI DSS/PA-DSS), изменения в УК и т.д.). Соответственно, здесь чего-то изобретать не нужно. На текущий момент банк, занимающийся «пластиком», действительно может существенно снизить риски. А вот с ДБО ситуация иная. С одной стороны, нет четких требований от регуляторов по ИБ к пользователям ДБО (банкам и клиентам) - аналога PCI DSS и требований к разработчикам ДБО - аналога PA-DSS. С другой - мы четко видим, что количество раскрытых инцидентов маленькое: есть факты возврата денег, но реального наказания тех, кто работает по этой схеме, практически нет. Лично я не знаю ни одного серьезного кейса, чтобы были выявлены все участники преступной цепочки - от организаторов до исполнителей, занимающихся хищением денежных средств в ДБО, - и процесс был бы доведен до логического конца. Вероятно, идет накопление информации, формируются методики. Хотелось бы также поговорить о технологии процессов. Я просмотрел очень много систем безопасности, а некоторые из них и внедрял - и пришел к выводу: ни одна система не может юо-процентно предотвратить фрод. Всегда нужен комплексный подход и трезвый взгляд. Поэтому я соглашусь с коллегами: если не будут учтены интересы всех игроков - и банков, и интеграторов, и клиентов, - то мы результата не получим. Опять же, возвращаясь к парадигме преступления, - мотив, возможность преступления и неотвратимость наказания; на мотив влиять почти невозможно, а снижать уязвимости и реали-зовывать неотвратимость наказания нужно - это как два крыла у птицы, на одном не полететь.

А. СКОГОРЕВА: Вы сказали о преступной цепочке. А есть ли у вас уверенность, что банкам действительно противостоит  цепочка,  то  есть  организованная преступность, а не разрозненный «набор» очень умных и хитрых одиночек?

А. БАЖИН: Я не хотел бы делать громких заявлений, просто сужу по характеру дел, с которыми приходится сталкиваться. Есть четкое разделение труда: есть те, кто занимается дроппингом, то есть обналичивает уже украденные деньги, есть те, кто занимается воровством «ключей» в системах ДБО и совершением несанкционированных транзакций. А раз есть разграничение функций и координация, значит, есть признаки организации, в рамках которой между ее участниками налажены каналы связи и взаимодействия.

И. ЯНСОН: Поддержу коллегу из Абсолют Банка относительно того, что не нужно увлекаться появившимися на рынке системами антифродов от крупных вендоров. Обычно для эффективного противодействия мошенникам достаточно реализации простых фильтров и алгоритмов в системе ДБО. Например, простое отслеживание истории платежей клиента позволяет решить очень много проблем. Если у клиента появляется новый получатель средств, которого ранее в истории платежей не было, то можно этого получателя проконтролировать «руками». В большинстве случаев это помогает.

Э. ЗИГАНШИН: Полностью поддерживаю тех, кто говорит о важности предотвращения инцидентов. Потому что после того как инцидент произошел, мы сталкиваемся с правоохранительной «машиной» напрямую. И что видим? Банк собирает документы, доказательную базу, хотя законодательно ему это запрещено. «Подгоняет» эту базу правоохранителям: вот, все есть вплоть до адреса проживания злоумышленника, примите меры! Пока полиция открывает дело, пока то да се, проходит 2,5 дня. Конечно, в течение этого времени преступник не сидит спокойно на месте, он «перебрасывает» деньги все дальше и дальше, а транши никто не отслеживает. И получается: одно дело, когда дилетанты списывают средства со счета клиента на счет бабушки, которой злоумышленники платят пять тысяч рублей. И совсем другое - когда в цепочке участвуют з_4 компании, и в конечном итоге деньги уходят на счета пятой, офшорной компании. Что делать в этом случае банку? Продолжать отстаивать интересы клиента или нет? И как отстаивать, если наше законодательство говорит - пока деньги «перебрасываются» на территории России, операции регулируются нашими законами, а как только они уходят по системе SWIFT, скажем, на Кипр - все, вопросы к Кипру.

И. МИТРИЧЕВ: Все системы ДБО и «пластик» придуманы для того, чтобы клиенту было легче расставаться с деньгами. Чтобы клиент мог более оперативно осуществлять свои расчеты. Любая  система защиты информации имеет иной вектор, с ее точки зрения, лучший способ обезопасить клиента - это усложнить платежную операцию. И тут как раз нужно взаимодействие между банком и клиентами, нужно, чтобы клиенты восприняли введение мер по предотвращению мошеннических операций как услугу для себя.

Здесь прозвучало заявление, с которым я не могу согласиться, - о вычислении экономической целесообразности внедрения той или иной системы. Предположим, банк в течение определенного времени отслеживал и определял количество мошеннических операций, взял полученный результат за юо%, внедрил систему и просчитал в процентах, насколько улучшилась ситуация с информационной безопасностью. Какое-то время назад это было возможным, но вы видите, что сейчас идет активный рост количества мошеннических операций. И нельзя в такой ситуации ожидать быстрого эффекта от внедрения новой системы: речь должна идти не о 2-3 месяцах, не о квартале, а о более длительных сроках.

Кроме того, я бы, наверное, предостерег от попыток перенести наработанный по пластиковым картам опыт в другие каналы ДБО. Здесь разные модели совершения мошеннических операций и с точки зрения отлавливания, и с точки зрения вычисления вероятности того, что эта операция мошенническая.

Вернусь к первому своему тезису: ДБО - легкий способ расстаться с деньгами. В идеале «физик» должен иметь возможность, придя в бар, расплатиться картой за кружку пива. Это не подход - отслеживать постоянно корреспондентов клиента, тем более что тот же клиент может через полчаса оплатить вторую кружку в другом баре. Поэтому не стоит уповать, что мы перенесем технологии защиты, наработанные в сфере «пластика», на ДБО и получим экономический эффект. Эффект возможен только в результате работы банка, который должен знать своего клиента, с интеграторами и с вендорами, имеющими опыт по внедрению подобных систем. А что мы иногда видим на практике? Приходя в банки, я говорю: давайте посмотрим, какие у вас были фрод-операции, какие из них удалось отследить и остановить, как вы прогнозируете дальнейшее развитие ситуации, давайте нарисуем несколько моделей этого развития. На это мне отвечают - да что вы, зачем, давайте лучше введем какие-нибудь простенькие правила, и все у нас заработает. Это не подход к решению проблемы. Поэтому повторюсь - я за то, чтобы было плотное сотрудничество между банками и интеграторами, и за то, чтобы было понимание со стороны банков.

А. БАЖИН: Я говорил о высокоуровневом подходе. Конечно, правила обработки и выявления подозрительных транзакций в «пластике», в ДБО, в Интернете и в других каналах проведения платежей различаются. Что касается «пластика», то платежные системы выстроили комплекс мер, которые позволили привести в нормальное гармоничное состояние все основные аспекты противодействия мошенничеству, начиная с систем анти-фрода, далее переходя к комплексным средствам защиты и заканчивая стандартами/лучшими практиками организации защищенной среды, например PCI DSS. И по системам ДБО (в целом по онлайн-платежам), по моему убеждению, надо работать так же: спокойно, целенаправленно, не ожидая от технических решений каких-то сенсационных прорывов.

А. СКОГОРЕВА: Здесь высказывалось сожаление, что полиция не оперативно работает по преступлениям, совершенным в сфере информационной безопасности. А нельзя ли повысить качество этой работы путем поощрения полиции со стороны банков? Естественно, речь идет о законных механизмах, а не о подкупе конкретных сотрудников.

А. БАЖИН: Смотря по каким вопросам, в целом по киберпреступности ситуация в части работы правоохранительных органов неплохая. По ДБО есть ожидания и у клиентов, и у банков увидеть в ближайшем будущем результаты, в том числе по тем делам, по которым были оформлены заявления, хотя я понимаю, что это сложно - процесс выявления и сбора юридически значимой доказательной базы действительно непростой. А в части организации внешнего поощрения сотрудников правоохранительных органов, насколько я знаю, у нас как раз это невозможно, а на Западе такая практика есть, но опять же не везде.

Д. КВАШНИН: Здесь сразу же возникает вопрос: если мы поощряем полицию за раскрытие преступления, то откуда мы планируем брать деньги на поощрения? Видимо, предполагается, что из прибыли банка. Но почему банк должен платить за чьи-то преступные действия? Следом возникает вопрос - почему тогда поощрение идет не от клиента? Потому что даже представить себе сложно, что банк фактически должен обратиться к клиенту, у которого украли деньги, и сказать: «Мы тебе 70% похищенных средств возвращаем благодаря действиям полиции, а зо% отдаем полиции в качестве бонуса». И как при этом поведет себя клиент - сказать сложно.

ПОМОЖЕТ ЛИ СЕРТИФИКАЦИЯ ПРОДУКТОВ И РЕШЕНИЙ В СФЕРЕ ДБО?

М. ЛЕВАШОВ: Давайте вернемся с небес на землю, мы здесь не для того, чтобы обсуждать качество работы полиции. Обсудим лучше те вопросы, которые уже поднимались в рамках нашего мероприятия. Например, вопрос о сертификации систем и решений. Сертификация - это соответствие, и здесь неизбежно возникает вопрос: соответствие чему? Законодательные и регулирующие органы периодически выпускают новые требования и рекомендации. Будут ли сертифицированные ранее продукты соответствовать им? Когда речь идет о сертификации, о соответствии каким-то требованиям, то эти требования должны быть постоянными на какой-то период времени. Потому что если изменилось какое-то одно требование, то формально нужно проводить новую сертификацию продуктов.

Далее, по поводу систем антифрода в ДБО. Фактически это человеко-машинный комплекс, в котором автоматизированная система на разных этапах (возможно, с участием работника) сортирует платежки. Но в конце процесса оставшиеся после такой сортировки подозрительные документы должны быть подтверждены клиентом через, например, телефонный звонок ему, выполненный оператором системы антифрода.

Третий вопрос. Как уже говорилось, после принятия ФЗ-161 банки в недалеком будущем должны будут возмещать убытки, понесенные клиентами в системе ДБО. Потенциально это может привести к тому, что у нас появятся в большом количестве клиенты-мошенники. Для того чтобы противостоять этим рискам, придется разрабатывать эффективные процедуры расследования нарушений в ДБО, ведения соответствующих судебных процессов и вообще целенаправленной, грамотной работы с клиентами.

Четвертый вопрос. Обмен информацией между банками о «плохих» платежах и «нехороших» получателях. В рабочем порядке эти вопросы иногда решаются, и «левые» платежи вовремя тормозятся. Но это обычно происходит на уровне неофициальных контактов, а глобального межбанковского обмена информацией нет. Я помню, что попытки наладить его предпринимались, в том числе и с помощью АРБ, но закончились они ничем. Думаю, что и в дальнейшем ситуация не улучшится - банки не будут делиться информацией.

Очень важный вопрос - проблема производителей систем ДБО. Неоднократно предпринимались попытки принять какие-либо ограничительные меры для производителей систем, не соответствующих требованиям нашего законодательства. Однако эти попытки ничем не закончились. Считаю, что требования законодательства к средствам защиты информации в банковских системах должны выполняться, прежде всего, разработчиками и продавцами таких систем.

В. ГУДКОВ: Сертификация - это область жестких требований к производителям и качеству продукта. Увы, в части противодействия мошенничеству эти требования крайне изменчивы. То, что было актуально три месяца назад, скорее всего, станет неактуальным через шесть месяцев. При этом средний цикл от момента появления требований к системе до момента их реализации составляет от четырех до шести месяцев.

И. ЯНСОН: Считаю, что сертификация систем ДБО для решения проблем мошенничества не нужна. Как говорилось выше, сейчас Банком России готовятся требования по защите информации во исполнение ФЗ-161 - предлагаю всем не полениться, внимательно прочитать этот документ и внести в него требования к системам ДБО, основанные на собственном опыте и экспертном представлении о том, что в этих системах должно быть реализовано для защиты от мошенничества и для его мониторинга. Вы поможете тем самым не только себе, но и коллегам. Здесь как раз нужен коллективный разум, чтобы сформулировать наиболее насущные наши пожелания и необходимые требования. Их можно будет предъявить производителям и сказать: ваши системы не соответствуют требованиям, прописанным в документе ЦБ, пожалуйста, внесите исправления.

В. УС: Я бы хотел подойти к обсуждению поднятых вопросов с другой стороны - со стороны тех, кто оплачивает риски мошенничества в сфере информационной безопасности и, по-видимому, со временем будет платить по ним все больше и больше. То, что системы, работающие в банках, защищают от фро-да в сфере «пластика», - это иллюзия. Если взять западный опыт, то убытки только по банкоматному скиммингу составляют ежегодно сотни млн евро. Это то, что ждет наши банки в будущем. Есть, конечно, банки, которые стараются переходить на чипованные карты, но в наших условиях это не всегда реализуемое решение.

О системах ДБО. Мы получили несколько заявок на риски, связанные с их работой, и увидели, что в лучшем случае система ДБО хорошо работает при условии, что банк отказывает в совершении всех сомнительных транзакций. В условиях принятия ФЗ-161 это невозможно. Если же говорить о системах фрод-мониторинга, то большинство из них, по нашим наблюдениям, являются «дырявыми». То есть в вопросе их совершенствования еще есть куда стремиться.

Что касается противодействия мошенничеству, то это, на наш взгляд, те решения, которые являются работающими: они могут отследить сомнительные операции и помочь установить, что натворил клиент - физическое лицо. С юридическими лицами дело обстоит сложнее, потому что у них на компьютерах могут быть установлены завиру-сованные программы, например 1С. Проблем много, и я думаю, уже к концу этого года и в следующем году нарисуются большие цифры убытков.

А. БЕЛКИН: Многие говорят о требованиях к системам ДБО, а я бы хотел отметить один нюанс. Нет требований не к системам ДБО, а к правилам совершения банковских операций с помощью систем ДБО. А если нет таких правил, бессмысленно требовать соответствия системы непонятно чему.

По требованию ФСБ мы, как фирма, занимающаяся производством ДБО, должны сертифицировать произведенные системы. Но ведь зачастую банки используют системы различных производителей, значит, приходится сертифицировать каждую стыковку систем, каждый отдельный элемент, каждую новую версию. Вся тяжесть сертификации в результате ложится на кого? На разработчиков системы ДБО? Вы сами понимаете, что нет.

Все, что я сказал, не значит, что мы против сертификации. Мы-то как раз за выработку единых стандартов, потому что зачастую получаем от банков совершенно уникальные предложения по разработке систем ДБО. Единых правил нет, и банки выдумывают их сами.

В. ВЯЗОВСКИЙ: Я хотел бы поразмышлять над предложениями «снабдить» клиента некими техническими средствами, которые помогли бы ему приблизиться к юо-процентной безопасности - то есть о попытках фактически переложить ответственность на клиента. Для чего банки используют системы ДБО? Ответ очевиден: для привлечения новых клиентов, для наиболее комфортного обслуживания текущих и снижения собственных расходов, соответственно, для получения банками дополнительной прибыли. А это значит, что переложить ответственность на клиентов полностью невозможно: они просто уйдут в поисках других сервисов, которые предоставят им шанс получать услуги быстро, легко и просто.

Мне очень понравилось предложение подходить к решению проблемы обеспечения информационной безопасности комплексно. Это означает, что мы должны предоставить клиентам - по крайней мере, в розничном бизнесе -инструменты, которые позволяли бы проводить операции со счетами легко и быстро. Технические решения, которые мы используем, не должны отталкивать клиентов.

Ну и, конечно, нужно совершенствовать законодательную базу исходя из того, что риск совершения преступлений снижается, если действует принцип неотвратимости наказания. ДБО развивается, за последние несколько лет этот рынок очень вырос, поэтому естественно, что количество мошеннических операций тоже увеличивается. Это необходимо учитывать.

М. ЛЕВАШОВ: В завершение нашей дискуссии я хотел бы сформулировать следующее предложение. Я думаю, что нам через Национальный банковский журнал, через АРБ следует выйти на уровень регулятора рынка в лице ЦБ с предложением создать стандарты безопасности работы в системах ДБО, аналогичные стандарту PCI DSS в работе с «пластиком».

 

Дополнительные фотографии данного мероприятия смотрите по ссылке