Аналитика и комментарии

04 марта 2013

наиболее эффективные решения и механизмы защиты информации в банках

УЧАСТНИКИ «КРУГЛОГО СТОЛА», ОРГАНИЗОВАННОГО НБЖ СОВМЕСТНО С АРБ:
Тимур АИТОВ, вице-президент НП «Национальный платежный совет»; Юрий АКАТКИН, директор ФГУП «КБПМ»; Евгений АКИМОВ, заместитель директора Центра информационной безопасности компании «Инфосистемы Джет»; Евгений АРТАСОВ, коммерческий директор компании «Телеинком»; Алексей БАБЕНКО, руководитель направления компании «Информзащита»; Сергей БАРБАШИН, начальник отдела информационной безопасности информационно-технологической дирекции Банка Русский Стандарт; Александр БЕЛКИН, руководитель отдела разработки ДБО компании «ИНВЕРСИЯ»; Светлана БЕЛЯЛОВА, начальник управления контроля за операционными рисками ЗАО «Райффайзенбанк»; Денис БЕЗКОРОВАЙНЫЙ, технический консультант в России и странах СНГ компании Trend Micro; Марианна БЕЖДУГОВА, менеджер 000 «Кей Инфо Системе»; Зоя Б0Р0ВК0ВА, начальник информационно-аналитического сектора компании «Доктор Веб»; Яна БУЦ, заместитель начальника юридического отдела 000 КБ «Столичный Кредит»; Валерий ВАНИН, руководитель отдела информационной безопасности ЗАО «Банк ФИНАМ»; Сергей ВАСЮК, директор по развитию бизнеса компании IBS; Александр ВЕЛИГУРА, председатель комитета АРБ по банковской безопасности; Андрей ГОЛЯШИН, начальник службы информационной безопасности АКБ «ФОРА-БАНК»; Павел ГОЛОВЛЕВ, начальник управления безопасности информационных технологий ОАО «СМП Банк»; Вадим ГРИЦЕНКО, начальник отдела информационной безопасности КБ «Альта-Банк» (ЗАО); Виктор ГУДКОВ, руководитель направления интегрированных систем ИБ компании IITD Group; Андрей ДОЛГОВЫХ, начальник управления информационной безопасности ТрансКредитБанка; Сергей ЕГОРОВ, начальник отдела ИБ отдела ИС Коммерцбанка; Николай ЗАЙЦЕВ, главный менеджер отдела по работе с банковскими структурами компании ARinteg; Сергей ЗАЙЦЕВ, начальник отдела по защите информации Инвестторгбанка; Владимир ЗАЛОГИН, директор по специальным проектам компании «С-Терра СиЭсПи»; Алексей ИВАНОВ, аккаунт-менеджер компании «Информзащита»; Николай КАЗАКОВ, старший руководитель проектов (направление - безопасность бизнес-процессов) Альфа-Банка; Евгений КАЗАКОВ, менеджер по развитию бизнеса компании Tieto; Богдан КАЗМАЛА, главный специалист отдела информационной безопасности КБ «Международный Банк Развития» (ЗАО); Денис КАЛЕМБЕРГ, руководитель направления по продажам в области И Б 000 «Гелиос ИТ»; Андрей КАЛИНИЧЕВ, заместитель руководителя департамента архитектуры и поддержки платформы компании «Диасофт»; Олег КОМИСАРЕНКО, старший консультант по направлению оценки рисков компании РДТЕХ; Валерий К0НЯВСКИЙ,д.т.н, научный консультант ОКБ САПР; Сергей КОТОВ, эксперт по информационной безопасности  компании «Аладдин  Р.Д.»; Борис КРИВОШАПКИН, коммерческий директор процессингового центра PayOnline; Максим КУЗИН, главный архитектор продукта компании «БПЦ Банковские технологии»; Олег КУЗЬМИН, вице-президент компании «ИНВЕРСИЯ»; Александр ЛАВРУШКО, специалист по работе с клиентами в России и странах СНГ компании Trend Micro; Михаил ЛЕВАШОВ, член консультативного совета при Роскомнадзоре, советник генерального директора Финансовой корпорации «ОТКРЫТИЕ»; Екатерина ЛЕЖНЕВА, менеджер информационной безопасности и непрерывности бизнеса «БНП ПАРИБА» ЗАО; Андрей ЛЫСУНЕЦ, начальник отдела информационной безопасности 000 «БАНК ФИНИНВЕСТ»; Наталья МАРКЕЕВА, исполнительный директор юридической дирекции Мосводоканалбанка; Вячеслав МЕДВЕДЕВ, ведущий аналитик отдела развития компании «Доктор Веб»; Павел МЕДВЕДЕВ, начальник отдела операционного контроля и информационной безопасности ЗАО КБ «Ситибанк»; Сергей МЕДВЕДЕВ, начальник отдела платежных систем и интернет-технологий Инвестторгбанка; Кирилл МИНДАЛОВ, эксперт отдела информационной безопасности департамента безопасности ЮниКредит Банка; Илья МИТРИЧЕВ, директор по развитию бизнеса АМТ-ГРУП; Дмитрий МИХАЙЛОВ, заместитель начальника управления - начальник отдела АБ «РОССИЯ»; Руслан НЕСТЕРОВ, руководитель направления по безопасности банковских технологий компании AST; Руслан НИГМАТУЛИН, директор департамента по работе с корпоративными клиентами компании «С-Терра СиЭсПи»; Александр ОРЛЕНКО, администратор информационной безопасности Тверьуниверсалбанка; Алексей ПАРФЕНОВ, управляющий директор ОАО «Плюс Банк»; Алексей ПЕРЕВАЛОВ, технический директор департамента информационной безопасности компании Oberon; Олег ПЕТРОПАВЛОВ, руководитель издательского департамента 000 «Кей Инфо Системе»; Олег ПОПОВ, заместитель директора департамента банковских технологий 000 «Гелиос ИТ»; Дмитрий РОМАНЧЕНКО, директор центра технологий безопасности IBS; Милена СБРУЙКИНА, директор по развитию АКБ «Русский Трастовый Банк» (ЗАО); Светлана СЕРГЕЕВА, менеджер по работе с клиентами компании Tieto; Инна СЕРГИЕНКО, руководитель направления комплексного обеспечения ИБ компании AST; Алексей СИЗОВ, руководитель группы ЕМ&1^А-решений компании «Инфосистемы Джет»; Михаил СИМАКОВ, заместитель начальника отдела экономической безопасности КБ «Первый Экспресс» (ОАО); Дмитрий СОБОЛЕВ, директор департамента информационной безопасности компании «Энвижн Труп»; Любовь СТЕПАНОВА, начальник отдела пластиковых карт 000 КБ «Столичный Кредит»; Михаил СУКОННИК, региональный директор в России и Прибалтике компании Radware Ltd; Роман СУЛИЦКИЙ, директор по развитию бизнеса компании Tieto; Игорь УСАЧЕВ, начальник отдела методологии процессов информационной безопасности Связного Банка (ЗАО); Александр ФЕДОРОВ, начальник управления информационной безопасности компании БИС; Георгий ЦЕДИЛКИН, директор по маркетингу компании Oberon; Елена ШАКУНОВА, менеджер по работе с ключевыми клиентами компании РДТЕХ; Юлия ШАХВАЛЕЕВА, главный менеджер юридической дирекции Мосводоканалбанка; Александр ЯКОВЕНКО, директор департамента информационной безопасности НОМОС-БАНКа; Иван ЯНСОН, заместитель руководителя службы информационной безопасности ОАО «Промсвязьбанк».

ВЕДУЩИЕ: Анастасия СКОГОРЕВА, главный редактор НБЖ; Оксана ДЯЧЕНКО, заместитель главного редактора НБЖ

БАНКИ ДОЛЖНЫ РЕШАТЬ СОБСТВЕННЫЕ ЗАДАЧИ, В ТОМ ЧИСЛЕ УМЕЛО ЗАЩИЩАТЬ СВОИ ИНФОРМАЦИОННЫЕ СИСТЕМЫ

НБЖ: Нынешний «круглый стол» - не первый, который журнал при содействии Ассоциации российских банков проводит по теме обеспечения информационной безопасности в финансово-кредитных организациях. Приятно видеть, что участников наших заседаний с каждым разом становится все больше, это говорит о том, что заявленная тема является актуальной, и более того, ее актуальность постоянно возрастает.

Первый вопрос, который хотелось бы задать всем присутствующим, - как банки используют время, которое у них появилось в связи с отсрочкой вступления в силу некоторых положений 161-ФЗ «О национальной платежной системе»? Достаточно ли одного года для того, чтобы урегулировать главную спорную тему: должны ли кредитные организации возмещать держателям платежных инструментов средства, которые те по различным причинам потеряли?

Т. АИТОВ: Я бы предложил более общую формулировку вопроса: как влияет принятый 161-ФЗ на платежные технологии в целом? Если говорить о годовой отсрочке, данной законодателями, то ее, на мой взгляд, достаточно. Банки всегда готовы выполнять любые, сколь угодно сложные, требования закона. Если бы вступление в силу девятой статьи Закона «О национальной платежной системе» не было передвинуто на год, финансово-кредитные организации, конечно, начали бы ее исполнять. Взяли бы все свои риски, потери, затраты и переложили бы 99,9% из них на плечи порядочных клиентов, которых, как хорошо известно, подавляющее большинство. Злоумышленники, конечно, были бы довольны, а грамотные клиенты выразили бы недоумение, почему на них «упали» затраты. Это привело бы к снижению лояльности к банкам и банковской отрасли, а ведь девятая статья была включена в текст закона как раз с противоположной целью: чтобы повысить лояльность клиентов к финансово-кредитным организациям.

Еще один вопрос, который неизбежно возникает при обсуждении этой темы, - почему о готовности исполнять 161-ФЗ и отдельные его отсроченные положения интересуются только у банков? Если мы хотим добиться исполнения девятой статьи и положительных результатов применения закона, то о готовности надо спрашивать всех участников технологической цепочки. Проиллюстрирую свой тезис простым примером - информирование клиента. Ни для кого не секрет, что самый удобный, простой, быстрый и дешевый способ -рассылка SMS-сообщений. Думаю, депутаты Госдумы имели это в виду при разработке закона. А теперь вспомним, кто обеспечивает нам рассылку SMS. Телекоммуникационные компании. Готовы ли они хранить сообщения три года, участвовать в разбирательствах, согласны ли они придать юридическую значимость SMS? Ответ очевиден: нет, не готовы, не хотят и не будут этим заниматься. Почему бы с учетом этого нашим законодателям не обязать телекоммуникационные компании участвовать в подготовке и исполнении девятой статьи, работать в единой технологической цепочке?

Возьмем другой аспект: все эксперты в один голос утверждают, что после вступления в силу девятой статьи нас ждет вал мошенничества и злоупотреблений. В связи с этим объективно должна возрасти роль правоохранительных органов. Но мы не видим ни увеличения финансирования этих служб, ни роста их численности, даже разговоров об этом нет.

Даже СМИ про девятую статью мало что пишут. Вернее, пишут, что банки будут расплачиваться за все кражи средств с карт клиентов, но не сообщают о том, как надо хранить PIN-коды и ключи. А ведь подобная масштабная разъяснительная работа очень важна и нужна, в свете этого вполне логичным представляется выделение некоего бюджета на популяризацию и разъяснение только что принятых законодательных актов.

Как мы видим, другие звенья технологической цепочки не срабатывают. Остаются только банки, которые должны хранить SMS, обучать клиентов правилам соблюдения безопасности, расследовать инциденты и в конечном счете возмещать похищенные деньги.

НБЖ: Не знаю, как другие СМИ, а наш журнал поддерживает идею создания такого бюджета.

Т. АИТОВ: Главный вывод, который я хочу сформулировать: все законы должны учитывать межотраслевые связи, они не должны быть декларативными. Тогда не возникнет проблем с их исполнением и не придется переносить сроки вступления отдельных положений законов.

В. КОНЯВСКИЙ: Итак, если я правильно понял Тимура Науфальевича (Аитова -прим. ред.), деньги за риск должен платить клиент, СМИ обязаны просвещать, телекоммуникационным компаниям положено нести ответственность за SMS-информирование. Я с этим не согласен. Телеком - это своего рода «извозчик», ему дали пакет, он должен доставить его в указанное время в указанное место, не более того. Не его дело - заботиться о юридической значимости SMS-сообщений, которые рассылают банки. Финансово-кредитные организации вполне способны решить эту задачу самостоятельно, средства для этого у них есть. Отношение банков к отдельным положениям 161-ФЗ наглядно продемонстрировал февральский форум по информационной безопасности, прошедший в Магнитогорске. Общее настроение банкиров можно было охарактеризовать так: нас обидели, мы с некоторыми положениями закона не согласны. Но, по моему убеждению, и законодатели, и регулятор заняли в этом вопросе очень верную и, что принципиально важно, проклиентскую позицию. Когда происходят подобные инциденты, то необходимо помнить: деньги воруют не у клиента, который их положил на карту, а у кредитной организации, открывшей счет, поэтому банк обязан их вернуть. Никаких отсрочек больше не будет, девятая статья вступит в силу. Если вы не умеете работать на финансовом рынке, уходите с него. Если вы беретесь предоставлять финансовые услуги, так извольте предоставлять их так, чтобы интересы клиентов были защищены. Не надо возлагать свои обязанности на других. Банки должны решать собственные задачи, в том числе умело защищать свои информационные системы, а не экономить на затратах. На сегодняшний день ситуация такова: у 45% кредитных организаций один специалист по информационной безопасности. Естественно, он ничего в одиночку сделать не может. Причем же тут ФСБ, или МВД, или клиенты? Вы, как банки, создайте нормальные «боевые» службы, потратьте на это деньги и тогда увидите: количество инцидентов, связанных с хищением средств с карт клиентов, у вас снизится на порядок.

В. МЕДВЕДЕВ: Я бы хотел дополнить выступление коллеги. Прописывание в законе всех возможных вариантов как минимум чревато дополнительными осложнениями.    Как    представитель компании, занимающейся разработкой антивирусных программ, могу сказать, что SMS-информирование - не гарантия успеха. SMS-сообщения могут быть подделаны с помощью вирусов либо стерты. В этом контексте возлагать ответственность на телекоммуникационные компании неразумно.

Я хотел бы обратить внимание на индийский вариант решения данной проблемы. Не так давно в Индии был принят закон, в соответствии с которым при поставке любого ИТ-устройства должна предоставляться инструкция, что должен делать клиент.

А. ВЕЛИГУРА: Здесь уже упоминался форум в Магнитогорске, так вот, я хотел бы сказать, что он произвел на меня совершенно иное впечатление, чем на г-на Конявского.

Отсрочка - это не просто отложенное введение девятой статьи без изменений. Речь идет о том, что норма, прописанная в этой статье, должна быть изменена, в этом вопросе необходимо найти консенсус. Банки должны возвращать средства, похищенные с карт клиентов, никто это не оспаривает. Но ситуация, когда любому гражданину дано право требовать возврат любой суммы, как минимум неправильна. Говорить, что кредитные организации обязаны за все отвечать и все обеспечивать (и юридическую значимость SMS-сообщений, и их хранение, и доказательную базу), тоже неверно. Банк не должен быть поставлен в такие условия, когда он автоматически и безоговорочно платит за все, когда все издержки «падают» на него.

Я считаю, что это комплексная проблема. Меня радует позиция регуляторов в данном вопросе. Оставшееся время до вступления в силу отсроченных положений 161-ФЗ нужно потратить на то, чтобы найти баланс интересов и ответственности всех участников процесса.

НАДО ДАТЬ КЛИЕНТАМ АДЕКВАТНЫЕ СРЕДСТВА ЗАЩИТЫ И ВОЗМОЖНОСТЬ ЗАСТРАХОВАТЬ СВОИ РИСКИ

М. ЛЕВАШОВ: Я хочу примирить две стороны дискуссии. В сложных процессах (а здесь мы имеем дело с очень сложными технологическими процессами и процессами, связанными с людьми) ничего нового и умного за год не придумаешь. Все останется примерно таким же, как сейчас, и к этому надо готовиться, как и к тому, что ответственность будет равномерно переложена на плечи всех банковских клиентов.

А это не что иное, как аналог страхования. Во всех сложных процессах, где трудно учесть все явления и факторы, нужен именно этот инструмент, и в последнее время к нему, естественно, повышается внимание. Ничего страшного не будет, я думаю, все клиенты согласятся со страхованием таких рисков, ведь любой из них может оказаться в ситуации, когда он лишится средств в результате мошеннических действий.

Что делают банки сейчас? Они принимают определенные технологические и организационные меры, чтобы подозрительные транзакции не доходили до исполнения, чтобы дропперы не могли получать средства на свои счета и «растворяться». Такие вещи постоянно идут, информационные системы улучшаются.

М. СУКОННИК: Я бы тоже хотел всех примирить. Полтора месяца назад практически одновременно в США и в странах ЕС вышли регуляторные нормы, определяющие направления развития информационной безопасности. При этом в обоих случаях в этих нормах говорится о необходимости глобального сотрудничества между государственными органами и частным бизнесом в борьбе с внешними угрозами в сфере информационной безопасности. Легко понять причину этого: атаки и нападения на банковские сети угрожают не только отдельным кредитным организациям, но и банковской системе в целом, а также государству.

С другой стороны, зачастую такие нападения совершаются не из стремления просто украсть деньги - это враждебные действия государств по отношению друг к другу. Яркий тому пример - недавняя атака на американскую банковскую систему, спровоцированная действиями США против Ирана.

Здесь мы возвращаемся к тому, о чем я уже говорил: проблема нуждается в глобальном решении, ни одна из сторон не может действовать в одиночку. Сети и системы защиты принадлежат частному бизнесу, а телекоммуникационные компании являются частными или частно-государственными, регуляторные нормы издает государство, правоохранительные органы, как всем хорошо известно, также являются государственными структурами. Поэтому совместные действия просто необходимы. Если одна сторона будет «тыкать пальцем» в другую, если мы будем год сидеть и ждать вступления в силу девятой статьи 161-ФЗ, ничего хорошего не произойдет. Вопрос надо решать.

Еще один момент, на который я хотел бы обратить внимание и который уже здесь озвучивался: идея о страховании рисков в сфере информационной безопасности очень интересная, но я опасаюсь, что срабатывать она будет до определенного уровня, когда взломают сто или даже тысячу счетов. А что делать, если в результате атаки «сложится» банковская система страны или хотя бы 10-15 системообразующих банков? Ни одна страховка не покроет такой масштабный ущерб.

А. ВЕЛИГУРА: Непонятно, зачем нужно нас мирить, я не считаю высказанную
мной позицию крайней. Я не утверждаю, что во всем виноват клиент, я говорю о балансе ответственности. А он заключается не в том, что удастся выдумать формулировку, которая всем понравится, необходим компромисс, при котором что-то потребуется от банка, а что-то -от клиента.

С. КОТОВ: Есть классическое правило: если технология три раза подряд не срабатывает, меняй подход! Какой подход на протяжении многих лет демонстрируют банки? Клиенты глупы, полицейские продажны или ленивы. Между тем, развивая банковский бизнес, вы должны понимать, что клиент вовсе не обязан быть умным и отдавать кредитным организациям деньги просто так.

Разговоры о страховании рисков ИБ идут уже много лет, но и здесь очевиден подход, описанный мной выше. Банки предлагают клиентам: я тебе выдам «голый пластик» с магнитной полосой, а ты оформи страховку. Не кредитная организация страхует свои риски в сфере информационной безопасности - она предлагает это сделать клиентам! Что касается регуляторов и правоохранительных органов, то они, судя по всему, «наелись» таким подходом.

В. КОНЯВСКИЙ: Принцип очень простой: страховать должен тот, кто подвергается риску быть обворованным. Деньги крадут не у клиентов, которые кладут деньги на счета, а у банков, которые в таких случаях говорят клиентам: «Пиши заявление в правоохранительные органы, что у тебя деньги украли». А я говорю: «Пиши заявление в те же органы, что банк тебе деньги не отдает». Примите меры по отношению к банку!

М.ЛЕВАШОВ: Кто должен платить за страхование? На самом деле и клиенты, и банки. Если клиент не образован, значит он должен страховать свои риски и платить за это. Если кредитная организация плохо защищает информацию и свои системы, то она должна платить за страховку. А кто и какую часть средств должен вносить - это вопрос к компетентным организациям, к регулятору банковского сектора.

Д. КАЛЕМБЕРГ: Пару лет назад я участвовал в разработке страхового продукта в сфере ДБО. Здесь ситуация довольно забавная: есть классический страховой продукт ВВВ, включающий в себя риски атак на информационную систему банка. Если на финансовое учреждение организована хакерская атака и если со счета клиента снимают деньги, то можно спокойно получить страховое возмещение. Если атака направлена не на банк, а на компьютер клиента, то никаких денег от страховой компании не получит ни тот ни другой.

В какой-то момент одной из российских страховых компаний был разработан продукт, позволяющий клиенту застраховать какую-либо сумму на своем счету. Банк в данном случае выступал в качестве дилера, предлагающего этот продукт. Естественно, застрахованный клиент был обязан использовать рекомендованные ему средства защиты. В какой-то момент очень многие кредитные организации заявили, что они не хотят распространять инструменты защиты, потому что списание средств со счета - это проблема клиентов, следовательно, чего же им напрягаться?

Со вступлением в силу девятой статьи 161-ФЗ этот вопрос должен сдвинуться с места. Соответствующие страховые продукты уже есть, подходы выработаны, надо дать клиентам адекватные средства защиты и возможность застраховать свои риски.

Р. НЕСТЕРОВ: Странно, что во время этого обсуждения девятой статьи 161-ФЗ я не услышал ни одной ссылки на письмо ЦБ РФ № 172-Т от 14 декабря 2012 года о правоприменимости девятой статьи и о рекомендациях ЦБ: что необходимо сделать, что банк может и что он не может делать. Я рад, что кредитная организация, клиентом которой я являюсь, предложила мне услугу страхования вклада. Когда по вине инкассаторской службы банка у меня в течение получаса были сняты все деньги с карты, трагедии не возникло: в течение суток банк возместил мне все финансовые средства благодаря страховке.

Теперь рассмотрим ту же ситуацию с точки зрения других участников технологической цепочки. Что происходит, когда клиент опротестовывает совершенный по его карте платеж? Ему необходимо заполнить «дикую» бумагу, в которой он вынужден объяснять, что он - не он, что он не покупал ракету и не летал в США, где обналичил все свои деньги. После чего я спрашиваю: зачем SMS-информирование, которое не работает? Оно не является гарантией доставки информации. Телефон может быть отключен по самым разным причинам, в том числе, как показали недавние события, из-за падения метеорита.

Я предлагаю внимательно ознакомиться с письмом ЦБ РФ № 172-Т и в рамках комитета АРБ, НПС, АБИСС выработать общие методики, основанные на оценке рисков электронных средств платежа. Без понимания, как правильно выстроить технологическую цепочку взаимодействия с клиентами, с органами правопорядка, ничего не поможет.

И. ЯНСОН: Мне кажется, ничего страшного не происходит. То, что дали отсрочку на вступление в силу некоторых положений 161-ФЗ, хорошо. Закон не идеален, его надо подкорректировать, и работа в этом направлении ведется. С другой стороны, необходимо повысить уровень защищенности банковских систем. Благодаря отсрочке у кредитных организаций теперь есть время, чтобы присмотреться и выбрать оптимальную для них антифрод-систему. Хорошо, что это не приходится делать в ситуации, когда мошенники уже атакуют банки. С третьей стороны, надо повышать защищенность информационных систем финансовых учреждений с точки зрения большей доказательности того, что происходит в системе ДБО. Вендоры предлагают новые способы защиты, и это очень хорошо.

Еще один момент - страхование рисков в ИБ. Соответствующая услуга выкристаллизовывается, появляется на рынке. Безусловно, банкам нужно смотреть и в этом направлении.

Д. РОМАНЧЕНКО: Говоря о страховании, хотелось бы обратить внимание на следующий факт. Если речь идет о страховании   клиента,   то   здесь   все более-менее понятно: не хранишь пароль, не хранишь PIN, не пользуешься электронными ключами - сам дурак и сам виноват. Меня больше интересует страхование рисков банков. Стандарт СТО БР ИББС, который, как мы недавно узнали, будет интегрирован с законодательством по НПС, предлагает оценку и самооценку. Естественно, это добровольная процедура. Но, возможно, нам следует задуматься о создании внешней структуры, например, в рамках АБИСС, структуры, которая позволила бы дать реальную оценку состоянию информационной безопасности кредитной организации, потому что не очень понятно, что происходит с соответствующими отчетами, «уходящими» в ЦБ. Ну отчитался банк по данному вопросу перед регулятором, и что дальше?

М. СУКОННИК: Вы верите, что банковские службы информационной безопасности пустят к себе внешних экспертов? Они не готовы делиться впечатлениями о том, как работают системы, не готовы делиться информацией о своей работе. А вы говорите о том, что кто-то будет приходить со стороны и изучать внутренние системы банков!

М.ЛЕВАШОВ: Аудиторы делают это на стандартной добровольной основе. Если кредитная организация хочет быть закрытой и не пускает их, конечно, пусть будет закрытой, раз уж таков ее выбор. Только если ее система безопасности «взорвется», винить будет некого. Страховщики не будут страховать тех, кто не пускает внешних аудиторов, механизм страхования для них будет неприменим.

И.ЯНСОН: При заключении договора страхования ВВВ банк заполняет подробную анкету, в которой отражается в том числе и ситуация в сфере ИБ. При этом никто не запрещает страховой компании копать глубже в этом направлении, если она чего-то опасается.

А. ВЕЛИГУРА: Идея абсолютно здравая, здесь уместна аналогия со страхованием ответственности автовладельцев. Когда вы оформляете полис КАСКО, страховщик смотрит, какая противоугонная система установлена на вашей машине. От качества этой системы зависит стоимость страховки. Так и здесь: качество системы безопасности в банке влияет на стоимость страховки. А вот по каким критериям должно  определяться  это качество - другой вопрос, причем вполне решаемый.

Р. НЕСТЕРОВ: Если мы внимательно посмотрим на механизм страхования, то увидим следующее: СК должна понимать максимальную сумму ущерба. Если клиент застрахован, и у него «уведут» деньги со счета, то страховая сумма будет покрывать сумму нанесенного клиенту ущерба. А если застрахован банк, значит СК придется покрывать не только эту сумму, но и репутационные риски, а в худшем случае - убытки, образовавшиеся в результате вывода системы из строя. Поэтому страховые компании, с которыми мне приходилось общаться, прямо говорят, что не понимают, какие риски они обязаны будут покрывать в случае страхования банка в сфере ИБ. И наша задача четко расписать для них эти риски.

КЛИЕНТ ДОЛЖЕН ВИДЕТЬ, ЧТО ЕГО ДЕНЬГИ РАСХОДУЮТСЯ НЕ НА ПОПОЛНЕНИЕ КАКОГО-ТО СТРАХОВОГО ФОНДА, А НА УЛУЧШЕНИЕ БЕЗОПАСНОСТИ

В. МЕДВЕДЕВ: Давайте скажем честно: оценить риски в сфере ИБ сейчас невозможно, потому что никто не знает, каково реальное состояние дел с информационной безопасностью, и никто в банках не представляет уровня угроз. Любые системы ИБ «пробиваются». Клиенты не могут позволить себе нормальную защиту. Большинство мелких кредитных организаций не могут позволить себе защитить всех своих клиентов, поэтому пока по большому счету о страховании говорить не приходится.

М.ЛЕВАШОВ: Мелкие банки вполне могут защитить клиентов. Я понимаю, что им не по карману нанимать дорогих специалистов, что ж эта проблема решается с помощью аутсорсинга.

В. КОНЯВСКИЙ: Сегодня существуют инструменты, которые делают безопасным взаимодействие клиентов с банками в системах ДБО. Это ненастраивае-мые средства, которые люди не могут испортить своим вмешательством. В этом контексте зона риска и зона атак перемещается с компьютеров клиентов на информационные системы кредитных организаций. Банки должны уделять этому максимальное внимание, и регулятор должен это понимать.

Порядок   может   быть   наведен только рыночным способом. Что для этого нужно? Прежде всего необходимо, чтобы банковское сообщество было информировано о современных средствах защиты и чтобы регулятор обязал финансовые организации вести себя в клиентских договорах так же, как и в кредитных договорах. В кредитных договорах нужно указать, сколько точно клиент потратит на обслуживание кредита, точно так же в клиентских договорах необходимо отметить, что если ты берешь негодный набор защиты, то риски все твои. А если возьмешь правильные средства защиты, то убытки возникнут не по твоей вине. Это и есть тот механизм, который должны применять страховые компании.

С. КОТОВ: Банки не страхуют риски информационной безопасности, нет рынка таких страховых услуг. В этом контексте не так уж важны наши размышления о том, по какой методике следует оценивать риски в сфере ИБ. Как только появится рынок, сами СК предложат нужное количество методик.

Т. АИТОВ: Я был на одном форуме, там обсуждалось, почему страховщики не страхуют работу удостоверяющих центров, которых сейчас насчитывается порядка 135. Страховщикам сложно определить, каковы эти риски и какими могут быть суммы ущерба. А здесь есть и рынок, и потребность в страховании.

Г. ЦЕДИЛКИН: Я хочу выступить с позиции клиента. И мне понятно, чем сложнее банку вести свой бизнес, тем выше будут цены на его услуги. А мне, как клиенту, нужна кредитная организация, я не хочу хранить деньги дома, я согласен платить за их безопасность, но я хочу понимать, что мои деньги будут расходоваться не на пополнение какого-то страхового фонда, а на улучшение безопасности. И тогда уже мне, как интегратору, эта ситуация будет на руку, потому что банк у меня будет приобретать услуги по аудиту информационной безопасности, антифрод-систе-мы, анализ кода и т.д.

А. ФЕДОРОВ: Позволю себе разбавить тему страхования. БИС предлагает банкам делать первые практические шаги по борьбе с мошенничеством, мы инвестировали в прошлом году средства в создание программы, где кредитные организации могут бесплатно регистрировать свои инциденты в сфере ИБ. Участие обезличенное. «Фишка» в том, что фиксируются дропперы.

Д. КАЛЕМБЕРГ: Когда страховой продукт, о котором я рассказывал некоторое время назад, был разработан, мы посетили все крупнейшие банки, показали его и рассказали о нем. Основной тезис, который мы услышали, - проблемы не у нас, а у клиентов, мы не несем рисков, у нас хорошие юристы, мы не хотим на это тратить свое время, лучше потратим его на зарабатывание денег.

Р. СУЛИЦКИЙ: Мы производим антифрод, поддерживаем хостинг, и мы рады, что появился 161-ФЗ. Кредитные организации начинают пробовать предлагаемые им продукты. Но здесь возникает следующая проблема: банк-заказчик спрашивает нас, можем ли мы разработать такую-то систему? «Можем, но углубитесь в детали, - отвечаем мы. - Дайте нам ТЗ, сформулируйте требования к антифрод-системам». На этом конструктивный диалог не то что заканчивается, он переходит в плоскость вероятностей. Никто не может точно сказать, как трактовать положения закона и кто должен их трактовать: человек, отвечающий за обеспечение информационной безопасности в кредитной организации, или аудитор, который приходит в банк? Существуют ли выработанные требования на техническом уровне, требования к приложениям, которые четко позволяли бы финансовым учреждениям определять, какие системы можно выбирать, а какие - нет.

С. БЕЛЯЛОВА: Я выскажусь в защиту банков. Все, что мы обсуждаем в рамках этого «круглого стола», показывает, что проблема большая и комплексная. Все, что озвучено, нужно решать. Поэтому я прокомментирую поднятые вопросы по пунктам.

Относительно управления рисками надо понимать, что банков в нашей стране много, и они разного уровня. Крупнейшие системообразующие финансовые институты, которые входят в комитеты и группы по 161-ФЗ, знают, о чем идет речь. Именно им предоставлено право и возможность урегулировать ситуацию, и они это сделают. В любом крупном банке есть управление рисками, и, поверьте мне, они умеют оценивать свои риски исходя из разных подходов и методик и, в первую очередь, исходя из убытков.

Говорить, что кредитным организациям все равно, что будет с их клиентами, - изначально неправильный посыл. Все продукты, которые запускаются банками как для юридических, так и для физических лиц настроены на то, чтобы быть востребованными. Если одно финансовое учреждение будет работать в интересах клиентов, а другое - нет, то из второго произойдет отток клиентов, а это никому не интересно. Значит, банковское сообщество будет работать над всем, чтобы существовали общие принципы, которые будут соблюдаться всеми и всегда.

Такой продукт, как безопасность, ни один клиент покупать не будет, это никому не интересно тем более в ситуации, когда уже вступил в силу закон о НПС и клиент знает, что он может прийти и потребовать возврат средств на свой счет. Поэтому речь, в первую очередь, должна идти о том, чтобы безопасность, защита от фрода входила в состав продуктов. Банки работают не над тем, чтобы навязать клиентам покупку отдельных систем защиты, а над тем, чтобы повысить уровень безопасности клиентов в целом.

Теперь о страховании. Нет такого решения, которое можно было бы предложить купить банку. Я думаю, есть понимание, что либо страховые продукты работают на уровне кредитной организации, когда она страхует все свои риски, а клиент является просто покупателем услуги, либо ответственность перекладывается на клиента, и ему предлагается заплатить деньги не только за приобретаемый продукт, но и за страховку. Второй вариант не продается, он клиентам не интересен. А первый пока у нас не работает.

Закон говорит: банк должен вернуть деньги или доказать, что клиент что-то нарушил. Это очень сложно: люди, которые предметно занимаются этими проблемами, понимают, что информационная безопасность и мошенничество - это разные вещи. Информационную безопасность кредитные организации обеспечивают всегда: этого требует и международное законодательство, и регулятор нашего рынка, и все эти типы защиты в том или ином виде будут существовать. Но закон апеллирует к понятию «нарушение», а защита от мошенничества в большинстве случаев рассчитана на предотвращение, на превентивные меры, которые банк должен и может предпринимать, пока беда еще не случилась. Эта коллизия очень трудно регулируется, точнее, почти никак не регулируется.

О клиентской стороне. Ни для кого не секрет, что именно на стороне клиента находятся самые высокие риски. Должен ли финансовый институт предложить всем своим клиентам защиту на уровне их рабочих мест? Понятно, что если это делать, суммы расходов будут космическими, многие организации не смогут себе их позволить. Рекомендации тоже делу не помогут: клиент может их выполнять, а может не выполнять, обязать его нельзя. Что делают в таких случаях иностранные банки? Они защищают рабочие станции клиента, эта защита входит в структуру цены продукта, таким образом они гарантируют максимальную безопасность средств клиента. Но на нашем рынке так пока никто не делает.

По поводу отсрочки девятой статьи 161-ФЗ. Вопрос об уведомлениях лежит на поверхности и не является самым серьезным. Проблема не в том, чтобы оповестить клиента тем или иным способом - у банков есть соответствующие возможности, а в том, что делать после того, как клиент получит уведомление? Какими должны быть адекватные сроки реагирования, чтобы кредитная организация смогла принять необходимые меры и чтобы клиент понял: если сообщение пришло, значит что-то оно за собой повлекло.

В заключение скажу следующее: надо четко понимать, что есть вещи, которые происходят по вине банка, а есть ситуации, в которых виноваты клиенты. И это вопрос очень проблемный: как должна распределяться ответственность?

Д. КАЛЕМБЕРГ: Выступлю сначала как клиент банка. Я хороший клиент, выполняющий все требования банка по информационной безопасности. Тем не менее некоторое время назад я, проведя сканирование на своем компьютере, обнаружил carberp - вирус, способный списать все мои средства. Так что нельзя утверждать, что клиент, выполняющий все предписания кредитной организации по информационной безопасности, полностью защищен.

О распространении средств защиты. Когда шесть лет назад начиналось распространение токенов, мы приходили в банки и говорили, продавайте их клиентам. Большинство банкиров отвечало, что клиенты не будут их брать. Однако были и те, кто с точки зрения бизнеса подошел к вопросу очень правильно: некоторые из них перевели 80% клиентов на токе-ны. Хотел бы особо подчеркнуть, этот переход осуществлялся на добровольной основе, проводились рекламные акции. Около 50% клиентов - юридических лиц готовы за две-три тысячи рублей купить новое средство защиты. Другое дело, что не все кредитные организации умеют такие средства продавать.

С. БЕЛЯЛ0ВА: Банк очень хочет продать инструмент безопасности, но если в законе о НПС прописано, что он обязан возместить клиенту списанные со счета средства, то клиент не будет эти инструменты покупать.

САМОЕ ИНТЕРЕСНОЕ НАЧНЕТСЯ, КОГДА ПОЯВИТСЯ ПРАВОПРИМЕНИТЕЛЬНАЯ ПРАКТИКА ПО ДЕВЯТОЙ СТАТЬЕ 161-ФЗ

И. МИТРИЧЕВ: Мы сейчас говорим про девятую статью 161-ФЗ. Самое интересное начнется, когда появится правоприменительная практика и станет очевидно, что нет критериев возврата средств. По статье клиент имеет право требовать возмещения убытков, но получит ли он его? Вот этот разрыв - на что он имеет право и что он в результате будет получать - очень важен, и здесь найдется место и для страховщиков, и для внедрения тех или иных технологических средств.

Чтобы проиллюстрировать следующий свой тезис, хотел бы провести такую аналогию. Почему мы не ездим на танках, ведь с точки зрения безопасности это совершенно защищенное средство передвижения? Мы предпочитаем не их, а то средство передвижения, которое нам приятно использовать, даже несмотря на его высокую рискованность. В случае с банковскими услугами то же самое. Клиент будет выбирать то, что ему приятно использовать. Если ему будет приятно потратить деньги на инструменты защиты, он это сделает, а если ему нравится закрывать свои риски всего лишь PIN-кодом, он будет пользоваться этим сервисом.

И последний тезис, который я хотел бы высказать: не надо клиенту много всего навязывать, он никогда самостоятельно не сможет разобраться в правдивости рассказов банка о тех или иных средствах защиты. Это вопрос воспитания рынка и правоприменительной практики.

Р. НЕСТЕРОВ: Что касается правоприменительной практики, то я скажу следующее: у нас есть Гражданский кодекс РФ, а в нем есть очень интересная статья об оказании некачественной услуги. Скажите пожалуйста, кто-нибудь мониторил ситуацию с правоприменительной практикой по этой статье? Сколько раз суд вставал в таких спорах на сторону клиента и заставлял банки компенсировать клиенту ущерб, понесенный в результате оказания заведомо некачественной услуги? Почти всегда! Поэтому банки предпочитают договариваться с клиентами до начала судебных разбирательств. Думаю, то же самое мы увидим, когда вступит в силу девятая статья 161-ФЗ.

Ранее прозвучало оригинальное суждение: как только девятая статья вступит в силу, резко возрастет число мошеннических действий со стороны клиентов. Но те, кто так говорит, забывают, что статья направлена на защиту добросовестных клиентов. А злоумышленники, которые передадут свою карту с PIN-кодом третьему лицу, скажут ему: лети в США и обналичь там мои деньги, есть, были и будут. И у банков в соответствии с 161-ФЗ будет возможность защититься от претензий таких граждан. А вот если добросовестный клиент покупает у кредитной организации систему защиты информации и если у него исчезают деньги, то здесь все ясно: суд встанет на сторону клиента, а не банка.

3. Б0Р0ВК0ВА: Я бы хотела более подробно остановиться на уже неоднократно поднимавшейся здесь теме: действия злоумышленников, и как с ними бороться. Хорошо известно, что хищения средств с карт клиентов часто осуществляются путем запуска вирусов. Здесь важно понимать следующий момент: злоумышленники в «дикую» среду вирусов не запускают, пока не оттестируют их на существующих антивирусных программах.

По поводу токенов и других средств защиты. Мы проводили тестирование, и вот что выяснилось: вредоносная программа создавала имитацию диска, на котором находился уже сворованный ключ, позволяющий похищать не только средства в системе ДБО, но и всю пользовательскую информацию. Также наш опыт и наши тесты показывают, что люди не знают, как вести себя за компьютером. Приведу конкретный пример: мы беседовали с бухгалтером одной компании, она призналась, что на мониторе ее компьютера высветилось «окошечко», информирующее о том, что к компьютеру кто-то подключился. Ей это «окошечко» мешало работать, она «кликнула» на значок выхода или на значок «ок». И все!

Е.АКИМОВ: Прозвучало мнение, что, когда вступит в силу девятая статья, в плане мошенничества ничего не изменится. Я бы хотел в этом контексте рассказать о том, что происходит в другой отрасли - телекоммуникационной. С моей точки зрения, ситуация там вполне применима к тому, что мы можем увидеть на рынке банковских услуг. Там налицо проблема с микроворовством, когда со счетов абонентов списывают по сто рублей. Телеком-оператор с этими потерями согласен, ему проще возместить их клиентам, чем идти в каждом конкретном случае в полицию и заводить уголовное дело. То же самое мы можем увидеть и в случае с банковскими картами - возможно, суммы хищения будут более внушительными, но не огромными. Привлечь институт страхования будет затруднительно, разбирательства будут обходиться слишком дорого, в суд никто пойти не захочет, потому что подготовка доказательной базы потребует и сил, и времени. Банк будет вынужден просто заплатить эти деньги клиенту.

Мне кажется, стоит задуматься о такой перспективе, и, возможно, по примеру телеком-операторов договориться с МВД и регуляторами, чтобы банк мог представлять интересы своего клиента, в том числе в правоохранительных органах и в суде.

А. БАБЕНКО: Я бы хотел вернуться к теме безопасности банковского ПО с точки зрения практика. По долгу службы я достаточно плотно общаюсь с компаниями-разработчиками, и мне приходится наблюдать очень интересную картину. Ни в одной организации, куда я приходил, изначально не было никаких наработок по безопасному программированию, да и банки таких требований не выдвигали. То есть финансово-кредитные организации не задумывались о том, что одной из важнейших характеристик информационной системы является безопасность этой системы. Об этом задумываются только тогда, когда у банков возникают проблемы.

Г. ЦЕДИЛКИН: Внедрять технологии SDLC в разработку кода могут очень немногие банки, но они это уже делают и тут им помогает HP Fortify. Большинство кредитных организаций может только заказать аудит кода на стороне. И тут возникает вопрос: как оценить полученные предложения? Разброс цен будет от 30 тыс рублей до трех миллионов рублей. Специалистам по ИБ банка придется анализировать методики, по которым проходит аудит. Но есть и еще одна проблема - аудит занимает один-три месяца, а некоторые скрипты должны быть запущены в течение двух-трех дней. Тут на помощь приходит сканер кода Appercut CCS, когда вы можете в кратчайшие сроки выявить некорректные с точки зрения ИБ участки кода, оперативно устранить и дать разрешение на эксплуатацию, а затем, накопив код за полгода, например, передать его на ручной анализ, выявленные уязвимости внести в базу Appercut, который будет  при  следующем сканировании контролировать код на их наличие. Регулярно повторяя такие итерации, банк сможет снизить риски, связанные с кодом приложений. Именно в таком ключе мы видим решение озвученной проблемы.

А. СИЗОВ: Мне повезло, я успел поработать и в компании-разработчике, и в банке, к тому же являюсь клиентом кредитной организации. Сначала я хотел бы выступить с оценкой 161-ФЗ со стороны клиента. Мы видим, что Международная платежная система проявляет инициативу и пытается информировать клиентов о новых средствах защиты -появились чиповые карты, технологии 3D-Secure, они популяризируются. Хотелось бы то же самое увидеть от регулятора банковского рынка.

Теперь хочу оценить ситуацию с точки зрения банков. Кредитные организации любят тех клиентов, на которых они зарабатывают. Классический риск - возмещать или не возмещать средства - регулируется в зависимости от того, приносил ли клиент до этого деньги банку. Для остальных клиентов это очень обидная позиция, но, к сожалению, дело обстоит именно так.

Следующий вопрос: как надо защищать клиентов? Я не согласен с теми, кто говорит, что клиенты не хотят и не будут тратить свои деньги на обеспечение безопасности. Они как раз хотят надеяться не только на то, что им вернут деньги в случае реализации риска хищения, но и на себя, и на средства защиты, которые они могут себе обеспечить.

В заключение своего выступления хотел бы сказать: конечно, выбора между страхованием, аппаратными средствами обеспечения безопасности и другими нет, потому что абсолютной панацеи не существует в принципе. Все механизмы защиты должны применяться одновременно, только тогда это будет эффективно.

А. БЕЛКИН: Безусловно, важны и страхование, и разработка аппаратных и программных средств. Но главное заключается в стремлении банков понять свои риски. Ситуация изменилась с точностью до наоборот: раньше банк всегда был прав, а клиент - неправ. После вступления в силу девятой статьи 161-ФЗ клиент всегда будет прав, а банк - нет. Финансово-кредитные организации к такому развороту на 180 градусов явно не готовы. Но, похоже, они все больше начинают это понимать: когда мы год назад собирались в АРБ для обсуждения этой же темы, все участники мероприятия разместились за столом, и еще остались свободные места. Сегодня мы видим, что конференц-зал Ассоциации заполнен, это говорит о том, насколько актуальны проблемы, которые мы обсуждаем.

К нам, как к компании-разработчику, приходят банки за разными решениями. Но обращаются только те, у кого уже начали воровать деньги, остальные живут по принципу «пока гром не грянет...». А между тем совершенно очевидно: любая профилактика должна быть изначально. Банкам нужны «пинки» по массовому внедрению систем антифро-да со стороны регулятора или общественных организаций, например, АРБ. Есть такое понятие, как «железный антифрод», по моему убеждению, на сегодняшний день это единственная полноценная защита для банков. Любые устройства с PIN-кодом взламываются: 60% клиентов, если не все 90%, введут PIN-код по просьбе вируса.

Д. БЕЗКОРОВАЙНЫЙ: Я согласен - любое техническое средство защиты можно обойти, причем не только с помощью технических мер, но и с помощью социальной инженерии. Существуют данные пенетрейшн-тестов, которые наглядно это демонстрируют. Токены, о которых здесь много говорилось, создают только иллюзию безопасности у клиентов. Существуют вирусы, которые невозможно обнаружить традиционными сигнатурными методами. И это проблема не только на клиентских местах, но и во внутренней сети банков.

Открытой статистики по внутренним банковским инцидентам ИБ не существует, и банки в недостаточной степени прозрачны.

Я считаю, что, конечно, следует защищать клиента, но не только его. Нужно обезопасить внутренние системы банков, причем от вирусов, для обнаружения которых необходимо выходить за рамки стандартного сигнатурного механизма обнаружения.

Р. НИГМАТУЛИН: Я хотел бы завершить наше обсуждение на позитивной ноте. Недавно я пришел в обычную районную школу, куда ходит мой ребенок, и увидел на стене школы информационную доску. Так вот, рядом с плакатом, популяризирующим средства гигиены, я увидел плакат об информационной безопасности с подробным описанием того, как следует пользоваться антивирусными программами, ставить на компьютерах сложные пароли и т.д. Мы видим, что информирование населения по этому вопросу начинается теперь буквально со школьной скамьи. И это очень позитивный сигнал.

Герман П03АНК0В, директор по работе с клиентами компании Trend Micro, Россия и СНГ
Постоянное появление новых угроз требует от служб ИБ, ИТ и бизнес-подразделений банков осознания того, что мы все находимся в совершенно новой реальности с такими принципами создания, обработки и движения информации, которых мы еще никогда не встречали. Чтобы защитить эти данные, обеспечить безопасность банковских транзакций, необходимо применение принципиально новых, современных подходов, принципов и инструментов.

Для предотвращения атак на виртуализированные и облачные инфраструктуры Trend Micro предлагает использовать специализированное решение - Deep Security, единую платформу для защиты серверов, приложений и данных в физических, виртуальных и облачных средах. Другая актуальная тенденция - консьюмеризация - требует обезопасить мобильный доступ к корпоративным ресурсам, для этого необходимы такие системы, как Trend Micro Mobile Security. На борьбу с целевыми, тщательно спланированными атаками направлен комплекс Trend Micro Deep Discovery - уникальное в своем классе решение, несущее «скрытую» службу на страже корпоративных данных.

Виктор ГУДКОВ, руководитель направления систем противодействия мошенничеству компании IITD Group
К наиболее распространенным схемам мошенничества в ДБО можно отнести использование фишинговых ресурсов с последующим применением методов социальной инженерии для обхода механизмов многофакторной аутентификации и создание специализированного вредоносного программного обеспечения, ориентированного на работу с системами ДБО на стороне клиента. К сожалению, из-за ряда факторов более-менее эффективная защита клиентской вычислительной среды усилиями банка является практически невозможной, и такую среду следует считать заведомо недоверенной.

Несмотря на незначительный уровень прямых финансовых потерь банка от фальсификации операций, они как минимум влекут репутационный ущерб и снижение лояльности клиентов, а в дальнейшем, по мере вступления в силу ряда положений законодательства, повлекут прямые финансовые потери.

Единственным действенным инструментом противодействия является мониторинг работы пользователей в ДБО, выявление сценариев мошенничества и приостановка подозрительных транзакций на стороне банка. При этом Intellinx, как платформа для построения систем противодействия мошенничеству, обеспечивает быстрый старт, зачастую позволяя обойтись без доработки имеющихся банковских систем. Идентификация подозрительных операций и автоматизированное реагирование происходят в режиме реального времени, что в сочетании с крайне коротким циклом создания новых правил обеспечивает оперативное реагирование с низким уровнем ложных срабатываний. Для операторов мониторинга Intellinx предоставляет эргономичный интерфейс, для аналитиков - богатые возможности по проведению расследований, ретроспективному анализу и поиску фактов мошенничества в прошлом.

Возможности платформы не ограничиваются контролем над операциями в ДБО: в ряде банков успешно работают решения для борьбы с внутренним мошенничеством, для контроля банкоматов и POS-терминалов, SWIFT и других продуктов и технологий.

Алексей БАБЕНКО, PA&PCI QSA, руководитель направления компании «Информзащита»
Рассуждая о снижении рисков мошенничества в системах ДБО, представители кредитных организаций, как правило, сводят разговор к мошенничеству на стороне клиента. При этом часто оказывается незатронутой тема безопасности серверной системы банка. Доверенная инфраструктура и пристальный контроль позволяют говорить о меньшей вероятности компрометации серверного приложения. Однако нельзя забывать, что последствия реализации такого риска могут стать более серьезными. Успешное использование уязвимостей в серверном приложении позволяет мошеннику получить доступ не к одному выделенному счету, а ко многим.

Как показывает наш опыт проведения работ по анализу безопасности, большая часть серверных систем банков оказывается незащищенной от воздействия внутреннего, а порой и внешнего нарушителя.

На сегодняшний день при разработке и принятии новых систем в банках отсутствуют строгие критерии, предъявляемые к ИБ и к защите от мошенничества. Но если в случае с атаками на клиентов проведение работ по созданию и усилению защитных мер может производиться постфактум, то «ожидание грома» для серверной части может привести к катастрофическому объему потерь.

Юлиана КОВАЛЬКОВА, руководитель продуктов Card Suite компании Tieto
На сегодняшний день безопасность данных клиентов находится на вершине списка приоритетов для банков. Безусловно, этому способствует девятая статья 161-ФЗ.

Даже если кредитные организации создадут стерильную с точки зрения безопасности среду, внедрив все возможные программные и аппаратные средства защиты информации, все равно есть «слабое звено» во всей этой системе - клиент, пользующийся ДБО, платежными картами, услугами электронной коммерции. «Клиенты, - сетуют банкиры, - очень часто не соблюдают требования по хранению и использованию платежной карты». Возникает вопрос: можно ли в предложенных условиях полностью переложить ответственность за потерю средств на физическое лицо, или банкам необходимо искать дополнительные инструменты защиты?

Законодательство в этом случае встает на сторону клиента, а кредитные организации должны внедрять системы фрод-мониторинга операций для выявления и предотвращения мошенничества.

Еще один тренд - развивающееся высокими темпами виртуальное пространство. Покупатели отдают предпочтение удобному и современному online-шопингу.

С развитием рынка электронной коммерции, к сожалению, пропорционально растет и количество мошеннических операций в этой среде. По последним данным более половины от общего числа таких операций относится к действиям, совершенным посредством электронной коммерции.

Компания Tieto предлагает решение Card Suite Fraud Management no мониторингу и предотвращению мошенничества с платежными картами, которое включает специальные возможности для активного мониторинга операций в среде электронной коммерции в реальном времени. При возникновении угрозы мошенничества решение дает возможность предотвратить даже самую первую операцию, которую банк определяет как подозрительную. Кредитные организации, использующие систему по мониторингу и предотвращению мошенничества Card Suite Fraud Management, могут быть уверены, что своим клиентам они предлагают высококачественный сервис, который защищает даже от необдуманных поступков с картой.

Василий ГРИГОРЬЕВ, генеральный директор БПЦ Банковские технологии
Прошедший «круглый стол» в очередной раз показал, что, к сожалению, вопрос эффективности решений для защиты от мошенничеств по картам требует существенной доработки положений Закона «0 национальной платежной системе». Сейчас банки крайне уязвимы и несут все риски, связанные с мошенничеством. Но ведь можно предупредить мошенничество до его совершения вместо того, чтобы в авральном режиме пытаться исправить последствия. БПЦ разработал и успешно внедряет собственное решение SmartGuard для предотвращения мошеннических операций. С его помощью банки могут задавать собственные правила проверки информации, выявлять и блокировать потенциально опасные операции в режимах offline и online. При разработке решения мы внимательно отнеслись к тому, что контроль всех транзакций должен происходить без снижения производительности. К тому же SmartGuard может быть внедрен в любую существующую в банке платежную систему. Данное решение прекрасно адаптируется к необходимости противостоять новым типам угроз и уже помогло многим кредитным организациям мира сократить финансовые потери и повысить эффективность.

Михаил СУКОННИК, региональный директор в России и в Прибалтике, Radware Ltd
События последнего года, а также новая регламентирующая документация в ЕС и США показывают, что эффективная борьба с кибератаками возможна только в результате кооперации государства и бизнеса. Особенно ярко такая необходимость проявилась при DDoS-атаках (например, массированная атака на американскую банковскую систему), которые могут не только приводить к остановке услуг, но и являться прикрытием действий по выводу денег со счетов. И если по вопросу об ответственности за защиту клиентских устройств можно дискутировать, то основная ответственность за защиту банковской сети должна лежать на самой кредитной организации.

Именно поэтому в последний год банки и другие финансовые учреждения уделяют большое внимание запуску проектов защиты от DDoS-атак (DefencePro) и атак на web-приложения (AppWall). Радует это не только потому, что в результате тестирования они становятся нашими клиентами, но и потому, что наличие у операторов и корпоративных клиентов систем Radware повышает общий уровень защищенности и обеспечивает возможность успешной борьбы с внешними атаками.

Другой стороной, заинтересованной в решениях Radware по защите от DDoS-атак и атак на web-приложения, является государство. Многочисленные примеры доказывают, что действия государства могут вызывать ответную реакцию, наносящую ущерб частному бизнесу, в том числе и финансовой системе. Яркой иллюстрацией такой связи являются атаки на американскую банковскую систему в ответ на санкции против Ирана или атаки на международные платежные системы, связанные с WikiLeaks.

Дмитрий РОМАНЧЕНКО, директор центра технологий безопасности IBS
Задача создания защищенного виртуализированного (облачного) информационного пространства для использования в банковском секторе актуальна как никогда. Классическим подходом для решения указанной задачи в РФ является использование промышленных платформ с наложением на них средств защиты, что обеспечивает соответствие требованиям регуляторов по безопасности информации. В данном случае профессиональный выбор инструментов защиты, их интеграция являются непростыми задачами, особенно когда речь идет о высокопроизводительных системах, которые создает наша компания. Одновременно, мы развиваем альтернативный подход, который состоит в разработке платформ с глубокой интеграцией механизмов безопасности информации в ядро платформы таким образом, чтобы изначально удовлетворять требования регуляторов (ФСТЭК РФ, ФСБ РФ) по защите информации с последующей сертификацией продуктов. Наша компания совместно с партнерами ведет программную разработку таких платформ как для серверной, так и для клиентской виртуализации (VDI). В своей дальнейшей практике мы будем предлагать заказчикам смешанный подход с использованием решений обоих типов. Ряд разработок мы «обкатываем» у нас в компании, что позволяет предвосхитить требования заказчиков.

Дмитрий СОБОЛЕВ, директор департамента информационной безопасности «Энвижн Груп»
Еще несколько лет назад ИТ-решения для совершения финансовых операций применяли только крупные компании. Сегодня системы дистанционного банковского обслуживания (ДБО) распространены повсеместно. Информация о плательщиках и счетах становится лакомой приманкой для злоумышленников. Для противодействия электронному мошенничеству (фроду) уже мало нескольких скриптов, созданных штатным программистом. Необходимы мощные системы защиты, которые непрерывно контролируют действия пользователей и мгновенно реагируют на любые подозрительные активности.

Многие финансовые организации, в первую очередь банки, осознали необходимость внедрения профессиональных антифрод-решений, но сталкиваются с рядом преград, зачастую субъективных.

Дорого. Нужны серьезные затраты, чтобы запустить систему защиты ДБО, и многие банки решаются на этот шаг, только когда оценивают убытки от фрода. С точки зрения логики мошенничество носит вероятностный характер, и потери можно предсказать на основе статистики. На практике злоумышленники в любой момент могут нанести сокрушительный удар как по «карману», так и по репутации банка.

Долго и трудно. Внедрение антифрод-системы -достаточно длительный  процесс: требуется тщательный  предварительный анализ, вдумчивый выбор решения и слаженные действия подразделений банка и поставщика или интегратора. Это непросто, но в итоге заказчик получает мощный инструмент, который чутко реагирует на все подозрительные изменения, позволяя оперативно выявлять и пресекать мошеннические действия.

Первый шаг - анализ данных о работе ДБО, особенно сведений об атаках, для выявления типичных методов и схем мошенничества. Так можно перевести значимые признаки потенциально опасных операций на язык алгоритмов, которые позволят антифрод-системе быстро и успешно «просеивать» миллионы транзакций.

Например, у каждого клиента свой «финансовый почерк»: его операции обычно связаны с используемым устройством, получателями средств, временем суток и др. Любое отклонение от привычного поведения может служить тревожным сигналом.

Реагирование на такие «звоночки» определяется политикой безопасности заказчика. Можно запросить дополнительную информацию для аутентификации личности, в противном случае данные об операции заносятся в журнал учета инцидентов. Задача оператора (сотрудника службы информационной или экономической безопасности) - проверить подозрительные транзакции и запретить или разрешить перевод, списание или внесение средств. Принять правильное решение помогают специализированные системы оценки рисков.

Помимо программных решений обеспечивать безопасность ДБО помогают и аппаратные решения (например, от NICE Actimize, Intellix и др.). Как правило, в них «зашиты» стандартизованные алгоритмы выявления фрод-активностей, но для большей отдачи каждому заказчику нужно добавлять правила с учетом своей специфики.

Безусловно, борьба с фродом должна быть систематизированной, и для максимального эффекта специалистам банка нужно тесно сотрудничать с ИБ-консультантами.

Борис КРИВОШАПКИН, коммерческий директор процессингового центра PayOnline
Изменения в законодательстве России, обсуждавшиеся на «круглом столе» (п. 11-13 ст. 9 161-ФЗ), направлены на повышение уровня доверия населения к безналичным формам денежных средств и мотивацию к их активному использованию. Один из инструментов популяризации безналичных денежных операций среди населения - это перенос ответственности с плательщика на банк в случае «утраты электронного средава платежа и (или) его использования без согласия клиента».

Эти изменения влекут за собой увеличение оборота безналичных средств среди физических лиц, что, безусловно, интересно банкам. Однако, большинство россиян имеет незначительный опыт использования безналичных платежных инструментов, что провоцирует рост числа мошенн

Поделиться:
 

Возврат к списку