НБЖ: Нынешний «круглый стол» – не первый, который журнал при содействии Ассоциации российских банков проводит по теме обеспечения информационной безопасности в финансово-кредитных организациях. Приятно видеть, что участников наших заседаний с каждым разом становится все больше, это говорит о том, что заявленная тема является актуальной, и более того, ее актуальность постоянно возрастает.

Первый вопрос, который хотелось бы задать всем присутствующим, – как банки используют время, которое у них появилось в связи с отсрочкой вступления в силу некоторых положений 161-ФЗ «О национальной платежной системе»? Достаточно ли одного года для того, чтобы урегулировать главную спорную тему: должны ли кредитные организации возмещать держателям платежных инструментов средства, которые те по различным причинам потеряли?

Т. АИТОВ: Я бы предложил более общую формулировку вопроса: как влияет принятый 161-ФЗ на платежные технологии в целом? Если говорить о годовой отсрочке, данной законодателями, то ее, на мой взгляд, достаточно. Банки всегда готовы выполнять любые, сколь угодно сложные, требования закона. Если бы вступление в силу девятой статьи Закона «О национальной платежной системе» не было передвинуто на год, финансово-кредитные организации, конечно, начали бы ее исполнять. Взяли бы все свои риски, потери, затраты и переложили бы 99,9% из них на плечи порядочных клиентов, которых, как хорошо известно, подавляющее большинство. Злоумышленники, конечно, были бы довольны, а грамотные клиенты выразили бы недоумение, почему на них «упали» затраты. Это привело бы к снижению лояльности к банкам и банковской отрасли, а ведь сама девятая статья была включена в текст закона как раз с противоположной целью: чтобы повысить лояльность клиентов к финансово-кредитным организациям.

Еще один вопрос, который неизбежно возникает при обсуждении этой темы, – почему о готовности исполнять 161-ФЗ и отдельные его «отсроченные» положения интересуются только у банков? Если мы хотим добиться исполнения девятой статьи и положительных результатов применения закона, то о готовности надо спрашивать всех участников технологической цепочки. Проиллюстрирую свой тезис простым примером – информирование клиента. Ни для кого не секрет, что самый удобный, простой, быстрый и дешевый способ – рассылка SMS-сообщений. Думаю, депутаты Госдумы имели это ввиду при разработке закона. А теперь вспомним, кто обеспечивает нам рассылку SMS. Телекоммуникационные компании. Готовы ли они хранить сообщения по три года, участвовать в разбирательствах, согласны ли они придать юридическую значимость SMS? Ответ очевиден: нет, не готовы, не хотят и не будут этим заниматься. Почему бы с учетом этого нашим законодателям не обязать телекоммуникационные компании участвовать в подготовке и исполнении девятой статьи, работать в единой технологической цепочке?

Возьмем другой аспект: все эксперты в один голос утверждают, что после вступления в силу девятой статьи нас ждет вал мошенничества и злоупотреблений. В связи с этим объективно должна возрасти роль правоохранительных органов. Но мы не видим ни увеличения финансирования этих служб, ни увеличения их численности, даже разговоров об этом нет.

Даже СМИ про девятую статью мало что пишут. Вернее, пишут, что банки будут расплачиваться за все кражи средств с карт клиентов, но не сообщают о том, как надо хранить PIN-коды и «ключи». А ведь подобная масштабная разъяснительная работа очень важна и нужна, в свете этого вполне логичным представляется выделение некоего бюджета на популяризацию и разъяснение только что принятых законодательных актов.

Как мы видим, остальные звенья технологической цепочки не срабатывают. Остаются только банки, которые должны хранить SMS, обучать клиентов правилам соблюдения безопасности, расследовать инциденты и в конечном счете возмещать похищенные деньги.

НБЖ: Не знаю, как другие СМИ, а наш журнал поддерживает идею создания такого бюджета.

Т. АИТОВ: Главный вывод, который я хочу сформулировать: все законы должны учитывать межотраслевые связи, они не должны быть декларативными. Тогда не возникнет проблем с их исполнением и не придется переносить сроки вступления отдельных положений законов.

В. КОНЯВСКИЙ: Итак, если я правильно понял Тимура Науфальевича, деньги за риск должен платить клиент, СМИ обязаны просвещать, телекоммуникационным компаниям положено нести ответственность за SMS-информирование. Я с этим не согласен. Телеком – это своего рода «извозчик», ему дали пакет, он должен доставить его в указанное время в указанное место, не более того. Не его дело – заботиться о юридической значимости SMS-сообщений, которые рассылают банки. Финансово-кредитные организации вполне способны решить эту задачу самостоятельно, средства для этого у них есть.

Отношение банков к отдельным положениям 161-ФЗ наглядно продемонстрировал февральский форум по информационной безопасности, прошедший в Магнитогорске. Общее настроение банкиров можно было охарактеризовать так: нас обидели, мы с некоторыми положениями закона не согласны. Но, по моему убеждению, и законодатели, и регулятор заняли в этом вопросе очень верную и, что принципиально важно, проклиентскую позицию. Когда происходят подобные инциденты, то необходимо помнить: деньги воруют не у клиента, который их положил на карту, а у кредитной организации, открывшей счет, поэтому банк обязан их вернуть. Никаких отсрочек больше не будет, девятая статья вступит в силу. Если вы не умеете работать на финансовом рынке, уходите с него. Если вы беретесь предоставлять финансовые услуги, так извольте предоставлять их так, чтобы интересы клиентов были защищены. Не надо возлагать свои обязанности на других. Банки должны решать собственные задачи, в том числе умело защищать свои информационные системы, а не экономить на затратах. На сегодняшний день ситуация такова: у 45% кредитных организаций один специалист по информационной безопасности. Естественно, он ничего в одиночку сделать не может. Причем же тут ФСБ, или МВД, или клиенты? Вы, как банки, создайте нормальные «боевые» службы, потратьте на это деньги и тогда увидите: количество инцидентов, связанных с хищением средств с карт клиентов, у вас снизится на порядок.

В. МЕДВЕДЕВ: Я бы хотел дополнить выступление коллеги. Прописывание в законе всех возможных вариантов как минимум чревато дополнительными осложнениями. Как представитель компании, занимающейся разработкой антивирусных программ, могу сказать, что SMS-информирование – не гарантия успеха. SMS-сообщения могут быть подделаны с помощью вирусов либо стерты. В этом контексте возлагать ответственность на телекоммуникационные компании неразумно.

Я хотел бы обратить внимание на индийский вариант решения данной проблемы. Не так давно в Индии был принят закон, в соответствии с которым при поставке любого ИТ-устройства должна предоставляться инструкция, что должен делать клиент.

А. ВЕЛИГУРА: Здесь уже упоминался форум в Магнитогорске, так вот, я хотел бы сказать, что он произвел на меня совершенно иное впечатление, чем на г-на Конявского. 

Отсрочка – это не просто отложенное введение девятой статьи без изменений. Речь идет о том, что норма, прописанная в этой статье, должна быть изменена, в этом вопросе необходимо найден консенсус. Банки должны возвращать средства, похищенные с карт клиентов, никто это не оспаривает. Но ситуация, когда любому гражданину дано право требовать возврата любой суммы, как минимум неправильна. Говорить, что кредитные организации обязаны отвечать за все и все обеспечивать (и юридическую значимость SMS-сообщений, и их хранение, и доказательную базу), тоже неверно. Банк не должен быть поставлен в такие условия, когда он автоматически и безоговорочно платит за все, когда все издержки падают на него.

Я считаю, что это комплексная проблема. Меня радует позиция регуляторов в данном вопросе. Оставшееся время до вступления в силу отсроченных положений 161-ФЗ нужно потратить на то, чтобы найти баланс интересов и ответственности всех участников процесса.

(полностью текст "круглого стола" читайте в мартовском номере НБЖ за 2013 год)