Кредитные организации будут обязаны внедрять системы, препятствующие незаконному списанию денег со счетов и их обналичиванию - так называемые системы антифрода. То есть речь идет о том, что банки при подозрении на то, что операция по переводу или снятию денег с карточки осуществляется без ведома владельца денег, должны уточнить у него, действительно ли он совершает транзакцию. Сейчас такие системы у кого-то есть, у кого-то нет, рассказал "Российской газете" заместитель начальника Главного управления безопасности и защиты информации ЦБ РФ Артем Сычев.
Базовые требования к антимошенническим системам остановки и возврата платежей установит Банк России. Такие нормы заложены в законопроекте, который уже находится в Государственной думе.
Артем Михайлович, какие признаки будут говорить банкам о том, что операция должна быть остановлена?
Артем Сычев: Например, мы видим, что злоумышленники часто используют массовые переводы со счетов юрлиц на счета физлиц, таким образом выводя похищенные деньги. Подобного рода транзакции должны обязательно дополнительно проверяться. Основной вопрос будет задан клиенту - совершал он такую операцию или нет.
Речь идет о формировании единой позиции финансовой системы по отношению к фродовым (мошенническим) транзакциям - о высокоуровневых правилах, которым должна соответствовать любая система антифрода. Но у финансовых организаций будет возможность устанавливать дополнительные правила, потому что профиль клиентов, режимы платежей у всех разные, и ни Банк России, ни кто-то другой полностью все описать не может. Банк также будет сам определять, какой конкретный механизм, какое программное средство ему подходят исходя из его масштабов, клиентской базы, технической оснащенности. Кроме того, предусматривается регламентировать обмен банков информацией о счетах так называемых дропперов - физических и юридических лиц, через которые проходят похищенные деньги.
Это поможет противодействовать запуску в теневой оборот и обналичиванию украденных денег.
Какого эффекта ожидаете вы от внедрения системы приостановки платежей?
Артем Сычев: Мы не должны допускать уровня хищений выше 0,005 процента от общего оборота безналичных платежей. Пока нам удается его удерживать на гораздо более низком уровне, менее 0,002 процента. Те меры, которые заложены в законопроекте, позволят нам, прежде всего, не допустить увеличения доли похищенных денег. Мы понимаем, что преступность свести к нулю невозможно, но нам нужно создать условия, в которых злоумышленникам в России было бы некомфортно. Это не только задача Банка России, это задача и финансовых организаций, и правоохранительных органов.
Как работает норма, обязывающая банк возместить физлицу похищенные с его счета деньги? Кто-то говорит, что банки ее обходят, а статистики на этот счет нет.
Артем Сычев: У нас пока нет данных, позволяющих считать, что 9-я статья (закона о национальной платежной системе. - Прим. ред.) не работает. Более подробно можно будет ее оценить, когда мы соберем статистику о том, сколько на самом деле банки вернули денег. Для этого сейчас Банк России готовит указание об изменении статистических форм отчетности.
По хищениям средств со счетов юрлиц механизма возмещения не будет?
Артем Сычев: Специального механизма не будет, но в этих случаях работают нормы Гражданского кодекса.
В прошлом году половина атак на счета юрлиц была вовремя остановлена, половина увенчалась успехом. А как в этом году?
Артем Сычев: Промежуточные итоги года пока говорят о том, что общее количество покушений на хищение возросло, но их результативность существенно упала. Очень хочется надеяться, что такая тенденция сохранится до конца года. Итоги мы представим на Уральском форуме в феврале.
Через полтора месяца вступит в силу ГОСТ по информбезопасности финансовых организаций. Банки к этому готовы?
Артем Сычев: В целом - да. Но хочу заметить, что вступление ГОСТа в силу вовсе не означает, что все его требования сразу же становятся обязательными к исполнению. Хотя Банк России теперь сможет ссылаться на какие-то из них в нормативных актах, и тогда уже банки должны будут соответствовать этим требованиям. Однако ничего сверхъестественного в ГОСТ мы не закладываем.
В ряде банков считают иначе.
Артем Сычев: Нас упрекают в том, что мы вводим таким образом какие-то дополнительные нормы, но при этом забывают, например, что требования по анализу защищенности для процессингов практически все кредитные организации и так выполняют. То есть речь идет о расширении области оценки защищенности, но не о новой процедуре.
Неправильно говорить, будто мы включили в ГОСТ что-то, чего банки раньше не делали. Хочу обратить внимание на то, что мы исходим из принципа пропорциональности требований тем рискам, которые есть в той или иной кредитной организации в зависимости от размера бизнеса, капитала. То есть больше того, что у нее есть, никто спрашивать не будет. Но если риск есть, а уход от него не проработан, то финансовой организации придется ответить на неудобные вопросы, почему, собственно, это произошло.
Какими будут санкции к банкам со слабыми системами информационной безопасности?
Артем Сычев: Этот вопрос сейчас обсуждается. Но большинству банков можно по этому поводу не тревожиться. Основные процессы у подавляющего числа кредитных организаций уже построены либо находятся в стадии подготовки. То, что системы финансовых организаций не заметили вообще или очень достойно отразили последние массовые атаки, свидетельствует, что наши базовые требования выполняются.
Сколько банков затронул шифровальщик BadRabbit, проявившийся в конце октября?
Артем Сычев: Банки вообще его не увидели, то есть случаи выявления были, но единичные. По нашим сигнатурам (характерные признаки вируса, используемые для его обнаружения. - Прим. ред.) они это вывели, и все.
Кроме того, мы понимаем, что в зоне риска находятся не только банки, но и их партнеры, контрагенты. И это также может негативно сказаться на кибербезопасности финансовой системы. Такие риски и стремительное развитие дигитализации подтолкнуло нас к идее предложить публичным компаниям ввести в советы директоров компетенции по кибербезопасности. Это необходимо для того, чтобы руководство таких организаций оценивало возможности для бизнеса, которые может дать грамотное развитие и внедрение новых ИТ-технологий в работу компаний, в том числе разрабатывало политику по управлению киберрисками и контролировало ее исполнение. Мы планируем прописать новацию в кодексе корпоративного управления, который рекомендован Банком России для исполнения публичными акционерными обществами. Надеемся, что для обсуждения сможем представить эту идею до конца года.
Атаки с использованием Cobalt Strike до сих пор угрожают банкам?
Артем Сычев: Да, и это большая проблема и с точки зрения массовости атак, которые были, и с точки зрения того, как они работают - фактически злоумышленники делают деньги из воздуха.
Сейчас получилась очень интересная ситуация. Одно время мы фиксировали в неделю по две-три массовые рассылки с Cobalt Strike, причем иногда вредонос модифицировался 3-4 раза за день. Но результата злоумышленники достигли крайне незначительного. В последнее время их активность резко упала. Это не повод нам успокаиваться, как раз наоборот, это вопрос, почему они замолчали: потому, что готовят какую-то новую модификацию либо потому, что где-то кого-то зацепили и выжидают время. Я больше все-таки склоняюсь к тому, что они решили смодифицироваться и готовят что-то такое неприятное к концу года, когда самый пик платежей, когда внимание банковских сотрудников падает.
К информационному обмену о такого рода угрозах присоединились уже все банки?
Артем Сычев: Есть кредитные организации, которые до сих пор этого не сделали. Это их право. Но и сейчас в информационном обмене с ФинЦЕРТ свыше 500 организаций, это 95 процентов рынка.
Артем Михайлович, есть ли какие-то новые тенденции в фишинге? Как сейчас мошенники обманывают людей?
Артем Сычев: Из "интересных" новшеств - появились организации злоумышленников, которые в основном нацелены на людей с небольшим достатком и на тех, кто пытается заняться мелким бизнесом. Причем, как правило, речь идет о маленьких городах, где представлены три-четыре банка. Человеку присылают сообщение, в котором написано: вы заявки на кредит подавали, мы - новый банк, готовы кредит выдать, но у нас в вашем городе представительства нет, поэтому, пожалуйста, такую-то сумму по такому-то счету перечислите, а мы вам пришлем договор и деньги.
Как мошенники узнают о потенциальных жертвах?
Артем Сычев: Это не прицельные атаки, а, как правило, массовая спам-рассылка. Если она попадает к человеку, который действительно подавал заявки на кредит, он может стать жертвой мошенника.
Неужели кто-то идет и платит? Ведь в этом случае есть время подумать.
Артем Сычев: Бывает, что люди перечисляют деньги не один, а два-три и даже четыре раза и только потом понимают, что их обманули. Они просят кредит на полмиллиона и при этом оплачивают услуги "банка" на 100-200 тысяч.
Кто входит в группу риска по этому способу мошенничества?
Артем Сычев: Он нацелен на людей в возрасте от 30 до 45 лет. Злоумышленники раньше в основном работали с людьми пожилого возраста, потому что их обмануть было проще. После того как мы с помощью СМИ обратили внимание на эту проблему, старшее поколение стало реже попадаться на уловки мошенников. Тогда они просто переключились на другую категорию граждан.
Анатолий Аксаков, председатель Комитета Государственной Думы по финансовому рынку, председатель совета Ассоциации региональных банков России:
Сейчас банки не имеют четкой обязанности остановить подозрительную транзакцию и нет механизма возврата денежных средств, уже переведенных в другой банк и там заблокированных по просьбе кредитной организации, в которой находится счет жертвы мошенников.
Если преступники не пойманы, то вообще-то правовые основания возвращать эти средства отсутствуют, поскольку они уже считаются деньгами того клиента, на чей счет поступили. Поэтому доходит до судов, а судебные процедуры длятся долго, иногда годами.
Первоначально предлагалось возвращать средства, которые были несанкционированно переведены из одного банка в другой, через решения арбитражного суда, но именно с целью ускорить возврат было решено остановиться на облегченной, внесудебной процедуре. Если из обращения владельца счета очевидно, что его деньги списаны в другой банк незаконно, то этот банк будет обязан вернуть средства в короткий срок.
Сейчас если какие-то банки и обмениваются сведениями о счетах, через которые мошенники пытались вывести деньги, то это очень ограниченный круг. Здесь играют роль и конкуренция, и опасения за репутацию, поэтому банки стараются не афишировать такую информацию.
Законопроект об остановке и возврате мошеннических переводов денежных средств Государственная Дума планирует рассмотреть в весеннюю сессию.