При перепечатке материалов просим публиковать ссылку на портал Finversia.ru с указанием гиперссылки.
В программе любого крупного банковского форума всегда можно обнаружить секцию по информационной безопасности, на которой обсуждаются доклады, иллюстрирующие огромную работу банков, разработчиков специализированного ПО и, конечно, регулятора в направлении противодействия кибер-злоумышленникам в их противоправной активности.
Специалисты по ИБ обычно приводят ужасающие разум абсолютные объемы хищений, банки сетуют на то, что клиенты недостаточно грамотны и нарушают правила пользования платежными инструментами. Регулятор с грустью констатирует, что переломить текущие тенденции невозможно. Всем присутствующим это и понятно: преступники впереди, потому что щит (то есть защита), всегда отстает от пули (то есть от нападающих).
Сотрудники киберподразделений МВД, если и присутствуют, то говорят редко и мало, похвалиться им особенно нечем. Что-то, конечно, делают, какие-то группы выявляют и преступления раскрывают, но, вот, чтобы радикально поменять ситуацию – этого, увы, не удаётся. Частенько спецслужбам даже приходится просить безвозмездной помощи у бизнесменов – в офисах некоторых игроков рынка ИБ можно обнаружить значительное количество благодарностей от компетентных служб за помощь и экспертизу в поимке преступников.
Если же пытливый журналист вдруг начнет выяснять, почему такая армия специалистов противодействует, но не может изменить печальную статистику, ему отвечают в том смысле, что все дело в том, что 80% и более хищений со счетов физических лиц сегодня совершаются методами «социальной инженерии», то есть, мошенниками. А в этих хищениях, как известно, виноваты сами клиенты – которые и не на те кнопки нажимают, и не с тем, кем надо, разговаривают. И, как результат, переводят деньги по указанию злоумышленников. Против такого «лома» на сегодня точно не существует никакого «приёма» – это мнение всех участников незримой борьбы с преступниками. Из 1,4 млрд. рублей, похищенных у клиентов российских банков в 2018 году, весомый ярд с гаком достался талантливым и артистичным «инженерам». Когда же пострадавший клиент пожалуется в банк (или МВД), что попал под атаку мошенников, деньги ему никто не возвращает (как никто и не разыскивает преступников), по причине того, что клиент собственноручно перевёл свои средства на счета злоумышленников.
Конечно, не все согласны с таким отношением к клиенту и подобной оценкой действий пострадавшего. Например, Ассоциация финансовых инноваций (АФИ) считает, что отказ априори от возмещения средств клиенту противоречит духу статьи 9 закона 161-ФЗ , которая и была придумана именно для того, чтобы повысить лояльность клиентов к безналичным платежам и стимулировать доверие к финансовой системе в целом, банкам, возможно, следует хотя бы частично компенсировать потери клиента – считает АФИ. Однако благие пожелания, увы, не находят адресатов – ни один клиент, потерявший деньги от действий «инженеров», свои средства не вернул. Как, впрочем, и большинство других клиентов, не получили компенсаций в отношении иных случаев хищений с карт, на которые ориентирована статья 9 закона 161-ФЗ . Как показывает практика, клиент, увы, чаще всего остается беззащитным перед банком и противодействовать банковским юристам не в состоянии – ведь известно, что они не зря свой хлеб едят.
Никто не хотел защищать
Что же делать? Для борьбы с преступниками-»инженерами» нужны согласованные действия всех борцов, нужна совместная заинтересованность в результате, нужны изменения в законодательной базе. МВД, конечно, заинтересован, но надежды на усилия МВД в части оперативной работы с преступным сообществом, мало кто возлагает. Многочисленные киберпреступления совершаются мгновенно, дистанционно, деньги исчезают по электронном каналам финансовой инфраструктуры, а инфраструктура эта, как известно под контролем Центрального банка и самих банков.
Ну, а что сами банки?
Парадокс – сами банки, аккумулирующие огромные денежные средства клиентов, увы, не заинтересованы их должным образом защитить. Во-первых, по причине того, что ответственности за кражу средств «инженерами» , как мы видели, банки не несут и защищать их банкам невыгодно. Если же какой-то банк вдруг возьмется построить защиту от атак «инженеров» (разработает хитрую систему антифрода, усложнит процедуры доступа к счёту и т.п.), то от этого сам и пострадает – понесет затраты , а дополнительные меры безопасности могут отпугнуть клиентов. Подавляющее большинство банковских клиентов предпочитают самые простые процедуры акцептования платежей: кликнул, щёлкнул, приложил палец и готово дело. Нам про такие процедуры тоже любят рассказывать на конференциях. Но за всю простоту, доступность и удобство клиенту приходится расплачиваться более низкой защищенностью платежей и возможной потерей средств.
Самое парадоксальное, что и сами разработчики ПО тоже не заинтересованы в надежной защите и отсутствии уязвимости у своих же приложений. Потому, что, если где-то появится «дыра», и банк выразит недовольство продуктом, то с банком можно заключить новый контракт на новые доработки своего продукта для новой версии. Разработчику всегда выгоднее превратить свою работу в непрерывный процесс, связанный с получением денег.
Преступление без наказания
Очевидно, весомый вклад в борьбу с инженерами внесет изменение нормативно-правовой базы. Принятый закон 161-ФЗ и его ст.9 на сегодня устарели и не позволяют сегодня реально защищать интересы клиента в подавляющем большинстве случаев хищений. В существующем законе нет ни слова про социальную инженерию, ни про то, как банкам следует на эти инциденты реагировать. Переломить ситуацию в борьбе с хищениями позволит солидарная ответственность: украли средства у клиента, значит, банк должен быть наказан штрафом за это хищение. Причем, не только соразмерно сумме хищения, а в более крупном размере. Почему? Любая использованная уязвимость, «дыра» – все это свидетельствует о недоработках в защите всего тракта движения средств. Банк подвергает риску средства всех своих клиентов, а, стало быть, должен быть наказан в большем объеме, чем сумма одного хищения. Сумма штрафа в новой редакции ст.9 должна многократно (в десятки раз) превышать сумму похищенного. Конечно, эти средства не следует перечислять клиенту – клиенту правильнее компенсировать потери, может быть, даже и не в полном объеме – неосторожная вина клиента в работе с «инженерами» присутствует.
Конечно, банки будут категорически против штрафов вообще и в пропорции к сумме похищенного в частности. Возможно, правильнее штрафовать за нарушение стандартов (которых сейчас нет и которые надо, конечно, создавать). Регулятор выпустит стандарты безопасного дистанционного банкинга, которые определят область безопасности для банков и для клиентов. Если деньги у клиента украли вследствие нарушения стандартов банком – штрафуется банк, если украли из-за нарушения правил самим клиентом – деньги клиенту не возвращаются. Этот путь более сложный и компромиссный, но он также изменит критерии эффективной работы банка – сегодня это только доходы. Ориентир на доходы и заставляет менеджеров банка любым способом, в том числе и за счет снижения безопасности, увеличивать количество клиентов.
Штрафной удар команде злоумышленников
Средства, собранные с банков, логично отправить в специальный фонд или централизованную профессиональную организацию, которая займется защитой и ликвидацией уязвимостей в трактах прохождения финансовых средств и в экосистеме в целом, а с этой организации банки будут жестко требовать конкретных результатов. Многочисленные имеющиеся общественные организации в сфере платежей, существующие на взносы банков, для этих целей непригодны. Взносы в них используют исключительно на зарплату сотрудникам или на проведение GR/PR-мероприятий. Рынку необходимы другие структуры, напоминающие по масштабам и функциям «UK Payments Administration», как известно, содержащие аппарат высококвалифицированных и опытных менеджеров в вопросах банковской безопасности. Важно чтобы кто-то на рынке был сосредоточен на инновационных решениях, но думал не о конкретном банке, а о кибер-устойчивости всей платежной экосистемы. Новая структура должна функционировать как отраслевой НИИ, разрабатывая продуты и решения в интересах всего банковского сообщества, за счет банков и на их средства. Она должна аккумулировать отраслевую экспертизу. Возможно, правильно будет организовать ее работу как СРО.
Наши банки сегодня в тяжелом положении и добровольно деньги сдавать на некое «общее дело» не будут. Но если каждый банк будет вынужден расплачиваться за конкретные хищения со счетов своих клиентов огромными суммами штрафов, то можно быть уверенными, что пострадавшие банкиры обязательно спросят с законодателей и со своих централизованных разработчиков, почему произошли хищения и найдут способы как снизить свои потери. А от этого в конечном итоге, выиграем все мы – клиенты.
обсуждение