Вопросы обеспечения безопасности и совершенствования систем дистанционного банковского обслуживания (ДБО)

Противодействие хищениям денежных средств со счетов клиентов кредитных организаций с использованием дистанционного банковского обслуживания (ДБО) и обеспечение безопасности систем ДБО − тема, безусловно, актуальная для всех кредитных организаций. Именно этой теме был посвящен третий день деловой программы форума.

Масштабы обозначенной проблемы нашли подтверждение в выступлениях представителей крупнейших банков («Сбербанк России», «Россельхозбанк», Банк «УРАЛСИБ», «Промсвязьбанк») и территориальных учреждений отраслевого регулятора − Банка России. Так, было отмечено, что средний размер покушения на хищение составляет 450 000 рублей. Стоимость же организации самой атаки может не превышать 30 000 рублей.

В итоге злоумышленники всегда в выигрыше. Специализированные банковские ботнеты имеют средний улов от 20 000 − 40 000 аккаунтов ДБО. Таким образом следует с горечью констатировать, что проституция, наркоторговля и терроризм «отдыхают» в сравнении с прибылями от хищений в ДБО. К тому же несовершенство отечественного законодательства формирует условия для высокой латентности такого рода преступлений и способствует вовлечению в преступные сообщества значительного числа любителей «лёгких денег». Поэтому не удивительно, что, как отметил в своем выступлениизаместитель начальника управления безопасности и защиты информации ГУ Банка России по Рязанской области В.А. Степашкин, регулятор в лице Банка России отмечает за последний год рост количества зарегистрированных покушений более чем в два раза.

В этих условиях банки вынуждены объединять свои усилия. Так, более чем 170 банков в той или иной степени взаимодействуют друг с другом под эгидой АРБ и региональных банковских ассоциаций по различным вопросам противодействия мошенничеству. По мнению А.В. Чахеева (Банк «УРАЛСИБ»), конструктивное взаимодействие с коллегами из других банков позволяет эффективно предотвращать вывод ворованных денег через подставных лиц, как физических, так и юридических.

Как отметил в своем выступлении И.В. Федосеев («Сбербанк России»), современные информационные банковские технологии в условиях свободного использования ресурсов интернета принципиально не защищены от заражения новыми вирусами и вредоносным программным обеспечением, эксплуатирующим так называемые уязвимости нулевого дня. На фоне низкого уровня осознания

клиентами рисков и угроз информационной безопасности и игнорирования ими элементарных требований информационной безопасности это приводит к тому, что применение любых средств защиты упирается в клиента как самое слабое звено системы защиты. Поэтому в случае масштабных заражений всегда найдутся клиенты, которые что-либо нарушают и первыми становятся жертвами мошенников.

Хищения, как правило, происходят не там, где выводятся деньги. По существующим процессуальным нормам дело возбуждается по месту вывода денег, а не нахождения счёта клиента. Это даёт возможность следственным органам «перекидывать» дела между собой, что называется «по подследственности». Возврат похищенных денег клиенту формально возможен только по судебному решению. Но судебное решение получить за короткое время, от двух до шести часов, нереально. Недостатки законодательства, интернациональность членов криминальных сообществ, которые территориально рассредоточены, осложняют взаимодействие и координацию работы правоохранительных органов. Поэтому так важно объединять усилия банковского сообщества в направлении совершенствования законодательства.

Об одной из форм такого взаимодействия подробно рассказал в своем выступлении Председатель Национального банка Республики Башкортостан Банка России Р.Х. Марданов. Отрадно отметить, что банк взял на себя непростую роль организатора этого процесса, что, безусловно,  помогает достижению цели − защите клиентов банков от посягательств со стороны преступного элемента.

Анализируя имеющуюся в распоряжении регулятора статистику, Р.Х. Марданов констатировал, что одна из причин хищений − недостаточная защищенность ДБО. Причём подвержены атакам и уязвимостям все типы ДБО, как «тонкие», так и «толстые» клиенты. Производители же ДБО зачастую игнорируют эту проблему и считают, что их это не касается. Поэтому, с учетом вступления в действие Федерального закона «О национальной платежной системе» 161-ФЗ, актуальной становится задача разработки единых технических рекомендаций (стандартов) базового функционала информационной безопасности платёжных приложений и единых требований к разработчикам платежных приложений.

В выступлениях вендоров и интеграторов прозвучали заверения в том, что они готовы предлагать рынку решения для обеспечения защиты транзакций и клиента. Следует отметить, что на III Межбанковской конференции в 2011 году тема защиты клиентов ДБО от типичных атак (кражи учетных данных и ключей электронной подписи, удаленного управления, подмены «на лету» платежных документов) обсуждалась только как перспектива. В этом году ряд вендоров уже представили свои решения формата «подписываю, что вижу» − доверенные средства отображения подписываемых платежных документов.

Вместе с тем проблема хищений с использованием систем ДБО не ограничивается только защитой клиента. Так, Д.Ю. Кузнецов (VASCO Data Securit) обратил внимание на то, что банкам следует думать о своей защищенности, включая защищенность внутренних процессов обработки платежных документов. Эту тему поддержал заместитель начальника УБиЗИ Московского ГТУ Банка России Р.Р. Галямов, напомнив: проблема инсайдерства, особенно в расчётно-операционных системах, остаётся крайне актуальной. Приводя статистику, собранную МГТУ Банка России он подчеркнул, что 57,53% опрошенных подотчётных банков отметили внутреннего нарушителя как наиболее актуальную угрозу. Противостоять этой угрозе можно в том случае, если методично ре- ализовывать подходы к обеспечению информационной безопасности, изложенные в комплексе документов в области стандартизации Банка России (СТО БР ИББС).

Продолжил тему И.А. Янсон («Промсвязьбанк»), рассказав о том, что наиболее надёжный превентивный способ борьбы с покушением на хищение денежных средств клиентов в системах ДБО − мониторинг истории платежей и контроль новых получателей, ранее не занесённых в предварительный список одобренных получателей платежей. К другим способам можно отнести контроль аномалий платежа (некоторые автоматизированные банковские системы имеют такой функционал) и изменений программной среды совершения платежа (например, смену IP-адреса, местоположения, браузера, версии ОС и т.п.). Функционал антифрод-систем становится всё более востребованным банками.