В этом году одной из центральных тем очередного ИНФОФОРУМа, представляющего собой площадку для обсуждения бизнесом и государством злободневных вопросов обеспечения информационной безопасности, стала тема безопасности электронных платежей. На форуме ей была посвящена отдельная панельная дискуссия.
Электронные платежи являются неотъемлемой частью современной национальной платежной системы (НПС) России. Как сообщил заместитель директора департамента регулирования расчетов Банка России Андрей Курило, ЦБ разделяет работу по обеспечению информационной безопасности НПС на три направления: безопасность клиентов, использование специализированных ИБ-технологий и безопасность ИТ-инфраструктуры участников НПС в целом.
ИБ НПС и клиенты
По мнению г-на Курило, наиболее слабое звено в цепи обеспечения безопасности электронного банкинга, являющегося одним из компонентов НПС, — клиенты. Это прекрасно понимают и киберзлоумышленники, смещая вектор атак именно на их сторону.
Высокую эффективность в клиентской среде, согласно наблюдениям г-на Курило, демонстрируют механизмы социальной инженерии, против которых практически нет эффективных технических способов противодействия.
Ситуация усугубляется тем, что в электронный банкинг все шире вовлекаются индивидуальные граждане, не имеющие опыта работы с информационными системами. Это пенсионеры, а также работоспособное население, получающее первичный опыт работы с ИТ за счет перехода от получения зарплаты наличными деньгами к безналичному начислению на банковские счета с доступом к ним через электронные банковские карты. Отмечается, что среди пользователей интернет-банкинга немало и детей.
Банк России осознает необходимость повышения осведомленности банковских пользователей, в том числе физических лиц, о безопасном функционировании НПС. С этой целью в ЦБ РФ разработан соответствующий план и предпринимаются шаги по его увязыванию с аналогичным планом Минфина РФ. Рекомендации пострадавшим от мошенничества в ДБО разработаны МВД РФ, некоммерческим партнерством “Национальный платежный совет”, Ассоциацией российских банков, клубом “Антидроппер” и выложены для общего доступа на сайтах этих структур.
Сопредседатель оргкомитета ИНФОФОРУМа Борис Мирошников сообщил о том, что управление “К” МВД России, не дожидаясь специальных государственных программ, нацеленных на повышение ИБ-грамотности населения, в прошлом году по договоренности с Минобрнауки проводило в московских школах силами своих сотрудников уроки компьютерной безопасности.
Ведущий юрист общества защиты прав потребителей “Общественный контроль” Денис Ульянов согласился с тем, что рядовые граждане являются наиболее слабым звеном в обеспечении ИБ банковских операций. Он отметил низкую правовую грамотность российского населения и нежелание обучаться информационной безопасности.
По мнению г-на Ульянова лейтмотивом обучения населения в области ИБ должно стать объяснение гражданам того факта, что они тоже несут ответственность за сохранность своих же средств, помещенных в банки, и потому ИБ банковских операций важна для них. Он полагает, что задача эта масштабная, затратная и по силам только государству.
Вместе с этим г-н Мирошников напоминает банкам, что при выработке стратегии работы с клиентами им не следует забывать о том, что они оперируют деньгами, принадлежащими клиентам, и что клиенты не являются профессионалами в области ИБ, финансов и юриспруденции, а потому защищать их интересы в НПС должны профессионалы — банкиры, юристы, ИБ-специалисты, представители силовых структур.
По мнению президента некоммерческого партнерства “Национальный платежный совет” Андрея Емелина программы повышения финансовой и ИТ- и ИБ-грамотности населения пока малоэффективны, поэтому участникам НПС следует сконцентрировать усилия на использовании технологий, снижающих влияние человеческого фактора в функционировании НПС. В числе таких технологий он назвал биометрию, одноразовые пароли (с использованием того же устройства, с которого клиент запрашивает банковские транзакции) и т. п.
Г-н Емелин считает полезным переориентировать часть усилий защитников прав потребителей с практики применения судебных исков в отношении операторов НПС на просветительскую работу в среде клиентов НПС и выразил готовность “Национального платежного совета” выделить для такой работы свои ресурсы. Вместе с этим он отметил, что со стороны защитников прав потребителей представляемая им организация пока никаких конструктивных предложений (или хотя бы пожеланий) не получала и Совету сегодня приходится рассчитывать только на свои ресурсы.
В уже разработанных Советом рекомендациях по предотвращению мошенничества в сфере дистанционного банковского обслуживания есть раздел, касающийся действий клиентов — физических лиц, в отношении которых были совершены незаконные действия. Г-н Емелин рекомендовал участникам НПС распространять содержание этого раздела в качестве памятки для клиентов НПС.
ИБ НПС и операторы НПС
С проблемами, относящимися к применению в электронном банкинге специальных ИБ-технологий, банковское сообщество, по мнению г-на Курило, справляется достаточно успешно. В качестве примера он привел активное использование банками для подтверждения банковских операций одноразовых паролей, передаваемых через SMS на мобильные телефоны, после того как электронные подписи стали все чаще перехватываться атаками “человек посередине”.
Что же касается безопасности ИТ-инфраструктуры в целом, то она является сложной задачей, выходящей за пределы интересов только банковского сообщества, и относится к более общим вопросам информационной безопасности, таким как защищенность среды, в которой совершаются банковские операции (прежде всего, на стороне клиентов), аутентификация в этих средах, безопасность мобильных приложений и т. п. Облака, мобильность, ИТ-аутсорсинг ведут к конвергенции технологий, которые используют банки, с технологиями, применяемыми телекоммуникационными, лизинговыми, страховыми компаниями, крупными ритейловскими сетями, и требуют создания единого пространства доверия между операторами связи, банками и пользователями банковских услуг.
Как подчеркнул заместитель начальника главного управления безопасности и защиты информации Банка России Артем Сычев, современные ИБ-задачи требуют от ИБ-специалистов компетентности не только в области ИБ-технологий, но также и в юриспруденции, бизнес-аналитике, маркетинге, поскольку без понимания целей атак (а они могут быть связаны с самыми разными аспектами деятельности банка) невозможно построить систему противодействия им.
Вице-президент “Банка ВТБ” Карл Сумманен напомнил о том, что банки работают в высококонкурентной среде и поэтому не заинтересованы расходовать на обеспечение ИБ средств больше, чем конкуренты. ИБ — это всегда затраты для банков, неудобства для банковского персонала и клиентов. Что же касается клиентов, то они обращают больше внимания на удобство банковских услуг, чем на их безопасность. Поэтому банкам нужен разумный компромисс, который строится на нескольких базовых принципах организации ИБ: стоимость защиты должна соответствовать стоимости защищаемых средств; банк и клиент должны выйти на такой уровень защиты транзакций, когда защита еще удобна и приемлема по стоимости клиенту, а преступнику уже невыгодно красть из-за высоких расходов на преодоление защиты.
ИБ НПС и госрегулирование
Председатель совета директоров платежной системы HandyBank Сергей Черноморов оценил нынешний подход к организации ИБ в банковской сфере стратегически неверным. Вместо того чтобы перегружать банки системами противодействия киберпреступникам, он предлагает сосредоточиться на поисках и адекватном наказании киберпреступников. По его оценкам, раскрываемость киберпреступлений в банковской сфере чрезвычайно низкая, а строгость наказания значительно ниже причиняемого преступниками ущерба.
С этой оценкой солидарен Борис Мирошников. По его словам, российским силовикам особенно обидно, когда месяцы их работы, связанные с выявлением и поимкой киберпохитителей миллионов рублей выливаются для преступников в условные сроки.
Г-н Черноморов считает, что нужно перейти от обороны к нападению на киберзлоумышленников, для чего предлагает создать под эгидой государства эффективно взаимодействующую с правоохранительными госорганами структуру, в которую в реальном времени стекалась бы от банков информация об инцидентах в сфере ДБО и к которой банки могли бы, без огласки (!), обращаться за информацией и за помощью в разбирательстве таких инцидентов.
От государства профессиональное банковское сообщество ожидает помощи прежде всего в проактивных методах защиты, которые реализуются через институты стандартизации и сертификации, через законодательное и отраслевое регулирование, через надзор за исполнением регулятивных требований. Задачу государственного регулирования оно видит в определении задач обеспечения информационной безопасности национальной НПС хотя бы на три-пять лет вперед, а не в решении задач текущих.
Обратившись к проблемам, связанным с применением закона “О национальной платежной системе”, г-н Емелин сообщил о том, что некоммерческое партнерство “Национальный платежный совет” рассчитывает на правовую поддержку регуляторами тех механизмов, которые предложены Советом и уже реализованы некоторыми банками в части регулирования ситуаций, связанных с приостановлением несанкционированных транзакций и возмещением понесенного клиентами в результате ущерба. По его оценкам, предлагаемая Советом система рассмотрения споров в случаях мошенничества с ДБО эффективна и оперативна в отличие от заведомо неприемлемой прописанной ныне в законе. Ожидаемая поддержка, как он полагает, поможет сориентироваться тем банкам, которые такими механизмами еще не пользуются из-за сомнений в их легитимности. После консультаций с Банком России эти механизмы могут быть предложены госрегулятору от имени участников НПС как вариант регулирования подобных ситуаций с позиции повышения ИБ банков и клиентов.
Как считает г-н Емелин, задача “Национального платежного совета” заключается в выявлении возможных проблем в работе национальной НПС на ранних стадиях, привлечении профессионального сообщества к выработке приемлемых мер по их устранению и доведении позиции сообщества до регуляторов. Играющее на опережение саморегулирование банков, по его мнению, обеспечивает максимально комфортные условия ведения их бизнеса. Если же сообщество окажется не в состоянии это сделать, то эту работу вынужден будет выполнить регулятор, а насколько его решения оказываются приемлемыми для банков, показывает жизнь.
Российские банки ожидают, что грядущие изменения закона “О национальной платежной системе” в части отзыва подозрительных платежей помогут им как в укреплении проактивной защиты для предотвращения хищений в ДБО, так и в выстраивании апостериорной защиты при расследованиях и возмещении ущерба в случаях хищений.
Задачи по всем трем упомянутым г-ном Курило направлениям обеспечения информационной безопасности НПС, как считают в Банке России, нужно решать в комплексе — иначе желаемого результата не достичь. Для этого требуется концентрация усилий банковского сообщества, сообщества пользователей банковских услуг и государства. Вместе с тем дожидаться, что кто-то кроме самих банков, в том числе и государство, решит ИБ-задачи кредитно-финансовых организаций, бессмысленно. Банк России рекомендует операторам национальной НПС самим проявлять инициативу во всех ИБ-направлениях — технологических и организационных.