Банкам придется заняться более подробным описанием атак

Как указано в новом стандарте правил информобмена о киберпреступлениях и безопасности в финансовой сфере, теперь в Центробанк будет стекаться информация по всем участникам мошеннических переводов, а не только по конечному получателю. В последнее время участилось количество многодневных DDos-атак в целом на финансовый сектор. Но эффективен ли будет новый инструментарий – покажет время.

Портрет преступника

Ожидается вступление в силу с октября 2023 года новой редакции стандарта правил информобмена о кибератаках и инцидентах информбезопасности в сфере финансов. Это позволят обобщить сведения об атаках по свыше 50-ти признакам.

 Например, подозрение могут вызвать, например, случаи, когда одновременно работает интернет-банкинг в различных с точки зрения географии местах, или когда предодобренный кредит оформляется сразу после разблокировки онлайн-банкинга из-за неверно введенного логина, пароля или номера телефона. Кроме этого, банкам придется в обязательном порядке обращать внимание на совершение нетипичных для клиента денежных операций с нового телефона или компьютера. Автоматизированная система обработки инцидентов (АСОИ ФинЦЕРТ) будет наполняться развернутой информацией о вызывавшей подозрение трансакции: сведениями о гаджете, с которого клиент совершил операцию; номером SIM-карты, геолокацией и прочими данными.

Как уверены в ЦБ, если в систему будут поступать более полные сведения, это поможет лучше противостоять мошенническим переводам.

Как это понимать?

По словам технического директора российской IT-компании HFLabs Никиты Назарова, в прошлом году в октябре президентом был подписан закон, призванный ускорить информобмен между банками и МВД при расследовании мошеннических операций. Вместо запроса информации у каждого банка, через который проходил платеж, МВД теперь надлежить обращаться к ЦБ, занимающийся централизованным сбором и подготовкой этой информации. Решением этой задачи внутри ЦБ займется ФинЦЕРТ — подразделение информбезопасности.

Сегодня в приказе Банка России от 27 сентября 2018 года № ОД-2525 говорится всего о трех критериях, сигнализирующих о выполнении операции без согласия клиента:

- нахождение получателя платежа в списке известных мошенников;

- нахождение устройства, с которого отправляется платеж, в списке мошеннических;

- несоответствие платежа с «обычным» поведением клиента.

И если первые два пункта конкретизированы и понятны, третий можно вольно трактовать. В новом же стандарте - сотня страниц с описанием новых классов инцидентов, задействованных технических процессов и критериев информирования.

Успеют ли?

Вступление закона в силу намечено на октябрь, банки имеют в своем распоряжении полгода на подготовку и разработку сервисов для ответов, мониторинга и нотификаций.

Вряд ли этого времени достаточно, чтобы в каждом российском банке успела разработали полный спектр сервисов, помогающих взаимодействовать с ЦБ. Вызывает сомнение и способность банков к заполнению всех требуемых полей — если банк обязан иметь документ, удостоверяющий личность плательщика (хотя на практике такой документ бывает и неактуальным), то наличие СНИЛС - уже редкость, не говоря уже про договора уполномоченного лица или ИНН получателя.

Кроме того, регулятор предусмотрел и сбор данных об устройствах, с которых выполняется операция перевода: IP и MAC-адреса, ICCID и IMSI-коды телефонов — всё это не обязательные данные, но если не передавать эту информацию, расследования будут идти медленнее. В итоге банкам придется более тщательно собирать информацию и структурировать ее.

Как указано в данных МВД России, в прошлом году зафиксировано более 0,5 млн преступлений, при совершении которых преступники использовали информационно-телекоммуникационные технологии. В 7288 случаях — использовались электронные средства платежа. По статистике, почти на 39% выросло количество IT-преступлений, в основе которых - фиктивные электронные платежи.

По единому мнению государственной статистики и частных исследователей, в сфере финансов угрозы нарастают не только для банков, но и для их клиентов. По словам представителя компании «РТК-Солар», в России хакеры 87 тыс. раз атаковали российские банки. А одна из атак продолжалась в течение 33 дней, если говорить об атаках по мощности – рекорд принадлежит атаке 30 Гбит в секунду. Кибермошенники нанесли серьезный ущерб компаниям и гражданам - порядка 14,2 млрд рублей. Для большей наглядности, бюджет Еврейского автономного округа в 2022 году составил 15,7 млрд рублей.

Пробел в законе

Примечательно, что административное законодательство не содержит четкую санкцию, наказывающую финансовые учреждения за то, что они умалчивают о попытках сомнительных трансакций.

По мнению члена Ассоциации юристов России Дмитрия Уварова, сокрытие утечки или сведений о кибератаке в любом случае не нарушает законодательство в сфере защиты персональной информации. — Законодатель не устанавливает ответственность для таких ситуаций.