Контроль над интернет-банкингом

К проблеме, связанной с безопасностью пользования гражданами онлайн-банкингом и совершения дистанционных платежей юрлицами, сегодня приковано пристальное внимание регулятора. Сперва все эти услуги пройдут масштабную проверку, а потом окажутся под тотальным регулированием.

Уже со следующего года начнется проверка безопасности интернет/ мобильного банков и прочих видов дистанционного обслуживания. Насколько качественно работают платежные сервисы банков, проверят с позиции их уровня защиты от киберугроз. Несмотря на довольно долгое существование в стране дистанционного банкинга, до сих пор эту сферу государственные органы никак не контролировали. В каждом банке безопасность операций клиентов по дистанционным каналам обеспечивалась (если вообще обеспечивалась) по своему усмотрению.

Регулятор не ограничится одной только проверкой безопасности онлайн-банков и дистанционных услуг платежного характера, которыми пользуются корпоративные клиенты («клиент–банк» и т.п.). Планы регулятора связаны с введением сертификации этих дистанционных сервисов на предмет их соответствия требованиям информбезопасности. Иными словами, по сути, это будет введение регулирования в этой сфере посредством закрепления требований, которым дистанционным банковским сервисам придется обязательно соответствовать. В дальнейшем их оформят как национальные стандарты. Разработку требований поручат специально созданной межведомственной рабочей группе, в состав которой наряду с сотрудниками ЦБ войдут и представители Министерства финансов, ФСТЭК, МВД России и Минкомсвязи.

О дистанционном регулировании

ЦБ собирается подкрепить свои слова делом. От того, насколько банковские дистанционные сервисы будут соответствовать стандартам безопасности, зависит требование регулятора к нормативу достаточности банковского капитала. Чем выше риски в онлайн-банкинге, тем более высокими будут требования к достаточности капитала того или иного банка, тем меньше у него перспектив нарастить кредитование и вложить средства в другие активы.

Соответствующая работа над собой ЦБ уже проведена. По словам заместителя председателя ЦБ Ольги Скоробогатовой, Банк России использует все системы безопасности, всю они сертифицированы и периодически проходят тестовые нагрузки и процедуры для обеспечения безопасности в непредвиденных ситуациях. В результате у Банка России надежная защита от кибератак, а если говорить про финансовую систему в целом, то мы к этой работе только приступили.

Статистика взломов

То, что ЦБ принял решение о жестком контроле за дистанционным банковским обслуживанием, имеет свои причины в виде резкого роста количества инцидентов, когда из-за действий мошенников средства клиентов списываются именно по дистанционным каналам. При этом, судя по статистике ЦБ, уровень эффективности борьбы банков с этими мошенничествами низок. Только за период с января по сентябрь 2016 года хакеры через платежные сервисы попытались совершить свыше 102,5 тыс. несанкционированных операций по счетам физлиц. За тот же период прошлого года количество такого рода попыток составило 16 тыс. Объем понесенного частными клиентами ущерба от мошеннических действий по итогам трех кварталов т. г. составил порядка 1,25 млрд руб. Судя по статистике ЦБ, в этом году банки и регулятор предотвратили попытки похитить не больше 2–3% денежных средств.

Деньги корпоративных клиентов банков защищены немного лучше. С начала этого года ЦБ было зафиксировано 365 попыток мошенников несанкционированно списать средства компаний по дистанционным банковским сервисам, в прошлом году в первые три квартала они совершили 840 попыток хищений. Объем похищенных с помощью кибератак средств юридических лиц тоже на порядок ниже. Так, за период с января по сентябрь т. г. хакеры предприняли попытки вывести со счетов компаний примерно денежные средства на сумму 1,1 млрд руб., но банки и ЦБ спасли почти треть от них.

На этот год пришлись и случаи, когда хакеры попытались украсть деньги банков, размещенные на корсчетах Центробанка. Из примерно 3 млрд руб. от мошенников сберегли чуть больше половины: операции суммарным объемом в 1,1 млрд руб. были заблокированы банками самостоятельно, еще 570 млн руб. спасены ЦБ посредством приостановки переводов с корсчетов.

Официально банкиры комментируют ситуацию с нововведениями традиционно позитивно (банки так, как правило, относятся ко всем новым инициативам регулятора). По словам заместителя председателя правления Сбербанка Станислава Кузнецова, надежды Сбербанка связаны с тем, что нововведения помогут в снижении рисков во всей системе. На рынке сейчас слишком разнятся требования банков к тому, сколь качественными должны быть платежные приложения.

По словам директора по мониторингу электронного бизнеса Альфа-банка Алексея Голенищева, о необходимости создать единые стандарты качества платежных приложений было ясно и говорилось давно. Атаки мошенников все чаще совершаются с использованием дистанционно-банковского обслуживания, а самые популярные объекты для их нападений - счета юрлиц.

По словам исполнительного директора эквайринга и транзакционного бизнеса банка «Русский стандарт» Ивана Глазачева, если платежные приложения будут стандартизированы ЦБ, это благотворно повлияет на все банки и снизит операционные риски.

Впрочем, оценка планов регулятора со стороны небанковских экспертов не столь оптимистична. По мнению руководителя отдела защиты онлайн-платежей компании Group-IB Павла Крылова, если безопасность платежных сервисов будет сертифицирована, это будет способствовать снижению риска в дальнейшем выпустить некачественное новое платежное приложение. А если устройство клиента банка уже инфицировал вредоносный код и подтверждение платежа проходит только на нем, то он х денег. Если учесть, что именно так думают и работают мошенники, только одной сертификацией платежных приложений и систем сложившаяся ситуация кардинально не изменится.

О двойном подтверждении

Эта тема тоже будет урегулирована ЦБ. Речь идет о том, чтобы ввести обязательное двойное подтверждение транзакций, совершаемых через дистанционные каналы. Сегодня большинство банков при идентификации клиента задействуют рассылку по SMS одноразовых паролей или специальных электронных USB-ключей и смарт-карт (eToken). Эта практика давно уже стала стандартной для рынка банков, но многими игроками начата работа над введением дополнительных мер безопасности, потому что ситуация уже близка к критичной отметке. Дело в том, что в связи с бурным развитием мобильного банкинга многие люди пользуются телефоном как единственным платежным устройством. А троянский вирус без проблем может перехватить пользовательские данные - пароль и логин, а потом и пришедший в SMS одноразовый код, по которому и можно совершить операцию. Поэтому безопасность таких сервисов - для ЦБ задача даже творческая.

Но, как считают IT-эксперты, можно и не вводить двойную идентификацию. По словам ведущего антивирусного эксперта «Лаборатории Касперского» Сергея Голованова, к примеру, безопасность транзакций можно обеспечивать и через дополнительную проверку устройства, с которого её выполняют. Так, в ряде банков система уже осуществляет проверку того, когда в последний раз обновлялось устройство, принадлежащее клиенту, когда происходило обновление антивируса, какие вредоносные программы он обнаруживал, а если говорить о смартфонах, то дополнительно проверяют, были ли они прорутованы. Всё это передают как часть платежного поручения для последующего анализа в специальных банковских системах «антифрода». И только потом система решает, проводить ли операцию.

Банки тоже не прекращают работ над тем, чтобы более тщательно идентифицировать клиентов, использующих дистанционные каналы. По словам топ-менеджера крупного частного банка, в некоторых кредитных организациях предпочитают самостоятельно разрабатывать механизмы, по которым клиента можно идентифицировать, например, по биометрике или по фото. Но к дополнительным расходам на это готовы, преимущественно, крупные банки. Игроков мелкого и среднего уровня больше заботят проблемы кибербезопасности, потому они наиболее уязвимы к атакам хакеров.