В нынешнем году вступает в силу закон 161-ФЗ «О национальной платежной системе». Он распространяется не только на банковские учреждения, но и на платежные системы, которые раньше часто находились вне зоны регулирования. Важно отметить, что требования 161-ФЗ касаются в том числе и защиты информации. Также у регулятора появляются довольно действенные методы воздействия на нарушителей.
Данный закон вызвал определенные споры. Так, были опасения, что под запретом окажутся многие удобные формы оплаты, например, с использованием платежных терминалов. Неоднозначно было воспринято и то, что платежные системы подпадают под регулирование Банка России, а оно, как известно, весьма жесткое. Но в целом большая часть мер, которые предусмотрены в этом законе и подзаконных актах (пять положений и одно указание Банка России), находит понимание среди специалистов по информационной безопасности, по крайней мере работающих в финансовой сфере.
Хотя отмечаются и серьезные недоработки. Как это часто бывает, они связаны с тем, что многие положения прямо заимствованы из зарубежных нормативных актов без должного анализа всех возможных последствий в наших условиях. Впрочем, об этом ниже.
А так ли все плохо?
Есть мнение, что риски, связанные с хищением денежных средств со счетов предприятий и организаций, малы. С одной стороны, так оно и есть. На III международной конференции «Борьба с мошенничеством в сфере высоких технологий. Профилактика и противодействие. AntiFraud Russia — 2012» в ходе круглого стола, посвященного безопасности дистанционного банковского обслуживания (ДБО), расчеты, проведенные, что называется, на коленке, показали, что даже если брать ущерб по самой верхней границе, то он не превысит сотой доли процента. Это означает, что нелегитимной является лишь каждая десятитысячная транзакция, и это если брать самые пессимистичные оценки. Ущерб, например, от мошенничества с кредитами или прямого их невозврата на несколько порядков больше. Да и суммы, которые обычно похищаются дистанционным способом, не очень велики. В итоге, если формально подходить к процессу защиты ДБО с точки зрения теории управления рисками, весьма велик соблазн объявить данный риск попросту ничтожным. И, похоже, многие именно так и делают.
С другой стороны, каждый инцидент вызывает значительный резонанс. Тем более, что крупная кража может привести к банкротству предприятия с непредсказуемыми социальными последствиями, особенно если речь идет о небольшом населенном пункте с напряженной ситуацией на рынке труда. И это даже если речь идет о малой или средней компании. Не стоит сбрасывать со счетов и имиджевые потери, которые ведут к оттоку клиентов и прямым убыткам.
Кроме того, киберпреступность растет очень быстрыми темпами. В сборнике «О финансовом мошенничестве», подготовленном к конференции «AntiFraud Russia — 2012», например, приводились данные о том, что количество выявленных случаев такого вида мошенничества, как скимминг (перехват реквизитов банковской карты с помощью технических средств, монтируемых на банкомате) в первом полугодии 2012-го многократно превысило итоги всего 2011-го. Рост по итогам года вполне может составить порядки, а не разы. Так что есть все шансы догнать и перегнать Западную Европу, где скимминговые устройства выявляются на девятнадцати банкоматах из тысячи. В России же по итогам 2011 года этот показатель составлял три на тысячу. Кражи средств также стабильно растут, пусть и не такими высокими темпами. Надо сказать, что со счетов российских компаний вполне могут воровать и зарубежные злоумышленники. Кроме того, не стоит забывать и о высокой латентности данного вида преступлений. Поэтому цифра в 942 млн. долл., а именно во столько оценили объем краж с использованием ДБО в России по итогам 2011-го эксперты из компании Group-IB, может вырасти в 7—15 раз. А это уже величина, сопоставимая с бюджетом иного российского региона. В итоге картина получается не такой благостной, как кажется на первый взгляд.
Чего требует закон
Статья 27 закона 161 прямо предписывает операторам платежных систем, а это не только банки, обеспечивать защиту информации: «Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы платежных систем, операторы услуг платежной инфраструктуры обязаны обеспечивать защиту информации о средствах и методах обеспечения информационной безопасности, персональных данных и об иной информации, подлежащей обязательной защите в соответствии с законодательством Российской Федерации». То же относится и непосредственно к переводу денежных средств.
Меры, необходимые для обеспечения защиты информации, изложены в целом ряде дополнительных нормативных актов. Это в первую очередь Положение о защите информации в платежной системе, утвержденное постановлением Правительства Российской Федерации от 13 июня 2012 года №584. В свою очередь, целый ряд руководящих документов подготовил и Банк России. Это Положения №279-П, 380-П и 381-П, а также Указание №2837-У «Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств».
Документы эти во многом повторяют требования хорошо известного в банковском сообществе стандарта СТО БР ИББС, разработанного Банком России. В целом они сводятся к комплексу мер по защите информации, включая правовые, организационные (в том числе такие процессы ИБ, как анализ рисков, управление уязвимостями, инцидентами, правами доступа) и технические (включая средства шифрования, защиты от несанкционированного доступа, от вредоносного ПО, межсетевого экранирования, обнаружения вторжений, контроля и анализа защищенности). Всего в руководящих документах 120 обязательных требований, объединенных в 15 групп. Контроль и оценку требований рекомендуется проводить не реже чем раз в два года. При этом важным отличием от стандарта СТО БР ИББС является заметный упор на документальное обеспечение требуемых мер.
Так, например, директор по маркетингу компании «Код Безопасности» (ГК «Информзащита») Андрей Степаненко в своем выступлении на конференции «Информационная безопасность в финансовом секторе», организованной AHConferences, привел пример такой процедуры, как контроль обновлений ПО с помощью антивирусных средств. Известно, что это требование соблюдают все. Но документы Банка России обязывают еще и актировать данную процедуру, что делают пока совсем не многие. А даже в случае, если лишь одно из этих 120 требований не выполняется, на высокую оценку рассчитывать сложно. Так что лучше добиваться того, чтобы все требования удовлетворялись хотя бы частично.
В перечень защищаемых входят следующие сведения:
- об остатках денежных и электронных денежных средств;
- о совершённых переводах денежных средств;
- информация, содержащаяся в поручениях клиентов;
- информация, необходимая для удостоверения клиентами права распоряжения денежными средствами, в том числе данные держателей платежных карт;
- ключевая информация средств криптографической защиты, используемых при осуществлении переводов;
- данные о конфигурации, определяющей параметры работы автоматизированных систем, ПО, средств вычислительной техники и защиты информации;
- информация ограниченного доступа, в том числе персональные данные и иная информация, подлежащая обязательной защите.
Контролирующие функции возложены на Банк России. Кроме того, деятельность платежных агентов и субагентов могут контролировать операторы по переводу денежных средств. Помимо Банка России на настоящий момент это такие компании, как Contact, «Юнистрим», NCC (National Credit Cards) и «Вестерн Юнион». Ответственность за нарушения, даже не связанные с обеспечением бесперебойной работы систем, весьма высока — вплоть до приостановки деятельности. Если же бесперебойность функционирования нарушалась, то меры ужесточаются еще более, вплоть до исключения оператора из соответствующего реестра.
Ложка дегтя
Наиболее серьезные претензии предъявляются к 9-й статье 161-ФЗ. Одно из ее ключевых положений касается возврата банками средств, переведенных по сомнительной транзакции, причем в короткие сроки. Ведущий юрист общества защиты прав потребителей «Общественный контроль» Денис Ульянов на конференции «AntiFraud Russia — 2012» отметил, что исходя из существующей практики стоит ориентироваться на одну неделю или пять бизнес-дней.
Данное положение прямо заимствовано из зарубежных нормативных актов, в частности французского и британского. И там его введение, как подчеркнул генеральный директор компании Group-IB Илья Сачков, привело к взрыву карточного мошенничества. На конференции «Информационная безопасность в финансовом секторе» в качестве примера приводился следующий сценарий.
Несколько человек, как минимум двое (это могут быть сослуживцы, родственники, просто соседи), обмениваются кредитными картами на время отпуска, который они проводят в разных местах, и по возвращении оттуда требуют возврата всех потраченных средств. И факт такого сговора очень трудно доказать, тем более что его участники прилагают все усилия для того, чтобы о нем не узнал кто-то еще. Кто даст гарантию, что такое не повторится у нас? Никто. А во Франции, как напомнил Илья Сачков, сразу после введения схожего закона доля фрода в карточных платежах выросла до 5%. У нас эта величина вполне может оказаться и больше.
Назывались величины до 15%. Сейчас же, напомним, удельный вес фрода составляет доли процента. Со временем этот показатель снизится, но через какой-то промежуток фродстеры поймут, как можно эксплуатировать требования закона в своих интересах, и доля мошенничества снова вырастет. И только от совместной работы всех подразделений безопасности (общей, экономической, информационной) финансовых учреждений, правоохранительных органов и судов зависит, удастся ли избежать всплеска такого рода махинаций или нет.
Но даже если всплеска мошенничества избежать удастся, остаются другие издержки. Так, например, нет никаких средств для того, чтобы заставить участников того же ДБО выполнять хотя бы элементарные нормы безопасности. И это при том, что уровень халатности там подчас чудовищный, особенно если речь идет об индивидуальных пользователях, частных предпринимателях или небольших предприятиях. Именно это и является источником подавляющего большинства инцидентов, связанных с хищением денежных средств. А если бы возврат средств был возможен после расследования инцидента и отказа в случае выявления хотя бы самых вопиющих форм халатности, то уже это привело бы к заметному росту дисциплины среди тех, кто использует ДБО. Пока же у банков остается проверенное средство — перекладывание дополнительного риска на клиентов. Так что необдуманный популизм законодателей оборачивается и против конечных потребителей тоже.
Правда, как заявил представитель Банка России, это ведомство будет стремиться к тому, чтобы толкование данного закона максимально учитывало интересы как вкладчиков, так и банков. Также банковское сообщество будет продолжать попытки внести в закон необходимые поправки, которые закрывали бы лазейки для возможных злоупотреблений, однако пока оно, как отметил президент некоммерческого партнерства «Национальный платежный совет» Андрей Емелин на конференции «AntiFraud Russia — 2012», оказалось недостаточно для этого консолидированным и технологически подготовленным. Но тем не менее выводы пока делать рано. Точка еще не поставлена.