Центробанк намерен ввести для российских банков дополнительные выездные проверки, цель которых — выяснить, как участники рынка выстраивают защиту от нарушений, связанных с переводом денежных средств по разным каналам (банкоматы, терминалы, интернет- и мобильный банкинг, банковские офисы). Об этом «Известиям» рассказал источник, близкий к Банку России. По словам собеседника, регулятор хочет перевести контроль за соблюдением банками правил безопасности при переводах денег клиентов из бумажной в практическую плоскость.
— Сейчас банки РФ ежемесячно направляют ЦБ отчеты обо всех инцидентах, связанных с переводом денежных средств клиентов, — поясняет источник. — Одного анализа документов недостаточно для того, чтобы у ЦБ была достоверная картина происходящего. Поэтому сейчас обсуждается введение стресс-тестовых проверок для банков с привлечением представителей регулятора. Ревизоры будут проверять наличие в банках обновлений систем информационной безопасности, устраивать ложные кибератаки на системы дистанционного обслуживания банков. По итогам атак ревизоры будут анализировать, насколько успешно банки справляются с киберугрозами. Также проверяющие будут выяснять, поступали в кредитные организации жалобы от клиентов, связанные с переводами денег, исследовать, как в дальнейшем велась претензионная работа с пострадавшими.
Собеседник указывает, что по итогам подобных стресс-тестовых проверок банк может получить предупреждение или предписание об устранении нарушений. Крайняя мера в виде отзыва лицензии возможна, если банк дополнительно уличат в иных нарушениях — например, «антиотмывочного» 115-ФЗ.
С 2013 года все банки РФ ежемесячно сдают ЦБ отчетность по нарушениям, связанным с переводами денежных средств клиентов. Она называется «Сведения о выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (разработана во исполнение одноименного Положения ЦБ № 382-П). Таким образом, ЦБ аккумулирует статистику по киберпреступлениям — до момента начала активной работы Центра по борьбе с киберугрозами.
В отчетности, которую банки направляют в ЦБ, они должны фиксировать все случаи, связанные с нарушениями при переводе денежных средств клиентами: к примеру, кражи CVV-кода и других данных карты при оплате счета в ресторане или кафе, или обман операционистом клиента в офисе, или случаи скимминга (когда злоумышленники устанавливают на банкоматы специальные устройства, считывающие информацию с банковских карт, а затем благодаря полученным данным похищают деньги).
Согласно форме отчетности, банки предоставляют ЦБ таблицу с указанием выявленных нарушений при денежных переводах в бумажном виде. В ней указываются: сам факт инцидента, его дата, оператор платежной системы, последствия нарушения (включая сумму ущерба), предпринятые действия по устранению его последствий, а также факт обращения в правоохранительные органы. Если нарушений нет, во всех соответствующих графах проставляются нули. Анализируя отчеты от банков, ЦБ выявляет основные болевые точки банков и платежной системы РФ в целом.
— ЦБ получает большой объем документов, а объем хищений клиентских денег не сокращается, — говорит источник. — Регулятора беспокоят не только многомиллиардные объемы мошенничества , но и латентность этих нарушений. Правоохранительные органы возбуждают уголовные дела только в 1–5% случаев от общего количества преступлений, связанных с хищением клиентских денег.
Источник указал, что в разработке стандартов информационной безопасности активно будет участвовать Центр по борьбе с киберугрозами, созданный при ЦБ (документы о его создании подписаны в мае 2015 года).
Стоит отметить, что, по оценкам исследовательско-консалтинговой компании Group-IB, в прошлом году ущерб от атак на системы интернет-банкинга банков составил $289 млн.
В пресс-службе ЦБ заявили, что в рамках проверок регулятора уже инспектируется, в частности, достоверность предоставленной банками отчетности об инцидентах, повлекших потери денег клиентов.
— При проведении проверок анализируются как внутренние документы банка, так и оценка качества его практической деятельности в части выявления и реагирования на инциденты функционирования систем и средств защиты. Банк России в рамках надзора на постоянной основе осуществляет контроль деятельности банков при поступлении жалоб клиентов, — заявили в пресс-службе.
По мнению вице-президента банка «Открытие» Юрия Божора, организация проверки уязвимостей систем ДБО банков со стороны ЦБ была бы полезной.
— Новация может принести пользу с точки зрения улучшения защищенности систем ДБО от мошенников и, как следствие, снижение потерь денег россиянами, — уверен Божор. — Но отношение к введению выездных мероприятий у меня осторожное — особенно если проверяющие будут иметь право выносить свои решения, применять к банкам меры воздействия на основании мотивированного суждения. По мнению эксперта, не исключено навязывание банкам какого-то одного программного обеспечения.
Божор убежден, что оценкой рисков и потерь от кибермошенничества, а также профилактикой атак хакеров должны заниматься сами банки. Он выступает за создание Федеральной системы мониторинга и предотвращения электронного мошенничества. Данная система позволит на порядки уменьшить потери, сформировать списки лиц, которым будет отказано в использовании электронных средств платежа, а также обеспечит блокировку перевода сомнительных средств и обналичивания.
Директор департамента дистанционного банковского обслуживания Бинбанка Алексей Дегтярев считает, что эффективность у выездных проверок будет невысокая.
— Всё, что возможно выяснить таким образом, — это механизмы защиты платежных терминалов и точек совершения платежей, — поясняет Дегтярев. — Да и всю сеть терминалов (сотни тысяч аппаратов) вряд ли удастся объехать таким образом.
Более эффективным видится разработка стандартов информационной безопасности, а также стандартов по мониторингу и отчетности в части электронных платежей. Анализ отчетности должен осуществляться группой экспертов, которые выносят заключение о степени подозрительности операций.
Старший менеджер группы по проведению финансовых расследований «Deloitte СНГ» Рустам Мухаметшин полагает, что новые выездные проверки от ЦБ помогут снизить объемы хищений в небольших и средних по размеру банках, где системы информационной безопасности находятся на недостаточном уровне.
Зампредседателя НСФР Александр Наумов предупреждает, что любое дополнительное административное давление на бизнес — пагубно для него, и количество проверок не должно превышать разумные пределы. В то же время Наумов согласен с ЦБ, что анализ бумажной отчетности не является достаточным. По мнению эксперта, у ЦБ складывается впечатление, что банки замалчивают случаи хищений, особенно те, в которых клиенты не обращаются в полицию.