Не та безопасность: ЦБ РФ решил пересмотреть подход к ФинЦЕРТу
В начале года регулятор финансового рынка России задумался над необходимостью изменения действующей сейчас процедуры компенсации банками похищенных средств клиентов. Дело в том, что, как следует из последних документов Центра, размещенных на сайте регулятора, в прошлом, 2019 году наблюдался рост показателей количества и объема хищений: объем всех операций, совершенных без согласия клиентов, как физических, так и юридических лиц, с использованием электронных средств платежа составил 6426,5 млн рублей. Количество таких операций — 576 566 единиц. То есть почти 6,5 млрд средств было, как говорится, кем-то украдено, и число таких операций составило свыше полумиллиона. «Средняя сумма одной операции без согласия клиента по счетам физических лиц составила — 10 тыс. рублей, юридических лиц — 152 тыс. рублей. 69% всех операций без согласия клиентов было совершено в результате побуждения клиентов к самостоятельному проведению операции путем обмана или злоупотребления доверием (методами так называемой социальной инженерии)», — сообщается в документе ФинЦЕРТа. При этом банки возместили клиентам лишь 15% от общей похищенной суммы. То есть вернули клиентам каждый седьмой похищенный рубль — повезло немногим. Общая сумма возврата всего 935 млн рублей. Отметим, что статистика учитывает возврат денег и физлицам, и юрлицам. Такой низкий уровень возврата средств банками оправдывается «высокой долей социальной инженерии среди операций без согласия клиентов, которые в результате обмана или злоупотребления доверием нарушают условия договора с кредитными организациями, предусматривающие необходимость сохранения конфиденциальности платежной информации».
Несложно сделать вывод, что подобная статистика сильно бьет по имиджу как такового безналичного способа оплаты и в целом указывает на уязвимость цифровых денег, тогда как регулятор реализует задачи по развитию новых финансовых технологий, а теперь еще идет речь и о внедрении цифрового рубля. Банком России планируется рост количества и объема операций с применением новых финансовых технологий, однако недоверие клиентов, пользующихся такими услугами, к безопасности дистанционных банковских сервисов может отрицательно влиять на эту динамику и сдерживать рост рынка в целом. Поэтому ЦБ РФ и решил пересмотреть вопросы информационной безопасности финансовых услуг.
Несмотря на то, что ФинЦЕРТ считает выявленный рост операций без согласия клиентов плюсом своей работы, мол, более активному их выявлению способствовало усиление для банков ответственности за полное и своевременное предоставление данных, что позволило повысить качество предоставляемых данных и их объем, а также помог запуск автоматизированных систем — АСОИ ФинЦЕРТ и АС «Фид-Антифрод», ЦБ РФ, возможно, остается неудовлетворенным работой своего же подразделения — собственно, самого ФинЦЕРТа. Еще бы, ведь далеко не сбор статистики, как и устрашение профессиональных участников финансового рынка — денежно-кредитных организаций, должен ставиться во главу угла работы подобных служб безопасности, а меры по предотвращению рисков похищения денег клиентов банков.
О недовольстве в целом работой действующей системы безопасности указывает возможная реструктуризация ФинЦЕРТа, о которой на днях сообщало издание «Коммерсантъ». По сообщению источников издания, предполагается ликвидация занимавшегося мониторингом киберрисков ФинЦЕРТа с дальнейшим распределением его функций между управлениями ДИБ ЦБ РФ. Банкиры выразили надежду, что этими мерами, наконец, удастся решить главную проблему, которая была у ФинЦЕРТа, — разнести надзор и мониторинг в разные управления, чтобы банки, сообщая об инцидентах, получали помощь, а не наказание за недоработки в сфере кибербезопасности. Сообщая в ФинЦЕРТ об инциденте, банки тем самым давали повод для проверки и наказания самих себя. В итоге некоторые предпочитали просто не сообщать о происшествиях. В этой связи можно лишь предположить, что сейчас мы имеем дело еще и с неполной статистикой, представленной организацией. К слову, только 4% опрошенных Ассоциацией банков России (АБР) во второй половине прошлого года участников финансового рынка оценили предоставляемую ФинЦЕРТом информацию как достаточную для предотвращения киберинцидентов, и среди ответивших не оказалось ни одного крупного и среднего банка. С учетом того, что на рынке в скором времени останутся лишь последние указанные банки, то налицо факт недовольства деятельностью ФинЦЕРТА основными участниками рынка.
Последней каплей в терпении регулятора рынка, как предполагают источники издания, могла стать произошедшая в этом году история с выводом средств через Систему быстрых платежей, как мы помним, разработанную самим регулятором. Как заявлял тогда ЦБ РФ, «проблема была выявлена в программном обеспечении одного банка (мобильное приложение и ДБО) и носила краткосрочный характер. Она была оперативно устранена». Названия банка в ЦБ не раскрыли, но подчеркнули, что сама СБП надежно защищена, и уязвимость не касалась программного обеспечения системы. При этом в организации, выступающей операционным платежным клиринговым центром системы быстрых платежей, также отметили, что в ПО системы уязвимостей не выявлено.
Стоит подчеркнуть, что для пользователей системы совершенно неважно, на каком этапе допускаются прорехи при работе с системой быстрых платежей, кто именно стоит за этими прорехами, сам факт, что они имеют место, только лишь повышает градус недоверия к дистанционным способам оплаты. И вот что интересно, как отмечал источник издания, та самая прореха оказалась настолько специфической, что обнаружить ее случайно было практически невозможно: «О ней мог знать кто-то хорошо знакомый с архитектурой мобильного банка этой кредитной организации. То есть либо кто-то внутри банка, либо разработчик программного обеспечения, либо тот, кто его тестировал».
Вывод напрашивается сам собой: наряду с угрозами, возможными при работе с торговыми онлайн-платформами, ведь чаще всего деньги «теряются» при невнимательном или неграмотном с ними обращении, что следует из отчета самого ФинЦЕРТа, угрозу, хоть и реже, представляют сами сотрудники банков, что также можно прочитать в отчете организации. И несмотря на повышенную бдительность регулятора рынка, нам всем всё же следует помнить о наличии закона «О национальной платежной системе», часть 15 статья 9 которого гласит, что банк может не компенсировать клиенту потери по несанкционированным операциям, если докажет, что клиент нарушил порядок использования электронного средства платежа. Обманутыми люди становятся тогда, когда сами предоставляют мошенникам необходимые им данные, затем используемые для хищения. Правда, избежать как такового «слива» данных при наличии у некоторых участников финансового рынка, впрочем, как и у других нефинансовых компаний, возможности их продажи третьим лицам, сложно, даже несмотря, на собственную предусмотрительность. Но озвученные ФинЦЕРТом цифры ущерба и не впечатляющие объемы возврата средств должны настроить всех на более серьезное отношение к вопросу защиты и безопасности собственных данных.