Фото: Lori

Проблема безопасности онлайн-банкинга для граждан и дистанционных платежных сервисов для юрлиц привлекла пристальное внимание ЦБ. Эти услуги подвергнутся вначале маштабной проверке, а затем тотальному регулированию

Проверка безопасности интернет-, мобильного и прочих обликов дистанционного банкинга начнется уже в 2017 году. Качество платежных сервисов банков будут испытывать с точки зрения защищенности от киберугроз, говорится в «Обзоре финансовой стабильности», опубликованном 2 декабря Центробанком. Желая дистанционный банкинг в России существует давно, до сих пор эта сфера никак госорганами не контролировалась. Любой банк обеспечивал (если вообще обеспечивал) безопасность клиентских операций по дистанционным каналам так, как находил нужным.

Как свидетельствует обзор, регулятор не намерен ограничиваться одной лишь проверкой безопасности онлайн-банков и дистанционных платежных услуг для корпоративных клиентов (системы «клиент–банк» и т.п.). ЦБ также обещает завести сертификацию таких дистанционных сервисов «на соответствие требованиям информационной безопасности». То кушать, по сути, ввести регулирование в данной сфере, закрепив заявки, которым должны будут в обязательном порядке соответствовать дистанционные банковские сервисы. В перспективе они будут оформлены в облике национальных стандартов. Разработать требования должна специально созданная межведомственная рабочая группа, в состав какой помимо сотрудников ЦБ входят представители Минфина, МВД России, Минкомсвязи и ФСТЭК.

Дистанционное регулирование

Это не попросту слова. Их ЦБ намерен подкрепить делом. От степени соответствия банковских дистанционных сервисов стандартам безопасности будут зависеть заявки регулятора к достаточности капитала кредитных организаций. То есть чем вяще риски в системах онлайн-банкинга, тем выше требования к достаточности капитала соответственного банка, тем меньше у него возможностей наращивать кредитование и вкладывать оружия в прочие активы.

‘);
setTimeout(arguments.callee, 50);
return;
}

if (!window.jwplayer) {
s = document.createElement(‘script’);
s.src = «//content.rbc.medialand.ru/templates_r/jwplayer/jwplayer.js»;
s.type = ‘text/javascript’;
parEl.parentNode.insertBefore(s, parEl);
setTimeout(arguments.callee, 50);
return;
}

window.jwplayer.key = ‘t3/gzoTw74tQdZgYlxSwzsrmSt96w0Y8EcIVQw==’;

var styleStr = «»;
styleStr += «width : auto;»; //2006

try {
if (true === parent.rosbusinessconsulting.config.get(‘articleColumn’)) {
styleStr += » margin-right : 0;»;
}
} catch (e) {}

try {
if (!parent.deviceType) {
if (parent.projectVersion == ‘rbc7’ || parent.bannersVersion == ‘v7’) {
styleStr += » margin : 0px -110px 0px 0px;»;
} else {
styleStr += » margin : 0px -216px 0px 0px;»;
}
}
} catch (e) {}

try {
if (parent.projectVersion == ‘rbc7’ || parent.bannersVersion == ‘v7’) {
styleStr += ‘ max-width: 770px;’;
}
} catch (e) {}

parEl.style.display=’block’;
parEl.style.cssText += styleStr;
parEl.innerHTML = »;

s = document.createElement(‘script’);
s.src = «//static.videonow.ru/vn_init.js»;
s.setAttribute(«data-profile», «1351319»);
s.type = ‘text/javascript’;
s.defer = true;
parEl.parentNode.insertBefore(s, parEl);

window.addEventListener(«orientationchange», function() {
setTimeout(function () { window.scrollBy(0,1);} ,200);
})
}

run();

})(random);
} else {
(function(d, url) {
setTimeout(function() {
if (window.dfp_sync_var) return;
var s = document.createElement(‘script’);
s.type = ‘text/javascript’;
s.src = url;
d.parentNode.insertBefore(s, d);
}, 200);
})(d, ‘http://engine.rbc.medialand.ru/code?pid=2006&gid=2&oin=1&rid=’ + random + extra +’&dreferer=’+escape(dreferrer));
}
}
// —>

Над собой соответственную работу ЦБ уже провел. «Мы [Банк России] пользуемся всеми системами безопасности, какие прошли всю сертификацию, периодически проходим тестовые нагрузки и процедуры, чтобы гарантировать в случае непредвиденных ситуаций безопасность», — заявила зампред ЦБ Ольга Скоробогатова в Госдуме 2 декабря. По ее словам, в итоге Банк России защищен от кибератак, а что касается финансовой системы в цельном, то «эта работа только начата».

Взломовая статистика

Желание ЦБ взять под контроль дистанционное банковское сервис инициировано резким ростом числа инцидентов, когда в итоге действий мошенников происходит списание средств клиентов сквозь дистанционные каналы. При этом, как следует из статистики ЦБ, эффективность войны банков с растущим числом таких мошенничеств низка. Лишь в январе—сентябре 2016 года хакеры пытались свершить с помощью платежных сервисов 102,7 тыс. несанкционированных операций со счетами физлиц, тогда как за аналогичный этап 2015 года таких попыток было зафиксировано итого 16 тыс. При этом ущерб частным клиентам от действий плутов за три квартала этого года составил около 1,25 млрд руб. Как указывает статистика ЦБ, банкам и регулятору в этом году удается предупредить хищение не более чем 2–3% средств.

Ситуация с защитой денежек корпоративных клиентов банков выглядит несколько лучше. С основы года ЦБ зафиксировал всего 365 попыток несанкционированного списания оружий компаний через дистанционные банковские сервисы, в первые три квартала 2015 года таких попыток было свершено 840. Объем похищенных в результате кибератак средств юрлиц также существенно ниже. Так, в январе—сентябре 2016 года хакеры пытались вывести со счетов компаний возле 1,1 млрд руб., однако банкам и ЦБ удалось спасти почти треть этих денежек.

Зафиксированы в этом году и случаи, когда хакеры пытались похитить денежки банков, находящиеся на корреспондентских счетах ЦБ. Из 2,87 млрд руб. уберечь от злоумышленников удалось чуть немало половины: операции с 1,1 млрд руб. банки заблокировали самостоятельно, еще 570 млн руб. ЦБ избавил, приостановив переводы с корсчетов.

За и против

Официальные комментарии банкиров традиционно позитивны (собственно так банки обычно встречают новые инициативы регулятора). Сбербанк надеется, что нововведения должны снизить риски во всей системе, заявил зампред правления Сбербанка Станислав Коваль. «На рынке сейчас требования банков к качеству платежных приложений весьма разные», — подтвердил он РБК.

«Необходимость создания единых стандартов качества платежных приложений назрела давным-давно. Мошенники все чаще используют дистанционно-банковское обслуживание для своих штурмов, счета юридических лиц становятся объектами их нападений», — указывает и директор по мониторингу электронного бизнеса Альфа-банка Алексей Голенищев.

Типизация для платежных приложений со стороны ЦБ благотворно отразится на всех банках и скажется на снижении операционного риска (учитывается совместно с кредитным и рыночным риском при расчете достаточности капитала банков, сообразно требованиям Базельского комитета. — РБК), добавляет исполнительный директор эквайринга и транзакционного бизнеса банка «Русский стандарт» Иван Глазачев.

Впрочем, небанковские эксперты не столь оптимистично оценивают планы регулятора. Как помечает в беседе с РБК руководитель отдела защиты онлайн-платежей компании Group-IB Павел Крылов, сертификация безопасности платежных сервисов позволит снизить риск выпуска некачественного новоиспеченного платежного приложения. «Если же устройство клиента банка уже инфицировано вредоносным кодом и подтверждение платежа целиком делается на нем, то его денежки будут похищены. С учетом того, что именно по такой логике и трудятся мошенники, только одна сертификация платежных приложений и систем не изменит уложившуюся ситуацию кардинально», — считает эксперт.

Двойное подтверждение

Этот проблема ЦБ также намерен урегулировать. Речь о введении обязательного двойного подтверждения транзакций, шагающих по дистанционным каналам. Сейчас большинство кредитных организаций используют для идентификации клиента рассылку по SMS одноразовых паролей или особые электронные USB-ключи и смарт-карты (eToken). «Это стандартная практика для банковского базара, но многие игроки работают над дополнительными мерами безопасности, потому что ситуация критичная», — анонимно признает глава службы информационной безопасности банка из топ-10. По его словам, из-за бурливого развития мобильного банкинга многие клиенты используют телефон как один-единственное платежное устройство. «Вирус троян может без труда перехватить пароль и логин пользователя, а затем и устроившийся по SMS одноразовый код для совершения операции. Поэтому это творческая задача для ЦБ — как обезопасить такие сервисы», — помечает банкир.

Впрочем, по мнению IT-экспертов, двойной идентификации можно избежать. «Так, безопасность транзакций может обеспечиваться и за счет дополнительной проверки конструкции, с которого она выполняется, — сообщил РБК ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов. — Так, в кой-каких банках система уже проверяет, когда в последний раз устанавливались обновления на конструкция клиента, когда обновлялся антивирус, какие вредоносные программы им обнаруживались, а если выговор о смартфонах, дополнительно проверяется, прорутованы ли они». Все это передается как часть платежного задания и анализируется специальными банковскими системами «антифрода». После чего система принимает решение о проведении операции», — рассказал эксперт.

Сами банки также трудятся над более тщательной идентификацией клиентов, пользующихся дистанционными каналами. Топ-менеджер крупного частного банка также рассказал РБК, что отдельный кредитные организации самостоятельно разрабатывают механизмы, позволяющие идентифицировать клиента, так по биометрическим данным или просто по фотографии. Но, по его словам, дополнительные затраты на это готовы тащить в основном крупные банки. «Мелкие и средние игроки меньше озабочены проблемами кибербезопасности, потому они более уязвимы к хакерским атакам», — добавляет банкир.

При участии Екатерины Мархулия