22 Февраля, 2012

Магнитогорские впечатления (часть 3)

Алексей Лукацкий
Продолжаем...

Дистанционное банковское обслуживание

Пожалуй, наиболее активным был день, посвященный ДБО. Оно и понятно. С хищениями средств сталкиваются почти все банки - это реальная угроза для банковского сообщества и гораздо более реальная (на данный момент), чем НПС или СТО. Поэтому и докладчики и слушатели были активны.

Артем Сычев (Россельхозбанк) начал с того, что привел цифры. Средняя сумма покушения составляет около 400 тысяч рублей (для юриков). Стоимость же организации самой атаки - всего 30 тысяч рублей. В итоге злоумышленники всегда в выигрыше. Специализированные банковские ботнеты имеют средний улов в 20-40 тысяч аккаунтов ДБО, что позволило сделать о том, что проституция, наркотики и терроризм "отдыхают" по сравнению с хищениями в ДБО (то ли еще будет).


При этом действующее законодательство находится на стороне преступников, а вступающий в силу ФЗ-161 "О национальной платежной системе" ситуацию только усугбляет, не только формируя ощущение безнаказанности у преступников, но и по сути узаконивая мошенничество. В пресловутой 9-й статье ФЗ-161 говорится о том, что по завялению клиента банк сначала обязан возместить ему потери, а потом уже доказывать, что виноват клиент. Представляете себе каким буйным цветом расцветет мошенничество в России? Пока действующее законодательство тоже не сильно помогает банкам. Например, хищения, как правило, происходят не там, где выводятся деньги. А по УПК дело возбуждается по месту вывода денег, а не их хищения. Это дает возможность следственным органам перекидывать дела между собой, что убийственно сказывается на результате действий банковских служб безопасности. Ведь деньги выводятся мобильно - за 2-3 часа. Судебное решение получить за это время нереально; как и осуществить коммуникации с коллегами. При этом атаки осуществляются преимущественно из регионов с большим количеством "зон". Деньги уходят в тюрьмы, в теневой бизнес, и вернуть их оттуда почти невозможно.

Попытка самостоятельно решить эту задачу без привлечения правоохранительных органов обречено на неудачу. Расследование инцидентов и сбор доказательной базы - это задача не банка. Собранные им доказательства в суде разбиваются в пух и прах и могут быть
признаны незаконно собранными, т.к. доказательства могут собирать только уполномоченные на это органы.

Если раньше милиция не горела большим желанием заниматься киберпреступлениями, т.к. это портит статистику, то сейчас в МВД наметился сдвиг в решении этой проблемы. В частности, комитет АРБ по ИБ получил рекомендации МВД, адресованные Мошковым Тосуняну, по оформлению инцидентов с хищениями средства. Получить их можно через комитет АРБ по информационной безопасности . В них, в частности, говорится о том, какие документы нужны при разборе преступлений в отношении юридических и физических лиц.


Проблема усугуьляется тем, что у киберпреступников создана целая индустрия ; у банков - только разрозненные элементы, не объединенные целостной системой, включающей помимо служб безопасности, отраслевого регулятора, правоохранительные органы, центры обучения и т.д. Но поэтапное движение для решения проблем с ДБО уже началось. Как я уже писал в понедельник ЦБ на уровне надзора и регулирования платежной системы обратил свой взгляд на
проблему и сейчас готовит свои предложения по данному вопросу.

А пока суть да дело в АРБ создана группа по координации усилий банков и правоохранительных органов в решении проблем с хищениями в ДБО. Находится она в процессе становления, но уже сейчас в нее входит 123 банка, взаимодействующих по различным вопросам мошенничества.

Без такого взаимодействия действия отдельных банков обречены на неудачу. Ведь атака обычно идет через цепочку банков (в одном похитили, в другой перевели). Поэтому в одиночку противостоять проблеме нереально. Даже упавшие на счет дроппера (мула) деньги по Гражданскому Кодексу принадлежат клиенту и банк не имеет права ими распоряжаться по своему усмотрению; а факт воровства надо доказать. Когда же доказательства получены, то обычно деньги уже выведены (как я написал выше на это уходит всего несколько часов). Оснований же для приостановления платежа у банков нет - инструкций и разъяснений ЦБ на эту тему пока нет. Некоторые банки блокируют перевод средств под соусом 115-ФЗ, но на это идут не все.

Ситуацию осложняет то, что часто вывод денег осуществляется через мобильных операторов и системы мгновенных платежей (например, Юнистрим), с которыми тоже нужно взаимодействовать. А пока, как было сказано на конференции, из большой тройки только Билайн и МТС озабочены данной проблемой и пытаются бороться с ней.

Как сказал председатель Нацбанка Башкирии Марданов Р.Х., основная причина хищений - недостаточная защищенность ДБО. Причем подвержены атакам и уязвимостям все типы ДБО - и "тонкие" и "толстые" клиенты. Об этом говорят и последнее исследование Digital Security и webinar'ы Positive Technologies. Производители же ДБО игнорируют эту проблему и считают, что их это не касается. Им пора уже задуматься! Сейчас формируются стандарты и требования для разработчиков платежных приложений в части ИБ, которые позволят унифицировать рекомендации не только в части повышения защищенности ДБО, но и сформируют единый набор требований к системе сбора доказательств, которые должны будут фиксировать системы ДБО.


3 главных угрозы ДБО - кража ключей электронной подписи, удаленное управление пользовательским компьютером без ведома владельца и подмена/модификация платежных поручений.Для нейтрализации этих угроз на конференции представлены были различные решения - TrustScreen, MAC-токены, QR-мидлеты и LiveCD/LiveUSB. "Актив", Аладдин Р.Д., VASCO, Бифит, С-Терра представляли все из них. Интересно, что о TrustScreen'ах - доверенных средствах отображения подписываемых платежных документов заговорили на прошлогодней конференции и вот уже сейчас рабочие решения были представлены потребителям.

Немного с другой стороны проблему показал Дмитрий Кузнецов из Positive Technologies. В своей презентации он высказал идею о том, что хакеры атакуют клиентов, что дает повод банкам думать о своей защищенности. Это не так! Банки занимаются только теми угрозами, с которыми реально сталкивались (вспомните мою заметку о психологии восприятия рисков). Кстати, Positive Technologies представила и свой сервис SurfPatrol для бесплатного анализа защищенности клиентских рабочих мест ДБО. Я про этот сервис уже писал . Иван Янсон из Промсвязьбанка продолжил тему, начатую предыдущими коллегами, и рассказал о том, как они борятся с хищениями. По мнению Янсона наиболее надежный превентивный способ - мониторинг истории платежей и контроль новых получателей, ранее незанесенных в предварительный список одобренных получаталей платежей. К другим способам можно отнести контроль аномалий платежа (некоторые АБС имеют такой функционал) и контроль изменений программной среды совершения платежа (например, смену IP-адреса, местоположения, браузера, версии ОС и т.п.).

Вот так примерно выглядел третий день деловой программы конференции.

ЗЫ. Завтра поговорим о мобильных устройствах и облаках в банковской деятельности.
или введите имя

CAPTCHA
22 Февраля, 2012
Что я не так читаю?
"В пресловутой 9-й статье ФЗ-161 говорится о том, что по завялению клиента банк сначала обязан возместить ему потери, а потом уже доказывать, что виноват клиент."... Где именно об этом сказано? Тут? "Статья 9. Порядок использования электронных средств платежа 1. Использование электронных средств платежа осуществляется на основании договора об использовании электронного средства платежа, заключенного оператором по переводу денежных средств с клиентом, а также договоров, заключенных между операторами по переводу денежных средств. ... 4. Оператор по переводу денежных средств обязан информировать клиента о совершении каждой операции с использованием электронного средства платежа путем направления клиенту соответствующего уведомления в порядке, установленном договором с клиентом. ... 12. После получения оператором по переводу денежных средств уведомления клиента в соответствии с частью 11 настоящей статьи оператор по переводу денежных средств обязан возместить клиенту сумму операции, совершенной без согласия клиента после получения указанного уведомления. ... 14. В случае, если оператор по переводу денежных средств исполняет обязанность по информированию клиента о совершенной операции в соответствии с частью 4 настоящей статьи и клиент не направил оператору по переводу денежных средств уведомление в соответствии с частью 11 настоящей статьи, оператор по переводу денежных средств не обязан возместить клиенту сумму операции, совершенной без согласия клиента." Ну так после получения уведомления оператор блокирует ДБО, если только у него не полный бардак. А в остальном - читайте договор.
0 |
  • Поделиться
  • Ссылка