Ответы Банка России на вопросы банков, связанные с проблемами при использовании АСОИ ФинЦЕРТ

Ответы Банка России на вопросы банков, связанные с проблемами при использовании АСОИ ФинЦЕРТ

 


Этот материал был опубликован в  Методическом журнале “Внутренний контроль в кредитной организации” № 4 (48) / 2020 (печатается без изменений).

Департамент информационной безопасности Банка России рассмотрел результаты опроса банков на тему сложностей, возникающих при составлении отчетности по форме 0403203 “Сведения о событиях, связанных с нарушением защиты информации при осуществлении переводов денежных средств» и использовании подсистемы “Фид-Антифрод“ АСОИ ФинЦЕРТ. Регулятор ответил на вопросы и предоставил комментарии по проблемным аспектам информационного обмена[1]. 

Банк России прокомментировал проблемы взаимодействия
с банками по вопросам информационной безопасности 

Использование подсистемы “Фид-Антифрод“

Вопрос 1

Тридцать пять процентов опрошенных банков не испытывают трудностей при предоставлении формы 0403203 и работе с подсистемой “Фид-Антифрод“ (далее также — ФАФ). Половина опрошенных банков заявили о сложностях при использовании ФАФ. 

Для использования API при взаимодействии с АСОИ ФинЦЕРТ созданы сложные форматы обмена, из-за этого возникают ошибки. При обновлении появляются новые опции для отчета об инцидентах, но новые инструкции и спецификации в банки не предоставляются.

В частности, при взаимодействии через API с АСОИ ФинЦЕРТ необходимо указывать, кем является получатель: юридическим или физическим лицом. У кредитных организаций и на портале нет спецификаций, по которым можно было бы автоматически сформировать нужный ответ. В связи с этим возникают ситуации, когда при указании ИНН юридического лица возвращается результат с необходимостью указать хэш паспорта физического лица.

Отсутствует оперативное информирование о временной неработоспособности системы или части ее функционала. В частности, ФАФ периодически бывает недоступен в ночное время без предупреждений. Банки просят внедрить сервис оперативного уведомления о временной недоступности системы.

Ответ

Вся необходимая информация размещается на инфопортале АСОИ ФинЦЕРТ, доступном всем участникам обмена (https://portal.fincert. cbr.ru). На инфопортале размещается следующая информация об АСОИ ФинЦЕРТ и АС “Фид-Антифрод“:

— текущий режим функционирования и плановые работы в АСОИ ФинЦЕРТ и АС “Фид-Антифрод“;

— документация на системы в части, передаваемой участникам обмена и разработчикам; 

— информация по использованию API;

— порядок подключения и использования системы;

— часто задаваемые вопросы/ответы (FAQ) и другая справочная информация.

О всех работах, при которых АСОИ ФинЦЕРТ и АС “Фид-Антифрод“ недоступны, проводится информирование:

— о кратковременном прерывании доступа — путем сообщения на инфопортале;

— о длительном прерывании доступа — путем сообщения на инфопортале с дублированием информации в виде бюллетеня на адрес каждого участника обмена.

Регулятор полагает, что часть банков-участников не ознакомилась с информацией на инфопортале.

Вопрос 2

Возникают трудности при выборе категорий, к которым подходит конкретный инцидент. Например, клиенту позвонили мошенники (тип “социальная инженерия“), затем прислали с использованием WhatsApp (тип “социальная инженерия“) ссылку на фишинговую страницу, на которой произошла операция без согласия клиента (тип “фишинговая атака“). В данном случае, если инцидент занести как “социальная инженерия“, то невозможно будет завести URL-адрес фишинговой страницы, а если указать тип инцидента “фишинговая атака“, то не получится указать номера телефонов. Необходима возможность выбирать комбинации категорий инцидентов.

Ответ

Информирование по инцидентам построено на основе стандарта Банка России СТО БР БФБО-1.5-2018[2], не предполагающего выбор одновременно двух типов атаки. Данное предложение будет рассмотрено при корректировке нормативной базы и развитии систем АСОИ ФинЦЕРТ и АС “Фид-Антифрод“.

Вопрос 3

Из-за смены на стороне ФинЦЕРТ формата данных возникают проблемы с обработкой json-файлов. Необходимо либо указывать информацию об инцидентах вручную (эффективность снижается более чем в три раза), либо оперативно вносить изменения в формат данных. Банки просят заблаговременно предупреждать о смене формата взаимодействия для внесения изменений в свои автоматизированные системы.

Ответ

С 1 июня 2020 г. осуществлялось информирование всех участников обмена:

1. На инфопортале опубликована статья, посвященная изменениям в АСОИ-2[3]. 

2. Актуализированы четыре документа (статьи на инфопортале) по обновлению АСОИ ФинЦЕРТ и соответствующим изменениям в АС “Фид-Антифрод“: 

— руководство участника по работе с АСОИ ФинЦЕРТ[4];

— описание схемы инцидентов АСОИ Фин- ЦЕРТ-2[5];

— временная инструкция по заполнению карточки инцидента для операций без согласия клиента[6];

— комплект предварительно заполненных json-файлов[7].

3. Опубликованы две новости, посвященные обновлению АСОИ-2[8].

4. Направлены два бюллетеня (FinCERT- 20200730-info, FinCERT-20200601-info).

С 6 июня 2020 г. обновление было доступно на тестовых ресурсах АСОИ ФинЦЕРТ.

С учетом описанной ситуации ясно, что двух месяцев на проведение опытной эксплуатации и адаптации участников обмена оказалось недостаточно. Вероятно, проблема вызвана состоянием кредитных организаций в условиях ограничений, связанных с коронавирусной инфекцией. В будущем при проведении обновлений АСОИ ФинЦЕРТ и АС “Фид-Антифрод“ данный негативный опыт будет учтен.

Вопрос 4

Банкам приходится постоянно (по несколько раз в день) проверять личный кабинет и в ручном режиме скачивать фиды, что очень трудоёмко. По мнению банков, рассылка информации по электронной почте значительно упрощает и ускоряет использование фидов.

Ответ

Электронная почта не является доверенным и безопасным каналом доставки информации. Чтобы обеспечить оперативное получение фидов, сформированных по результатам анализа операций без согласия клиентов, в системе с 1 ноября 2018 г. есть механизм скачивания фидов с использованием API. Функционал работы со всеми данными бюллетеней по API был заложен в функционал АСОИ ФинЦЕРТ второй очереди, и с 17 августа 2020 г. он доступен для всех участников обмена.

Вопрос 5

Чтобы исключить проблемы при загрузке фидов в системы кредитных организаций в автоматизированном режиме, банки просят рассмотреть возможность использования кодировки UTF-8 при передаче данных посредством ФАФ, а также увеличения срока уведомления (до 30 дней) о проведении работ по смене сертификатов доступа к ресурсам продуктивного сегмента АСОИ ФинЦЕРТ.

Ответ

С 1 ноября 2018 г. АС “Фид-Антифрод“ использует кодировку UTF-8. В связи с сообщениями участников обмена о том, что открытие фидов стандартными средствами не всегда проходит успешно (т.к. csv-файлы фидов не распознаются автоматически как файлы с кодировкой UTF-8, например Microsoft Excel в случае отсутствия спецсимвола BOM), был предусмотрен вариант использования UTF-8 с BOM. Данный вариант программного обеспечения был размещен в зоне опытной эксплуатации с 1 июля 2020 г. 

Поскольку во время опытной эксплуатации обращения участников не поступали, данный функционал вошел в обновление, и в настоящее время (с 17 августа 2020 г.) АС “Фид-Антифрод“ использует кодировку UTF-8 с BOM (спецсимволы для определения кодировки UTF-8). 

В соответствии с предложением банков, а также появившимися обращениями 19– 20 сентября 2020 г. система была обновлена и проведен обратный переход на использование кодировки UTF-8 без BOM. 

Предложение об увеличении срока уведомления (до 30 дней) о проведении работ по смене сертификатов доступа к ресурсам продуктивного сегмента АСОИ ФинЦЕРТ принято, при последующих обновлениях на данную операцию будет предусмотрено 30 дней. 

Вопрос 6

При пользовании ФАФ выявляются случаи некорректной записи ИНН клиентов (состоял из набора нулей). Такие записи вызывают сбой при загрузке в системы мониторинга. Банки просят автоматизировать на стороне АСОИ ФинЦЕРТ проверку на наличие недопустимых значений. 

Ответ

Технологически такое значение появляется из-за того, что ИНН является валидным (по алгоритму формирования и проверки ИНН) и он был указан кредитной организацией в реквизитах операции без согласия клиента. Данное предложение будет учтено при развитии системы. 

До реализации автоматической блокировки возможности ввода таких значений на стороне ФинЦЕРТ будет применяться компенсирующая мера по контролю появления в фидах значений ИНН соответственно 0000000000 и 000000000000, а после доработок будет обеспечена невозможность ввода некорректных ИНН.

Вопрос 7

При заполнении полей инцидентов не предусмотрены все возможные значения показателей; некоторые из полей, помеченные как обязательные, не всегда бывают обязательными.

Например, поле “Атакованные сервисы“ — тип атакованного сервиса — обязательно (перечислены значения ДБО, АБС, файловый сервер, электронная почта), а при использовании методов социальной инженерии атакованного сервиса нет как такового. Аналогичная ситуация с полем “Вектор инцидента“. Также не все возможные варианты предусмотрены в справочнике “События вектора EXT — Последствия от реализации компьютерной атаки на клиента участника информационного обмена“.

Наиболее частые типы инцидентов — когда клиент думает, что мошенники списали с его карты денежные средства, и пишет заявление в кредитную организацию, а на самом деле никакого мошенничества нет: это сам клиент подписался на платные услуги в Интернете и забыл про них или невнимательно читал акцептованные им условия использования сервиса (просмотр фильмов, прослушивание музыки, сервисы знакомств, платные сервисы социальных сетей и т.д.), который в безакцептном порядке ежемесячно списывает абонентскую плату. 

Ответ

В данном случае с помощью методов социальной инженерии злоумышленником была предпринята попытка получить персональные данные пользователя, в том числе банковские.

Если клиент вовремя осознал, что злоумышленник хочет получить его конфиденциальные данные, и положил трубку (попытки доступа к ДБО клиента не было), то участник информационного обмена в поле “Атакованные сервисы“ выбирает “Иная система“. В случае если доступ к ДБО был получен, поле заполняется значением “Клиентская система ДБО“.

Для случаев “подписок“, когда клиент сообщает об операциях без его согласия, предусмотрено несколько этапов информирования. Если при первичном информировании банк не выявил факта “подписки“, о данном факте можно сообщить в рамках промежуточного или конечного информирования с указанием на неактуальность ранее направленных сведений об операциях.

Вопрос 8

В личном кабинете несанкционированные списания денежных средств и попытки несанкционированных списаний (когда списания не удались и мошеннические транзакции не были совершены) никак друг от друга не отличаются, то есть признака попытки списания просто не предусмотрено, в результате информация об общей сумме несанкционированных списаний не соответствует действительности. При этом банки обязаны передавать в АСОИ ФинЦЕРТ информацию о попытках несанкционированных списаний.

Ответ

В текущей версии АСОИ ФинЦЕРТ используется временная схема передачи информации о неуспешных попытках проведения операций без согласия клиента — с помощью указания нулевой суммы операции. 

Сведения о порядке информирования Банка России в отношении попыток несанкционированных списаний будут отражены в новой редакции стандарта Банка России СТО БР БФБО-1.5-2018.

Вопрос 9

Отсутствует возможность загружать текстовую информацию из файлов в отдельные сег- менты запросов и рассчитывать хэш в системе (паспорт, СНИЛС). Кроме того, нет функционала копирования ранее внесенных данных: приходится каждый раз при заполнении кар- точки инцидента вносить данные вручную, хотя на практике бывает множество операций по одинаковым реквизитам. Что делать?

Ответ

Эти замечания будут учтены при развитии системы. Однако следует отметить, что наиболее технологичным решением является направление информации автоматизированным способом с использованием API (это также позволяет снизить нагрузку на операторов и избежать ошибок при указании данных).

Вопрос 10

Недостаточно прозрачен процесс проставления в форме инцидента «Помощь требуется». Банки просят формализовать этот вопрос и отразить его в соответствующей документации.

Ответ

Флаг “Помощь требуется“ проставляется, когда необходимы содействие ФинЦЕРТ в анализе инцидента и (или) рекомендации по противодействию атаке.

Информация о порядке применения / неприменения флага “Помощь требуется“ указана для операций без согласия во Временной инструкции по заполнению карточки инцидента для операций без согласия клиента[9].

Информация о порядке применения флага “Помощь требуется“ будет отражена в новой редакции стандарта Банка России СТО БР БФБО-1.5-2018.

Вопрос 11

После обновления в конце 2019 г. некоторые банки не могут отчитываться об операциях по кредитным счетам, приходят ежедневные уведомления об ошибке (из-за того, что больше нельзя указывать «/» в номере счета). Что делать?

Ответ

Информирование по инцидентам построено на основе стандарта Банка России СТО БР БФБО-1.5-2018. Использование символа «/» в номере счета не предусмотрено стандартом, однако с учетом потребности банков данное предложение будет рассмотрено при корректировке нормативной базы и развитии систем АСОИ ФинЦЕРТ и АС “Фид-Антифрод“.

Вопрос 12

Отсутствует утвержденная дорожная карта / план мероприятий по развитию ФАФ, что препятствует повышению степени автоматизации использования индикаторов из этой подсистемы. Как планируется решать проблему?

Ответ

Это замечание будет учтено при развитии систем АСОИ ФинЦЕРТ и АС “Фид-Антифрод“. Однако следует отметить, что для использования индикаторов (фидов) из системы АС “Фид-Антифрод“ технологичным решением является получение фидов с использованием API. Данный функционал доступен с ноября 2018 г., порядок его использования описан в документации на инфопортале.

Составление отчетности по форме 0403203

Вопрос 13

Согласно п. 6.2 методики составления отчетности по форме 0403203[10], в графе 3 строки 5 указывается общая сумма денежных средств, переведенных (списанных) с банковских счетов клиентов при использовании всех типов электронных средств платежа. Каким образом учитывать суммы по операциям с полным/частичным возвратом, переводы между счетами одного клиента внутри банка (в т.ч. с целью погашения кредита), опротестованные в платежных системах операции и другие подобные операции?

Ответ

В графе 3 строки 5 указывается общая сумма, в которую необходимо включать сумму всех операций, по которым наступила окончательность перевода денежных средств в соответствии с п. 16 ст. 3 Закона No 161-ФЗ[11].

Вопрос 14

В подразделе 2.1 формы 0403203 необходимо указать “количество событий, связанных с получением уведомлений от клиентов, из них в результате побуждения клиентов к совершению операции путем обмана или злоупотребления доверием“. Данный подвид операций не предусмотрен в АСОИ ФинЦЕРТ. Соответственно в системах учета инцидентов приходится вести раздельный учет инцидентов, когда хищение произошло без ведома клиентов и когда они сами совершили операцию вследствие обмана или злоупотребления доверием. Как может быть решена эта проблема? 

Ответ

Значение показателя “Количество событий, связанных с получением уведомлений от клиентов, из них в результате побуждения клиентов к совершению операции путем обмана или злоупотребления доверием“ в форме 0403203 предусмотрено АСОИ ФинЦЕРТ как идентификатор блока данных “Социальная инженерия“ в соответствии с п. 12.3.3 стандарта Банка России СТО БР БФБО-1.5-2018.

Вопрос 15

Для занесения сведений об инцидентах в отчет по форме 040323 необходимо предварительно конвертировать сумму денежного перевода из иностранной валюты в рубли. Какую сумму вносить в отчет: по курсу валют на дату списания или дату авторизации?

Ответ

Указывается сумма по курсу на дату авторизации. 

Вопрос 16

В случае несанкционированного списания денежных средств клиента с использованием реквизитов карты в Интернете и посредством системы ДБО в отчете по форме 0403203 заполняются строки 2 и 3 (или 4, если использовалось ДБО юридических лиц) подраздела 2.1. Как заносить инцидент в отчет, если уведомление от клиента получено одно, но инцидент можно занести сразу в две строки?

Ответ

Заполняется только строка 2 подраздела 2.1. 

Вопрос 17

Какую сумму указывать в столбце 6 подраздела 2.1 (“Сумма денежных средств, в отношении которой получены уведомления от клиентов, тыс. руб.“) формы 0403203, когда клиент сообщил:

— о неудачных попытках списания?

— несанкционированном переводе с одного счета на другой при условии, что оба счета принадлежат клиенту и открыты в одном банке?

Какую сумму указывать в столбце 7 подраздела 2.1 (“Сумма денежных средств, возмещенная (возвращенная) клиентам, тыс. руб.“), если фактического списания не произошло?

Ответ

В графах 6 и 7 подраздела 2.1 указывается сумма денежных средств (в отношении которой получены уведомления от клиентов и которая возмещена (возвращена) клиентам) по операциям, по которым наступила окончательность перевода денежных средств в соответствии с п. 16 ст. 3 Закона No 161-ФЗ, независимо от принадлежности счета клиента. При этом попытки списания не учитываются.

Вопрос 18

Необходимо ли в строке 1 подраздела 2.1 (“Платежные карты (за исключением пред- оплаченных платежных карт) при использовании непосредственно в банкоматах, электронных терминалах, импринтерах“) формы 0403203 учитывать уведомления о невыдаче денежных средств в банкоматах, в том числе сторонних банков?

Ответ

В строке 1 подраздела 2.1 не требуется учитывать уведомления о невыдаче денежных средств в банкоматах, в том числе сторонних банков. 

Вопрос 19

Необходимо ли вносить в отчет по форме 0403203 информацию об операциях, которые изначально расценивались как несанкционированные, но в процессе расследования были признаны клиентом легитимными?

Ответ

В отчет необходимо вносить информацию обо всех операциях, связанных с получением уведомлений от клиентов, по которым наступила окончательность перевода денежных средств, независимо от результатов расследования. 

Вопрос 20

Необходимо ли в сумме оспариваемой операции указывать комиссию? 

Ответ

Если в состав операции по переводу денежных средств без согласия клиента входит комиссия, она указывается в сумме оспариваемой операции.



[1] asros.ru/dialog/information-security/bank-rossii-prokommentiroval-problemy-voznikayushchie-u-kreditnykh-organizatsii-pri- vzaimodeystvii-s/.

[2] “О формах и сроках взаимодействия Банка России с участниками информационного обмена при выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации“.

[3] portal.fincert.cbr.ru/Content/1129/информация-по-изменениям-в-асои-финцерт-второй-очереди.pdf.

[4] portal.fincert.cbr.ru/Content/1136/руководство_участника.pdf.

[5] portal.fincert.cbr.ru/Content/1138/схема-3014.zip .


[6] portal.fincert.cbr.ru/Content/1132/инструкция-по-заполнению-карточки-инцидента.pdf.

[7] portal.fincert.cbr.ru/Content/1133/комплект-json.zip.

[8] portal.fincert.cbr.ru/news/изменения-в-функционале-асои-финцерт-2/, portal.fincert.cbr.ru/news/приостановка-доступа- к-лк-асои-финцерт-продуктивного-сегмента-боевая-асои-финцерт-15082020-16082020/

[9] portal.fincert.cbr.ru/Content/1132/инструкция-по-заполнению-карточки-инцидента.pdf.

[10] Указание Банка России от 09.06.2012 № 2831-У “Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, опера- торов по переводу денежных средств“.

[11] Федеральный закон от 27.06.2011 № 161-ФЗ “О национальной платежной системе“.

Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Валерий Естехин

Информационная безопасность глазами практикующего специалиста по ИБ (16+)