Проверка безопасности интернет-, мобильного и прочих видов дистанционного банкинга начнется уже в 2017 году. Качество платежных сервисов банков будут проверять с точки зрения защищенности от киберугроз, говорится в «Обзоре финансовой стабильности», опубликованном 2 декабря Центробанком. Хотя дистанционный банкинг в России существует давно, до сих пор эта сфера никак госорганами не контролировалась. Каждый банк обеспечивал (если вообще обеспечивал) безопасность клиентских операций по дистанционным каналам так, как считал нужным.
Как свидетельствует обзор, регулятор не намерен ограничиваться одной лишь проверкой безопасности онлайн-банков и дистанционных платежных услуг для корпоративных клиентов (системы «клиент–банк» и т.п.). ЦБ также обещает ввести сертификацию таких дистанционных сервисов «на соответствие требованиям информационной безопасности». То есть, по сути, ввести регулирование в данной сфере, закрепив требования, которым должны будут в обязательном порядке соответствовать дистанционные банковские сервисы. В перспективе они будут оформлены в виде национальных стандартов. Разработать требования должна специально созданная межведомственная рабочая группа, в состав которой помимо сотрудников ЦБ входят представители Минфина, МВД России, Минкомсвязи и ФСТЭК.
Это не просто слова. Их ЦБ намерен подкрепить делом. От степени соответствия банковских дистанционных сервисов стандартам безопасности будут зависеть требования регулятора к достаточности капитала кредитных организаций. То есть чем больше риски в системах онлайн-банкинга, тем выше требования к достаточности капитала соответствующего банка, тем меньше у него возможностей наращивать кредитование и вкладывать средства в прочие активы.
Над собой соответствующую работу ЦБ уже провел. «Мы [Банк России] пользуемся всеми системами безопасности, которые прошли всю сертификацию, периодически проходим тестовые нагрузки и процедуры, чтобы обеспечить в случае непредвиденных ситуаций безопасность», — заявила зампред ЦБ Ольга Скоробогатова в Госдуме 2 декабря. По ее словам, в результате Банк России защищен от кибератак, а что касается финансовой системы в целом, то «эта работа только начата».
Желание ЦБ взять под контроль дистанционное банковское обслуживание инициировано резким ростом числа инцидентов, когда в результате действий мошенников происходит списание средств клиентов через дистанционные каналы. При этом, как следует из статистики ЦБ, эффективность борьбы банков с растущим числом таких мошенничеств низка. Только в январе—сентябре 2016 года хакеры пытались совершить с помощью платежных сервисов 102,7 тыс. несанкционированных операций со счетами физлиц, тогда как за аналогичный период 2015 года таких попыток было зафиксировано всего 16 тыс. При этом ущерб частным клиентам от действий мошенников за три квартала этого года составил около 1,25 млрд руб. Как свидетельствует статистика ЦБ, банкам и регулятору в этом году удается предотвратить хищение не более чем 2–3% средств.
Ситуация с защитой денег корпоративных клиентов банков выглядит несколько лучше. С начала года ЦБ зафиксировал всего 365 попыток несанкционированного списания средств компаний через дистанционные банковские сервисы, в первые три квартала 2015 года таких попыток было совершено 840. Объем похищенных в результате кибератак средств юрлиц также существенно ниже. Так, в январе—сентябре 2016 года хакеры пытались вывести со счетов компаний около 1,1 млрд руб., однако банкам и ЦБ удалось спасти почти треть этих денег.
Зафиксированы в этом году и случаи, когда хакеры пытались похитить деньги банков, находящиеся на корреспондентских счетах ЦБ. Из 2,87 млрд руб. уберечь от злоумышленников удалось чуть более половины: операции с 1,1 млрд руб. банки заблокировали самостоятельно, еще 570 млн руб. ЦБ спас, приостановив переводы с корсчетов.
Официальные комментарии банкиров традиционно позитивны (именно так банки обычно встречают новые инициативы регулятора). Сбербанк надеется, что нововведения должны снизить риски во всей системе, заявил зампред правления Сбербанка Станислав Кузнецов. «На рынке сейчас требования банков к качеству платежных приложений очень разные», — подтвердил он РБК.
«Необходимость создания единых стандартов качества платежных приложений назрела давно. Мошенники все чаще используют дистанционно-банковское обслуживание для своих атак, счета юридических лиц становятся объектами их нападений», — указывает и директор по мониторингу электронного бизнеса Альфа-банка Алексей Голенищев.
Стандартизация для платежных приложений со стороны ЦБ благотворно отразится на всех банках и скажется на снижении операционного риска (учитывается вместе с кредитным и рыночным риском при расчете достаточности капитала банков, согласно требованиям Базельского комитета. — РБК), добавляет исполнительный директор эквайринга и транзакционного бизнеса банка «Русский стандарт» Иван Глазачев.
Впрочем, небанковские эксперты не столь оптимистично оценивают планы регулятора. Как отмечает в беседе с РБК руководитель отдела защиты онлайн-платежей компании Group-IB Павел Крылов, сертификация безопасности платежных сервисов позволит снизить риск выпуска некачественного нового платежного приложения. «Если же устройство клиента банка уже инфицировано вредоносным кодом и подтверждение платежа целиком делается на нем, то его деньги будут похищены. С учетом того, что именно по такой логике и работают мошенники, только одна сертификация платежных приложений и систем не изменит сложившуюся ситуацию кардинально», — считает эксперт.
Этот вопрос ЦБ также намерен урегулировать. Речь о введении обязательного двойного подтверждения транзакций, идущих по дистанционным каналам. Сейчас большинство кредитных организаций используют для идентификации клиента рассылку по SMS одноразовых паролей или специальные электронные USB-ключи и смарт-карты (eToken). «Это стандартная практика для банковского рынка, но многие игроки работают над дополнительными мерами безопасности, потому что ситуация критичная», — анонимно признает руководитель службы информационной безопасности банка из топ-10. По его словам, из-за бурного развития мобильного банкинга многие клиенты используют телефон как единственное платежное устройство. «Вирус троян может без труда перехватить пароль и логин пользователя, а затем и поступивший по SMS одноразовый код для совершения операции. Поэтому это творческая задача для ЦБ — как обезопасить такие сервисы», — отмечает банкир.
Впрочем, по мнению IT-экспертов, двойной идентификации можно избежать. «Например, безопасность транзакций может обеспечиваться и за счет дополнительной проверки устройства, с которого она выполняется, — сообщил РБК ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов. — Так, в некоторых банках система уже проверяет, когда в последний раз устанавливались обновления на устройство клиента, когда обновлялся антивирус, какие вредоносные программы им обнаруживались, а если речь о смартфонах, дополнительно проверяется, прорутованы ли они». Все это передается как часть платежного поручения и анализируется специальными банковскими системами «антифрода». После чего система принимает решение о проведении операции», — рассказал эксперт.
Сами банки также работают над более тщательной идентификацией клиентов, пользующихся дистанционными каналами. Топ-менеджер крупного частного банка также рассказал РБК, что некоторые кредитные организации самостоятельно разрабатывают механизмы, позволяющие идентифицировать клиента, например по биометрическим данным или просто по фотографии. Но, по его словам, дополнительные затраты на это готовы нести в основном крупные банки. «Мелкие и средние игроки меньше озабочены проблемами кибербезопасности, поэтому они более уязвимы к хакерским атакам», — добавляет банкир.
Альберт Кошкаров, Марина Божко