Авторизация все шаблоны для dle на сайте newtemplates.ru скачать
 
  • 12:11 – В этом году Amazon откроет еще несколько магазинов без касс и продавцов 
  • 22:11 – Украинцев предупредили о новой схеме кредитного мошенничества 
  • 11:42 – Россияне с 2019 года смогут получить финуслуги на одном сайте 
  • 11:37 – Банки начнут информировать клиентов о задолженности после каждой операции 

Защиту банков от кибермошенников проверят ревизоры из ЦБ

Защиту банков от кибермошенников проверят ревизоры из ЦБ Центробанк намерен ввести для российских банков дополнительные выездные проверки, цель которых — выяснить, как участники рынка выстраивают защиту от нарушений, связанных с переводом денежных средств по разным каналам (банкоматы, терминалы, интернет- и мобильный банкинг, банковские офисы). Об этом «Известиям» рассказал источник, близкий к Банку России. По словам собеседника, регулятор хочет перевести контроль за соблюдением банками правил безопасности при переводах денег клиентов из бумажной в практическую плоскость.

— Сейчас банки РФ ежемесячно направляют ЦБ отчеты обо всех инцидентах, связанных с переводом денежных средств клиентов, — поясняет источник. — Одного анализа документов недостаточно для того, чтобы у ЦБ была достоверная картина происходящего. Поэтому сейчас обсуждается введение стресс-тестовых проверок для банков с привлечением представителей регулятора. Ревизоры будут проверять наличие в банках обновлений систем информационной безопасности, устраивать ложные кибератаки на системы дистанционного обслуживания банков. По итогам атак ревизоры будут анализировать, насколько успешно банки справляются с киберугрозами. Также проверяющие будут выяснять, поступали в кредитные организации жалобы от клиентов, связанные с переводами денег, исследовать, как в дальнейшем велась претензионная работа с пострадавшими.

Собеседник указывает, что по итогам подобных стресс-тестовых проверок банк может получить предупреждение или предписание об устранении нарушений. Крайняя мера в виде отзыва лицензии возможна, если банк дополнительно уличат в иных нарушениях — например, «антиотмывочного» 115-ФЗ.

С 2013 года все банки РФ ежемесячно сдают ЦБ отчетность по нарушениям, связанным с переводами денежных средств клиентов. Она называется «Сведения о выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (разработана во исполнение одноименного Положения ЦБ № 382-П). Таким образом, ЦБ аккумулирует статистику по киберпреступлениям — до момента начала активной работы Центра по борьбе с киберугрозами.

В отчетности, которую банки направляют в ЦБ, они должны фиксировать все случаи, связанные с нарушениями при переводе денежных средств клиентами: к примеру, кражи CVV-кода и других данных карты при оплате счета в ресторане или кафе, или обман операционистом клиента в офисе, или случаи скимминга (когда злоумышленники устанавливают на банкоматы специальные устройства, считывающие информацию с банковских карт, а затем благодаря полученным данным похищают деньги).

Согласно форме отчетности, банки предоставляют ЦБ таблицу с указанием выявленных нарушений при денежных переводах в бумажном виде. В ней указываются: сам факт инцидента, его дата, оператор платежной системы, последствия нарушения (включая сумму ущерба), предпринятые действия по устранению его последствий, а также факт обращения в правоохранительные органы. Если нарушений нет, во всех соответствующих графах проставляются нули. Анализируя отчеты от банков, ЦБ выявляет основные болевые точки банков и платежной системы РФ в целом.

— ЦБ получает большой объем документов, а объем хищений клиентских денег не сокращается, — говорит источник. — Регулятора беспокоят не только многомиллиардные объемы мошенничества , но и латентность этих нарушений. Правоохранительные органы возбуждают уголовные дела только в 1–5% случаев от общего количества преступлений, связанных с хищением клиентских денег.

Источник указал, что в разработке стандартов информационной безопасности активно будет участвовать Центр по борьбе с киберугрозами, созданный при ЦБ (документы о его создании подписаны в мае 2015 года).

Стоит отметить, что, по оценкам исследовательско-консалтинговой компании Group-IB, в прошлом году ущерб от атак на системы интернет-банкинга банков составил $289 млн.

В пресс-службе ЦБ заявили, что в рамках проверок регулятора уже инспектируется, в частности, достоверность предоставленной банками отчетности об инцидентах, повлекших потери денег клиентов.

— При проведении проверок анализируются как внутренние документы банка, так и оценка качества его практической деятельности в части выявления и реагирования на инциденты функционирования систем и средств защиты. Банк России в рамках надзора на постоянной основе осуществляет контроль деятельности банков при поступлении жалоб клиентов, — заявили в пресс-службе.

По мнению вице-президента банка «Открытие» Юрия Божора, организация проверки уязвимостей систем ДБО банков со стороны ЦБ была бы полезной.

— Новация может принести пользу с точки зрения улучшения защищенности систем ДБО от мошенников и, как следствие, снижение потерь денег россиянами, — уверен Божор. — Но отношение к введению выездных мероприятий у меня осторожное — особенно если проверяющие будут иметь право выносить свои решения, применять к банкам меры воздействия на основании мотивированного суждения. По мнению эксперта, не исключено навязывание банкам какого-то одного программного обеспечения.

Божор убежден, что оценкой рисков и потерь от кибермошенничества, а также профилактикой атак хакеров должны заниматься сами банки. Он выступает за создание Федеральной системы мониторинга и предотвращения электронного мошенничества. Данная система позволит на порядки уменьшить потери, сформировать списки лиц, которым будет отказано в использовании электронных средств платежа, а также обеспечит блокировку перевода сомнительных средств и обналичивания.

Директор департамента дистанционного банковского обслуживания Бинбанка Алексей Дегтярев считает, что эффективность у выездных проверок будет невысокая.

— Всё, что возможно выяснить таким образом, — это механизмы защиты платежных терминалов и точек совершения платежей, — поясняет Дегтярев. — Да и всю сеть терминалов (сотни тысяч аппаратов) вряд ли удастся объехать таким образом.

Более эффективным видится разработка стандартов информационной безопасности, а также стандартов по мониторингу и отчетности в части электронных платежей. Анализ отчетности должен осуществляться группой экспертов, которые выносят заключение о степени подозрительности операций.

Старший менеджер группы по проведению финансовых расследований «Deloitte СНГ» Рустам Мухаметшин полагает, что новые выездные проверки от ЦБ помогут снизить объемы хищений в небольших и средних по размеру банках, где системы информационной безопасности находятся на недостаточном уровне.

Зампредседателя НСФР Александр Наумов предупреждает, что любое дополнительное административное давление на бизнес — пагубно для него, и количество проверок не должно превышать разумные пределы. В то же время Наумов согласен с ЦБ, что анализ бумажной отчетности не является достаточным. По мнению эксперта, у ЦБ складывается впечатление, что банки замалчивают случаи хищений, особенно те, в которых клиенты не обращаются в полицию.
рейтинг: 
Оставить комментарий
иконка
Комментировать статьи на сайте возможно только в течении 90 дней со дня публикации.
  • Комментируют
  • Сегодня
  • Читаемое
Календарь
«    Февраль 2018    »
ПнВтСрЧтПтСбВс
 1234
567891011
12131415161718
19202122232425
262728 
Мы в соцсетях
  • Вконтакте
  • Facebook
  • Twitter