Новые правила для банков и мошенников
Банк России решил закрутить гайки в вопросе безопасности денежных переводов
Недавно вступили в действие изменения в положение Банка России № 382-П, регулирующее обеспечение защиты информации при денежных переводах. Новая редакция положения ужесточает требования к информационной безопасности в банках. Эксперты рынка спросили, будут ли новые требования выполняться на практике и какого эффекта стоит ожидать от них банковской отрасли.
Новая редакция положения № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» была опубликована в сентябре 2014 года, а вступила в силу в марте 2015-го. В соответствии с документом, информационная безопасность в банковской отрасли должна усилиться сразу по нескольким направлениям.
C 1 июля 2015 года запрещается выпуск платежных карт без EMV-чипа. Речь о запрете хождения таких карт не идет. Выпущенные до 1 июля 2015 года карты без чипа будут свободно приниматься до истечения срока их действия. Многие банки уже перешли только на чиповые карты, остальным это предстоит сделать в ближайшие месяцы.
«Безусловно, переход на карты со встроенным микропроцессором позволит значительно сузить возможность для маневров мошенникам, поскольку копировать карты с магнитной полосой было довольно просто», – рассказал порталу Банки.ру сертифицированный аудитор компании Digital Security Андрей Гайко. «По статистике ЦБ, сейчас в России порядка 30% карт без EMV-чипа. Именно на этот процент будут снижены потери от скимминга (копирования карты)», – полагает руководитель по развитию продуктов компании Group-IB Павел Крылов. При этом он отметил, что «запрет выпуска карт без EMV-чипа повысит стоимость карточных продуктов банковских организаций для клиентов. Однако можно предположить, что это переключит внимание мошенников на операции CNP (card not present), которые осуществляются при оплате товара или услуги через сеть Интернет. Это приведет к росту хищений, если такие операции не защищаются технологией 3D-Secure (дополнительное подтверждение операции – например, СМС-кодом)».
Руководитель направления по борьбе с мошенничеством центра информационной безопасности компании «Инфосистемы Джет» Алексей Сизов тоже считает, что мошенников отказ от карт без чипов не остановит: «Будет развиваться сегмент мошенничества в области CNP, будут эксплуатироваться и fallback-операции, игнорирующие отсутствие чипа. Однако массовость скиминга как таковая должна снизиться в момент принятия всеми странами мира Chip Liability Shifts и стандартов международных платежных систем по приему карт с микропроцессорами».
Речь о принципе переноса ответственности, в соответствии с которым финансовую ответственность за мошенническую трансакцию несет банк-эквайер в случае, если он принял чиповую карту по магнитной полосе. Увы, этот принцип работает во многих странах, но не в США – там много оборудования, не умеющего работать с чипами.
Отказаться от полосы на картах в ближайшие годы не получится, полагает руководитель аналитического центра компании Zecurion Владимир Ульянов: «В целом чиповые карты более надежны, чем обычные карты с магнитной полосой, — это подтверждается статистикой мошенничеств с картами. Однако не надо считать их панацеей. Во-первых, на картах по-прежнему сохраняется магнитная полоса. А отказ от нее или умышленная порча пользователем (некоторые озабоченные безопасностью пользователи идут и на такие шаги) нарушит совместимость карт с платежными терминалами. Если продолжать в том же духе, наиболее безопасной будет неактивированная карта, разрезанная сразу же по получении».
Именно поэтому пластик без магнитной полосы мы увидим нескоро – большинство современных банкоматов просто не откроют картоприемник такой карте.
Появились требования к безопасной разработке и распространению программного обеспечения, предназначенного для денежных переводов. Требования не слишком конкретные (иначе они слишком связывали бы руки разработчикам), но обязывают реализовывать средства защиты от несанкционированного доступа, своевременно устранять обнаруженные уязвимости, оповещать клиентов о появившихся угрозах. Ничего нового, по сути, для отрасли в этом нет. «Требования к безопасной разработке финансового клиентского ПО выполняться будут, и это будут контролировать банки. Другое дело, что нормальные вендоры давно придерживаются всех зафиксированных требований, перечисленных в новой редакции 382-П», – поясняет Павел Крылов.
«Регулирование данной области крайне актуально в сегодняшних условиях, когда угрозы продолжают расти, а многие банки стремятся сократить расходы на безопасность, – говорит Станислав Шилов, директор по продажам компании «Бифит». – При этом надо отметить, что ряд новых требований, например требования по безопасной разработке ПО, уже де-факто выполняются ключевыми разработчиками и ведущими банками. Тем не менее считаем, что внедрение данных требований прочими участниками рынка позволит повысить безопасность конечных клиентов – если, конечно, будет выполняться не чисто формально, а с прицелом на рост защищенности используемых решений».
Иначе смотрит на сложившуюся ситуацию Владимир Ульянов: «С требованиями к безопасности клиентского ПО мы сильно задержались. Действительно, системы интернет-банкинга применяются уже давно, но вопросам их защищенности стали уделять хоть какое-то внимание лишь в последние годы. Да и сейчас безопасность далеко не на первом месте. Основное внимание разработчиков сосредоточено на функционале, интерфейсе, удобстве работы с системой, но не ее защищенности. В результате уязвимостями могут похвастать многие, в том числе и популярные клиентские приложения. Поэтому я рассчитываю, что защищенность разрабатываемого ПО непременно повысится, даже норма декларативного плана заставит программистов включить безопасность в число приоритетных критериев при создании приложений».
Согласен с ним начальник управления пластиковых карт банка «Открытие» Юрий Божор: «Вопросы стандартизации в данной области весьма актуальны. Думаю, постепенно все производители будут обеспечивать данные требования».
«Главная сложность заключается в том, что разработчикам придется идти методом проб и ошибок, так как на данный момент отсутствуют четкие рекомендации для IT-компаний, – отмечает Максим Болышев, заместитель директора департамента систем электронного банковского обслуживания компании R-Style Softlab. – К сожалению, вопросы разработки не учитываются в момент формирования подобных требований».
Действительно, многие лидеры отрасли давно уже соблюдают эти требования и даже привлекают внешних аудиторов для оценки качества разработки продуктов. Однако есть и обратные примеры. Причем банки не всегда понимают, зачем обращаться к «дорогому» поставщику, когда есть «дешевый», пусть и не столь аккуратный. Теперь появились требования, которые должны «привести в чувство» отрасль и установить стандарты в области информационной безопасности.
Теперь банки обязаны по заявлению клиента устанавливать лимиты на сумму денежного перевода с использованием интернет-банкинга за одну операцию и (или) за определенный период времени, устанавливать время, в которое можно проводить переводы, а также перечень возможных получателей денежных средств и перечень устройств, с использованием которых можно подключаться к системе интернет-банкинга. Не стоит ожидать, что во всех интернет- и мобильных банках появятся соответствующие долгожданные многими возможности. Зато теперь можно смело обращаться в отделение банка с требованиями установки лимита и привязки устройств. Но вот с технической стороны могут возникнуть сложности.
«Сама идея обязательной регистрации всех мобильных устройств, с помощью которых клиенты банков намерены пользоваться сервисами онлайн-банкинга, безусловно, преследовала вполне благородные цели – повышение эффективности противодействия мошенничеству при ДБО, – говорит Алексей Сизов. – Однако она имеет ряд нюансов, касающихся как технического ее исполнения (пока не ясно, что принимать за идентификатор устройства – ни IP-адреса, ни MAC-адреса, ни даже IMEI не гарантируют прозрачности и абсолютной точности такой идентификации), так и самих банковских сервисов (их доступность может ощутимо снизиться – например, выехавший за границу и купивший местную сим-карту клиент автоматически ограничивается банком в использовании сервисов дистанционного банковского обслуживания).
Вопрос информационной безопасности при этом тоже сохранит свою актуальность. По большому счету введение регистрации устройств доступа к онлайн-банкингу ситуацию улучшит: усложнится стоящая перед мошенниками задача, поменяется направленность атак, необходимых для использования данных, похищенных у клиента. Однако все изменения совершенно не коснутся наиболее распространенной угрозы – активности вредоносного ПО. По нашим субъективным оценкам, введение такого контроля на первом этапе позволит сократить ущерб от мошенничества процентов на 30. Но это улучшение будет относительно кратковременным: положительная цифра будет актуальна ровно до тех пор, пока мошенники не «подстроятся» под изменившиеся условия».
Не испытывает оптимизма и Павел Крылов: «В соответствии с новой редакцией 382-П, банк на основании заявления клиента определяет параметры операций, которые могут осуществляться клиентом с использованием систем интернет-банкинга. В том числе определить перечень устройств, с которых такие операции могут осуществляться. Важно отметить, что только по добровольному заявлению клиента сам банк в конечном счете задает перечень устройств исходя из своих технических возможностей. Однако эта возможность крайне слабо снизит уровень хищений. Во-первых, физлица вряд ли воспользуются такой возможностью, ибо она ограничивает их свободу и не дает очевидных им выгод. Плюс на их стороне статья 9 закона «О национальной платежной системе». Во-вторых, даже если физическое или юридическое лицо укажет перечень с точностью до устройства, это не спасет его от хищений с использованием скрытного удаленного подключения и автоматической несанкционированной подмены или создания мошеннического платежа непосредственно с его устройства».
«Предложенная новация кажется вполне обоснованной и перспективной с точки зрения информационной безопасности, однако на практике может иметь как позитивный, так и негативный эффект, – размышляет Владимир Ульянов. – Пользователи, привыкшие к частым обращениям службы поддержки по поводу подтверждения новых устройств, станут менее бдительными. В результате звонки мошенников с просьбой сообщить паспортные данные, кодовые слова и прочее станут более успешными, и весь положительный эффект от мероприятия быстро сойдет на нет».
«Банк прорабатывает определенные технологии в данном вопросе, – говорит Юрий Божор. – В целом любое движение в направлении систематизации и упорядочивания этой области деятельности, безусловно, полезно. Однако есть некоторая граница, когда затраты на обеспечение безопасности превышают возможный ущерб от фрода. Все обеспечение безопасности по большому счету – это раздел управления рисками, когда «клиенту еще удобно, мошеннику уже невыгодно».
Еще более скептически относится к новым нормам Андрей Гайко: «В целом эффект от сокращения мошенничества с использованием интернет-банка в краткосрочной перспективе можно оценить в 5–10% (от числа инцидентов), но в среднесрочной перспективе он будет нивелирован появлением новых схем, и число инцидентов может только возрасти. У банков появляется техническая проблема с регистрацией устройств и отслеживанием их использования. У клиентов появятся проблемы с удобством использования интернет-банка из-за ограничения доступности в некоторых случаях».
В целом новые требования выглядят разумными, они задают движение в правильном направлении. Но в любом случае у банков нет выхода: невыполнение требований положения позволяет регулятору вынести банку предписание на устранение несоответствий. А в случае невыполнения предписания банку грозит штраф и даже, в особо запущенных случаях, отзыв лицензии.
В ответ на вопрос Банки.ру, сколько времени может потребоваться банку на приведение своих систем в соответствие с новыми требованиями, Владимир Ульянов рассказал, что перечень мероприятий, временная и ценовая оценки будут очень сильно отличаться для разных кредитных организаций в зависимости от их размера, специфики работы (нацелен на работу с физическими или юридическими лицами), перечня оказываемых банковских услуг и т. д. Кроме того, надо понимать, что далеко не все банки самостоятельно эмитируют и обслуживают карты. «Тем не менее для небольших и средних банков комплекс мероприятий можно осуществить за два-три месяца», – полагает эксперт.
«Мы работаем в этом направлении для реализации безусловного исполнения нормативных требований, – говорит Юрий Божор. – Для решения этой задачи в банке проводится комплекс как организационных, так и технологических мероприятий. Уровень затрат на данном этапе оценить сложно. Вопрос перевода на исключительно «чиповую эмиссию» карт в банке уже решен».
Банк России решил закрутить гайки в вопросе безопасности денежных переводов
Недавно вступили в действие изменения в положение Банка России № 382-П, регулирующее обеспечение защиты информации при денежных переводах. Новая редакция положения ужесточает требования к информационной безопасности в банках. Эксперты рынка спросили, будут ли новые требования выполняться на практике и какого эффекта стоит ожидать от них банковской отрасли.
Новая редакция положения № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» была опубликована в сентябре 2014 года, а вступила в силу в марте 2015-го. В соответствии с документом, информационная безопасность в банковской отрасли должна усилиться сразу по нескольким направлениям.
C 1 июля 2015 года запрещается выпуск платежных карт без EMV-чипа. Речь о запрете хождения таких карт не идет. Выпущенные до 1 июля 2015 года карты без чипа будут свободно приниматься до истечения срока их действия. Многие банки уже перешли только на чиповые карты, остальным это предстоит сделать в ближайшие месяцы.
«Безусловно, переход на карты со встроенным микропроцессором позволит значительно сузить возможность для маневров мошенникам, поскольку копировать карты с магнитной полосой было довольно просто», – рассказал порталу Банки.ру сертифицированный аудитор компании Digital Security Андрей Гайко. «По статистике ЦБ, сейчас в России порядка 30% карт без EMV-чипа. Именно на этот процент будут снижены потери от скимминга (копирования карты)», – полагает руководитель по развитию продуктов компании Group-IB Павел Крылов. При этом он отметил, что «запрет выпуска карт без EMV-чипа повысит стоимость карточных продуктов банковских организаций для клиентов. Однако можно предположить, что это переключит внимание мошенников на операции CNP (card not present), которые осуществляются при оплате товара или услуги через сеть Интернет. Это приведет к росту хищений, если такие операции не защищаются технологией 3D-Secure (дополнительное подтверждение операции – например, СМС-кодом)».
Руководитель направления по борьбе с мошенничеством центра информационной безопасности компании «Инфосистемы Джет» Алексей Сизов тоже считает, что мошенников отказ от карт без чипов не остановит: «Будет развиваться сегмент мошенничества в области CNP, будут эксплуатироваться и fallback-операции, игнорирующие отсутствие чипа. Однако массовость скиминга как таковая должна снизиться в момент принятия всеми странами мира Chip Liability Shifts и стандартов международных платежных систем по приему карт с микропроцессорами».
Речь о принципе переноса ответственности, в соответствии с которым финансовую ответственность за мошенническую трансакцию несет банк-эквайер в случае, если он принял чиповую карту по магнитной полосе. Увы, этот принцип работает во многих странах, но не в США – там много оборудования, не умеющего работать с чипами.
Отказаться от полосы на картах в ближайшие годы не получится, полагает руководитель аналитического центра компании Zecurion Владимир Ульянов: «В целом чиповые карты более надежны, чем обычные карты с магнитной полосой, — это подтверждается статистикой мошенничеств с картами. Однако не надо считать их панацеей. Во-первых, на картах по-прежнему сохраняется магнитная полоса. А отказ от нее или умышленная порча пользователем (некоторые озабоченные безопасностью пользователи идут и на такие шаги) нарушит совместимость карт с платежными терминалами. Если продолжать в том же духе, наиболее безопасной будет неактивированная карта, разрезанная сразу же по получении».
Именно поэтому пластик без магнитной полосы мы увидим нескоро – большинство современных банкоматов просто не откроют картоприемник такой карте.
Появились требования к безопасной разработке и распространению программного обеспечения, предназначенного для денежных переводов. Требования не слишком конкретные (иначе они слишком связывали бы руки разработчикам), но обязывают реализовывать средства защиты от несанкционированного доступа, своевременно устранять обнаруженные уязвимости, оповещать клиентов о появившихся угрозах. Ничего нового, по сути, для отрасли в этом нет. «Требования к безопасной разработке финансового клиентского ПО выполняться будут, и это будут контролировать банки. Другое дело, что нормальные вендоры давно придерживаются всех зафиксированных требований, перечисленных в новой редакции 382-П», – поясняет Павел Крылов.
«Регулирование данной области крайне актуально в сегодняшних условиях, когда угрозы продолжают расти, а многие банки стремятся сократить расходы на безопасность, – говорит Станислав Шилов, директор по продажам компании «Бифит». – При этом надо отметить, что ряд новых требований, например требования по безопасной разработке ПО, уже де-факто выполняются ключевыми разработчиками и ведущими банками. Тем не менее считаем, что внедрение данных требований прочими участниками рынка позволит повысить безопасность конечных клиентов – если, конечно, будет выполняться не чисто формально, а с прицелом на рост защищенности используемых решений».
Иначе смотрит на сложившуюся ситуацию Владимир Ульянов: «С требованиями к безопасности клиентского ПО мы сильно задержались. Действительно, системы интернет-банкинга применяются уже давно, но вопросам их защищенности стали уделять хоть какое-то внимание лишь в последние годы. Да и сейчас безопасность далеко не на первом месте. Основное внимание разработчиков сосредоточено на функционале, интерфейсе, удобстве работы с системой, но не ее защищенности. В результате уязвимостями могут похвастать многие, в том числе и популярные клиентские приложения. Поэтому я рассчитываю, что защищенность разрабатываемого ПО непременно повысится, даже норма декларативного плана заставит программистов включить безопасность в число приоритетных критериев при создании приложений».
Согласен с ним начальник управления пластиковых карт банка «Открытие» Юрий Божор: «Вопросы стандартизации в данной области весьма актуальны. Думаю, постепенно все производители будут обеспечивать данные требования».
«Главная сложность заключается в том, что разработчикам придется идти методом проб и ошибок, так как на данный момент отсутствуют четкие рекомендации для IT-компаний, – отмечает Максим Болышев, заместитель директора департамента систем электронного банковского обслуживания компании R-Style Softlab. – К сожалению, вопросы разработки не учитываются в момент формирования подобных требований».
Действительно, многие лидеры отрасли давно уже соблюдают эти требования и даже привлекают внешних аудиторов для оценки качества разработки продуктов. Однако есть и обратные примеры. Причем банки не всегда понимают, зачем обращаться к «дорогому» поставщику, когда есть «дешевый», пусть и не столь аккуратный. Теперь появились требования, которые должны «привести в чувство» отрасль и установить стандарты в области информационной безопасности.
Теперь банки обязаны по заявлению клиента устанавливать лимиты на сумму денежного перевода с использованием интернет-банкинга за одну операцию и (или) за определенный период времени, устанавливать время, в которое можно проводить переводы, а также перечень возможных получателей денежных средств и перечень устройств, с использованием которых можно подключаться к системе интернет-банкинга. Не стоит ожидать, что во всех интернет- и мобильных банках появятся соответствующие долгожданные многими возможности. Зато теперь можно смело обращаться в отделение банка с требованиями установки лимита и привязки устройств. Но вот с технической стороны могут возникнуть сложности.
«Сама идея обязательной регистрации всех мобильных устройств, с помощью которых клиенты банков намерены пользоваться сервисами онлайн-банкинга, безусловно, преследовала вполне благородные цели – повышение эффективности противодействия мошенничеству при ДБО, – говорит Алексей Сизов. – Однако она имеет ряд нюансов, касающихся как технического ее исполнения (пока не ясно, что принимать за идентификатор устройства – ни IP-адреса, ни MAC-адреса, ни даже IMEI не гарантируют прозрачности и абсолютной точности такой идентификации), так и самих банковских сервисов (их доступность может ощутимо снизиться – например, выехавший за границу и купивший местную сим-карту клиент автоматически ограничивается банком в использовании сервисов дистанционного банковского обслуживания).
Вопрос информационной безопасности при этом тоже сохранит свою актуальность. По большому счету введение регистрации устройств доступа к онлайн-банкингу ситуацию улучшит: усложнится стоящая перед мошенниками задача, поменяется направленность атак, необходимых для использования данных, похищенных у клиента. Однако все изменения совершенно не коснутся наиболее распространенной угрозы – активности вредоносного ПО. По нашим субъективным оценкам, введение такого контроля на первом этапе позволит сократить ущерб от мошенничества процентов на 30. Но это улучшение будет относительно кратковременным: положительная цифра будет актуальна ровно до тех пор, пока мошенники не «подстроятся» под изменившиеся условия».
Не испытывает оптимизма и Павел Крылов: «В соответствии с новой редакцией 382-П, банк на основании заявления клиента определяет параметры операций, которые могут осуществляться клиентом с использованием систем интернет-банкинга. В том числе определить перечень устройств, с которых такие операции могут осуществляться. Важно отметить, что только по добровольному заявлению клиента сам банк в конечном счете задает перечень устройств исходя из своих технических возможностей. Однако эта возможность крайне слабо снизит уровень хищений. Во-первых, физлица вряд ли воспользуются такой возможностью, ибо она ограничивает их свободу и не дает очевидных им выгод. Плюс на их стороне статья 9 закона «О национальной платежной системе». Во-вторых, даже если физическое или юридическое лицо укажет перечень с точностью до устройства, это не спасет его от хищений с использованием скрытного удаленного подключения и автоматической несанкционированной подмены или создания мошеннического платежа непосредственно с его устройства».
«Предложенная новация кажется вполне обоснованной и перспективной с точки зрения информационной безопасности, однако на практике может иметь как позитивный, так и негативный эффект, – размышляет Владимир Ульянов. – Пользователи, привыкшие к частым обращениям службы поддержки по поводу подтверждения новых устройств, станут менее бдительными. В результате звонки мошенников с просьбой сообщить паспортные данные, кодовые слова и прочее станут более успешными, и весь положительный эффект от мероприятия быстро сойдет на нет».
«Банк прорабатывает определенные технологии в данном вопросе, – говорит Юрий Божор. – В целом любое движение в направлении систематизации и упорядочивания этой области деятельности, безусловно, полезно. Однако есть некоторая граница, когда затраты на обеспечение безопасности превышают возможный ущерб от фрода. Все обеспечение безопасности по большому счету – это раздел управления рисками, когда «клиенту еще удобно, мошеннику уже невыгодно».
Еще более скептически относится к новым нормам Андрей Гайко: «В целом эффект от сокращения мошенничества с использованием интернет-банка в краткосрочной перспективе можно оценить в 5–10% (от числа инцидентов), но в среднесрочной перспективе он будет нивелирован появлением новых схем, и число инцидентов может только возрасти. У банков появляется техническая проблема с регистрацией устройств и отслеживанием их использования. У клиентов появятся проблемы с удобством использования интернет-банка из-за ограничения доступности в некоторых случаях».
В целом новые требования выглядят разумными, они задают движение в правильном направлении. Но в любом случае у банков нет выхода: невыполнение требований положения позволяет регулятору вынести банку предписание на устранение несоответствий. А в случае невыполнения предписания банку грозит штраф и даже, в особо запущенных случаях, отзыв лицензии.
В ответ на вопрос Банки.ру, сколько времени может потребоваться банку на приведение своих систем в соответствие с новыми требованиями, Владимир Ульянов рассказал, что перечень мероприятий, временная и ценовая оценки будут очень сильно отличаться для разных кредитных организаций в зависимости от их размера, специфики работы (нацелен на работу с физическими или юридическими лицами), перечня оказываемых банковских услуг и т. д. Кроме того, надо понимать, что далеко не все банки самостоятельно эмитируют и обслуживают карты. «Тем не менее для небольших и средних банков комплекс мероприятий можно осуществить за два-три месяца», – полагает эксперт.
«Мы работаем в этом направлении для реализации безусловного исполнения нормативных требований, – говорит Юрий Божор. – Для решения этой задачи в банке проводится комплекс как организационных, так и технологических мероприятий. Уровень затрат на данном этапе оценить сложно. Вопрос перевода на исключительно «чиповую эмиссию» карт в банке уже решен».