Наиболее эффективные решения и механизмы защиты информации в банках
<br>Комментарий Сергея Котова, эксперта по информационной безопасности компании "Аладдин Р.Д." в ходе "круглого стола", организованного НБЖ совместно с АРБ
БАНКИ ДОЛЖНЫ РЕШАТЬ СОБСТВЕННЫЕ ЗАДАЧИ, В ТОМ ЧИСЛЕ УМЕЛО ЗАЩИЩАТЬ СВОИ ИНФОРМАЦИОННЫЕ СИСТЕМЫ
НБЖ: Нынешний "круглый стол" - не первый, который журнал при содействии Ассоциации российских банков проводит по теме обеспечения информационной безопасности в финансово-кредитных организациях. Приятно видеть, что участников наших заседаний с каждым разом становится все больше, это говорит о том, что заявленная тема является актуальной, и более того, ее актуальность постоянно возрастает.
Первый вопрос, который хотелось бы задать всем присутствующим, - как банки используют время, которое у них появилось в связи с отсрочкой вступления в силу некоторых положений 161-ФЗ "О национальной платежной системе"? Достаточно ли одного года для того, чтобы урегулировать главную спорную тему: должны ли кредитные организации возмещать держателям платежных инструментов средства, которые те по различным причинам потеряли?
Т. АИТОВ: Я бы предложил более общую формулировку вопроса: как влияет принятый 161-ФЗ на платежные технологии в целом? Если говорить о годовой отсрочке, данной законодателями, то ее, на мой взгляд, достаточно. Банки всегда готовы выполнять любые, сколь угодно сложные, требования закона. Если бы вступление в силу девятой статьи Закона "О национальной платежной системе" не было передвинуто на год, финансово-кредитные организации, конечно, начали бы ее исполнять. Взяли бы все свои риски, потери, затраты и переложили бы 99,9% из них на плечи порядочных клиентов, которых, как хорошо известно, подавляющее большинство. Злоумышленники, конечно, были бы довольны, а грамотные клиенты выразили бы недоумение, почему на них "упали" затраты. Это привело бы к снижению лояльности к банкам и банковской отрасли, а ведь девятая статья была включена в текст закона как раз с противоположной целью: чтобы повысить лояльность клиентов к финансово-кредитным организациям.
Еще один вопрос, который неизбежно возникает при обсуждении этой темы, - почему о готовности исполнять 161-ФЗ и отдельные его отсроченные положения интересуются только у банков? Если мы хотим добиться исполнения девятой статьи и положительных результатов применения закона, то о готовности надо спрашивать всех участников технологической цепочки. Проиллюстрирую свой тезис простым примером - информирование клиента. Ни для кого не секрет, что самый удобный, простой, быстрый и дешевый способ -рассылка SMS-сообщений. Думаю, депутаты Госдумы имели это в виду при разработке закона. А теперь вспомним, кто обеспечивает нам рассылку SMS. Телекоммуникационные компании. Готовы ли они хранить сообщения три года, участвовать в разбирательствах, согласны ли они придать юридическую значимость SMS? Ответ очевиден: нет, не готовы, не хотят и не будут этим заниматься. Почему бы с учетом этого нашим законодателям не обязать телекоммуникационные компании участвовать в подготовке и исполнении девятой статьи, работать в единой технологической цепочке?
Возьмем другой аспект: все эксперты в один голос утверждают, что после вступления в силу девятой статьи нас ждет вал мошенничества и злоупотреблений. В связи с этим объективно должна возрасти роль правоохранительных органов. Но мы не видим ни увеличения финансирования этих служб, ни роста их численности, даже разговоров об этом нет.
Даже СМИ про девятую статью мало что пишут. Вернее, пишут, что банки будут расплачиваться за все кражи средств с карт клиентов, но не сообщают о том, как надо хранить PIN-коды и ключи. А ведь подобная масштабная разъяснительная работа очень важна и нужна, в свете этого вполне логичным представляется выделение некоего бюджета на популяризацию и разъяснение только что принятых законодательных актов.
Как мы видим, другие звенья технологической цепочки не срабатывают. Остаются только банки, которые должны хранить SMS, обучать клиентов правилам соблюдения безопасности, расследовать инциденты и в конечном счете возмещать похищенные деньги.
НБЖ: Не знаю, как другие СМИ, а наш журнал поддерживает идею создания такого бюджета.
Т. АИТОВ: Главный вывод, который я хочу сформулировать: все законы должны учитывать межотраслевые связи, они не должны быть декларативными. Тогда не возникнет проблем с их исполнением и не придется переносить сроки вступления отдельных положений законов.
В. КОНЯВСКИЙ: Итак, если я правильно понял Тимура Науфальевича (Аитова -прим. ред.), деньги за риск должен платить клиент, СМИ обязаны просвещать, телекоммуникационным компаниям положено нести ответственность за SMS-информирование. Я с этим не согласен. Телеком - это своего рода "извозчик", ему дали пакет, он должен доставить его в указанное время в указанное место, не более того. Не его дело - заботиться о юридической значимости SMS-сообщений, которые рассылают банки. Финансово-кредитные организации вполне способны решить эту задачу самостоятельно, средства для этого у них есть.
Отношение банков к отдельным положениям 161-ФЗ наглядно продемонстрировал февральский форум по информационной безопасности, прошедший в Магнитогорске. Общее настроение банкиров можно было охарактеризовать так: нас обидели, мы с некоторыми положениями закона не согласны. Но, по моему убеждению, и законодатели, и регулятор заняли в этом вопросе очень верную и, что принципиально важно, проклиентскую позицию. Когда происходят подобные инциденты, то необходимо помнить: деньги воруют не у клиента, который их положил на карту, а у кредитной организации, открывшей счет, поэтому банк обязан их вернуть. Никаких отсрочек больше не будет, девятая статья вступит в силу. Если вы не умеете работать на финансовом рынке, уходите с него. Если вы беретесь предоставлять финансовые услуги, так извольте предоставлять их так, чтобы интересы клиентов были защищены. Не надо возлагать свои обязанности на других. Банки должны решать собственные задачи, в том числе умело защищать свои информационные системы, а не экономить на затратах. На сегодняшний день ситуация такова: у 45% кредитных организаций один специалист по информационной безопасности. Естественно, он ничего в одиночку сделать не может. Причем же тут ФСБ, или МВД, или клиенты? Вы, как банки, создайте нормальные "боевые" службы, потратьте на это деньги и тогда увидите: количество инцидентов, связанных с хищением средств с карт клиентов, у вас снизится на порядок.
В. МЕДВЕДЕВ: Я бы хотел дополнить выступление коллеги. Прописывание в законе всех возможных вариантов как минимум чревато дополнительными осложнениями. Как представитель компании, занимающейся разработкой антивирусных программ, могу сказать, что SMS-информирование - не гарантия успеха. SMS-сообщения могут быть подделаны с помощью вирусов либо стерты. В этом контексте возлагать ответственность на телекоммуникационные компании неразумно.
Я хотел бы обратить внимание на индийский вариант решения данной проблемы. Не так давно в Индии был принят закон, в соответствии с которым при поставке любого ИТ-устройства должна предоставляться инструкция, что должен делать клиент.
А. ВЕЛИГУРА: Здесь уже упоминался форум в Магнитогорске, так вот, я хотел бы сказать, что он произвел на меня совершенно иное впечатление, чем на г-на Конявского.
Отсрочка - это не просто отложенное введение девятой статьи без изменений. Речь идет о том, что норма, прописанная в этой статье, должна быть изменена, в этом вопросе необходимо найти консенсус. Банки должны возвращать средства, похищенные с карт клиентов, никто это не оспаривает. Но ситуация, когда любому гражданину дано право требовать возврат любой суммы, как минимум неправильна. Говорить, что кредитные организации обязаны за все отвечать и все обеспечивать (и юридическую значимость SMS-сообщений, и их хранение, и доказательную базу), тоже неверно. Банк не должен быть поставлен в такие условия, когда он автоматически и безоговорочно платит за все, когда все издержки "падают" на него.
Я считаю, что это комплексная проблема. Меня радует позиция регуляторов в данном вопросе. Оставшееся время до вступления в силу отсроченных положений 161-ФЗ нужно потратить на то, чтобы найти баланс интересов и ответственности всех участников процесса.
НАДО ДАТЬ КЛИЕНТАМ АДЕКВАТНЫЕ СРЕДСТВА ЗАЩИТЫ И ВОЗМОЖНОСТЬ ЗАСТРАХОВАТЬ СВОИ РИСКИ
М. ЛЕВАШОВ: Я хочу примирить две стороны дискуссии. В сложных процессах (а здесь мы имеем дело с очень сложными технологическими процессами и процессами, связанными с людьми) ничего нового и умного за год не придумаешь. Все останется примерно таким же, как сейчас, и к этому надо готовиться, как и к тому, что ответственность будет равномерно переложена на плечи всех банковских клиентов.
А это не что иное, как аналог страхования. Во всех сложных процессах, где трудно учесть все явления и факторы, нужен именно этот инструмент, и в последнее время к нему, естественно, повышается внимание. Ничего страшного не будет, я думаю, все клиенты согласятся со страхованием таких рисков, ведь любой из них может оказаться в ситуации, когда он лишится средств в результате мошеннических действий.
Что делают банки сейчас? Они принимают определенные технологические и организационные меры, чтобы подозрительные транзакции не доходили до исполнения, чтобы дропперы не могли получать средства на свои счета и "растворяться". Такие вещи постоянно идут, информационные системы улучшаются.
М. СУКОННИК: Я бы тоже хотел всех примирить. Полтора месяца назад практически одновременно в США и в странах ЕС вышли регуляторные нормы, определяющие направления развития информационной безопасности. При этом в обоих случаях в этих нормах говорится о необходимости глобального сотрудничества между государственными органами и частным бизнесом в борьбе с внешними угрозами в сфере информационной безопасности. Легко понять причину этого: атаки и нападения на банковские сети угрожают не только отдельным кредитным организациям, но и банковской системе в целом, а также государству.
С другой стороны, зачастую такие нападения совершаются не из стремления просто украсть деньги - это враждебные действия государств по отношению друг к другу. Яркий тому пример - недавняя атака на американскую банковскую систему, спровоцированная действиями США против Ирана.
Здесь мы возвращаемся к тому, о чем я уже говорил: проблема нуждается в глобальном решении, ни одна из сторон не может действовать в одиночку. Сети и системы защиты принадлежат частному бизнесу, а телекоммуникационные компании являются частными или частно-государственными, регуляторные нормы издает государство, правоохранительные органы, как всем хорошо известно, также являются государственными структурами. Поэтому совместные действия просто необходимы. Если одна сторона будет "тыкать пальцем" в другую, если мы будем год сидеть и ждать вступления в силу девятой статьи 161-ФЗ, ничего хорошего не произойдет. Вопрос надо решать.
Еще один момент, на который я хотел бы обратить внимание и который уже здесь озвучивался: идея о страховании рисков в сфере информационной безопасности очень интересная, но я опасаюсь, что срабатывать она будет до определенного уровня, когда взломают сто или даже тысячу счетов. А что делать, если в результате атаки "сложится" банковская система страны или хотя бы 10-15 системообразующих банков? Ни одна страховка не покроет такой масштабный ущерб.
А. ВЕЛИГУРА: Непонятно, зачем нужно нас мирить, я не считаю высказанную мной позицию крайней. Я не утверждаю, что во всем виноват клиент, я говорю о балансе ответственности. А он заключается не в том, что удастся выдумать формулировку, которая всем понравится, необходим компромисс, при котором что-то потребуется от банка, а что-то - от клиента.
С. КОТОВ: Есть классическое правило: если технология три раза подряд не срабатывает, меняй подход! Какой подход на протяжении многих лет демонстрируют банки? Клиенты глупы, полицейские продажны или ленивы. Между тем, развивая банковский бизнес, вы должны понимать, что клиент вовсе не обязан быть умным и отдавать кредитным организациям деньги просто так.
Разговоры о страховании рисков ИБ идут уже много лет, но и здесь очевиден подход, описанный мной выше. Банки предлагают клиентам: я тебе выдам "голый пластик" с магнитной полосой, а ты оформи страховку. Не кредитная организация страхует свои риски в сфере информационной безопасности - она предлагает это сделать клиентам! Что касается регуляторов и правоохранительных органов, то они, судя по всему, "наелись" таким подходом.
В. КОНЯВСКИЙ: Принцип очень простой: страховать должен тот, кто подвергается риску быть обворованным. Деньги крадут не у клиентов, которые кладут деньги на счета, а у банков, которые в таких случаях говорят клиентам: "Пиши заявление в правоохранительные органы, что у тебя деньги украли". А я говорю: "Пиши заявление в те же органы, что банк тебе деньги не отдает". Примите меры по отношению к банку!
М.ЛЕВАШОВ: Кто должен платить за страхование? На самом деле и клиенты, и банки. Если клиент не образован, значит он должен страховать свои риски и платить за это. Если кредитная организация плохо защищает информацию и свои системы, то она должна платить за страховку. А кто и какую часть средств должен вносить - это вопрос к компетентным организациям, к регулятору банковского сектора.
Д. КАЛЕМБЕРГ: Пару лет назад я участвовал в разработке страхового продукта в сфере ДБО. Здесь ситуация довольно забавная: есть классический страховой продукт ВВВ, включающий в себя риски атак на информационную систему банка. Если на финансовое учреждение организована хакерская атака и если со счета клиента снимают деньги, то можно спокойно получить страховое возмещение. Если атака направлена не на банк, а на компьютер клиента, то никаких денег от страховой компании не получит ни тот ни другой.
В какой-то момент одной из российских страховых компаний был разработан продукт, позволяющий клиенту застраховать какую-либо сумму на своем счету. Банк в данном случае выступал в качестве дилера, предлагающего этот продукт. Естественно, застрахованный клиент был обязан использовать рекомендованные ему средства защиты. В какой-то момент очень многие кредитные организации заявили, что они не хотят распространять инструменты защиты, потому что списание средств со счета - это проблема клиентов, следовательно, чего же им напрягаться?
Со вступлением в силу девятой статьи 161-ФЗ этот вопрос должен сдвинуться с места. Соответствующие страховые продукты уже есть, подходы выработаны, надо дать клиентам адекватные средства защиты и возможность застраховать свои риски.
Р. НЕСТЕРОВ: Странно, что во время этого обсуждения девятой статьи 161-ФЗ я не услышал ни одной ссылки на письмо ЦБ РФ № 172-Т от 14 декабря 2012 года о правоприменимости девятой статьи и о рекомендациях ЦБ: что необходимо сделать, что банк может и что он не может делать. Я рад, что кредитная организация, клиентом которой я являюсь, предложила мне услугу страхования вклада. Когда по вине инкассаторской службы банка у меня в течение получаса были сняты все деньги с карты, трагедии не возникло: в течение суток банк возместил мне все финансовые средства благодаря страховке.
Теперь рассмотрим ту же ситуацию с точки зрения других участников технологической цепочки. Что происходит, когда клиент опротестовывает совершенный по его карте платеж? Ему необходимо заполнить "дикую" бумагу, в которой он вынужден объяснять, что он - не он, что он не покупал ракету и не летал в США, где обналичил все свои деньги. После чего я спрашиваю: зачем SMS-информирование, которое не работает? Оно не является гарантией доставки информации. Телефон может быть отключен по самым разным причинам, в том числе, как показали недавние события, из-за падения метеорита.
Я предлагаю внимательно ознакомиться с письмом ЦБ РФ № 172-Т и в рамках комитета АРБ, НПС, АБИСС выработать общие методики, основанные на оценке рисков электронных средств платежа. Без понимания, как правильно выстроить технологическую цепочку взаимодействия с клиентами, с органами правопорядка, ничего не поможет.
И. ЯНСОН: Мне кажется, ничего страшного не происходит. То, что дали отсрочку на вступление в силу некоторых положений 161-ФЗ, хорошо. Закон не идеален, его надо подкорректировать, и работа в этом направлении ведется. С другой стороны, необходимо повысить уровень защищенности банковских систем. Благодаря отсрочке у кредитных организаций теперь есть время, чтобы присмотреться и выбрать оптимальную для них антифрод-систему. Хорошо, что это не приходится делать в ситуации, когда мошенники уже атакуют банки. С третьей стороны, надо повышать защищенность информационных систем финансовых учреждений с точки зрения большей доказательности того, что происходит в системе ДБО. Вендоры предлагают новые способы защиты, и это очень хорошо.
Еще один момент - страхование рисков в ИБ. Соответствующая услуга выкристаллизовывается, появляется на рынке. Безусловно, банкам нужно смотреть и в этом направлении.
Д. РОМАНЧЕНКО: Говоря о страховании, хотелось бы обратить внимание на следующий факт. Если речь идет о страховании клиента, то здесь все более-менее понятно: не хранишь пароль, не хранишь PIN, не пользуешься электронными ключами - сам дурак и сам виноват. Меня больше интересует страхование рисков банков. Стандарт СТО БР ИББС, который, как мы недавно узнали, будет интегрирован с законодательством по НПС, предлагает оценку и самооценку. Естественно, это добровольная процедура. Но, возможно, нам следует задуматься о создании внешней структуры, например, в рамках АБИСС, структуры, которая позволила бы дать реальную оценку состоянию информационной безопасности кредитной организации, потому что не очень понятно, что происходит с соответствующими отчетами, "уходящими" в ЦБ. Ну отчитался банк по данному вопросу перед регулятором, и что дальше?
М. СУКОННИК: Вы верите, что банковские службы информационной безопасности пустят к себе внешних экспертов? Они не готовы делиться впечатлениями о том, как работают системы, не готовы делиться информацией о своей работе. А вы говорите о том, что кто-то будет приходить со стороны и изучать внутренние системы банков!
М.ЛЕВАШОВ: Аудиторы делают это на стандартной добровольной основе. Если кредитная организация хочет быть закрытой и не пускает их, конечно, пусть будет закрытой, раз уж таков ее выбор. Только если ее система безопасности "взорвется", винить будет некого. Страховщики не будут страховать тех, кто не пускает внешних аудиторов, механизм страхования для них будет неприменим.
И. ЯНСОН: При заключении договора страхования ВВВ банк заполняет подробную анкету, в которой отражается в том числе и ситуация в сфере ИБ. При этом никто не запрещает страховой компании копать глубже в этом направлении, если она чего-то опасается.
А. ВЕЛИГУРА: Идея абсолютно здравая, здесь уместна аналогия со страхованием ответственности автовладельцев. Когда вы оформляете полис КАСКО, страховщик смотрит, какая противоугонная система установлена на вашей машине. От качества этой системы зависит стоимость страховки. Так и здесь: качество системы безопасности в банке влияет на стоимость страховки. А вот по каким критериям должно определяться это качество - другой вопрос, причем вполне решаемый.
Р. НЕСТЕРОВ: Если мы внимательно посмотрим на механизм страхования, то увидим следующее: СК должна понимать максимальную сумму ущерба. Если клиент застрахован, и у него "уведут" деньги со счета, то страховая сумма будет покрывать сумму нанесенного клиенту ущерба. А если застрахован банк, значит СК придется покрывать не только эту сумму, но и репутационные риски, а в худшем случае - убытки, образовавшиеся в результате вывода системы из строя. Поэтому страховые компании, с которыми мне приходилось общаться, прямо говорят, что не понимают, какие риски они обязаны будут покрывать в случае страхования банка в сфере ИБ. И наша задача четко расписать для них эти риски.
КЛИЕНТ ДОЛЖЕН ВИДЕТЬ, ЧТО ЕГО ДЕНЬГИ РАСХОДУЮТСЯ НЕ НА ПОПОЛНЕНИЕ КАКОГО-ТО СТРАХОВОГО ФОНДА, А НА УЛУЧШЕНИЕ БЕЗОПАСНОСТИ
В. МЕДВЕДЕВ: Давайте скажем честно: оценить риски в сфере ИБ сейчас невозможно, потому что никто не знает, каково реальное состояние дел с информационной безопасностью, и никто в банках не представляет уровня угроз. Любые системы ИБ "пробиваются". Клиенты не могут позволить себе нормальную защиту. Большинство мелких кредитных организаций не могут позволить себе защитить всех своих клиентов, поэтому пока по большому счету о страховании говорить не приходится.
М.ЛЕВАШОВ: Мелкие банки вполне могут защитить клиентов. Я понимаю, что им не по карману нанимать дорогих специалистов, что ж эта проблема решается с помощью аутсорсинга.
В. КОНЯВСКИЙ: Сегодня существуют инструменты, которые делают безопасным взаимодействие клиентов с банками в системах ДБО. Это ненастраивае-мые средства, которые люди не могут испортить своим вмешательством. В этом контексте зона риска и зона атак перемещается с компьютеров клиентов на информационные системы кредитных организаций. Банки должны уделять этому максимальное внимание, и регулятор должен это понимать.
Порядок может быть наведен только рыночным способом. Что для этого нужно? Прежде всего необходимо, чтобы банковское сообщество было информировано о современных средствах защиты и чтобы регулятор обязал финансовые организации вести себя в клиентских договорах так же, как и в кредитных договорах. В кредитных договорах нужно указать, сколько точно клиент потратит на обслуживание кредита, точно так же в клиентских договорах необходимо отметить, что если ты берешь негодный набор защиты, то риски все твои. А если возьмешь правильные средства защиты, то убытки возникнут не по твоей вине. Это и есть тот механизм, который должны применять страховые компании.
С. КОТОВ: Банки не страхуют риски информационной безопасности, нет рынка таких страховых услуг. В этом контексте не так уж важны наши размышления о том, по какой методике следует оценивать риски в сфере ИБ. Как только появится рынок, сами СК предложат нужное количество методик.
Т. АИТОВ: Я был на одном форуме, там обсуждалось, почему страховщики не страхуют работу удостоверяющих центров, которых сейчас насчитывается порядка 135. Страховщикам сложно определить, каковы эти риски и какими могут быть суммы ущерба. А здесь есть и рынок, и потребность в страховании.
Г. ЦЕДИЛКИН: Я хочу выступить с позиции клиента. И мне понятно, чем сложнее банку вести свой бизнес, тем выше будут цены на его услуги. А мне, как клиенту, нужна кредитная организация, я не хочу хранить деньги дома, я согласен платить за их безопасность, но я хочу понимать, что мои деньги будут расходоваться не на пополнение какого-то страхового фонда, а на улучшение безопасности. И тогда уже мне, как интегратору, эта ситуация будет на руку, потому что банк у меня будет приобретать услуги по аудиту информационной безопасности, антифрод-систе-мы, анализ кода и т.д.
А. ФЕДОРОВ: Позволю себе разбавить тему страхования. БИС предлагает банкам делать первые практические шаги по борьбе с мошенничеством, мы инвестировали в прошлом году средства в создание программы, где кредитные организации могут бесплатно регистрировать свои инциденты в сфере ИБ. Участие обезличенное. "Фишка" в том, что фиксируются дропперы.
Д. КАЛЕМБЕРГ: Когда страховой продукт, о котором я рассказывал некоторое время назад, был разработан, мы посетили все крупнейшие банки, показали его и рассказали о нем. Основной тезис, который мы услышали, - проблемы не у нас, а у клиентов, мы не несем рисков, у нас хорошие юристы, мы не хотим на это тратить свое время, лучше потратим его на зарабатывание денег.
Р. СУЛИЦКИЙ: Мы производим антифрод, поддерживаем хостинг, и мы рады, что появился 161-ФЗ. Кредитные организации начинают пробовать предлагаемые им продукты. Но здесь возникает следующая проблема: банк-заказчик спрашивает нас, можем ли мы разработать такую-то систему? "Можем, но углубитесь в детали, - отвечаем мы. - Дайте нам ТЗ, сформулируйте требования к антифрод-системам". На этом конструктивный диалог не то что заканчивается, он переходит в плоскость вероятностей. Никто не может точно сказать, как трактовать положения закона и кто должен их трактовать: человек, отвечающий за обеспечение информационной безопасности в кредитной организации, или аудитор, который приходит в банк? Существуют ли выработанные требования на техническом уровне, требования к приложениям, которые четко позволяли бы финансовым учреждениям определять, какие системы можно выбирать, а какие - нет.
С. БЕЛЯЛОВА: Я выскажусь в защиту банков. Все, что мы обсуждаем в рамках этого "круглого стола", показывает, что проблема большая и комплексная. Все, что озвучено, нужно решать. Поэтому я прокомментирую поднятые вопросы по пунктам. Относительно управления рисками надо понимать, что банков в нашей стране много, и они разного уровня. Крупнейшие системообразующие финансовые институты, которые входят в комитеты и группы по 161-ФЗ, знают, о чем идет речь. Именно им предоставлено право и возможность урегулировать ситуацию, и они это сделают. В любом крупном банке есть управление рисками, и, поверьте мне, они умеют оценивать свои риски исходя из разных подходов и методик и, в первую очередь, исходя из убытков.
Говорить, что кредитным организациям все равно, что будет с их клиентами, - изначально неправильный посыл. Все продукты, которые запускаются банками как для юридических, так и для физических лиц настроены на то, чтобы быть востребованными. Если одно финансовое учреждение будет работать в интересах клиентов, а другое - нет, то из второго произойдет отток клиентов, а это никому не интересно. Значит, банковское сообщество будет работать над всем, чтобы существовали общие принципы, которые будут соблюдаться всеми и всегда.
Такой продукт, как безопасность, ни один клиент покупать не будет, это никому не интересно тем более в ситуации, когда уже вступил в силу закон о НПС и клиент знает, что он может прийти и потребовать возврат средств на свой счет. Поэтому речь, в первую очередь, должна идти о том, чтобы безопасность, защита от фрода входила в состав продуктов. Банки работают не над тем, чтобы навязать клиентам покупку отдельных систем защиты, а над тем, чтобы повысить уровень безопасности клиентов в целом.
Теперь о страховании. Нет такого решения, которое можно было бы предложить купить банку. Я думаю, есть понимание, что либо страховые продукты работают на уровне кредитной организации, когда она страхует все свои риски, а клиент является просто покупателем услуги, либо ответственность перекладывается на клиента, и ему предлагается заплатить деньги не только за приобретаемый продукт, но и за страховку. Второй вариант не продается, он клиентам не интересен. А первый пока у нас не работает.
Закон говорит: банк должен вернуть деньги или доказать, что клиент что-то нарушил. Это очень сложно: люди, которые предметно занимаются этими проблемами, понимают, что информационная безопасность и мошенничество - это разные вещи. Информационную безопасность кредитные организации обеспечивают всегда: этого требует и международное законодательство, и регулятор нашего рынка, и все эти типы защиты в том или ином виде будут существовать. Но закон апеллирует к понятию "нарушение", а защита от мошенничества в большинстве случаев рассчитана на предотвращение, на превентивные меры, которые банк должен и может предпринимать, пока беда еще не случилась. Эта коллизия очень трудно регулируется, точнее, почти никак не регулируется.
О клиентской стороне. Ни для кого не секрет, что именно на стороне клиента находятся самые высокие риски. Должен ли финансовый институт предложить всем своим клиентам защиту на уровне их рабочих мест? Понятно, что если это делать, суммы расходов будут космическими, многие организации не смогут себе их позволить. Рекомендации тоже делу не помогут: клиент может их выполнять, а может не выполнять, обязать его нельзя. Что делают в таких случаях иностранные банки? Они защищают рабочие станции клиента, эта защита входит в структуру цены продукта, таким образом они гарантируют максимальную безопасность средств клиента. Но на нашем рынке так пока никто не делает.
По поводу отсрочки девятой статьи 161-ФЗ. Вопрос об уведомлениях лежит на поверхности и не является самым серьезным. Проблема не в том, чтобы оповестить клиента тем или иным способом - у банков есть соответствующие возможности, а в том, что делать после того, как клиент получит уведомление? Какими должны быть адекватные сроки реагирования, чтобы кредитная организация смогла принять необходимые меры и чтобы клиент понял: если сообщение пришло, значит что-то оно за собой повлекло.
В заключение скажу следующее: надо четко понимать, что есть вещи, которые происходят по вине банка, а есть ситуации, в которых виноваты клиенты. И это вопрос очень проблемный: как должна распределяться ответственность?
Д. КАЛЕМБЕРГ: Выступлю сначала как клиент банка. Я хороший клиент, выполняющий все требования банка по информационной безопасности. Тем не менее некоторое время назад я, проведя сканирование на своем компьютере, обнаружил carberp - вирус, способный списать все мои средства. Так что нельзя утверждать, что клиент, выполняющий все предписания кредитной организации по информационной безопасности, полностью защищен.
О распространении средств защиты. Когда шесть лет назад начиналось распространение токенов, мы приходили в банки и говорили, продавайте их клиентам. Большинство банкиров отвечало, что клиенты не будут их брать. Однако были и те, кто с точки зрения бизнеса подошел к вопросу очень правильно: некоторые из них перевели 80% клиентов на токе-ны. Хотел бы особо подчеркнуть, этот переход осуществлялся на добровольной основе, проводились рекламные акции. Около 50% клиентов - юридических лиц готовы за две-три тысячи рублей купить новое средство защиты. Другое дело, что не все кредитные организации умеют такие средства продавать.
С. БЕЛЯЛ0ВА: Банк очень хочет продать инструмент безопасности, но если в законе о НПС прописано, что он обязан возместить клиенту списанные со счета средства, то клиент не будет эти инструменты покупать.
САМОЕ ИНТЕРЕСНОЕ НАЧНЕТСЯ, КОГДА ПОЯВИТСЯ ПРАВОПРИМЕНИТЕЛЬНАЯ ПРАКТИКА ПО ДЕВЯТОЙ СТАТЬЕ 161-ФЗ
И. МИТРИЧЕВ: Мы сейчас говорим про девятую статью 161-ФЗ. Самое интересное начнется, когда появится правоприменительная практика и станет очевидно, что нет критериев возврата средств. По статье клиент имеет право требовать возмещения убытков, но получит ли он его? Вот этот разрыв - на что он имеет право и что он в результате будет получать - очень важен, и здесь найдется место и для страховщиков, и для внедрения тех или иных технологических средств.
Чтобы проиллюстрировать следующий свой тезис, хотел бы провести такую аналогию. Почему мы не ездим на танках, ведь с точки зрения безопасности это совершенно защищенное средство передвижения? Мы предпочитаем не их, а то средство передвижения, которое нам приятно использовать, даже несмотря на его высокую рискованность. В случае с банковскими услугами то же самое. Клиент будет выбирать то, что ему приятно использовать. Если ему будет приятно потратить деньги на инструменты защиты, он это сделает, а если ему нравится закрывать свои риски всего лишь PIN-кодом, он будет пользоваться этим сервисом.
И последний тезис, который я хотел бы высказать: не надо клиенту много всего навязывать, он никогда самостоятельно не сможет разобраться в правдивости рассказов банка о тех или иных средствах защиты. Это вопрос воспитания рынка и правоприменительной практики.
Р. НЕСТЕРОВ: Что касается правоприменительной практики, то я скажу следующее: у нас есть Гражданский кодекс РФ, а в нем есть очень интересная статья об оказании некачественной услуги. Скажите пожалуйста, кто-нибудь мониторил ситуацию с правоприменительной практикой по этой статье? Сколько раз суд вставал в таких спорах на сторону клиента и заставлял банки компенсировать клиенту ущерб, понесенный в результате оказания заведомо некачественной услуги? Почти всегда! Поэтому банки предпочитают договариваться с клиентами до начала судебных разбирательств. Думаю, то же самое мы увидим, когда вступит в силу девятая статья 161-ФЗ.
Ранее прозвучало оригинальное суждение: как только девятая статья вступит в силу, резко возрастет число мошеннических действий со стороны клиентов. Но те, кто так говорит, забывают, что статья направлена на защиту добросовестных клиентов. А злоумышленники, которые передадут свою карту с PIN-кодом третьему лицу, скажут ему: лети в США и обналичь там мои деньги, есть, были и будут. И у банков в соответствии с 161-ФЗ будет возможность защититься от претензий таких граждан. А вот если добросовестный клиент покупает у кредитной организации систему защиты информации и если у него исчезают деньги, то здесь все ясно: суд встанет на сторону клиента, а не банка.
3. Б0Р0ВК0ВА: Я бы хотела более подробно остановиться на уже неоднократно поднимавшейся здесь теме: действия злоумышленников, и как с ними бороться. Хорошо известно, что хищения средств с карт клиентов часто осуществляются путем запуска вирусов. Здесь важно понимать следующий момент: злоумышленники в "дикую" среду вирусов не запускают, пока не оттестируют их на существующих антивирусных программах.
По поводу токенов и других средств защиты. Мы проводили тестирование, и вот что выяснилось: вредоносная программа создавала имитацию диска, на котором находился уже сворованный ключ, позволяющий похищать не только средства в системе ДБО, но и всю пользовательскую информацию. Также наш опыт и наши тесты показывают, что люди не знают, как вести себя за компьютером. Приведу конкретный пример: мы беседовали с бухгалтером одной компании, она призналась, что на мониторе ее компьютера высветилось "окошечко", информирующее о том, что к компьютеру кто-то подключился. Ей это "окошечко" мешало работать, она "кликнула" на значок выхода или на значок "ок". И все!
Е.АКИМОВ: Прозвучало мнение, что, когда вступит в силу девятая статья, в плане мошенничества ничего не изменится. Я бы хотел в этом контексте рассказать о том, что происходит в другой отрасли - телекоммуникационной. С моей точки зрения, ситуация там вполне применима к тому, что мы можем увидеть на рынке банковских услуг. Там налицо проблема с микроворовством, когда со счетов абонентов списывают по сто рублей. Телеком-оператор с этими потерями согласен, ему проще возместить их клиентам, чем идти в каждом конкретном случае в полицию и заводить уголовное дело. То же самое мы можем увидеть и в случае с банковскими картами - возможно, суммы хищения будут более внушительными, но не огромными. Привлечь институт страхования будет затруднительно, разбирательства будут обходиться слишком дорого, в суд никто пойти не захочет, потому что подготовка доказательной базы потребует и сил, и времени. Банк будет вынужден просто заплатить эти деньги клиенту.
Мне кажется, стоит задуматься о такой перспективе, и, возможно, по примеру телеком-операторов договориться с МВД и регуляторами, чтобы банк мог представлять интересы своего клиента, в том числе в правоохранительных органах и в суде.
А. БАБЕНКО: Я бы хотел вернуться к теме безопасности банковского ПО с точки зрения практика. По долгу службы я достаточно плотно общаюсь с компаниями-разработчиками, и мне приходится наблюдать очень интересную картину. Ни в одной организации, куда я приходил, изначально не было никаких наработок по безопасному программированию, да и банки таких требований не выдвигали. То есть финансово-кредитные организации не задумывались о том, что одной из важнейших характеристик информационной системы является безопасность этой системы. Об этом задумываются только тогда, когда у банков возникают проблемы.
Г. ЦЕДИЛКИН: Внедрять технологии SDLC в разработку кода могут очень немногие банки, но они это уже делают и тут им помогает HP Fortify. Большинство кредитных организаций может только заказать аудит кода на стороне. И тут возникает вопрос: как оценить полученные предложения? Разброс цен будет от 30 тыс рублей до трех миллионов рублей. Специалистам по ИБ банка придется анализировать методики, по которым проходит аудит. Но есть и еще одна проблема - аудит занимает один-три месяца, а некоторые скрипты должны быть запущены в течение двух-трех дней. Тут на помощь приходит сканер кода Appercut CCS, когда вы можете в кратчайшие сроки выявить некорректные с точки зрения ИБ участки кода, оперативно устранить и дать разрешение на эксплуатацию, а затем, накопив код за полгода, например, передать его на ручной анализ, выявленные уязвимости внести в базу Appercut, который будет при следующем сканировании контролировать код на их наличие. Регулярно повторяя такие итерации, банк сможет снизить риски, связанные с кодом приложений. Именно в таком ключе мы видим решение озвученной проблемы.
А. СИЗОВ: Мне повезло, я успел поработать и в компании-разработчике, и в банке, к тому же являюсь клиентом кредитной организации. Сначала я хотел бы выступить с оценкой 161-ФЗ со стороны клиента. Мы видим, что Международная платежная система проявляет инициативу и пытается информировать клиентов о новых средствах защиты -появились чиповые карты, технологии 3D-Secure, они популяризируются. Хотелось бы то же самое увидеть от регулятора банковского рынка.
Теперь хочу оценить ситуацию с точки зрения банков. Кредитные организации любят тех клиентов, на которых они зарабатывают. Классический риск - возмещать или не возмещать средства - регулируется в зависимости от того, приносил ли клиент до этого деньги банку. Для остальных клиентов это очень обидная позиция, но, к сожалению, дело обстоит именно так.
Следующий вопрос: как надо защищать клиентов? Я не согласен с теми, кто говорит, что клиенты не хотят и не будут тратить свои деньги на обеспечение безопасности. Они как раз хотят надеяться не только на то, что им вернут деньги в случае реализации риска хищения, но и на себя, и на средства защиты, которые они могут себе обеспечить.
В заключение своего выступления хотел бы сказать: конечно, выбора между страхованием, аппаратными средствами обеспечения безопасности и другими нет, потому что абсолютной панацеи не существует в принципе. Все механизмы защиты должны применяться одновременно, только тогда это будет эффективно.
А. БЕЛКИН: Безусловно, важны и страхование, и разработка аппаратных и программных средств. Но главное заключается в стремлении банков понять свои риски. Ситуация изменилась с точностью до наоборот: раньше банк всегда был прав, а клиент - неправ. После вступления в силу девятой статьи 161-ФЗ клиент всегда будет прав, а банк - нет. Финансово-кредитные организации к такому развороту на 180 градусов явно не готовы. Но, похоже, они все больше начинают это понимать: когда мы год назад собирались в АРБ для обсуждения этой же темы, все участники мероприятия разместились за столом, и еще остались свободные места. Сегодня мы видим, что конференц-зал Ассоциации заполнен, это говорит о том, насколько актуальны проблемы, которые мы обсуждаем.
К нам, как к компании-разработчику, приходят банки за разными решениями. Но обращаются только те, у кого уже начали воровать деньги, остальные живут по принципу "пока гром не грянет...". А между тем совершенно очевидно: любая профилактика должна быть изначально. Банкам нужны "пинки" по массовому внедрению систем антифро-да со стороны регулятора или общественных организаций, например, АРБ. Есть такое понятие, как "железный антифрод", по моему убеждению, на сегодняшний день это единственная полноценная защита для банков. Любые устройства с PIN-кодом взламываются: 60% клиентов, если не все 90%, введут PIN-код по просьбе вируса.
Д. БЕЗКОРОВАЙНЫЙ: Я согласен - любое техническое средство защиты можно обойти, причем не только с помощью технических мер, но и с помощью социальной инженерии. Существуют данные пенетрейшн-тестов, которые наглядно это демонстрируют. Токены, о которых здесь много говорилось, создают только иллюзию безопасности у клиентов. Существуют вирусы, которые невозможно обнаружить традиционными сигнатурными методами. И это проблема не только на клиентских местах, но и во внутренней сети банков.
Открытой статистики по внутренним банковским инцидентам ИБ не существует, и банки в недостаточной степени прозрачны.
Я считаю, что, конечно, следует защищать клиента, но не только его. Нужно обезопасить внутренние системы банков, причем от вирусов, для обнаружения которых необходимо выходить за рамки стандартного сигнатурного механизма обнаружения.
Р. НИГМАТУЛИН: Я хотел бы завершить наше обсуждение на позитивной ноте. Недавно я пришел в обычную районную школу, куда ходит мой ребенок, и увидел на стене школы информационную доску. Так вот, рядом с плакатом, популяризирующим средства гигиены, я увидел плакат об информационной безопасности с подробным описанием того, как следует пользоваться антивирусными программами, ставить на компьютерах сложные пароли и т.д. Мы видим, что информирование населения по этому вопросу начинается теперь буквально со школьной скамьи. И это очень позитивный сигнал.