Банк России обязал кредитные организации с 1 октября 2023 года передавать в ФинЦЕРТ развёрнутую информацию о подозрительных транзакциях, чтобы регулятор получал сведения обо всех участниках мошеннических переводов, а не только о конечном получателе, как это происходит сейчас.
С октября текущего года в АСОИ ФинЦЕРТ будет стекаться подробная информация о подозрительных транзакциях. Например, сведения о гаджете, с которого совершена операция, номер SIM-карты, геолокация человека, который проводит операцию, и т. д.
«Новая редакция правил, которые впервые появились в 2018 году, подготовлена с учётом актуальных приёмов кибермошенников, формы запросов адаптированы под предстоящий информационный обмен между Банком России и МВД России по фактам хищений денежных средств при переводах. За счёт увеличения состава и повышения качества поступающих в нашу автоматизированную систему сведений банки смогут лучше бороться с мошенническими переводами», — отметил директор Департамента информационной безопасности Банка России Вадим Уваров.
Мы попросили экспертов оценить, в какой степени такие меры повысят уровень информационной безопасности и каковы будут последствия введения таких мер для банков.
«Сервисы большинства банков не готовы к дополнительной нагрузке»
Концепция данной инициативы хорошая, она обяжет аккумулировать и обращать внимание на данные об атаках более чем по 50 признакам, отмечает генеральный директор ITGLOBAL.COM Security Александр Зубриков. Так, под подозрение попадают, например, случаи одновременной работы интернет-банкинга в разных географических местах, оформление предодобренного кредита сразу после снятия блокировки онлайн-банкинга из-за неверного ввода логина, пароля или номера телефона.
«Это не только поможет пресекать мошеннические и подозрительные операции, но и будет полезно органам внутренних дел в расследовании финансовых преступлений. Однако могут возникнуть сложности — неясно, все ли банки успеют за полгода подготовиться и модифицировать архитектуру и бизнес-процессы должным образом. Также есть большая вероятность, что банки не будут в полной мере исполнять эти требования, так как государством не устанавливается ответственность или вообще какие-то санкции при неисполнении», — считает эксперт.
По его словам, главное последствие этой инициативы — дополнительная нагрузка на банки, которым придётся в кратчайшие сроки закупать новые или расширять и перенастраивать текущие системы, сервисы и СЗИ. Сервисы большинства банков были не готовы собирать и анализировать такие объёмы данных, подчёркивает он. Также могут потребоваться дополнительные вложения в кадровом направлении. Может оказаться так, что придётся в кратчайшие сроки нанимать новых специалистов или обучать текущих под новые реалии и новые требования.
«Судя по опыту, многие банки постараются отсрочить выполнения данных мер, по крайней мере, пока за их невыполнение не будет контроля и административной ответственности — это поможет выиграть время и подготовиться более качественно», — добавляет Зубриков.
«Для индустрии полезно, но отдельно взятому человеку вряд ли поможет»
В теории введённые меры могут повысить общий уровень безопасности в том смысле, что несколько проще станет выявлять мошеннические схемы и оперативно на них реагировать, считает руководитель группы защиты инфраструктурных ИТ компании «Газинформсервис» Сергей Полунин.
«Отдельно взятому обманутому человеку это не особо поможет, но потенциально со временем потребует от злоумышленников как-то менять свои мошеннические схемы, подстраиваться под новые условия, а это может вызвать определённые сложности у аферистов. Кроме этого, конечно, всей индустрии будет очень полезно, если финансовые учреждения не будут замалчивать проблемы в сфере информационной безопасности. Борьба с хакерами, особенно в сфере финансов,— это общее дело, в этом смысле мы в одной лодке», — высказывает своё мнение эксперт.
При этом нагрузка на информационные системы банков возрастёт чисто технически — каждое событие или каждый инцидент должен теперь будут дополняться всеми этими сведениями о геолокации или данными сим-карты. Это очень небольшой объём данных, но, учитывая количество событий в целом, объёмы хранения могут заметно возрасти, отмечает Полунин. Ведь, кроме того, чтобы сгенерировать инцидент, его нужно как-то корректно хранить и передавать.
«Кроме того, чтобы эти данные попали в инцидент, сведения нужно начать собирать, в том числе от пользователей. Это вполне решаемая инженерная задача, которая просто потребует доработки информационных систем банков и, например, клиентских приложений», — добавляет эксперт.
«Слишком мало времени, чтобы банки успели серьёзно подготовиться»
Закон вступит в силу в октябре, у банков есть полгода, чтобы подготовиться и разработать сервисы для мониторинга, нотификаций и ответов.
«Не думаю, что этого времени хватит, чтобы каждая кредитная организация России успела разработать полный набор сервисов для взаимодействия с ЦБ», — высказывает свою точку зрения технический директор ИT-компании HFLabs Никита Назаров.
По его словам, также есть вопросы к способности банков заполнить все требуемые поля: если документ, удостоверяющий личность плательщика, у банка быть обязан (хотя на практике они бывают и неактуальными), то СНИЛС есть редко, а уж про ДУЛ, СНИЛС и ИНН получателя говорить не приходится.
«Регулятор также предполагает сбор массы информации об устройствах, с которых выполняются операции: IP и MAC-адреса, ICCID и IMSI-коды телефонов — всё это не является обязательным, но без передачи такой информации процесс расследований вряд ли упростится. А банкам придётся более серьёзно относиться к сбору информации и её структурированию», — уверен эксперт.
«ЦБ готовит банки к новым законодательным поправкам»
«На наш взгляд, само по себе требование о сборе и передаче такого рода информации является позитивным фактом как минимум потому, что обяжет банки собирать информацию такого рода. Мы предполагаем, что в дальнейшем ЦБ так или иначе будет эту информацию агрегировать и использовать для оценки текущей ситуации, а в идеальном варианте — приведёт к принятию в отрасли новых стандартов», — делится своей точкой зрения эксперт по информационной безопасности, директор технологического стартапа «Третья сторона» (3side.org) Антон Бочкарев.
По его словам, уже сейчас многие банки имеют собственные алгоритмы выявления подозрительных транзакций, которые активно используются и позволяют предотвратить значительную часть мошеннических операций.
«Не исключено, что ЦБ готовит банки к поправкам в законодательстве, которые переложат на них потенциальные убытки по мошенническим транзакциям, даже если они были совершены самим клиентом, — предполагает эксперт. — Предусматривающий это закон был принят Госдумой в первом чтении 15 марта 2023 года».
Безусловно, вместе с применением других систем, таких как разрабатываемая ЕИС ПСА (система проверки сведений об абоненте), может существенно повысить уровень безопасности, сократить для банка операционные риски и снизить возможный ущерб от действий мошенников, но это будет зависеть от конкретной реализации требований ЦБ и возможных изменений в законодательстве, отмечает Бочкарев.
Безусловно, необходимость внедрения подобных изменений увеличит для банков операционные расходы, потребует найма дополнительных специалистов и, вероятно, инвестиций в инфраструктуру, считает он. С другой стороны, получение доступа к новой информации может улучшить качество внутрибанковских моделей предотвращения мошенничества и в конце концов как сократить ущерб, наносимый клиентам банка, так и снизить собственно банковские оперриски, подчёркивает эксперт.
«Очень многое зависит от того, кто в конце концов, по мнению ЦБ, должен будет платить за фактически понесённый от действий мошенников ущерб — в случае с российской банковской системой речь идёт о 14,2 млрд рублей за прошлый год, и количестве незаконных операций, которое составило порядка 900 тысяч. Поэтому в краткосрочной перспективе мы видим необходимость инвестирования как в инфраструктуру, так и в сотрудников. В долгосрочной — возможное сокращение числа мошеннических транзакций», — считает Бочкарев.
«Говорить об опережении мошенников пока невозможно»
Расширение критериев информационного обмена коммерческих банков, мегарегулятора и силовых структур относительно киберинцидентов вполне логично и высоковероятно повысит уровень кибербезопасности, но говорить об опережении мошенников вряд ли возможно, высказывает своё мнение кандидат экономических наук, декан факультета «Цифровая экономика и массовые коммуникации» МТУСИ Сергей Гатауллин.
«Всё расширение полей сбора информации продолжает носить характер анализа данных постфактум и не гарантирует защиту от фрода, который постоянно меняет своё цифровое обличие. Сложность борьбы с фродом заключается именно в том, что киберпреступники постоянно меняют свои бизнес-модели, оперативно подстраиваясь под технологический стек силовых структур, находя уязвимости. При этом бизнес-модели фрода усложняются и помимо новых информационных технологий активно используют и социальную инженерию, от которой обмен самой полной информацией о киберинцидентах не спасает», — объясняет эксперт.
Однако борьбу с фродом необходимо продолжать, и затраты на обеспечение кибербезопасности будут увеличиваться, говорит Гатауллин. Мошенники зачастую используют самые современные технологии, в том числе искусственного интеллекта, для осуществления киберпреступлений, и противостоять им должны сотрудники соответствующего уровня подготовки, подчёркивает он. При этом нельзя допустить создания условий, в которых финансовые учреждения вынуждены будут скрывать киберинциденты.
Эффективная работа ФинЦЕРТ
По мнению руководителя направления аудитов и соответствия требованиям ИБ компании УЦСБ (Екатеринбург) Евгения Баклушина, сейчас сложно говорить о каких-то конкретных цифрах, но уровень информационной безопасности в результате принимаемых ЦБ мер точно возрастёт.
«В России Центробанк — один из локомотивов в вопросе обеспечения кибербезопасности, поэтому здесь однозначно стоит ожидать от коллег из ФинЦЕРТ дальнейшего улучшения своей деятельности, своих процессов», — отмечает эксперт.
Он считает, что возможно активное включение ФинЦЕРТ в международное сотрудничество по противодействию мошенническим операциям. Например, с Национальным центром мониторинга кибербезопасности Республики Беларусь в рамках Союзного государства.
«Здесь уже ведётся работа с коллегами по многим направлениям, финансовые мошеннические операции не будут исключением. Также в рамках наверняка будет взаимодействие с аналогичными центрами стран-участников ШОС и БРИКС», — отмечает Баклушин.
Директор по продуктам компании «Гарда Технологии» Павел Кузнецов говорит, что в целом деятельность по предотвращению мошеннических операций ведётся Центральным банком уже далеко не первый год.
«Наибольшую эффективность ФинЦЕРТ продемонстрировал в первые три года после своего создания. Текущие нововведения просто расширяют перечень данных, предоставляемых участниками финансового рынка регулятору в целях более эффективной координации борьбы с мошенничеством с участием правоохранительных органов», — отмечает эксперт.
Послесловие. Сработает ли правило: чем больше информации, тем больше защиты?
Таким образом, можно констатировать, что у банков есть почти полгода для того, чтобы подготовиться к выполнению требований ЦБ, предусмотренных новой редакцией стандарта правил информационного обмена о кибератаках и инцидентах информационной безопасности в финансовой сфере (СТО БР БФБО-1.5-2023). По мнению регулятора, эти нововведения необходимы для исполнения закона об информационном обмене между регулятором и МВД России.
Сбор информации обо всех участниках переводов и её детализация по более чем 50 уникальным признакам — это дополнительная нагрузка на банки, которым придётся перенастраивать текущие СЗИ. С другой стороны, пока непонятно, какое наказание последует, если требования не будут выполнены. Только после того как новая редакция стандарта заработает, можно будет оценить, насколько это полезно для конечного пользователя — клиента кредитной организации. Потому что количество собираемой информации растёт из года в год, а вот киберпреступность от этого не падает, скорее наоборот, она увеличивается по мере роста тех данных, которые собирают о гражданах не только банки, но и многие другие учреждения, включая государственные.
При этом стоит отметить, что банки не впервые выполняют новые требования регулятора и расширяют свои системы и сервисы. Возможно, в ближайшем будущем им это будет очень даже полезно, учитывая то, что регулятор может рано или поздно принять решение о том, чтобы возложить на кредитные организации убытки по мошенническим транзакциям, даже если они были совершены самим клиентом.