28/12/2018

Важными вехами развития нормативно-правовой базы информационной безопасности финансовой сферы стали Федеральный закон от 27 июня 2018 года № 167-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части противодействия хищению денежных средств» и обновленное Положение Банка России № 382-П от 9 июня 2012 года.

ДОЛГОЖДАННЫЙ ЗАКОН

К сегодняшним переменам в сфере государственного регулирования информационной безопасности финансовой сферы Банк России шёл с 2015 года. Причиной послужил тогдашний серьёзный всплеск хищений денежных средств в сфере электронных платежей. Как у физических, так и у юридических лиц.

Напомним цифры: в 2015 году более одной тысячи подобных покушений на общую сумму почти в 4 млрд рублей. В 61% случаев покушения завершались хищениями средств у законных владельцев. Более массовым и серьёзным оказался ущерб юридическим лицам, в основном малому и среднему бизнесу. Для них это могло быть крайне болезненным, означать потерю оборотных средств. Это достаточно серьёзный, недопустимо высокий процент. Для его снижения предприняли срочные меры.

Обрисовался ряд проблем, среди самых острых ‑ отсутствие законодательного регулирования мониторинга и обмена данными об инцидентах информационной безопасности в финансовой сфере и об участниках схем хищений денежных средств («дропперах»). Существовали ограничения возможностей государственного регулирования Банком России инфраструктуры платёжных сервисов.

Отсутствовали правовые основы определения, приостановки и возврата сомнительных платежей. Даже если банк – получатель денежных средств определил несанкционированную транзакцию, вернуть их законному владельцу было крайне сложно. Механизмов быстрого возврата для таких случаев не было. Представители банков много об этом говорили и на Уральском форуме, посвящённом информационной безопасности финансовой сферы, и на других подобных мероприятиях.

Выявленные проблемы обсуждались на уровне руководства страны. Для их решения была разработана программа действий по нескольким направлениям, в частности, проработки развития законодательной базы и расширения полномочий Банка России. Итогом этой работы и стало принятие Федерального закона от 27 июня 2018 года № 167-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части противодействия хищению денежных средств».

Настоящий закон вступил в силу по истечении девяноста дней со дня его официального опубликования – 26 сентября 2018 года. Времени для подготовки к полноценному информационному обмену было достаточно у всех банков. Расчёт был на то, что все завершат подготовительные работы к концу лета, до 1 сентября. Мотивация понятная: всем потом станет намного проще, эффективнее работать. Особенно легко будет тем, кто и раньше старался соответствовать действующим нормам. Для них игра по новым правилам вообще не потребует сколько-нибудь существенных затрат.

Для специалистов нормативно-правовые нововведения вообще не стали неожиданностью. Как уже было сказано, многие статьи ФЗ-167 и новые нормы 392-П, направленные на усиление противодействия фроду, были сформулированы по итогам публичных дискуссий. Сначала говорили вообще о необходимости развития регулирования, потом уже о его технических деталях. У многих банков наработан богатый опыт их выполнения на практике. На рынке есть предложения компаний – поставщиков решений.

ГЛАВНЫЕ НОВШЕСТВА

1. Первая важная новация этого закона – создание правовой основы механизма приостановки незаконных платежей и возврата уже переведённых денежных средств их настоящим владельцам. Раньше приостановка хищений и возвращение похищенных денег во многом зависели от воли и профессионализма сотрудников банков. Теперь это легальная, подробно описанная процедура, внесудебная и оперативно работающая.

Но в законе нельзя прописать все детали. Поэтому технические и организационные процедуры проверки подлинности платёжного поручения выбирают операторы платежей. Как оператор-отправитель (к примеру, дополнительное подтверждение поручения путём телефонного звонка и т.п.), так и оператор-получатель (запрос у клиента договора, на основании которого поступает платёж и т.п.).

2. Вторая важная новация – легализация в полном объёме антифрода, мониторинга для выявления мошеннических действий в сфере электронных платежей. Только тогда явно фиктивный платёж может быть вовремя выявлен и остановлен. Ранее эта работа не имела нормативно-правовой основы, была не обязательной и велась по усмотрению руководства банков. Но для своевременного выявления и приостановки мошеннического перевода необходимо, чтобы мониторинг транзакций вели обе стороны. И банк-отправитель, и банк-получатель, а также их взаимодействие.

Противоположный момент – ошибочные приостановки банками платежей. В таких случаях банки обвиняются в превышении полномочий. Чтобы избежать обеих крайностей, в ФЗ-167 предусмотрена обязанность всех организаций, осуществляющих переводы денежных средств, вести антифрод-мониторинг. Банк России наделяется полномочиями определять и публиковать признаки мошеннических транзакций.

Среди них, например, в короткий промежуток времени ‑ большое количество платежей на крупные суммы со счёта юридического лица физическим лицам, находящимся в других регионах. Необычные, странные назначения платежей. И другие отклонения от стандартного поведения клиентов. Каждая финансовая организация использует эти признаки применительно к собственной политике управления рисками и осуществления антифрода.

ФЗ-167 не обязывает банк заблокировать карту клиента в случае подозрения в мошенническом платеже. Есть большой перечень различных действий, которые может совершить оператор перевода денежный средств, чтобы проверить и подтвердить, что транзакция совершается с санкции клиента. Какие именно действия – зависит от того, что написано в договоре обслуживания. Если эти процедуры выполнены, оператор обязан совершить денежный перевод.

3. Третья значимая новация ФЗ-167 – формирование правовой базы для информационного обмена об участниках схем хищений денежных средств в электронных платёжных системах. Речь идёт о реквизитах банковских счетов, используемых злоумышленниками, их владельцах ‑ физических и юридических лицах. Неформально такой обмен вёлся и раньше, но лишь там и тогда, когда у сотрудников разных банков возникало такое желание и им удавалось договориться друг с другом. Для такого информационного обмена не было необходимой правовой основы, его участникам могли угрожать санкции.

Задача ФЗ-167 – легализовать и формализовать обмен такой информацией, а в последующем превратить в систему обязательного характера. Теперь такие возможности появились: попытка хищения электронных денежных средств выводит злоумышленника из режима банковской тайны. Согласно ФЗ-167, Банк России может и получать такую информацию, и доводить её до разных организаций.

Банк России давно технически и организационно готовился к подобной работе, дело было только за принятием соответствующего федерального закона. Проект определения и организации информационного обмена о попытках несанкционированных транзакций, формирования общей базы данных («Фид-Антифрод») был запущен и до конца 2018 года заработает на полную мощность.

4. Четвертая новация ФЗ-167 – крайне важная – расширение полномочий Банка России по регулированию информационной безопасности не только банков, но и всех подведомственных финансовых организаций. Вплоть до микрофинансовых организаций, сельскохозяйственных кредитных потребительских кооперативов и ломбардов, а также не кредитных финансовых организаций – страховых, инвестиционных, брокеров, платёжных систем, пенсионных фондов.

ЛИКВИДАЦИЯ ГЛАВНОЙ БРЕШИ

Несмотря на значительные различия в профилях деятельности, всем финансовым организациям угрожают одинаковые риски информационной безопасности – нарушения целостности, доступности и конфиденциальности информации, фрод и т.п. Наглядный пример ‑ ранее имевшие место многочисленные утечки баз данных клиентов страховых компаний ‑ доказывает необходимость усилить государственное регулирование информационной безопасности всех финансовых организаций.

Нормы обеспечения информационной безопасности для крупных и малых финансовых организаций уже конструктивно обсуждались на заседаниях Технического комитета №122 «Стандарты финансовых операций». Со временем этим стандартам может быть придан статус государственных – ГОСТ Р. Тогда, при соответствующих ссылках в нормативных документах, их нормы превратятся из рекомендательных в обязательные. Большинство технических терминов перемещаются из нормативных документов в тексты государственных стандартов.

Исследования методов деятельности злоумышленников, проведённые Банком России, привели к следующему выводу. Они не нападают на платёжные сервисы как таковые, а решают триединую задачу. Атакуют IT-инфраструктуру финансовой организации, захватывают управление и осуществляют нужные им операции. Такая методика используется независимо от типа и профиля объекта атаки, будь то банк или страховая компания, физическое или юридическое лицо.

Ранее у Банка России были полномочия формулировать требования к информационной безопасности только переводов денежных средств, но не к IT-инфраструктуре организаций, посредством которой они осуществляются. Но именно IT-инфраструктура финансовых организаций оказалась звеном, наиболее уязвимым для злоумышленников. ФЗ-167 помогает ликвидировать эту брешь: Банк России обрёл полномочия устанавливать требования к информационной безопасности IT-инфраструктуры финансовых организаций. По согласованию с двумя другими государственными регуляторами отрасли – ФСБ России и ФСТЭК России.

СНИЖЕНИЕ ДО ПРИЕМЛЕМОГО УРОВНЯ

Теперь о ключевых изменениях в Положении Банка России от 9 июня 2012 года № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств». Нормативные нововведения дополняют 167-ФЗ и рука об руку идут со статьями федерального закона.

Основная цель новшеств – снизить процент несанкционированных транзакций до минимального, приемлемого уровня. За 2017 год уровень мошеннических операций, совершённых с использованием платёжных карт, удалось сократить. По данным ФинЦЕРТ Банка России, он составил 0,0016%. Задача в том, чтобы снизить эту долю в общем объёме транзакций до 0,0005%.

Какие новые обязанности по обеспечению информационной безопасности появились у участников финансовой сферы? Теперь операторы электронных платежей в обязательном порядке должны информировать ФинЦЕРТ Банка России об инцидентах. Прежде участие в информационном обмене было добровольным, и количество участников достигло почти семисот.

После обновления 382-П такое информирование стало обязательным, что отвечает нормам Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации» от 26 июля 2017 года № 187-ФЗ. Согласно этому закону, все финансовые организации, любые ‑ от системообразующих банков до ломбардов ‑ относятся к объектам критической инфраструктуры (КИИ) со всеми вытекающими последствиями, включая обязанность информирования государственного регулятора об инцидентах.

В 382-П нет конкретизации механизма обмена информацией об инцидентах и данными дропперов. Этот механизм и его формат прошли согласование с ФСБ России и обсуждение в органах стандартизации. О чём финансовые организации были уведомлены информационным письмом с организационно-техническими рекомендациями внедрения.

Субъекты Национальной платёжной системы обязуются противодействовать компьютерным атакам, направленным как на их инфраструктуру, так и на устройства клиентов. В собственной инфраструктуре выявлять и устранять уязвимости на двух уровнях: инфраструктурном (операционные системы, СУБД, телекоммуникации) и прикладном (сертификация по российскому законодательству). Противодействие атакам на клиента включает дополнительные процедуры его идентификации и подтверждения транзакций, а также использование для этого раздельных технологий и возможность ограничения параметров финансовых операций.

ПЕРЕХОД НА ОТЕЧЕСТВЕННУЮ КРИПТОГРАФИЮ

Следующая нормативная новация обновлённого 382-П – создание основы технологической независимости национальной платёжной системы – имеет отложенные сроки действия до 2024 и до 2031 годов. Это требование использовать в национальной платёжной системе только отечественные аппаратные средства криптографической защиты информации. К 2024 году все HSM (Hardware Security Module) ‑ аппаратные модули криптографической защиты, работающие в ключевых узлах платёжных систем, ‑ должны производиться в России и поддерживать алгоритмы шифрования не только зарубежные, но и российские. В том числе и в процессах, которые обслуживают операции международных платёжных систем VISA и MasterCard. С картами национальной платёжной системы «Мир» уже работает отечественное оборудование.

Это требование важно в условиях возможных новых зарубежных санкций, учитывая, что аппаратные средства криптографической защиты информации – двойного назначения. Нет гарантий, что иностранные производители, два из которых являются крупнейшими глобальными монополистами, в «час икс» не наложат ограничения на дальнейшие поставки, поддержку техники или на длину криптографического ключа, что снизит надёжность уже используемого в России оборудования. Нельзя допустить, чтобы платёжные карты россиян вдруг перестали работать из-за ненадёжных зарубежных поставщиков.

Чтобы обезопасить себя на подобный случай, придётся провести сложные технические мероприятия, на что отводится срок до 2024 года. Россия как страна, как государство должна быть суверенной, независимой, в том числе и в проведении электронных платежей. Есть как минимум три отечественные компании, готовые производить и поставлять требуемое оборудование. Предстоит большая работа, чтобы их продукция получила международную сертификацию, для чего потребуется помощь государства. Конкуренция за рубежом высока, и нас там никто не ждёт.

Второй отложенный срок – 2031 год, к этому времени вся инфраструктура платёжных карт должна работать с отечественными средствами криптографической защиты. Программа «Цифровая экономика Российской Федерации», утверждённая Распоряжением Правительства РФ от 28 июля 2017 года № 1632-р, включает необходимые для этого мероприятия. Предстоящие перемены готовились как логическое развитие предшествующих действий.

Предложения разрабатывались с участием рабочей группы Банка России, в которую входили эксперты из ФСБ России, Министерства промышленности и торговли РФ и Министерства цифрового развития, связи и массовых коммуникаций РФ, а также представители пяти крупнейших банков. Детально, по пунктам исследовались перспективы перевода современных платёжных технологий на отечественную базу, обеспечения безопасности, необходимые затраты. Банки оценили предполагаемые затраты как не существенные для себя, в границах обычных вложений в модернизацию инфраструктуры.

ГАРАНТИРОВАННАЯ ЗАЩИТА ПЛАТЕЖА

Ещё одна новация в 382-П – переход к внешней оценке реальной защищённости платёжных средств и технологий, используемых для денежных переводов. Раньше финансовая организация могла делать самооценку, но теперь этого совершенно недостаточно. Также появилась обязанность финансовых организаций проводить тесты на проникновение. Для большинства финансовых организаций это требование не внове. В рамках стандарта платёжных карт PCI DSS они подобные процедуры уже проводили. Новация 382-П в том, что точно такие же процедуры распространяются на все технологии передачи финансовых сообщений.

Для повышения надёжности защиты предлагается разделить два контура – подготовки и подтверждения платёжного поручения. Не нужно думать, что для этого пользователю обязательно понадобятся два мобильных телефона. Есть много других вариантов, когда при совершении операций через интернет оператор может гарантировать защищённость механизма перечисления клиентских денежных средств от воздействия вредоносного кода.

Оператор решает самостоятельно, при помощи каких средств решить эту задачу. Например, некоторые банки встраивают в свои мобильные приложения антивирусы, средства анализа защищённости устройства клиента. Для юридических лиц удобнее, может быть, специальное дополнительное устройство, на которое приходит контрольная информация для дополнительного подтверждения, одноразовый пароль.

Ещё одно важное новшество – информирование банками ФинЦЕРТа Банка России обо всех инцидентах информационной безопасности стало обязательным. Среди обязательных показателей отчётности остаются экономические, чтобы был понятен масштаб и значение инцидента. Передача этой информации будет осуществляться через автоматизированную систему, которая уже запущена в промышленную эксплуатацию и выйдет на полную проектную мощность к концу 2018 года.