Банк России решил возвращать средства, похищенные у российских кредитных организаций и выведенные за рубеж, с помощью Росфинмониторинга. Используя систему взаимодействия финразведок всего мира, регулятор надеется замораживать эти средства в зарубежных банках. Однако, по мнению экспертов, подобное взаимодействие не гарантирует возврата похищенного. Ведь для оперативного реагирования нужны круглосуточно работающие службы, тогда как система взаимодействия между финразведками в таком режиме не работает в принципе.
О планах с помощью Росфинмониторинга останавливать средства, выведенные хакерами из российских банков в западные, объявил во вторник на Х Уральском форуме зампред ЦБ Дмитрий Скобелкин. «Мы сейчас активно работаем с Росфинмониторингом, который является членом группы “Эгмонт”, объединяющей все финразведки мира, а у “Эгмонта” есть соответствующий закрытый канал моментальной, молниеносной передачи информации между участниками группы»,— пояснил господин Скобелкин. Этими возможностями и планирует воспользоваться ЦБ, в ближайших планах которого заключение соглашения о взаимодействии с Росфинмониторингом. В случае если средства будут похищены у банка, а ЦБ отследит платеж, то через Росфинмониторинг он будет стараться оставить и заморозить средства уже на счетах в иностранных банках. Он пояснил “Ъ”, что с 26 февраля начнется обсуждение технических деталей с Росфинмониторингом.
Начать работу по данному направлению, судя по всему, ЦБ побудила атака на банк «Глобэкс» с выводом средств за рубеж через систему SWIFT (см “Ъ” от 19 декабря 2017 года). Как ранее сообщал банк, хакеры попытались похитить около $1 млн, однако перевод более 70% этих средств был остановлен, и они уже возвращены. Судьбу невозвращенных 30% банк не комментирует, поскольку расследование еще не завершено.
Как сообщил “Ъ” статс-секретарь Росфинмониторинга Павел Ливадный, ряд подразделений финразведок разных стран, в том числе Франции и Италии, имеют право блокировать операции или счета на определенный период времени, который варьируется от нескольких часов до нескольких дней. По его словам, «в случае запроса по спецканалам “Эгмонта” от российского подразделения финразведки возможно блокировать в рамках запроса, если законодательство данной страны предусматривает такую блокировку, при этом процедуры предусматривают различные сроки реагирования».
Эксперты считают необходимым подобное взаимодействие в круглосуточном режиме. «Атаки на банки с выводом средств за рубеж с использованием SWIFT или же путем перевода средств на счета в иностранных банках будут только увеличиваться»,— считает гендиректор Solar Security Игорь Ляпунов. «У Росфинмониторинга уже есть опыт возврата в Россию полученных преступным путем средств, есть аналогичный опыт у финразведок других стран,— рассуждает сопредседатель комитета Ассоциации российских банков по вопросам ПОД/ФТ и комплаенс-рискам Алексей Тимошкин.— А хищения средств хакерами — это, по сути, разновидность тех же полученных преступным путем средств».
Однако, чтобы данная идея принесла плоды, необходимо добиться быстрой реакции на инциденты. Как отмечает гендиректор Group-IB Илья Скачков, «скорость критична, координация должна происходить в течение нескольких часов». Однако финразведки всего мира между собой не взаимодействуют в круглосуточном режиме. Как сообщил собеседник “Ъ”, знакомый с принципами обмена информацией в «Эгмонте», финразведки общаются между собой по запросам, молниеносное реагирование осуществляется лишь в исключительных случаях на уровне руководства финразведок, срок же реагирования на запрос финразведки другой страны может достигать 60 суток. «Любая инициатива ЦБ, направленная на предотвращение хищения денежных средств, всегда упирается в проблему отсутствия у большинства участников круглосуточно работающих служб,— отмечает эксперт по информационной безопасности Cisco Алексей Лукацкий.— Это касается и планируемого требования ЦБ к банкам об уведомлении об инцидентах в течение трех часов с момента наступления инцидента, будет касаться и данной темы».