Усиление борьбы с хакерскими атаками на банки и их клиентов потребовало не только изменений законодательства. Смогут ли новые требования регулятора к банкам повысить сохранность клиентских средств, “Ъ” рассказал и. о. главы департамента информбезопасности Банка России Артем Сычев.
— В конце июня Госдума приняла закон 167-ФЗ. Он дает банкам право на два рабочих дня приостанавливать операции, если есть основания полагать, что они совершены без ведома клиента. Но у нас много праздников, получается, что, например, в период Нового года деньги могут быть заморожены на десять и более дней. Не планирует ли ЦБ обязать банки работать в праздничные дни, чтобы не было такого большого разрыва?
— Нет. Если положить на одну чашу весов возможность деньги потерять, а на другую — пусть даже единовременную задержку трансакции, то важнее сохранение денег. Тем более у клиента есть способы подстраховать себя: предупредить банк о том, что трансакции будут совершаться из другой локации, завести две-три карты или, например, иметь с собой наличные.
— Но могут же быть и ошибки со стороны банка, когда легальную трансакцию примут за несанкционированную…
— Смысл, который мы вкладывали в эту норму, в том, чтобы система антифрод работала как в банке отправителя средств, так и в банке получателя. Когда это работает массово, тогда ошибок, ложных срабатываний будет гораздо меньше.
— Может быть ситуация, когда банк не дозвонился до клиента и в итоге спустя два дня деньги ушли мошенникам. Вернуть их не получится?
— Получится. В этом случае для физлиц работают нормы ст. 9 закона 161-ФЗ, которая прямо обязывает банк возвращать средства клиенту по трансакциям, совершенным без его согласия. Когда закон был еще проектом, он дважды проходил комиссию по кодификации при президенте РФ для того, чтобы убедиться: права граждан не нарушены. И дважды мы подробно объясняли, что в конструкции этого законопроекта в совокупности с иными законодательными актами — ГК, законом о национальной платежной системе, иными документами — мы даем гражданам даже дополнительные гарантии. Банк России будет контролировать, как банки исполняют эту норму закона. Для этого изменена соответствующая форма отчетности.
— Если несанкционированная операция совершена со счета компании, то ситуация иная. Должен ли получатель денежных средств в течение пяти дней предоставить в банк-получатель документы, подтверждающие, что средства предназначались именно ему?
— Да, это так. До появления этой нормы у банка получателя не было законных оснований вернуть законному владельцу средства, неправомерно выведенные с его счета, однако с сентября, когда закон вступит в силу, они появятся.
— Однако могут же быть спорные ситуации, когда отправитель средств говорит об атаке, а получатель представляет документы, говорит: деньги его…
— Если такая ситуация возникает, спор будет разрешаться в суде.
— В законе предусмотрено, что признаки перевода денежных средств без согласия клиента будет публиковать ЦБ. Но ведь возможна ситуация, когда клиента ограбят новым для ЦБ способом и банк пропустит трансакцию?
— Перечень признаков не будет неизменным, ЦБ сможет оперативно его обновлять. Опять же банк для себя должен проанализировать поведение клиента, особенности бизнеса и только после этого принимать решения. И если банк считает, раз признака нет в перечне ЦБ, то можно не тормозить трансакцию, то это в корне неверно.
— ЦБ внес поправки и в свой нормативный документ — положение 382-П. Если банк не может быть уверен в защите устройства клиента от вредоносного кода, необходимо разделить контуры для оформления платежного документа и подтверждения трансакции. Но разве банк может быть уверен, что мобильный телефон клиента защищен от воздействия кода?
— Да, если банк принял такие технологические меры безопасности в своем программном обеспечении, которые сделают безопасными трансакции даже с зараженного устройства. Например, если будет некий аналог так называемой песочницы, в которую из операционной системы получить доступ практически невозможно.
— То есть банк может реализовать защиту от воздействия вредоносного кода так, что клиент этого не заметит?
— Конечно. Вот одна из задач, которую ЦБ хочет решить,— чтобы защита, в том числе криптографическая, присутствовала, но при этом была удобна и незаметна пользователю. Есть банки, в которых такая защита уже реализована.
— Не совсем понятно про разделение контуров…
— Простой пример: в большинстве онлайн-банков клиент составляет платежку на компьютере, а код подтверждения приходит на мобильный телефон. Это и есть один из вариантов.
— Хорошо, допустим, банк отчитался об установлении защиты от вредоносного кода. А злоумышленники все равно похищают средства у его клиентов. Как поступит регулятор с таким участником рынка?
— Прежде чем делать выводы, необходимо смотреть на причины хищения. Тут важно, чтобы банк предпринял все возможное для предотвращения подобных ситуаций. И если в ходе проверки ЦБ увидит, что защита недостаточна, банку будут даны рекомендации.
— Без штрафа?
— У нас нет задачи банк наказать за это. Есть задача понять, каков уровень защищенности и что нужно делать в системе целиком. Наша практика показывает, что в банках в целом уровень обеспечения информационной безопасности адекватен основным рискам. Но есть куда стремиться.
— Документ ЦБ дает право банкам вместо защиты от воздействия вредоносного кода или же разделения контуров устанавливать клиентам ограничения по суммам, получателям средств и т. д. Не сведется ли в итоге вся защита средств клиентов к таким ограничениям?
— Нет. Любой банк заинтересован в том, чтобы клиент и его деньги не ушли к конкуренту. И даже установив лимиты по трансакциям, клиент будет иметь возможность их расширить при дополнительном подтверждении платежа.
— Можете пояснить на примере?
— Самый простой пример — операции бесконтактной оплаты картой. У банков есть лимит суммы такой операции без подтверждения пин-кодом. При его превышении операцию можно совершить, но только введя пин-код. Подтверждение перевода — это защита клиента и его денег от злоумышленников.