С октября 2023 года вступит в силу новая редакция стандарта правил информационного обмена о кибератаках и инцидентах инфобезопасности в финсфере. Они позволят аккумулировать данные об атаках более чем по 50 признакам.
«Так, под подозрение попадают, например, случаи одновременной работы интернет-банкинга в разных географических местах, оформление предодобренного кредита сразу после снятия блокировки онлайн-банкинга из-за неверного ввода логина, пароля или номера телефона», — говорится в сообщении ЦБ. Кроме того, банки обяжут обращать внимание на нетипичные для клиента денежные операции с нового телефона или ПК. В автоматизированную систему обработки инцидентов (АСОИ ФинЦЕРТ) будут передавать развернутую информацию о подозрительной трансакции: сведения о гаджете, с которого совершена операция; номер SIM-карты, геолокацию и прочие параметры.
В ЦБ считают, что более полные сведения, поступающие в систему, помогут лучше бороться с мошенническими переводами.
20 октября 2022 года президент подписал закон, который призван ускорить процесс информационного обмена между МВД и банками при расследовании мошеннических операций, напоминает «Известиям» технический директор российской IT-компании HFLabs Никита Назаров.
— Вместо того чтобы запрашивать информацию у каждого банка, через который шел платеж, МВД будет обращаться к ЦБ, который эту информацию централизованно соберет и подготовит. Решить эту задачу внутри ЦБ призван ФинЦЕРТ — подразделение инфобезопасности, — объясняет он.
На текущий момент приказом Банка России от 27 сентября 2018 года № ОД-2525 установлено всего три критерия, которые сигнализируют о том, что операция выполняется без согласия клиента: получатель платежа входит в список известных мошенников; устройство, с которого отправляется платеж, входит в список известных мошеннических; платеж не соответствует «обычному» поведению клиента.
— Первые два предельно конкретны, а вот третий позволяет крайне вольную трактовку. Новый же стандарт содержит сотню страниц, описывающих новые классы инцидентов, задействованные техпроцессы и критерии информирования, — добавляет эксперт.
Так как закон вступит в силу в октябре, у банков есть полгода, чтобы подготовиться и разработать сервисы для мониторинга, нотификаций и ответов.
— Не думаю, что этого времени хватит, чтобы каждая кредитная организация России успела разработать полный набор сервисов для взаимодействия с ЦБ, — говорит Никита Назаров. — Также есть вопросы к способности банков заполнить все требуемые поля — если документ, удостоверяющий личность плательщика, у банка быть обязан (хотя на практике они бывают и неактуальными), то СНИЛС есть редко, а уж про ДУЛ (договор уполномоченного лица. — Ред.) и ИНН получателя говорить не приходится.
Регулятор также предполагает сбор массы информации об устройствах, с которых выполняются операции: IP и MAC-адреса, ICCID и IMSI-коды телефонов — всё это не является обязательным, но без передачи такой информации процесс расследований вряд ли упростится. А банкам придется более серьезно относиться к сбору информации и ее структурированию, констатирует Назаров.
Государственная статистика и частные исследователи сходятся в том, что угрозы в финансовой сфере нарастают как для банков, так и для их клиентов. Представитель компании «РТК-Солар» сообщил агентству «Прайм» о 87 тыс. хакерских атак на российские банки. Самая продолжительная из них длилась 33 дня, рекорд среди атак по мощности составил 30 Гбит в секунду. Ранее ЦБ сообщил о 877 тыс. операций без согласия клиентов в 2022 году. Объем ущерба от кибермошенников вырос на 4,29%, до 14,2 млрд рублей. Для сравнения, бюджетные расходы Еврейского автономного округа в прошлом году составили 15,7 млрд рублей.
Любопытно, что в административном законодательстве нет четкой санкции, наказывающей финучреждения за умалчивание о попытках сомнительных трансакций.
— Сокрытие утечки или информации о кибератаке так или иначе не может быть расценено как нарушение законодательства в области защиты персональных данных, — объясняет член Ассоциации юристов России Дмитрий Уваров. — Законодателем не устанавливается ответственность при такой ситуации.
Он пояснил, что, согласно п. 6 ст. 13.11 КоАП РФ, установлена ответственность лишь за утечку персональных данных. Речь идет о невыполнении оператором при обработке личных сведений (без использования средств автоматизации) обязанности по соблюдению условий их сохранности на материальных носителях, исключающей несанкционированный доступ. При условии, что это повлекло неправомерные последствия (случайный доступ, уничтожение, изменение, блокирование, копирование, распространение и прочее). Штраф для граждан — в размере от 1,5 тыс. до 4 тыс. рублей; для должностных лиц — от 8 тыс. до 20 тыс. рублей; для индивидуальных предпринимателей — от 20 тыс. до 40 тыс. рублей; юрлицам придется заплатить от 50 тыс. до 100 тыс. рублей.
Иван Петров