В России появятся правила безопасного интернет-банкинга
В 2017 году в России появятся единые требования к уровню защиты систем дистанционного банковского обслуживания. Это следует из плана развития электронного взаимодействия на финансовом рынке, утвержденного зампредом правительства Аркадием Дворковичем в мае (есть у «Известий»). Некоторые эксперты предложили ввести требования к сложности пароля клиентов банков, есть и противники обязательности генеральных стандартов в интернет-банкинге.
У всех российских банков разный уровень защиты интернет-банков, включая мобильные банки, поэтому нужны четко установленные требования к уровню их защиты, считают в правительстве и Центробанке. В рамках проекта ЦБ и Федеральная служба безопасности сейчас проводят анализ степени защиты таких банковских систем, о результатах своего исследования они должны отчитаться перед кабмином до конца июня.
По словам источника, близкого к ЦБ, регулятора беспокоят не только масштабы мошенничества (официально это несколько миллиардов рублей в год), но и латентность этих нарушений; например, правоохранительные органы возбуждают уголовные дела только по 1–5% общего количества преступлений, связанных с хищением клиентских денег. По оценкам исследовательско-консалтинговой компании Group-IB, в прошлом году ущерб от атак на системы интернет-банкинга банков составил $289 млн. Источник указал, что в разработке стандартов информационной безопасности активно будет участвовать Центр по борьбе с киберугрозами, созданный при ЦБ (документы о его создании подписаны в мае 2015 года, штатное расписание еще не утверждено).
Глава Group IB Илья Сачков констатирует, что зачастую подразделения банков, ответственные за дистанционные сервисы, по разным причинам противятся внедрению дополнительных мер безопасности (в силу непонимания угроз, экономии и нежелания тратить бюджет на безопасность, стремления сделать вход в интернет-банкинг максимально быстрым и простым).
— В конфликте многих российских банков между бизнесом и безопасностью пока выигрывает бизнес, — считает Сачков. — Введение со стороны ЦБ обязательных защитных механизмов заставит некоторые банки либо отказаться от дистанционного обслуживания или сделать его максимально безопасным (и совместить это с удобством). Можно было бы навязать пользователю сложный пароль, и, разумеется, выбор безопасного пароля — дело важное, но на самом деле безопасный пароль не спасет клиентов от мошенников. В большинстве случаев пароль становится доступен злоумышленнику через фишинговые (поддельные) сайты или когда на компьютере вирус пароль перехватывает. Злоумышленники почти никогда не подбирают пароль — они всегда его знают. По нашим данным, защищенный интернет-банк — только у 15–20 из 800 российских банков.
По оценке исполнительного директора компании InfoWatch Всеволода Иванова, безопасный ИБ 5% банков РФ — это не более 40 банков, причем в их число входят как крупные, так и небольшие участники рынка.
В пресс-службе ЦБ отказались комментировать эту тему.
Сачков считает, что в список требований к системам дистанционного банковского обслуживания (ДБО) банков должны войти: двухфактурная авторизация для входа в интернет-банк (подтверждение входа по одноразовому коду); отображение в SMS реквизитов получателя денежных средств; контроль смены SIM-карты; контроль заражения смартфона; мониторинг и закрытие фишинговых сайтов; мониторинг скомпрометированных учетных записей и др. Сачков также предлагает дополнительно страховать операции, проводимые через ДБО.
По мнению директора департамента аудита защищенности Digital Security Алексей Тюрина, для улучшения ситуации в области безопасности может также помочь многофакторная аутентификация и подтверждение действий в ДБО, постинформирование по операциям. Также ситуацию улучшит информационная работа с клиентом и более простые способы взаимодействия с правоохранительными органами, но последнее от банков зависит мало.
Директор департамента дистанционного банковского обслуживания Бинбанка Алексей Дегтярев указывает, что при создании единых для всех участников рынка стандартов безопасности систем ДБО в качестве образца можно взять PCI DSS — набор правил и требований, применяемых в индустрии платежных карт.
Сачков, который с коллегами так или иначе выиграет от новых стандартов ЦБ, считает, что банки, чьи системы ДБО в 2017 году не будут соответствовать требованиям, нужно наказывать.
— Уместны штрафы и запрет проведения дистанционных платежей, — считает Сачков.
Директор департамента корпоративных финансов Deloitte & Touche CIS Алексей Ивлев, уверен, что об обязательности выполнения банками стандартов ЦБ речи быть не должно: это должно быть заложено в политику риск-менеджмента банка и допустимого риска в каналах ДБО.
— Каждый банк должен определить для себя баланс между механизмами защиты, допустимыми потерями и удовлетворенностью клиентов, — рассуждает Ивлев.
Зампред Локо-банка Андрей Люшин говорит, что чем сложнее процесс идентификации, тем хуже он приживается у пользователей: им не хочется носить с собой какие-то дополнительные генераторы одноразовых паролей или подобные устройства.
— Именно поэтому должен быть соблюден баланс между интересами пользователя и банка, — считает Люшин. — В этой области в будущем широкое распространение получат способы идентификации клиента по его биометрическим параметрам, будь то отпечаток пальца, распознавание сетчатки глаза, лица или голоса пользователя.
Эксперт по банковским рейтингам Raex Александра Ионова говорит, что в 2014 году, согласно исследованию ее компании, банки тратили на систему интернет-банкинга в среднем 1 тыс. рублей в расчете на одного активного пользователя и аналогичный показатель за 2013 год находился на сопоставимом уровне. В условиях кризиса в 2015 году Raex фиксирует снижение среднего прогнозного годового бюджета банков на ДБО на 23%.
— Единые обязательные требования к уровню защиты систем в этих условиях необходимы, поскольку они не позволят банкам экономить на безопасности клиентов, — считает Ионова. — В частности, требования к надежности пароля позволят минимизировать элементарные риски (генерация пароля) и при этом не потребуют никаких дополнительных инвестиций от банков. Существует множество алгоритмов для создания запоминающегося, но надежного пароля, поэтому подобное требование не будет идти вразрез с удобством использования системы ДБО для клиента.
У всех российских банков разный уровень защиты интернет-банков, включая мобильные банки, поэтому нужны четко установленные требования к уровню их защиты, считают в правительстве и Центробанке. В рамках проекта ЦБ и Федеральная служба безопасности сейчас проводят анализ степени защиты таких банковских систем, о результатах своего исследования они должны отчитаться перед кабмином до конца июня.
По словам источника, близкого к ЦБ, регулятора беспокоят не только масштабы мошенничества (официально это несколько миллиардов рублей в год), но и латентность этих нарушений; например, правоохранительные органы возбуждают уголовные дела только по 1–5% общего количества преступлений, связанных с хищением клиентских денег. По оценкам исследовательско-консалтинговой компании Group-IB, в прошлом году ущерб от атак на системы интернет-банкинга банков составил $289 млн. Источник указал, что в разработке стандартов информационной безопасности активно будет участвовать Центр по борьбе с киберугрозами, созданный при ЦБ (документы о его создании подписаны в мае 2015 года, штатное расписание еще не утверждено).
Глава Group IB Илья Сачков констатирует, что зачастую подразделения банков, ответственные за дистанционные сервисы, по разным причинам противятся внедрению дополнительных мер безопасности (в силу непонимания угроз, экономии и нежелания тратить бюджет на безопасность, стремления сделать вход в интернет-банкинг максимально быстрым и простым).
— В конфликте многих российских банков между бизнесом и безопасностью пока выигрывает бизнес, — считает Сачков. — Введение со стороны ЦБ обязательных защитных механизмов заставит некоторые банки либо отказаться от дистанционного обслуживания или сделать его максимально безопасным (и совместить это с удобством). Можно было бы навязать пользователю сложный пароль, и, разумеется, выбор безопасного пароля — дело важное, но на самом деле безопасный пароль не спасет клиентов от мошенников. В большинстве случаев пароль становится доступен злоумышленнику через фишинговые (поддельные) сайты или когда на компьютере вирус пароль перехватывает. Злоумышленники почти никогда не подбирают пароль — они всегда его знают. По нашим данным, защищенный интернет-банк — только у 15–20 из 800 российских банков.
По оценке исполнительного директора компании InfoWatch Всеволода Иванова, безопасный ИБ 5% банков РФ — это не более 40 банков, причем в их число входят как крупные, так и небольшие участники рынка.
В пресс-службе ЦБ отказались комментировать эту тему.
Сачков считает, что в список требований к системам дистанционного банковского обслуживания (ДБО) банков должны войти: двухфактурная авторизация для входа в интернет-банк (подтверждение входа по одноразовому коду); отображение в SMS реквизитов получателя денежных средств; контроль смены SIM-карты; контроль заражения смартфона; мониторинг и закрытие фишинговых сайтов; мониторинг скомпрометированных учетных записей и др. Сачков также предлагает дополнительно страховать операции, проводимые через ДБО.
По мнению директора департамента аудита защищенности Digital Security Алексей Тюрина, для улучшения ситуации в области безопасности может также помочь многофакторная аутентификация и подтверждение действий в ДБО, постинформирование по операциям. Также ситуацию улучшит информационная работа с клиентом и более простые способы взаимодействия с правоохранительными органами, но последнее от банков зависит мало.
Директор департамента дистанционного банковского обслуживания Бинбанка Алексей Дегтярев указывает, что при создании единых для всех участников рынка стандартов безопасности систем ДБО в качестве образца можно взять PCI DSS — набор правил и требований, применяемых в индустрии платежных карт.
Сачков, который с коллегами так или иначе выиграет от новых стандартов ЦБ, считает, что банки, чьи системы ДБО в 2017 году не будут соответствовать требованиям, нужно наказывать.
— Уместны штрафы и запрет проведения дистанционных платежей, — считает Сачков.
Директор департамента корпоративных финансов Deloitte & Touche CIS Алексей Ивлев, уверен, что об обязательности выполнения банками стандартов ЦБ речи быть не должно: это должно быть заложено в политику риск-менеджмента банка и допустимого риска в каналах ДБО.
— Каждый банк должен определить для себя баланс между механизмами защиты, допустимыми потерями и удовлетворенностью клиентов, — рассуждает Ивлев.
Зампред Локо-банка Андрей Люшин говорит, что чем сложнее процесс идентификации, тем хуже он приживается у пользователей: им не хочется носить с собой какие-то дополнительные генераторы одноразовых паролей или подобные устройства.
— Именно поэтому должен быть соблюден баланс между интересами пользователя и банка, — считает Люшин. — В этой области в будущем широкое распространение получат способы идентификации клиента по его биометрическим параметрам, будь то отпечаток пальца, распознавание сетчатки глаза, лица или голоса пользователя.
Эксперт по банковским рейтингам Raex Александра Ионова говорит, что в 2014 году, согласно исследованию ее компании, банки тратили на систему интернет-банкинга в среднем 1 тыс. рублей в расчете на одного активного пользователя и аналогичный показатель за 2013 год находился на сопоставимом уровне. В условиях кризиса в 2015 году Raex фиксирует снижение среднего прогнозного годового бюджета банков на ДБО на 23%.
— Единые обязательные требования к уровню защиты систем в этих условиях необходимы, поскольку они не позволят банкам экономить на безопасности клиентов, — считает Ионова. — В частности, требования к надежности пароля позволят минимизировать элементарные риски (генерация пароля) и при этом не потребуют никаких дополнительных инвестиций от банков. Существует множество алгоритмов для создания запоминающегося, но надежного пароля, поэтому подобное требование не будет идти вразрез с удобством использования системы ДБО для клиента.