24/05/2012

В последнее время доводится слышать, в том числе от сотрудников правоохранительных органов, что в сфере электронных платежей нам противостоит «целая индустрия» IT-преступников. «Индустрия» – нейтральный термин для организованной преступности, к тому же международной. А появилась она во многом благодаря сложившейся ситуации в нормативно-правовом регулировании, в работе банковского сообщества, государственных регуляторов и правоохранительных органов.

ЧАСТО ПО ЧУТЬ-ЧУТЬ – ВЫХОДИТ МНОГО

Как выглядит проблема безопасности систем дистанционного банковского обслуживания не с высоты птичьего полета или из космоса, а на земле, говорит следующий пример – данные всего за одну неделю о попытках хищений средств клиентов посредством несанкционированных платежей (см. таблицу).

Таблица данных о попытках хищений средств клиентов посредством несанкционированных платежей всего за одну неделю

Клиент банка

Дата

Дроппер

Общая сумма

Похищено

Банк 1

16-е число

ООО «О»

1 795 000 (2 платежа)

1 795 000

Банк 2

19-е число

ООО «О»

3 500 000

3 500 000

Банк 3

20-е число

ООО «Э»

775 000

775 000

Банк 4

21-е число

ООО «Э»

480 000

1 платёж предотвращён

Банк 5

21-е число

ООО «Э»

450 000

450 000

Банк 6

16-е число

ООО «О»

1 000 000

1 000 000

 

 

ООО «О»

6 100 000

3 платежа предотвращены

 

 

ООО «Э»

11 850 000

7 платежей предотвращены

Банк 7

21-е число

ООО «Э»

3 000 000

3 000 000

Банк 8

21-е число

ООО «Э»

3 000 000

3 000 000

ИТОГО

 

 

31 950 000

13 520 000

Указания названий банков и месяца не приводятся хотя бы потому, что картина довольно типичная. Общая сумма денег, на которую покушались злоумышленники меньше чем за календарную неделю, составила свыше 30 млн рублей, что эквивалентно $1 млн. Украсть удалось менее половины, но всё равно много, учитывая, что приведён частный случай, локальная статистика, и всего за пять рабочих дней.

Масштаб угрозы вызывает всеобщую озабоченность – и клиентов банков, которые подвергаются риску лишиться денег, и банков, в которых открыты расчетные счета, и главного отраслевого регулятора – Банка России, и Ассоциации российских банков (АРБ), в частности, Комитета по банковской безопасности.

Исходный момент хищения – когда злоумышленник, используя незаконный доступ к компьютеру клиента, формирует электронный платежный документ и отправляет от имени клиента в банк. В банковской среде привыкли сетовать, что клиент плохо защищает свои данные, нарушает установленные правила информационной безопасности, что его приходится не только информировать, но и «воспитывать».

Действительно, доступ к данным на компьютере, позволяющим распоряжаться средствами на его счёте, злоумышленник чаще всего получает из-за нарушения жертвой правил информационной безопасности. В какой-то мере клиент сам виноват в своих проблемах, если использует нелицензированное или устаревшее программное обеспечение, не устанавливает антивирус, не обновляет его.

Но не стоит возлагать всю вину на клиента. В частности, интерфейсы средств дистанционного банковского обслуживания (ДБО) часто создаются без учёта того, что они должны помочь пользователю соблюдать правила информационной безопасности. Сделать шаг вперёд в направлении помощи клиенту должны разработчики не средств защиты информации, а именно систем ДБО. Банковские специалисты по информационной безопасности могут сформулировать для них и предъявить соответствующие требования.

СВЯЗАННЫЕ ОДНОЙ ЦЕПЬЮ

В банке подлинность каждого полученного электронного платёжного документа проверяют соответствующими процедурами, в том числе при помощи электронной подписи. Если проверка проведена успешно, то, в принципе, платёж надо осуществлять – переводить средства в другой банк, далее – указанному в платёжном поручении получателю. Даже если дополнительный анализ установил признаки фрода, то непросто найти законные основания для приостановки платежа.

В отличие от многих других правонарушений в сфере информационной безопасности, в схемах похитителей «электронных денег» обязательно оказываются задействованными несколько банков, а не один. Если бы счёт конечного получателя – дроппера, фирмы или физического лица – находился в том же самом банке, где и клиента-жертвы, проблем было бы намного меньше. Существенно то, что в цепочке проведении платежа, не санкционированного клиентом, участвуют ещё несколько банков, что затрудняет противодействие попыткам хищений.

Злоумышленники используют большие розничные банки для вывода денег практически втёмную, зная, что банки вынуждены работать так, как предписано федеральными законами и нормативными документами Банка России. Деньги, упавшие на счет клиента, согласно Гражданскому кодексу РФ, принадлежат клиенту, и то, что они украдены, надо ещё доказать. Но даже если это доказано, к тому времени на счету их уже нет, и возврат практически невозможен.

Используемые преступниками банки, через которые проходит мошеннический платёж, не являются соучастниками преступного сговора. Просто законодательство и действующие правила взаимодействия не препятствуют преступникам использовать банки в своих целях. Проблема банков в том, что формально, в соответствии с законом, они обязаны исполнить такое платёжное поручение, в противном случае рискуют нарваться на санкции.

В преступных «цепочках» помимо воли оказываются задействованными также и провайдеры, предоставляющие телекоммуникационные услуги, интернет и мобильную связь. Налаживание взаимодействия по противодействию мошенникам даже с «большой тройкой» операторов мобильной связи – «Мегафоном», «Билайном» и МТС – пока в самом начале пути.

Минимум двое из них пытаются сейчас наладить внутренний процесс отслеживания попыток мошенничества. Но уводятся-то деньги через системы платежей и денежных переводов, а счета телефонных номеров операторов мобильной связи просто используются. Эти платёжные системы также должны быть включены в систему противодействия «высокотехнологичному» воровству денег, но это процесс не быстрый.

БЕЗ ВИНЫ ВИНОВАТЫЕ

Для безопасности электронных платежей отдельному банку недостаточно использовать улучшенные средства защиты информации, предпринимать более эффективные организационные меры, повышать квалификацию специалистов и т.п. Как бы хорошо ни была обеспечена информационная безопасность в одном, отдельно взятом банке, эффективно противостоять злоумышленникам в одиночку крайне сложно.

Даже если получилось установить хорошие рабочие контакты с правоохранительными органами, без оперативного взаимодействия с другими банками не обойтись. Однако сотрудники структур, отвечающих в банках за информационную безопасность, по собственному опыту знают, что при инцидентах далеко не всегда удаётся найти понимание у своих коллег из других банков.

Пока что такое взаимодействие сугубо добровольное, и, учитывая отсутствие нормативно-правовой основы, дело не вполне законное. Поэтому раз на раз не приходится: одни банки идут навстречу коллегам, другие не спешат. Между тем именно банки кровно заинтересованы в том, чтобы были установлены понятные правила их действий при попытках хищений средств со счетов клиентов. Таких, чтобы ничего при этом не нарушать и не подпадать под разные санкции.

Уязвимость именно в отсутствии нормативно-правовой базы межбанковского сотрудничества, что существенно облегчает задачу злоумышленникам, затрудняет противодействие им. Оспорен может быть даже самый простой обмен банков друг с другом и с правоохранительными органами информацией о подозрительных платежах, а тем более приостановка перечисления средств. Выручает только то, что IT-мошенники, как правило, не задают по этому поводу неприятных вопросов, не настаивают на своих правах, скажем, на защиту персональных данных.

В систему противодействия хищениям, в идеале, должны входить в первую очередь все банки, в обязательном порядке. Что нужно сделать, чтобы такая общая система информационной безопасности банков была создана? Первый шаг – договориться о правилах взаимодействия банков, создать соответствующий регламент, сделать его обязательным, а не ставить в зависимость от наличия или отсутствия доброй воли того или иного банка.

Второй шаг – узаконить это взаимодействие. В последнее время контакты с Государственной думой РФ стали развиваться более динамично. Но быстрых успехов здесь ждать не приходится, поскольку изменение федеральных законов – дело очень сложное и долгое. Нужно использовать возможность временно урегулировать этот вопрос административными мерами, выпустив соответствующие подзаконные акты.

ВОЛЯ К ОБЪЕДИНЕНИЮ

В настоящее время существуют лишь отдельные разрозненные элементы требуемой системы взаимодействия: службы безопасности банков, общественные организации, такие как АРБ, их специализированные комитеты и рабочие группы. В своих действиях они опираются на лучшие практики, стандарты, рекомендации, разрабатывают новые, более эффективные. Всё это делается хорошо, но разрозненно, в лучшем случае, отдельными группами участников, специалистов и разных организаций.

Существуют клиенты банков – граждане, организации, компании. Есть разработчики и производители технических средств и комплексов мер по обеспечению информационной безопасности, поставщики соответствующих услуг.

Есть и провайдеры телекоммуникационных услуг, есть системы платежей и денежных переводов. Присутствуют отраслевые регуляторы, включая главный – Банк России и функциональные, по различным аспектам безопасности. Соответствующие комитеты Государственной думы РФ совершенствуют федеральные законы.

Есть правоохранительные органы, которые должны расследовать и предупреждать преступления. Действуют профильные ассоциации и некоммерческие партнёрства. Ведётся информационное взаимодействие, в частности, проводятся ежегодные межбанковские конференции по информационной безопасности банков.

Но всё это отдельные элементы, которые только предстоит объединить в единую систему. Это сложный процесс. К сожалению, нельзя просто улучшать каждый из этих элементов по отдельности, это необходимо, но не решит проблему в целом. Ещё раз отметим, что действия организованной IT-преступности возможны потому, что они используют в выстраиваемых цепочках хищений «электронных денег» по нескольку банков, которые пока лишены возможности полноценно объединить усилия для противодействия злоумышленникам.

Над созданием в сфере информационной безопасности условий межбанковского сотрудничества и налаживания взаимодействия с правоохранительными органами работает, в частности, специально созданная рабочая группа АРБ по предотвращению мошенничества в платежных системах. Заинтересованность в создании коллективной системы противодействия хищениям при ДБО изъявили около двухсот банков. «Пул», таким образом, уже набран – есть критическая масса единомышленников, решительно настроенных покончить с неудовлетворительным положением в этом важном вопросе. Задача АРБ, комитета по банковской безопасности и созданной рабочей группы, состоит в том, чтобы упорядочить начатую работу по координации межбанковского сотрудничества в этой сфере и сделать её максимально эффективной.

Существуют примеры успешного взаимодействия банков и разных ведомств, включая Банк России, Росфинмониторинг и МВД России, в противодействии преступлениям, связанным с «отмывкой» финансовых средств, полученных преступным путём. В частности, есть случаи оперативного отзыва лицензии у провинившегося банка.

Пока такие позитивные примеры, к сожалению, являются не правилом, а, скорее, исключениями, связанными с особо вопиющими случаями хищений, очередными «кампаниями по борьбе...» или прочими случайными обстоятельствами. Банкам нелегко налаживать сотрудничество друг с другом в борьбе с высокотехнологичным ворьём, но не менее сложной и важной задачей является их взаимодействие с правоохранительными органами.

ИНФОРМАЦИОННАЯ «ПРАВОЗАЩИТА»

На пути налаживания таких рабочих контактов видятся препятствия, с которыми сталкиваются сами правоохранители. Дело в том, что деятельность правоохранительных органов жёстко регламентирована. Есть масса правил и ограничений: где должно возбуждаться уголовное дело о хищении, что считается местом окончания преступления и многие другие.

Представляется, что недостаточные темпы совершенствования регламентации деятельности правоохранительных органов мешают эффективному расследованию и предупреждению «высокотехнологичных» преступлений в кредитно-финансовой сфере. Законодательство и прочая нормативно-правовая и регламентирующая база отстают от развития преступных технологий.

К тому же Управление «К» БСТМ МВД России – пока не очень большое подразделение. На все дела, связанные с расследованием преступлений в сфере ДБО, людей не хватает. Часть таких уголовных дел уходит в другие подразделения, сотрудники которых пока не в полной мере знают специфику получения доказательной базы преступлений в информационных системах.

Нет пока механизма сбора сведений у пострадавших о мелких хищениях (или их попытках), которые суммарно складываются в значительные суммы. Наладить механизм централизованного сбора таких сведений у клиентов, хотя бы ДБО, – ещё одна задача. Процесс взаимодействия банков с МВД России очень непростой: несколько лет со стороны этого ведомства не было реакции на инициативы банковского сообщества, встречные шаги не делались. В последнее время нельзя не отметить сдвиг в лучшую сторону улучшения отношений, который можно объяснять разными причинами, в том числе изменениями в руководстве правоохранительных органов. Сотрудники профильных подразделений органов внутренних дел проявляют большую, чем раньше, готовность общаться и взаимодействовать с представителями банковского сообщества.

В частности, Управление «К» БСТМ МВД России прислало в АРБ официальным письмом рекомендации для банков, что и как делать в случае инцидентов в сфере информационной безопасности. Фактически это перечень документов, которые традиционно запрашиваются в ходе расследования уголовного дела: выписки по счету, дополнительные сведения о клиенте и ряд других материалов. С разбивкой на документы для расследований уголовных дел и по юридическим, и по физическим лицам.

На основе этих документов готовятся методические рекомендации АРБ о порядке обращения в правоохранительные органы в связи с совершением мошеннических действий в системах дистанционного банковского обслуживания – о том, какие действия и в какой последовательности банкам следует делать при попытках хищений «электронных денег» с клиентских счетов: как собирать доказательства, оформлять свои действия и т.п. Появление рекомендаций МВД России для банков – первый, но достаточно серьёзный шаг к развитию сотрудничества.

Пока «с нашей стороны баррикад» в сфере электронных финансов нет единой общей системы противодействия «индустрии» организованной IT-преступности. Медлить с созданием такой «системы коллективной безопасности», в которой были бы задействованы все «действующие лица», более нельзя.