В розыске и возвращении средств, похищенных преступниками со счетов клиентов банков, эффективной помощи от милиции ждать пока не приходится. Уповать можно только на создание банковским сообществом и государственными регуляторами эффективных механизмов информационной самообороны, – такой вывод следовал из выступлений многих участников конференции «Вопросы обеспечения безопасности Национальной платежной системы и дистанционного банковского обслуживания». НЕБЕССПОРНАЯ БЕЗОПАСНОСТЬ Форум, одно из регулярных отраслевых мероприятий, проводился 16 июня в Москве, на Остоженке, в выставочном центре «Инфопространство», и собрал 110 участников. Официальную поддержку конференции оказал Банк России при участии ФСБ РФ, организационную – Ассоциация защиты информации, техническим организатором выступила компания «Авангард Центр». Наиболее заметны были представители отраслевых государственных регуляторов – Центрального банка России и Центра безопасности связи ФСБ России, а также Ассоциации российских банков и сообщества ABISS, руководители банков, кредитных организаций и процессинговых центров, специалисты в области информационной безопасности, аудита и консалтинга. К сожалению, не было только представителей МВД России, конкретно – Бюро специальных технических мероприятий (БСТМ) и управления «К», ведающего правонарушениями в сфере высоких технологий. Зато присутствовали журналисты специализированных СМИ: NBJ– национального банковского журнала, журналов «Банковские технологии», «Банковское дело», «Аналитический банковский журнал», «Мир карточек», «Плас» (платёжные системы) и BISJournal – информационная безопасность банков. Программа конференции включала два тематических заседания. Первое было посвящено обеспечению информационной безопасности будущей национальной платёжной системы и вопросам взаимодействия с международными платёжными системами. Второе – безопасности различных видов дистанционного банковского обслуживания. Дискуссии велись в большей степени по второму вопросу. Наверное, потому, что это уже ширящаяся реальность, а формирование национальной платёжной системы – дело, скорее, более отдалённого и туманного будущего. Свидетельство тому – весьма обширный перечень самых различных вариантов формирования национальной платёжной системы , который представил вице-президент MasterCard Europe Андрей Тарусов. От унитарного, регулируемого государством, до выстроенного несколькими коммерческими банками на основе взаимных соглашений. БАНКИЗАЦИЯ НА ВЫРОСТ Делая доклад о проблемах формирования в России национальной платёжной системы, Президент Ассоциации российских банков (АРБ) Гарегин Тосунян охарактеризовал текущие процессы как «банкизацию» всей России. Происходит стремительное расширение сферы и спектра банковских услуг, в частности ‑ платежей, в том числе в регионах. Очевидное для каждого свидетельство тому ‑ бурное расширение сегмента мобильных платежей, терминалы теперь повсюду, разве что не в каждом подземном переходе. Выстраивать систему информационной безопасности приходится, поспевая за ростом отрасли. Что так же нелегко, как шить «на вырост» костюм на стремительно подрастающего подростка-акселерата. Правильную мысль подтвердил на местном материале Председатель Национального банка Республики Башкортостан Рустэм Марданов: когда государственные требования и стандарты в становлении, непросто обеспечивать безопасность даже такого проекта, как социальная карта, его интеграцию в системы VISA и MasterCard. Эта универсальная платёжная карта является также электронной формой ключа к услугам как банковским, так и и государственных организаций. Создание Национальной платёжной системы должно сопровождаться созданием высококлассной структуры информационной защиты. Заместитель Начальника ГУБЗИ Банка России Андрей Курило отметил: перечень различных систем расчётов ширится, но у всех совершенно разные уровни безопасности. Межбанковская платёжная система Банка России работает на основе документированных стандартов. Но есть также дистанционное банковское обслуживание, системы пластиковых карт, электронные деньги, частные платёжные системы быстрых расчётов, терминалы приёма платежей… По большинству этих систем нет полных, подробных и внятных перечней требований обеспечения информационной безопасности. Совершенствование законодательной, нормативно-правовой базы, регламентирующих документов, отстаёт от научно-технического прогресса и развития банковского сервиса. Механизмы реализации и контроля формируются с запозданием, ведомства не поспевают получать полномочия по регулированию новых процессов. ОБОЮДООСТРЫЕ ЗАКОНЫ Там, где формирование архитектуры информационной безопасности не завершено, трудно ждать высокой надёжности защиты. Имитация деятельности при отсутствии результата ‑ большая опасность для банковской системы, которая является почвой для роста правонарушений. Воруют там, где есть возможность украсть легко и много. Правонарушители становятся всё изощрённее, стараются идти на шаг вперёд. Поэтому сейчас востребована работа на опережение: анализ, перспективный прогноз и предупреждение. С помощью МВД РФ можно реанимировать систему профилактики преступлений в сфере банковских высоких технологий. Чтобы злоумышленник, соразмерив большие затраты и высокие риски с низкой вероятностью успеха, заранее отказался от совершения преступления. Угроз в сфере информационной безопасности банков хоть отбавляй, не только от злоумышленников, но и из-за прорех в законодательстве и нерасторопности самих участников отрасли. В своём обстоятельном и систематизированном сообщении начальник управления ГУБЗИ Банка России Дмитрий Фролов привёл убедительную статистику роста количества преступных посягательств на информационную безопасность банков. Критику справедливо начинать с самых верхов: установку на ослабление административного давления на бизнес кое-кто решил использовать для передела стремительно растущего рынка мобильных платежей. Примером тому служит недавняя драматическая борьба вокруг некоторых положений Федерального закона № 103-ФЗ от 3 июня 2009 года «О деятельности по приему платежей физических лиц, осуществляемой платежными агентами». Сокращение требований к операторам в законопроекте, чреватое сильным снижением ответственности за сохранность денежных средств, вызывало немалые опасения регуляторов – Центрального банка, ФСБ и ФСТЭК. Государственной Думе удалось преодолеть вето Совета Федерации, и лишь окончательный вердикт Президента России позволил исправить одиозные положения ФЗ-103. Совместными усилиями удалось добиться перенесения срока окончательного вступления в силу закона ФЗ-152 «О персональных данных» на 1 января 2011 года. Есть шанс за это время устранить нестыковки и противоречия с другими нормативно-правовыми и регламентирующими актами, которые могут стать лазейками для злоумышленников. ПООДИНОЧКЕ ПРОПАДЁМ Идёт «накопительный процесс»: гражданское общество зреет, и, в частности, происходит консолидация участников отрасли информационной безопасности банков. Созревание идёт непросто и нескоро. Недостаток корпоративной солидарности облегчает жизнь преступникам. Председатель комиссии по информационной безопасности АРБ Александр Велигура предостерёг: заняв позицию «каждый за себя», не выстоять. Уязвимость системы взаимосвязи банков играет на руку злоумышленникам: для обналички они переводят похищенные средства в другие города и регионы. Некоторые кредитные организации отказываются помочь коллегам ‑ заблокировать эти транзакции, отгораживаясь буквой закона. Идея создания института «банковского омбудсмена», который защищал бы права клиентов, пока не находит понимания среди банкиров. Хотя его наличие стало бы дополнительной гарантией, которая расширила бы ряды клиентуры. Не наблюдается и особой активности обществ потребителей в сфере банковских услуг. Но есть и обнадёживающие позитивные примеры общественной активности вроде «письма шестерых». Внушает оптимизм деятельность рабочих групп по совершенствованию законодательства и технического регулирования, созданных по инициативе ABISS и АРБ, работа «горячей линии» по обмену информацией, в том числе в области информационной безопасности дистанционного банковского обслуживания ‑ о DDos-атаках, «чёрных» IP-адресах. Важным аспектом безопасности дистанционного банковского обслуживания секретарь Совета сообщества ABISS Павел Гениевский назвал своего рода «воспитательную работу» и с персоналом, и с клиентами банков. Есть негативные примеры: «экономя» в кризис, в некоторых банках сокращают расходы на информационную безопасность, на техническую модернизацию и обучение сотрудников. Руководители кредитных учреждений должны понять, что это всё равно как «экономить», покупая наружные двери без надёжных замков! ЛИКБЕЗ ПО БЕЗОПАСНОСТИ Многие из клиентов банков проявляют удивительную беспечность: расплачиваются посредством пластиковой карты в забегаловках, где не отследишь, что с ней делают. Суют в подозрительные банкоматы, возможно, оборудованные считчиком-скиммером, накладкой на клавиатуру или видеокамерой, подсматривающей пин-код. Оставляют данные при покупках в сомнительных интернет-магазинах. Для пользователей впору проводить «ликбез» по информационной безопасности, раздавать убедительные памятки с картинками. Предлагаемые на рынке организационно-технические решения, обеспечивающие безопасность интернет-банкинга, работы с пластиковыми банковскими картами и других аналогичных услуг представили руководители и сотрудники специализированных компаний – Мария Акатьева (Leta IT-company), Станислав Шилов (БИФИТ), Руслан Нестеров (HELiOS IT-solutions) и Илья Медведовский (Digital Security). Нужно только учитывать: дополнительные расходы банков на внедрение этих решений могут привести к удорожанию банковских услуг для
