К сожалению, сайт не работает без включенного JavaScript. Пожалуйста, включите JavaScript в настройках вашего браузера.

Push-ной промысел: почему ряд банков игнорируют требования ЦБ по информбезопасности

Фото: Getty Images
Фото: Getty Images
Банк России уже много лет проводит последовательную политику, направленную на повышение киберзащищенности банковских клиентов, в том числе ужесточая регулирование для кредитных организаций. В то же время, как показала практика, некоторые банки не торопятся внедрять предлагаемые ЦБ новации, полагая, что штрафы за невыполнение требований платить дешевле. Генеральный директор SafeTech Денис Калемберг в колонке для Forbes рассказывает, как отреагировали некоторые участники финансового рынка на новое требование Банка России и какие последствия для них повлекла такая реакция

В иной реальности

Порой у нормативных актов ЦБ весьма необычная судьба. Например, в начале 2022 года регулятор выпустил указание, вводящее более жесткие требования к киберзащищенности трансакций банковских клиентов. Однако документ был принят 18 февраля, вскоре наша реальность немного изменилась, появились новые острые и неотложные вопросы, требующие внимания Банка России. И часть игроков финансового рынка решили требования нового документа пока не исполнять. Возможно, понадеялись, что регулятор не заметит, а если заметит — не оштрафует.

Речь идет об указании Банка России от 18.02.2022 №6071-У, которое вступило в силу в октябре 2022 года. Указанием вносились поправки в положение 683-П, которое направлено на противодействие совершению операций без согласия клиентов банков. В обновленном положении 683-П, в частности, были конкретизированы требования по подписанию электронных сообщений, то есть тех самых, которыми компании и граждане подтверждают платежи и переводы, оформление кредитов и т.д. В документе появилась норма, согласно которой для обеспечения целостности сообщений необходимо использовать усиленную квалифицированную электронную подпись (УКЭП), усиленную неквалифицированную электронную подпись (УНЭП) или средства криптографической защиты информации (СКЗИ) с имитозащитой и аутентификацией отправителя сообщения. Выполнение кредитной организацией этого требования позволит клиентам банка видеть полные реквизиты платежного документа, и, что очень важно, после подтверждения эту информацию нельзя будет изменить.

Таким образом, ЦБ фактически запретил использовать коды из push-уведомлений и SMS для подтверждения операций, так как эти коды представляют собой простую электронную подпись (ПЭП) без намека на криптографию. В марте 2023 года мегарегулятор еще раз подтвердил свое желание усилить безопасность электронных сообщений, указав в разъяснительном письме, что «использование ПЭП возможно только вместе с СКЗИ».

 

Штрафной удар

Причины решения ЦБ усилить требования по защищенности электронных сообщений очевидны — огромное количество операций без согласия клиента. Ежеквартально у клиентов банков злоумышленники похищают миллиарды рублей. Например, в III квартале 2023 года сумма хищений составила 3,6 млрд рублей, жертвами мошенников только за эти три месяца стали почти 260 000 человек и 262 организации. Коды из SMS и push небезопасны — их можно перехватить, перевыпустить сим-карту, забрать с фишингового сайта, продиктовать социальному инженеру, тогда как с использованием криптографии и демонстрацией реквизитов получателя на развернутом экране эти риски сходят фактически на нет.

Итого — документ был принят, вступил в силу, но дальше все развивалось по сценарию «строгость законов компенсируется необязательностью их исполнения». Как публично заявляли аудиторы по информационной безопасности на отраслевых мероприятиях, многие банки не перешли на электронные сообщения с криптографией, поскольку это сложно, долго и дорого. Хотя за невыполнение требований 683-П и иных нормативных актов ЦБ действующим законодательством предусмотрены штрафы — до 0,1% собственного капитала, но не менее 100 000 рублей. Видимо, подсчитали, что штрафы дешевле внедрения новых решений. Например, один знакомый банкир прямо мне сказал: проще заплатить штраф (и еще не факт, что он будет), чем затевать историю с внедрением нового ПО.

 

Является ли нормой, когда поднадзорные организации игнорируют требования ЦБ, да еще те, что направлены на повышение защищенности граждан? «Нет», — ответили в Совете по развитию цифровой экономики при Совете Федерации. И разработали законопроект, в 10 раз повышающий штрафы за невыполнение требований нормативных документов ЦБ (683-П, в частности). Если проект превратится в закон, санкции для крупнейших игроков могут исчисляться в миллиардах рублей.

Может ли рост штрафов стать стимулом для кредитных организаций более внимательно относиться к нормативным документам регулятора? Покажет время. Одно можно сказать с уверенностью — штраф дешевле внедрения точно не будет.

Мнение редакции может не совпадать с точкой зрения автора

 

Мы в соцсетях:

Мобильное приложение Forbes Russia на Android

На сайте работает синтез речи

Рассылка:

Наименование издания: forbes.ru

Cетевое издание «forbes.ru» зарегистрировано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций, регистрационный номер и дата принятия решения о регистрации: серия Эл № ФС77-82431 от 23 декабря 2021 г.

Адрес редакции, издателя: 123022, г. Москва, ул. Звенигородская 2-я, д. 13, стр. 15, эт. 4, пом. X, ком. 1

Адрес редакции: 123022, г. Москва, ул. Звенигородская 2-я, д. 13, стр. 15, эт. 4, пом. X, ком. 1

Главный редактор: Мазурин Николай Дмитриевич

Адрес электронной почты редакции: press-release@forbes.ru

Номер телефона редакции: +7 (495) 565-32-06

На информационном ресурсе применяются рекомендательные технологии (информационные технологии предоставления информации на основе сбора, систематизации и анализа сведений, относящихся к предпочтениям пользователей сети «Интернет», находящихся на территории Российской Федерации)

Перепечатка материалов и использование их в любой форме, в том числе и в электронных СМИ, возможны только с письменного разрешения редакции. Товарный знак Forbes является исключительной собственностью Forbes Media Asia Pte. Limited. Все права защищены.
AO «АС Рус Медиа» · 2024
16+