Push-ной промысел: почему ряд банков игнорируют требования ЦБ по информбезопасности
В иной реальности
Порой у нормативных актов ЦБ весьма необычная судьба. Например, в начале 2022 года регулятор выпустил указание, вводящее более жесткие требования к киберзащищенности трансакций банковских клиентов. Однако документ был принят 18 февраля, вскоре наша реальность немного изменилась, появились новые острые и неотложные вопросы, требующие внимания Банка России. И часть игроков финансового рынка решили требования нового документа пока не исполнять. Возможно, понадеялись, что регулятор не заметит, а если заметит — не оштрафует.
Речь идет об указании Банка России от 18.02.2022 №6071-У, которое вступило в силу в октябре 2022 года. Указанием вносились поправки в положение 683-П, которое направлено на противодействие совершению операций без согласия клиентов банков. В обновленном положении 683-П, в частности, были конкретизированы требования по подписанию электронных сообщений, то есть тех самых, которыми компании и граждане подтверждают платежи и переводы, оформление кредитов и т.д. В документе появилась норма, согласно которой для обеспечения целостности сообщений необходимо использовать усиленную квалифицированную электронную подпись (УКЭП), усиленную неквалифицированную электронную подпись (УНЭП) или средства криптографической защиты информации (СКЗИ) с имитозащитой и аутентификацией отправителя сообщения. Выполнение кредитной организацией этого требования позволит клиентам банка видеть полные реквизиты платежного документа, и, что очень важно, после подтверждения эту информацию нельзя будет изменить.
Таким образом, ЦБ фактически запретил использовать коды из push-уведомлений и SMS для подтверждения операций, так как эти коды представляют собой простую электронную подпись (ПЭП) без намека на криптографию. В марте 2023 года мегарегулятор еще раз подтвердил свое желание усилить безопасность электронных сообщений, указав в разъяснительном письме, что «использование ПЭП возможно только вместе с СКЗИ».
Штрафной удар
Причины решения ЦБ усилить требования по защищенности электронных сообщений очевидны — огромное количество операций без согласия клиента. Ежеквартально у клиентов банков злоумышленники похищают миллиарды рублей. Например, в III квартале 2023 года сумма хищений составила 3,6 млрд рублей, жертвами мошенников только за эти три месяца стали почти 260 000 человек и 262 организации. Коды из SMS и push небезопасны — их можно перехватить, перевыпустить сим-карту, забрать с фишингового сайта, продиктовать социальному инженеру, тогда как с использованием криптографии и демонстрацией реквизитов получателя на развернутом экране эти риски сходят фактически на нет.
Итого — документ был принят, вступил в силу, но дальше все развивалось по сценарию «строгость законов компенсируется необязательностью их исполнения». Как публично заявляли аудиторы по информационной безопасности на отраслевых мероприятиях, многие банки не перешли на электронные сообщения с криптографией, поскольку это сложно, долго и дорого. Хотя за невыполнение требований 683-П и иных нормативных актов ЦБ действующим законодательством предусмотрены штрафы — до 0,1% собственного капитала, но не менее 100 000 рублей. Видимо, подсчитали, что штрафы дешевле внедрения новых решений. Например, один знакомый банкир прямо мне сказал: проще заплатить штраф (и еще не факт, что он будет), чем затевать историю с внедрением нового ПО.
Является ли нормой, когда поднадзорные организации игнорируют требования ЦБ, да еще те, что направлены на повышение защищенности граждан? «Нет», — ответили в Совете по развитию цифровой экономики при Совете Федерации. И разработали законопроект, в 10 раз повышающий штрафы за невыполнение требований нормативных документов ЦБ (683-П, в частности). Если проект превратится в закон, санкции для крупнейших игроков могут исчисляться в миллиардах рублей.
Может ли рост штрафов стать стимулом для кредитных организаций более внимательно относиться к нормативным документам регулятора? Покажет время. Одно можно сказать с уверенностью — штраф дешевле внедрения точно не будет.
Мнение редакции может не совпадать с точкой зрения автора