Четыре из пяти выведенных со счетов рублей попадают в карманы злоумышленников совершенно безнаказанно
Атаки методами социальной инженерии (СИ) создали огромную воронку, в которой пропадает более 80% всех денег, похищаемых злоумышленниками со счетов физических лиц. Никаких средств защиты от СИ (кроме повышения бдительности) банковским клиентам не предлагается, а вся система банковской безопасности при СИ работает почти вхолостую — каждые четыре из пяти выведенных со счетов рублей попадают в карманы злоумышленников совершенно безнаказанно, не встречая какого-либо противодействия.
НИКТО НЕ ХОТЕЛ ЗАЩИЩАТЬ
Самое печальное, что основные участники борьбы с хищениями в сфере платежей не заинтересованы противодействовать «социальным инженерам». МВД по традиции с такого рода преступниками не работает, ссылаясь на быстротечность преступления, отсутствие доступа к инфраструктуре банковских сетей, а также на несовершенство законодательства, например, в части Закона о банковской тайне.
Парадокс, но и сами банки не заинтересованы менять ситуацию. В центре внимания топ-менеджеров банка всегда остается прибыль, которая является мерилом эффективной работы любой кредитно-финансовой организации (пусть даже в ущерб требованиям ИБ). За хищения методами СИ банк не несет никакой ответственности — ни одного случая возврата средств клиенту в рамках требований ст. 9 Закона № 161-ФЗ пока не зарегистрировано. Если же банк по своей инициативе вдруг захочет противодействовать атакам СИ (усложнит доступ к счету многочисленными проверками, введет изощренную систему антифрода и пр.), то и сам может пострадать — подавляющее число пользователей не любит сложные процедуры платежей, и были примеры, когда изощренные системы ДБО вызывали отток клиентов.
Компании, предлагающие на рынке услуги аутсорсинга в сфере ИБ, задачи противодействия атакам СИ также серьезно не рассматривают. Какие к нам возможны претензии, если клиент добровольно сделал тот или иной перевод?
ЗАКОН ЧТО ДЫШЛО
Возможно, ситуацию изменила бы коррекция законодательства в части ст. 9 Закона № 161-ФЗ. Эта странная по конструкции статья (плод многочисленных компромиссов при ее появлении) выхолостила защитные функции в отношении прав клиентов и при атаках СИ практически бесполезна.
Напомним, что ст. 9 в случае хищения возлагает на банк бремя доказательства нарушений со стороны клиента в порядке пользования инструментом платежа. Этим уже подразумевается презумпция вины банка в отсутствие должной защиты средств. Противоречивость статьи — в том, что банк не имеет возможности представить юридически корректные доказательства вины клиента и даже не вправе этим заниматься. Банк, являясь заинтересованным лицом, не является органом следствия, он не имеет права осуществлять оперативно-розыскную деятельность, проводить дознание в отношении действий клиента, собирать о нем информацию и пр. Кроме того, банк не полностью контролирует всю ситуацию с хищениями, например, в части устройств, используемых клиентом при проведении операций по ДБО, поэтому многие «доказательства», собираемые банком в рамках ст. 9, достаточно эфемерны. При этом у недобросовестного злоумышленника всегда остается масса возможностей сделать так, что банк не сможет доказать его вину. В итоге в рамках существующей версии ст. 9 честный клиент не защищен, а злоумышленник, напротив, имеет возможности для мошенничества.
АВАРИЙНЫЙ КЛАПАН
В борьбе с СИ давно пора сменить базовые парадигмы диспозиции ст. 9. Необходимо исходить из того, что банк мог и обязан был предположить, что клиента введут в заблуждение методами СИ, особенно если клиент «среднестатистический», а стало быть, недостаточно грамотный. Важно ограничивать его возможности по переводу средств, когда сумма перевода начинает возрастать. Иными словами, основой борьбы с СИ должен стать риск-ориентированный подход, предполагающий максимальное снижение статистически ожидаемых потерь при сохранении достаточного уровня качества сервисов.
Необходимо срочно подготовить и принять новые стандарты ИБ в системах дистанционных платежей, которые заставляли бы банк ограничивать суммы транзакций (снижать лимиты) дифференцировано, в зависимости от рисков, зависящих, в свою очередь, как от вида операции, так и от уровня надежности методов аутентификации и подтверждения операций по счету (МАП). Например, для МАП, при которых возможны атаки методами СИ, лимиты должны быть меньше. Правильно будет, если новый стандарт ИБ обяжет предлагать клиентам как набор разных МАП, так и возможности самостоятельно управлять своими лимитами. Доступный набор МАП должен быть таким, чтобы клиенту было комфортно, удобно и, конечно, безопасно работать с любыми суммами. По умолчанию все лимиты должны быть достаточно низкими, однако клиент должен иметь возможность самостоятельно поднимать их до некоторого максимального уровня, ограниченного банком.
Формального и полного описания предлагаемых процедур безопасного обслуживания до сих пор не создано. Конечно, есть требования к безопасности ДБО в Положении 382-П, но они касаются общих вопросов обеспечения защиты информации. Имеющиеся несколько пунктов, затрагивающих процедуры доступа клиента по каналам дистанционного доступа, механизмы идентификации, аутентификации и подтверждения операций (п. 2.8.2, 2.8.3, 2.8.7, 2.8.8) не работают в случае СИ. Как результат в случае хищений с помощью СИ спрашивать сегодня с банка формально не за что — он не нарушает ни единого требования, прописанного в нормативно-правовых актах. Стандартов и требований, ограничивающих стремление банка упростить использование сервисов ДБО (здесь имеются в виду ДБО, а не карты) в ущерб безопасности клиента, также не существует. Отсутствие должной нормативной базы и, конечно, неграмотность среднестатистического клиента банка дает мошенникам возможность успешной реализации атак типа СИ.
ДЕЛО РУК САМИХ УТОПАЮЩИХ
Помимо ограничений, касающихся операций по счету, будет правильным предоставлять «продвинутым» клиентам набор инструментов, при помощи которых они могли бы самостоятельно минимизировать риски. Запросов на эту тему у клиентов много — например, в части выделения отдельного счета для хранения «больших» сумм. Целесообразно, если клиент будет иметь возможность открывать счета с разным уровнем защиты, в том числе с полным отсутствием инструментария ДБО. То же самое справедливо и в отношении карточных продуктов. Любая «кредитка» с лимитом в 1 млн рублей и более, должна предполагать гибкие средства управления сублимитами со стороны клиента, клиент должен иметь возможность не «светить» карту с большим лимитом.
Таким образом, сегодня при хищениях методами СИ между тремя действующими сторонами — банком, клиентом и государством в лице Законодателя — сложились нелепые отношения, в которых клиент всегда прав, но в действительности всегда виноват и не защищен, банк всегда виноват, но сделать с ним клиент ничего не может, ну, а Законодатель уверенно гарантирует, что сделано все достаточное для того, чтобы защитить клиента и прекратить хищения. Эту конструкцию надо срочно менять. На смену ей должна прийти простая конструкция, основанная на двух постулатах — есть нормативные требования, которые в случае их исполнения обеспечивают оптимальный уровень защиты как клиентов, так и банков от действий злоумышленников, есть и ответственность за невыполнение этих требовании.
Автор: Тимур Аитов для сайта Банковское обозрение
Наша справка: Тимур Аитов — член оргкомитета Национального форума информационной безопасности «Инфофорум», заместитель генерального директора группы компаний «Программный Продукт», директор по международному развитию Ассоциации «Финансовые инновации», заместитель председателя подкомитета по платежным системам и информационной безопасности ТПП РФ. Кандидат физико-математических наук.
