Ряд положений ФЗ "О национальной платежной системе" вызывает вопросы у участников банковской индустрии. В частности, банкиров волнуют нормы закона, возлагающие на банк ответственность за несанкционированное списание денег со счетов клиентов. Согласно закону и опубликованным на минувшей неделе поправкам в Гражданский кодекс, банки будут обязаны возместить клиенту похищенные у него средства, если не будет доказано, что клиент нарушил правила пользования электронным платежным средством. Представители банковской индустрии считают, что введение подобных норм приведет к всплеску случаев мошенничества, в которые будут вовлечены сами клиенты банков. Банкиры опасаются, что недобросовестные граждане будут имитировать хищение, чтобы удвоить свой банковский счет. Опрошенные РИА Новости эксперты по инфобезопасности считают, что ситуация сложится обратная.
"Наоборот, данная норма (положение об ответственности банков за случаи хищения средств со счетов клиентов) снижает риск такого мошенничества. Сегодня я теоретически могу зайти в магазин, расплатиться картой с магнитной полосой и затем оспорить платеж, мотивировав отказ тем, что платил не я и подпись на слипе (документе, оформляемом при покупке с помощью пластиковой карты) не моя", — сказал РИА Новости заместитель технического директора компании Positive Technologies Дмитрий Кузнецов.
По мнению эксперта, данная норма предлагает банкам добровольно принять меры к тому, чтобы описанную им схему мошенничества реализовать было нельзя.
"А попутно она вынуждает банки позаботиться о безопасности услуги ДБО с точки зрения плательщика, в чем сегодня они крайне не заинтересованы", — добавил Кузнецов.
По мнению генерального директора компании Group-IB Ильи Сачкова, вступление в силу ФЗ "О национальной платежной системе" должно привести к значительному снижению количества хищений денежных средств с помощью компрометации систем интернет-банкинга.
"Закон вводит ответственность операторов по переводу денежных средств, в том числе и банков, за списание денежных средств неуполномоченным лицом. Таким образом, банки будут напрямую заинтересованы в том, чтобы совершенствовать собственные антифрод-системы (системы противодействия мошенничеству) и не допускать несанкционированных платежей", — сказал Сачков.
Новых мошенников не будет
Эксперты подчеркивают — ничего нового в связи с новым законодательством мошенники придумать не смогут. Другое дело, что старые виды киберпреступлений станут более опасными. Теоретически у мошенника в связи с новым законом будет больше шансов получить возврат "украденных" средств, если ему удастся правдоподобно сымитировать хищение денег со своего счета с помощью вредоносного программного обеспечения. Сейчас подобные вопросы решаются в пользу банка, отмечают эксперты.
"В договоре ДБО (дистанционного банковского обслуживания) любого банка вы обязательно встретите пункт, явно или неявно снимающий с банка ответственность за любые мошеннические платежи, которые делаются без ведома клиентов", — отметил Дмитрий Кузнецов, имея в виду случаи хищения, произведенные с помощью заражения домашнего компьютера пользователя, а в некоторых случаях и случаи скимминга (похищения данных о платежной карте с помощью специального считывающего устройства, устанавливаемого на банкомат). Для банков главным основанием отказать клиенту в возмещении средств является утрата аутентификационных данных — пары логин-пароль от учетной записи в системе ДБО или пин-кода от карты. Даже если пин-код был похищен через установленный на банкомат скиммер, распознавать наличие которого по идее клиент не обязан, инцидент трактуется банками как оплошность клиента.
"Договор ДБО — договор присоединения: клиент либо заключает договор на предложенных банком условиях, либо не получает услугу. То есть пользуясь услугой, клиент является заведомо слабым участником, не имеющим ни технических, ни правовых возможностей для защиты своих интересов. Поэтому ситуация может быть исправлена только законодательно", — сказал Кузнецов.
По словам эксперта, одна из самых больших проблем защиты ДБО — низкий уровень защищенности рабочих мест самих клиентов. Любой выпускаемый софт содержит большое количество серьезных уязвимостей, с помощью которых хакер может получить контроль над компьютером пользователя. И хотя разработчики регулярно выпускают обновления безопасности, они делают это с большим опозданием, а обычный пользователь просто не в состоянии отслеживать их выпуск и своевременно их устанавливать. Поэтому большое распространение получили ботнеты, включающие в себя десятки миллионов инфицированных компьютеров, контролируемых преступниками. Если владелец такого компьютера использует его для интернет-платежей, владельцы ботнета получают бесконтрольный доступ к его банковскому счету.
Получается, что клиент ДБО сейчас остается практически один на один с киберпреступником. Закон о Национальной платежной системе выравнивает ситуацию, ставя перед банком дилемму — "или создайте условия, гарантирующие, что платеж не может быть выполнен без ведома клиента, или принимайте на себя риски", считает Кузнецов.
Варианты противодействия
Первое, о чем заговорили банки, когда стало известно о принятии закона — это страхование рисков, связанных с мошенничеством, в качестве одной из мер борьбы с возможными финансовыми убытками.
Как рассказал РИА Новости представитель одного из пятнадцати крупнейших российских банков, пожелавший не раскрывать его название, в связи с вступлением в действие ФЗ "О национальной платежной системе" ожидается рост интереса банков к страхованию своей ответственности перед клиентами.
"В настоящее время многие розничные банки уже предлагают своим клиентам добровольно застраховаться от мошеннических операций по картам", — отметил представитель банка. Он также посетовал, что пока эта услуга не пользуется особым спросом у потребителей.
Однако страхование вкладов от хакеров не снизит количество злоумышленников, отмечают эксперты. Что действительно может снизить — это внедрение более совершенных технических средств предотвращения случаев мошенничества.
"В целях защиты онлайн-банкинга европейские банки переходят на технологию мультифакторной и строгой аутентификации. Вывод простой: надо брать пример с Запада в том, в чем еще не поздно его брать", — сказал РИА Новости Неманья Никитович, управляющий директор компании Optima Infosecurity, занимающейся производством как раз таких систем.
Под мультифакторной аутентификацией понимаются технологии, которые, помимо обычной пары логин-пароль для входа в учетную запись в системе ДБО требуют дополнительный одноразовый пароль, который либо присылается банком на мобильный пользователя, либо печатается на чеке в банкомате или скретч-карте банка, либо генерируется специальным устройством с дисплеем — USB-токеном.
По мнению Дмитрия Кузнецова, это достаточно эффективные меры борьбы с мошенничеством, но они требуют значительных финансовых затрат от банка и серьезных самоограничений от клиента.
"То есть попытка отдельного банка сделать свою услугу ДБО действительно безопасной автоматически сделает эту услугу более дорогой и неудобной по сравнению с услугами конкурентов. Поэтому банку дешевле закрыть глаза на небезопасность услуги, переложив риск на клиента", — пояснил Кузнецов.
Если правило станет общим для всех банков, то вопроса дороговизны и удобности по сравнению с конкурентами не станет. Это еще один плюс закона о НПС — банкам придется внедрить такие системы, чтобы снизить свою долю ответственности за мошенничество, считает эксперт.
И некоторые уже внедряют. Как рассказала РИА Новости начальник управления развития бизнеса платежных карт банка "Интеркоммерц" Алла Бахова, уже сейчас более 80% клиентов банка используют возможности SMS-информирования об операциях, а в скором времени банк планирует внедрить систему аутентификации по одноразовым SMS-паролям. Такие системы уже давно применяются во многих других крупных российских банках — в частности, в "Сбербанке", "Альфа-Банке" и других.
И хотя системы мультифакторной аутентификации серьезно затрудняют процесс взлома аккаунта в системе ДБО, злоумышленники умеют обходить такую защиту. Атаки типа Man-in-the-browser предполагают создание копий веб-интерфейсов систем ДБО. Жертва принимает фальшивый сайт за настоящий и "сдает" злоумышленнику все необходимые данные, включая одноразовые пароли.
Впрочем, противодействовать можно атакам и такого типа, отмечают эксперты. Существуют решения на базе USB-токенов с встроенным дисплеем, которые генерируют одноразовый пароль на основе банковских реквизитов, которые клиент вводит, совершая платеж. Если хакер решит подменить реквизиты перед осуществлением платежа, как это часто происходит сегодня, система заметит подмену и отменит платеж.
Однако, по словам Дмитрия Кузнецова, такие решения дороги — около 50 долларов за устройство. Эксперт считает, что на массовое внедрение таких технологий пойдут только крупные банки, а мелким будет дешевле застраховаться от рисков.
Расследования
Параллельно с усилением защиты систем ДБО с клиентской стороны, закон о НПС подталкивает банки к полноценным расследованиям инцидентов, связанных с хищениями денег. Как рассказали РИА Новости в банке "Интеркоммерц", после принятия закона значительно возрастут затраты на клиентскую поддержку, на проведение "антифродовых" расследований. В компании Group-IB, которая занимается, в том числе, расследованиями случаев хищения из ДБО, ожидают, что закон заставит банки перейти от пассивной защиты к активным действиям: разбирать каждый инцидент, искать виновных и привлекать их к ответственности.
"Большинство существующих банковских служб информационной безопасности не в состоянии их проводить. У них нет ни квалифицированного персонала, ни специализированных программно-аппаратных комплексов, ни опыта, ни ресурсов. Поэтому всем операторам нужно будет создавать подобные подразделения, но это под силу лишь крупным игрокам", — сказал Илья Сачков.
По мнению эксперта, это вынудит банки обращаться к сторонним компаниями за помощью.
"Вступление закона положительно отразится на развитии всего российского рынка расследований компьютерных преступлений, а следовательно, и на снижении общего уровня киберпреступности в нашей стране", — сказал Сачков.
РИА Новости