Каждый год российские банки увеличивают вложения в так называемую кибербезопасность. Связано это, в первую очередь, говорят специалисты, с активностью хакеров, которые промышляют хищением денег со счетов граждан. Центробанк обязывают финансовые структуры защищать данные клиентов.
Насколько защищены банки сегодня и стоит ли быть спокойными жителям Башкортостана - об этом мы поговорили в эфире передачи "Интервью" на телеканале БСТ с заместителем управляющего национальным банком Республики Башкортостан Егором Михтанюком.
Начать нашу программу предлагаю всё-таки с разговора о самой последней новости. Буквально с сегодняшнего дня вступил в силу закон о противодействии хищению денежных средств со счетов клиентов. Согласно этому документу, кредитные организации, то есть банки, будут обязаны приостанавливать все безналичные платежи, переводы, если возникают подозрения, что к счету получил доступ злоумышленник. Как это отразится на жизни держателей карт? Можно ли теперь быть уверенными, что деньги у граждан точно не своруют?
Да, действительно, с сегодняшнего дня вступил в действие этот закон. Он разработан при участии Банка России. Основная его цель - создать правовой механизм по противодействию хищениям в области удаленного банковского обслуживания. Признаки, по которым будут относиться операции к разряду подозрительных, будут разрабатываться банком России, публиковаться на своём сайте в сети интернет. При этом, кредитные организации смогут дополнять, уточнять, исходя из своих правил управления рисками, эти признаки. Кредитные организации теперь будут обязаны отслеживать нетипичное поведение своих клиентов, нетипичное финансовое поведение. Например, если с одной банковской карты веером идет крупная рассылка платежей на множество других карты, либо если с одной карты осуществляются подряд платежи из разных регионов - это может свидетельствовать о том, что злоумышленники сделали копию с вашей карты, и похищают средства. Кстати, право блокировать подозрительные транзакции было у банков и раньше. Те банки, которые заботились о безопасности своих клиентов, этим правом пользовались.
Теперь, по закону, все кредитные организации будут обязаны такой деятельностью заниматься. Но суть закона конечно не в том, чтобы блокировать карты или транзакции, а в том, чтобы, выявив подозрительную операцию, установить, действительно ли ее совершает клиент, установить ее правомерность. В конечно итоге повысить безопасность платежей клиентов. А, кроме того, кредитные организации теперь будут обязаны сообщать банку России обо всех фактах попыток хищения с карт. Банк России будет использовать эту информацию для того, чтобы уточнять признаки отнесения операции к подозрительным. Здесь, конечно, речь не идет о формирование каких-то чёрных списков, как иногда говорят. Это будет информация, доступная всем кредитным организациям на сайте Банка России. Кроме того, кредитные организации будут сообщать о суммах, на которые покушались злоумышленники, о суммах, которые фактически удалось похитить. Но и самое главное, о суммах, которые удалось вернуть клиенту. Банк России будет отслеживать, как банк исполняет свои обязанности возвращать похищенные средства, если они похищены не по вине клиента.
Если мы говорим об этом странном поведении, как в законе прописано. Что можно все-таки считать странным поведением?
Это будет обязанностью банков, они должны будут отслеживать поведение своих клиентов. Конечно, клиенты могут предупреждать о таких ситуациях, чтобы блокировки не произошло.
Я имею ввиду, не будет массовой блокировки карт?
Я думаю, что не будет. Начнем с того, что будут опубликованы признаки, то есть эта работа начнётся постепенно.
Можно ли снизить риск блокировки карты?
Во-первых, необязательно всё-таки речь идёт о блокировке. Банки будут сами определять, как они будут приостанавливать эти транзакции, и их реакция - это будет реакция на нетипичное поведение клиента. Соответственно, можно предвосхитить эту реакцию. Например, если вы собираетесь выезжать за границу, и собираетесь там рассчитываться картой, либо если вы планируете какую-то крупную нетипичную для вас покупку с этой карты. Имеет смысл свой банк об этом предупредить, чтобы избежать его реакции. Кроме того, чтобы обезопасить себя от недоразумений, нужно соблюдать такие элементарные правила. Например, выезжая за границу, брать с собой не одну карту, а карты разных платежных систем, разных банков, какую-то часть средств брать с собой в наличной валюте. Рассчитываясь картой, не стоит передавать ее в руки незнакомым людям. Все операции должны совершаться в вашем присутствии, или вами лично.
Пользоваться сервисами уведомлений, SMS-уведомлениями, чтобы быть всё время в курсе операций, которые по вашему счёту происходят. Также необходимо быть на связи, потому что, по новому закону, увидев подозрительную операцию, банк будет незамедлительно пытаться с вами связаться. Делать это он будет способом, предусмотренным в договоре. Это могут быть и телефонный звонок, сообщение на электронную почту, и еще какие-то сообщения. Если ему не удастся с вами связаться, то он может приостановить подозрительную транзакцию на срок до двух рабочих дней. Если за это время вы не выходите на связь, эта блокировка снимается, и транзакция проводится. Чтобы зрителям были понятны масштабы угрозы с которой борется этот закон, за 2017 год было зафиксировано порядка 300 тысяч попыток хищения средств с банковских карт, и клиенты на этом потеряли около 1 млрд рублей.
300 тысяч - эта цифра очень серьезная, или пока все под контролем, и не вызывает опасений?
Возможно, если сопоставлять, цифра не очень серьезная, но, если вы встанете на место человека, у которого похитили средства для него это 100 процентов, он потерял свои средства уже. Поэтому, о каких бы цифрах не шла речь, важно с этим бороться и противодействовать.
Не боитесь ли вы того, что люди начнут массово звонить в банк и говорить: "Сейчас я буду оплачивать посылку на "Алиэкспрессе", я никогда так не оплачивал, так что вы меня не блокируете"
Мы этого не узнаем, пока не начнется практика применение этого закона. Банк России будет держать это под контролем или наблюдать за процессом происходящим в случае необходимости будут носить какие-то уточнения и признаки операции может быть и сам законодательный акт.
Ещё одно важное нововведение, которое начало действовать с 30 июня этого года - дистанционное обслуживание в банках. Он вступил в силу и заработал в банках. Механизм удаленной идентификации, распознавания, когда нужно прийти чтобы пополнить счет или получить кредит, мы всё-таки идем в банк с документами, говорим, что: "Я Иванов Иван Иванович, пожалуйста, подтвердите". Здесь начинает действовать удаленная идентификация. Хотим уточнить, насколько безопасен этот механизм, и на что он направлен?
Речь идет об удаленной биометрической идентификации. Этот механизм позволит существенно повысить доступность финансовых услуг, особенно для малоподвижных, маломобильных граждан, пенсионеров. Теперь они смогут независимо от времени суток, независимо от удалённости банковского офиса, получать необходимые услуги. Технология защищена по самым высоким стандартам информационной безопасности, ее гораздо сложнее обмануть, чем человека. Самое главное, что у нее очень высокая точность распознавания. Для ее работы используются две базы данных. Одна из них - это уже недавно внедренная единая система идентификации и аутентификации. Там хранятся паспортные данные, СНИЛС и так далее.
И вторая – это единая биометрическая система, где хранятся уже биометрические данные. При этом, во втором случае данные хранятся без привязки к персональным данным, что также повышает защищенность этой системы.
Как обычному гражданину оформить доступ к такому механизму?
Чтобы получить такую услугу, клиент должен один раз обратиться в свой банк. Сотрудники банка проведут так называемую первичную идентификацию. Для этого они зарегистрируют клиента в единой системе идентификации, аутентификации. Ваш СНИЛС, ваш паспорт будет там зарегистрирован. Если же вы раньше пользовались Госуслугами, то будет использована действующая запись. Далее сотрудник банка примет от вас ваши биометрические данные на текущий момент - это ваше видеоизображение, и запись вашего голоса. В дальнейшем вы получите уведомление о том, что ваши данные зарегистрированы. Используя любое устройство: телефон, планшет, компьютер, подключенные к интернету, и оснащенная видеокамерой и микрофоном, вы сможете получать банковские услуги. Для этого нужно будет зайти на сайт вашей кредитной организации, запросить необходимую вам услугу. Система переведет вас в единую систему аутентификации, идентификации, запросит логин, пароль. После этого уже вы перейдете в биометрическую систему, которая на ваш экран вашего устройства выведет некий набор знаков и цифр. Их нужно зачитать на камеру. Эта запись будет направлена в единую биометрическую систему, сверена с хранящимися там данными. Если будет совпадение, то вы будете идентифицированы и, соответственно, получите доступ к необходимой Вам услуге.
Насколько безопасна система?
Специалисты, оценивая параметры этой системы, говорят, что точность распознавания этой системы один случай на 10 миллионов. Это достаточно высокая точность. Человека проще обмануть, загримировавшись, подделав подпись, паспорт.
Как много банков уже этот удаленный доступ? Сколько банков сегодня уже задействованы?
Несколько банков в Уфе уже это делают. В целом, по стране, это порядка 15 кредитных организаций, представленных в 81 регионе. По планам, до конца года ожидается, что около 20% кредитных организаций будут подключены к системе. К середине следующего года - порядка 60%. И в 2019 году планируют полностью завершить внедрение этой услуги в кредитных организациях.
Это будет приоритетной мерой. Будет ли обязанность оцифровать всех клиентов?
Пока такой задачи нет. Естественно, все имеющиеся на текущий момент способы идентификации, сохраняются. Клинту просто станет удобнее пользоваться этой системой.
С вашей точки зрения, актуальна ли эта система?
Вы видите, сколько у нас попыток действий злоумышленников. Они получаются получить доступ таким образом. Поэтому дополнительная защита при идентификации - уже назревший вопрос.
Какие схемы у мошенников наиболее популярны?
Самое распространенная схема - это когда злоумышленник пытается захватить управление вашим устройством: планшетом, ноутбуком, компьютером, телефоном. Для этого ему необходимо, чтобы на ваше устройство попал вредоносный вирус. Делается это разными способами. Это может быть заражённая флешка какая-то, это может быть ссылка на вредоносный сайт. Сайт, с которого на ваше устройство закачается вредоносный код, может прийти сообщение по электронной почте, содержащие вредоносный код. Захватив управление вашим устройством, вредоносный код сможет перехватывать всё, что вы вводите в интернете: ваши логины и пароли, в том числе для входа в ваши банковские системы. Вирус может перехватывать реквизиты вашей банковской карты, когда вы рассчитываетесь в интернет-магазинах. Вся эта информация уйдет к злоумышленнику, который, таким образом, получит доступ ко всем вашим счетам. Кроме того, это может быть схема, когда вирус перехватывает управление вашим мобильным приложением. Он подменяет реквизиты в ваших транзакциях, может сгенерировать транзакцию без вашего ведома, заблокировав уведомления о совершаемых операциях. Банк России предъявляет кредитным организациям требования, чтобы вопросы информационной безопасности были решены на этапе, начиная с создания приложения. Кредитная организация, предоставляя услугу, обязана проинформировать о правилах поведения, как соблюсти безопасность, чтобы избежать хищения средств.
Всегда ли банки соблюдают свои обязанности?
Будем надеяться, что они всегда это соблюдают. Как минимум, они прописывают это в своих договорах. Соответственно, вы должны внимательно читать, и ответственно относиться к этим инструментам.
Каким образом людям защитить свои денежные средства?
Для этого нужно соблюдать правила электронной гигиены. Не следует устанавливать приложения из неофициальных магазинов, бездумно переходить по ссылкам в Интернете, открывать подозрительные письма от незнакомых людей. На все устройства нужно ставить антивирусное программное обеспечение.
Насколько безопасны те или иные инструменты для скачивания приложений?
Если люди скачали приложение из неизвестного источника, оно может содержать вредоносный код. Это довольно распространенная ситуация.
Насколько сегодня актуальна социальная инженерия?
К сожалению, остается актуальной. Продолжают приходить массовые рассылки, в которых предупреждают о том, что ваша банковская карта заблокирована. Часто в этих рассылках фигурирует Банк России. Стоит отметить, что Банк России не работает с физическими лицами и никогда не рассылает сообщения. В сообщении также содержится телефон. Это телефон злоумышленника. Если вы туда позвоните, он средствами вербального воздействия попытается вас вынудить или уговорить на то, чтобы вы ему дали реквизиты вашей банковской карты, либо предложит подойти к банкомату и совершить какие-то действия, в результате чего вы потеряете средства. Не следует этого делать, поскольку, если вы сами совершаете операции, сами отдаете свои реквизиты, банк вправе не возвращать вам средства. Останется только обратиться в полицию.
Массовость приводит к тому, что довольно широкая категория граждан страдает от таких событий. Особенно важно объяснять дедушкам и бабушкам, как действовать в такой ситуации, если получаете такое уведомление. Если вы сами засомневались, просто позвоните в ваш банк: телефон указан на обороте карты, либо в договоре.
На протяжении 7-8 лет говорится о том, что не следует передавать никому свои данные. Граждане ведутся на такие виды мошенничества?
К сожалению, продолжают граждане страдать от мошенников. Граждане доверяют сообщениям. Особенно это касается пожилых людей, для которых эти технологии непривычны.
Что делать гражданам, которые столкнулись с мошенничеством?
Если по вашей карте совершена операция без вашего ведома, то нужно позвонить в свой банк. Уведомляете о мошенничестве и блокируете карту, поскольку если там еще остались средства, это позволит остановить дальнейшие хищения. После этого нужно обратиться в офис вашего банка, запросить выписку по этой карте, и написать заявление о несогласии с операцией мошеннической. Одну копию нужно оставить у себя, после этого обратиться в правоохранительные органы. Банки обязаны рассмотреть ваше обращение в течение 30 дней. Если это была международная транзакция, срок увеличивается до 60 дней.
Можно ли говорить о том, что пострадавшие граждане получат компенсацию? Какой процент людей получили компенсацию?
Такой статистикой я не обладаю. По вашему заявлению банк обязан провести расследование, по результатам он примет соответствующее решение. Вы можете рассчитывать на возврат средств, если вы не нарушали правила пользования данным банковским продуктом, правила информационной безопасности, и обратились с заявлением не позже одного рабочего дня с момента уведомления.
Если же хищение состоялось в результате вашей неосмотрительности или вы сами отдали реквизиты, то банк может и не возвратить потерянные средства.
Банки больше на стороне клиентов?
По закону, банки обязаны возвращать средства, если они не смогут доказать, что клиент сам в этом виноват. Если есть несогласия, клиент может обратиться в суд или Роспотребнадзор.
Насколько угрозы растут и насколько банки могут отражать различные хакерские атаки?
Это двусторонний процесс. Безусловно, банки совершенствуют все свои системы защиты, они растут в этом вопросе. С другой стороны, и хакеры тоже придумывают новые способы. Хакер обращает свое воздействие не столько на банк, сколько на клиента, которого может разными способами обмануть.
Кто выигрывает в этой борьбе? Банки?
Я думаю, что добро побеждает.
