08:4510.06.15

В России появятся правила безопасного интернет-банкинга

В России появятся правила безопасного интернет-банкинга

В 2017 году в России появятся единые требования к уровню защиты систем дистанционного банковского обслуживания. Это следует из плана развития электронного взаимодействия на финансовом рынке, утвержденного зампредом правительства Аркадием Дворковичем в мае (есть у «Известий»). Некоторые эксперты предложили ввести требования к сложности пароля клиентов банков, есть и противники обязательности генеральных стандартов в интернет-банкинге.
У всех российских банков разный уровень защиты интернет-банков, включая мобильные банки, поэтому нужны четко установленные требования к уровню их защиты, считают в правительстве и Центробанке. В рамках проекта ЦБ и Федеральная служба безопасности сейчас проводят анализ степени защиты таких банковских систем, о результатах своего исследования они должны отчитаться перед кабмином до конца июня.
По словам источника, близкого к ЦБ, регулятора беспокоят не только масштабы мошенничества (официально это несколько миллиардов рублей в год), но и латентность этих нарушений; например, правоохранительные органы возбуждают уголовные дела только по 1-5% общего количества преступлений, связанных с хищением клиентских денег. По оценкам исследовательско-консалтинговой компании Group-IB, в прошлом году ущерб от атак на системы интернет-банкинга банков составил $289 млн. Источник указал, что в разработке стандартов информационной безопасности активно будет участвовать Центр по борьбе с киберугрозами, созданный при ЦБ (документы о его создании подписаны в мае 2015 года, штатное расписание еще не утверждено).
Глава Group IB Илья Сачков констатирует, что зачастую подразделения банков, ответственные за дистанционные сервисы, по разным причинам противятся внедрению дополнительных мер безопасности (в силу непонимания угроз, экономии и нежелания тратить бюджет на безопасность, стремления сделать вход в интернет-банкинг максимально быстрым и простым).
- В конфликте многих российских банков между бизнесом и безопасностью пока выигрывает бизнес, - считает Сачков. - Введение со стороны ЦБ обязательных защитных механизмов заставит некоторые банки либо отказаться от дистанционного обслуживания или сделать его максимально безопасным (и совместить это с удобством). Можно было бы навязать пользователю сложный пароль, и, разумеется, выбор безопасного пароля - дело важное, но на самом деле безопасный пароль не спасет клиентов от мошенников. В большинстве случаев пароль становится доступен злоумышленнику через фишинговые (поддельные) сайты или когда на компьютере вирус пароль перехватывает. Злоумышленники почти никогда не подбирают пароль - они всегда его знают. По нашим данным, защищенный интернет-банк - только у 15-20 из 800 российских банков.
По оценке исполнительного директора компании InfoWatch Всеволода Иванова, безопасный ИБ 5% банков РФ - это не более 40 банков, причем в их число входят как крупные, так и небольшие участники рынка.
В пресс-службе ЦБ отказались комментировать эту тему.
Сачков считает, что в список требований к системам дистанционного банковского обслуживания (ДБО) банков должны войти: двухфактурная авторизация для входа в интернет-банк (подтверждение входа по одноразовому коду); отображение в SMS реквизитов получателя денежных средств; контроль смены SIM-карты; контроль заражения смартфона; мониторинг и закрытие фишинговых сайтов; мониторинг скомпрометированных учетных записей и др. Сачков также предлагает дополнительно страховать операции, проводимые через ДБО.
По мнению директора департамента аудита защищенности Digital Security Алексей Тюрина, для улучшения ситуации в области безопасности может также помочь многофакторная аутентификация и подтверждение действий в ДБО, постинформирование по операциям. Также ситуацию улучшит информационная работа с клиентом и более простые способы взаимодействия с правоохранительными органами, но последнее от банков зависит мало.
Директор департамента дистанционного банковского обслуживания Бинбанка Алексей Дегтярев указывает, что при создании единых для всех участников рынка стандартов безопасности систем ДБО в качестве образца можно взять PCI DSS - набор правил и требований, применяемых в индустрии платежных карт.
Сачков, который с коллегами так или иначе выиграет от новых стандартов ЦБ, считает, что банки, чьи системы ДБО в 2017 году не будут соответствовать требованиям, нужно наказывать.
- Уместны штрафы и запрет проведения дистанционных платежей, - считает Сачков.
Директор департамента корпоративных финансов Deloitte & Touche CIS Алексей Ивлев, уверен, что об обязательности выполнения банками стандартов ЦБ речи быть не должно: это должно быть заложено в политику риск-менеджмента банка и допустимого риска в каналах ДБО.
- Каждый банк должен определить для себя баланс между механизмами защиты, допустимыми потерями и удовлетворенностью клиентов, - рассуждает Ивлев.
Зампред Локо-банка Андрей Люшин говорит, что чем сложнее процесс идентификации, тем хуже он приживается у пользователей: им не хочется носить с собой какие-то дополнительные генераторы одноразовых паролей или подобные устройства.
- Именно поэтому должен быть соблюден баланс между интересами пользователя и банка, - считает Люшин. - В этой области в будущем широкое распространение получат способы идентификации клиента по его биометрическим параметрам, будь то отпечаток пальца, распознавание сетчатки глаза, лица или голоса пользователя.
Эксперт по банковским рейтингам Raex Александра Ионова говорит, что в 2014 году, согласно исследованию ее компании, банки тратили на систему интернет-банкинга в среднем 1 тыс. рублей в расчете на одного активного пользователя и аналогичный показатель за 2013 год находился на сопоставимом уровне. В условиях кризиса в 2015 году Raex фиксирует снижение среднего прогнозного годового бюджета банков на ДБО на 23%.
- Единые обязательные требования к уровню защиты систем в этих условиях необходимы, поскольку они не позволят банкам экономить на безопасности клиентов, - считает Ионова. - В частности, требования к надежности пароля позволят минимизировать элементарные риски (генерация пароля) и при этом не потребуют никаких дополнительных инвестиций от банков. Существует множество алгоритмов для создания запоминающегося, но надежного пароля, поэтому подобное требование не будет идти вразрез с удобством использования системы ДБО для клиента.

Поделиться:

НОВОСТИ МУРМАНСКА И
МУРМАНСКОЙ ОБЛАСТИ

22:01Тариф системы «Платон» будет увеличен на 25 %

21:21На «НаМОДнении» в Мурманске представят эскизы молодых модельеров

20:29На охранника в Североморске возбудили дело за уклонение от службы в армии

20:23Призывной возраст могут продлить до 30 лет

20:04Службу статистики хотят отдать Минэкономразвитию

19:21Не стало Почетного гражданина Мурманска Виктора Шкатова

18:39На концерте народных инструментов выступят 60 преподавателей Заполярья

18:17В Мурманской области с начала года при пожарах погибли 7 человек

18:04Сигареты хотят маркировать как шубы

17:40Мурманские депутаты изучают вылов рыбы и краба на Сахалине

17:15На образовательной выставке в Мурманске впервые представили университеты из Петербурга

17:09Китайские авто стали значительно хуже продаваться в России

17:03Председатель мурманской Облдумы потерял в медиарейтинге 20 пунктов

16:45Татьяна Кусайко помогает наладить теплоснабжение в посёлке Спутник

16:41На реконструкцию перрона «Пулково-2» потратят 1,8 млрд рублей

16:27Открыта продажа на прямые авиарейсы Хибины-Шереметьево

16:19Депутаты против штрафов за скрытые на парковке номера ТС

16:11Сутенёрке из Мончегорска грозит штраф в полмиллиона

16:04Медведев опроверг слова Путина о своей болезни

15:48«Красные лисы» из Мурманска сыграют на Всероссийских соревнованиях по хоккею

15:30Мурманскому пенсионеру за фиктивную регистрацию иностранца грозит срок до 6 лет

15:11Артем Гиневский: Большинство бесплатных курсов создается с единственной целью - заполучить клиента

15:01Марина Ковтун оказалась на 50 месте в медиарейтинге губернаторов

14:42Во время застолья собутыльник незаметно обокрал мурманчанина

Все новости