08:4510.06.15

В России появятся правила безопасного интернет-банкинга

В России появятся правила безопасного интернет-банкинга

В 2017 году в России появятся единые требования к уровню защиты систем дистанционного банковского обслуживания. Это следует из плана развития электронного взаимодействия на финансовом рынке, утвержденного зампредом правительства Аркадием Дворковичем в мае (есть у «Известий»). Некоторые эксперты предложили ввести требования к сложности пароля клиентов банков, есть и противники обязательности генеральных стандартов в интернет-банкинге.
У всех российских банков разный уровень защиты интернет-банков, включая мобильные банки, поэтому нужны четко установленные требования к уровню их защиты, считают в правительстве и Центробанке. В рамках проекта ЦБ и Федеральная служба безопасности сейчас проводят анализ степени защиты таких банковских систем, о результатах своего исследования они должны отчитаться перед кабмином до конца июня.
По словам источника, близкого к ЦБ, регулятора беспокоят не только масштабы мошенничества (официально это несколько миллиардов рублей в год), но и латентность этих нарушений; например, правоохранительные органы возбуждают уголовные дела только по 1-5% общего количества преступлений, связанных с хищением клиентских денег. По оценкам исследовательско-консалтинговой компании Group-IB, в прошлом году ущерб от атак на системы интернет-банкинга банков составил $289 млн. Источник указал, что в разработке стандартов информационной безопасности активно будет участвовать Центр по борьбе с киберугрозами, созданный при ЦБ (документы о его создании подписаны в мае 2015 года, штатное расписание еще не утверждено).
Глава Group IB Илья Сачков констатирует, что зачастую подразделения банков, ответственные за дистанционные сервисы, по разным причинам противятся внедрению дополнительных мер безопасности (в силу непонимания угроз, экономии и нежелания тратить бюджет на безопасность, стремления сделать вход в интернет-банкинг максимально быстрым и простым).
- В конфликте многих российских банков между бизнесом и безопасностью пока выигрывает бизнес, - считает Сачков. - Введение со стороны ЦБ обязательных защитных механизмов заставит некоторые банки либо отказаться от дистанционного обслуживания или сделать его максимально безопасным (и совместить это с удобством). Можно было бы навязать пользователю сложный пароль, и, разумеется, выбор безопасного пароля - дело важное, но на самом деле безопасный пароль не спасет клиентов от мошенников. В большинстве случаев пароль становится доступен злоумышленнику через фишинговые (поддельные) сайты или когда на компьютере вирус пароль перехватывает. Злоумышленники почти никогда не подбирают пароль - они всегда его знают. По нашим данным, защищенный интернет-банк - только у 15-20 из 800 российских банков.
По оценке исполнительного директора компании InfoWatch Всеволода Иванова, безопасный ИБ 5% банков РФ - это не более 40 банков, причем в их число входят как крупные, так и небольшие участники рынка.
В пресс-службе ЦБ отказались комментировать эту тему.
Сачков считает, что в список требований к системам дистанционного банковского обслуживания (ДБО) банков должны войти: двухфактурная авторизация для входа в интернет-банк (подтверждение входа по одноразовому коду); отображение в SMS реквизитов получателя денежных средств; контроль смены SIM-карты; контроль заражения смартфона; мониторинг и закрытие фишинговых сайтов; мониторинг скомпрометированных учетных записей и др. Сачков также предлагает дополнительно страховать операции, проводимые через ДБО.
По мнению директора департамента аудита защищенности Digital Security Алексей Тюрина, для улучшения ситуации в области безопасности может также помочь многофакторная аутентификация и подтверждение действий в ДБО, постинформирование по операциям. Также ситуацию улучшит информационная работа с клиентом и более простые способы взаимодействия с правоохранительными органами, но последнее от банков зависит мало.
Директор департамента дистанционного банковского обслуживания Бинбанка Алексей Дегтярев указывает, что при создании единых для всех участников рынка стандартов безопасности систем ДБО в качестве образца можно взять PCI DSS - набор правил и требований, применяемых в индустрии платежных карт.
Сачков, который с коллегами так или иначе выиграет от новых стандартов ЦБ, считает, что банки, чьи системы ДБО в 2017 году не будут соответствовать требованиям, нужно наказывать.
- Уместны штрафы и запрет проведения дистанционных платежей, - считает Сачков.
Директор департамента корпоративных финансов Deloitte & Touche CIS Алексей Ивлев, уверен, что об обязательности выполнения банками стандартов ЦБ речи быть не должно: это должно быть заложено в политику риск-менеджмента банка и допустимого риска в каналах ДБО.
- Каждый банк должен определить для себя баланс между механизмами защиты, допустимыми потерями и удовлетворенностью клиентов, - рассуждает Ивлев.
Зампред Локо-банка Андрей Люшин говорит, что чем сложнее процесс идентификации, тем хуже он приживается у пользователей: им не хочется носить с собой какие-то дополнительные генераторы одноразовых паролей или подобные устройства.
- Именно поэтому должен быть соблюден баланс между интересами пользователя и банка, - считает Люшин. - В этой области в будущем широкое распространение получат способы идентификации клиента по его биометрическим параметрам, будь то отпечаток пальца, распознавание сетчатки глаза, лица или голоса пользователя.
Эксперт по банковским рейтингам Raex Александра Ионова говорит, что в 2014 году, согласно исследованию ее компании, банки тратили на систему интернет-банкинга в среднем 1 тыс. рублей в расчете на одного активного пользователя и аналогичный показатель за 2013 год находился на сопоставимом уровне. В условиях кризиса в 2015 году Raex фиксирует снижение среднего прогнозного годового бюджета банков на ДБО на 23%.
- Единые обязательные требования к уровню защиты систем в этих условиях необходимы, поскольку они не позволят банкам экономить на безопасности клиентов, - считает Ионова. - В частности, требования к надежности пароля позволят минимизировать элементарные риски (генерация пароля) и при этом не потребуют никаких дополнительных инвестиций от банков. Существует множество алгоритмов для создания запоминающегося, но надежного пароля, поэтому подобное требование не будет идти вразрез с удобством использования системы ДБО для клиента.

Поделиться:

НОВОСТИ МУРМАНСКА И
МУРМАНСКОЙ ОБЛАСТИ

23:24На трассе «Кола» погиб водитель после столкновения с лосем

23:05Под Мурманском автомобиль перевернулся и застрял в кустах

22:49«Мертвые души»: Экс-директор мончегорского колледжа завысил число студентов на 89 человек

22:28В Кировске перевернулась спешившая на вызов «пожарка»

21:57В Мурманске для выпускников устроили «Паруса надежды» [видео]

11:53В Мурманске 29 июня пройдет митинг против повышения пенсионного возраста

10:34Жителя Апатитов осудят за стрельбу в местном баре

09:40Сильный ветер и до +20° ожидается в Мурманской области

18:30В Апатитах организуют мемориал погибшему рэперу XXXtentacion

17:48Жители Кировска спасли застрявшую в кормушке белку

16:59В фильме «Экстремальный футбол в России» засветились ловозерские саамы

16:20Корабли Северного флота отразили воздушный налёт условного противника

15:38Более 52 млн выделяет заполярное правительство на регулирование численности безнадзорных животных

15:15В Мурманске открыли памятную стелу Зое Космодемьянской

15:04В мурманском порту установили видеостену для контроля за экологической обстановкой

14:40В больнице Мончегорска разгласили врачебную тайну

14:00В Мурманске состоялся митинг, посвященный Дню памяти и скорби

13:41Министр строительства: Мурманская область выполнила обязательства по расселению аварийного жилья

13:07«КолАтомЭнергоСбыт» примкнул к Всероссийской акции «Свеча памяти»

12:45Должник из Гаджиево нагрубил приставу и оказался в изоляторе

12:30Рядом с Маточкиным Шаром североморцы провели самый северный в стране футбольный матч

12:13На 9 лет и 6 месяцев осудили убийцу 5-летнего пасынка в Апатитах

12:10Огонь для «Свечи памяти» доставили в Североморск «Ночные волки»

11:55Трассу для натурбана планируют построить в Кировске

Все новости