Календарь мероприятий


Сенаторы предложили резко поднять штрафы в сфере безопасности переводов

   Совет при Совете Федерации предложил резко повысить штрафы для банков. Сенаторы считают, что это заставит их проинвестировать в безопасность операций клиентов. В ЦБ пока не видят "существенных проблем" в этой сфере
   Сенаторы предложили в десять раз повысить штрафы для банков за неисполнение законов и нормативных актов ЦБ из-за нежелания кредитных организаций выполнять требования по повышению безопасности онлайн-операций, которые совершают их клиенты. Соответствующий законопроект разработал Совет по развитию цифровой экономики при Совете Федерации, рассказал источник РБК, близкий к совету. Копия документа есть у РБК. Эта инициатива прорабатывается группой сенаторов и экспертов в области информационной безопасности, сказал РБК один из авторов законопроекта сенатор Артем Шейкин.
   В Совет по развитию цифровой экономики входят сенаторы, губернаторы некоторых регионов, представители министерств и т.д., в том числе глава Минцифры Максут Шадаев. Председателем совета является первый зампред Совфеда Андрей Турчак.
   Согласно указанию ЦБ от 18 февраля 2022 года (6071-У), которое вносит изменение в положение ЦБ о требованиях в целях защиты информации для борьбы с денежными переводами без согласия клиента, банки должны обеспечить целостность онлайн-операций и подтвердить их составление клиентом с помощью средств криптографической защиты либо усиленной квалифицированной или неквалифицированной подписи. "Данное требование повышает защищенность от таких атак, как программный перехват сообщений, перевыпуск сим-карт, внутренний фрод, социальная инженерия", - говорится в пояснительной записке к законопроекту.
   В то же время ряд банков продолжают направлять коды в СМС и PUSH-уведомлениях для аутентификации клиента и подтверждения проведения операции, указывают сенаторы. Авторы инициативы считают, что невыполнение новых требований ЦБ связано с тем, что "сумма возможного штрафа зачастую меньше, чем стоимость работ по внедрению или разработке новых технических средств для исполнения требований указания Банка России".
   Шейкин отметил, что усиление ответственности создаст стимул для банков осуществлять необходимые меры по защите данных. "Повышение штрафа сделает такую преднамеренную халатность экономически нецелесообразной и вынудит банки активнее использовать решения для защиты от подмены сообщений. А значит, граждане и их деньги получат дополнительную защиту", - подчеркнул он. По словам Шейкина, мошенничество с перехватом СМС-сообщений от банков появилось практически сразу, после того как этот способ подтверждения денежных переводов стал одним из основных, и сейчас некоторые кредитные организации пренебрегают требованиями ЦБ из-за низкой суммы штрафов.
   Банки должны обеспечить целостность электронных сообщений и не допустить возможности их искажений со стороны злоумышленников, сказал РБК представитель ЦБ. В то же время сейчас Банк России "не видит существенных проблем с соблюдением целостности и искажений злоумышленниками электронных сообщений, передаваемых клиентами в банки при проведении онлайн-операций", подчеркнул он.

Как предлагается изменить штрафы

   Сенаторы подготовили изменения в закон "О Центральном банке Российской Федерации". Согласно им штрафы должны быть повышены только в том случае, если кредитные организации не выполняют требования по обеспечению защиты информации. В этом случае штраф может быть установлен на уровне до 1% от размера собственного капитала, но не менее 1 млн руб. либо установлено ограничение на проведение банком отдельных операций на срок до шести месяцев.
   В настоящее время закон предусматривает для банков начисление штрафов в размере до 0,1% размера собственного капитала, но не менее 100 тыс. руб. Если нарушения не устраняются, то штраф повышается до 1% размера оплаченного уставного капитала, но не более 1% минимального размера уставного капитала.
   Минимальный размер уставного капитала для банка с универсальной лицензией составляет 1 млрд руб. В первом случае с банков взыскивается максимум 1 млн руб., во втором - до 10 млн руб. Если предложение сенаторов будет принято, то штрафы для крупнейших банков могут достигать десятков миллиардов рублей.

Насколько масштабна проблема с криптографией

   Требование ЦБ в первую очередь не выполняют крупные банки, говорит директор технического департамента RTM Group Федор Музалевский: "Это видно без всякой специальной проверки, так как их клиентам продолжают приходить коды в СМС или PUSH-уведомлениях. Ряд небольших кредитных организаций уже начал использовать средства криптозащиты из-за страха за свою лицензию, однако они внедряют ее в основном для подтверждения действий клиентов - юридических лиц".
   По словам Музалевского, крупные банки не внедряют использование ЭП или криптографии не только из-за высокой стоимости, но и из-за технических трудностей. "Это сложно сделать даже на устройствах с Android, устройства на базе iOS они уже даже не берут в расчет. Использование криптографии может ограничить функционал, из-за чего клиенты будут совершать меньше операций и банки в итоге потеряют часть прибыли", - объясняет эксперт.
   В то же время источник на банковском рынке пояснил РБК, что использование кодов из СМС или PUSH-уведомлений не означает отказа от применения электронной подписи или криптографии - банк имеет право запрашивать коды для дополнительного подтверждения того, что именно этот клиент совершает операцию или именно он имеет доступ к устройству.
   Требования по криптографии в меньшей степени касаются простых граждан, так как они подразумевают страховку от риска подмены или перехвата СМС-сообщений злоумышленниками, но такой способ достаточно дорог в исполнении и в инцидентах с рядовыми людьми встречается редко, объясняет коммерческий директор компании "Код безопасности" Федор Дбар.

Как может измениться процесс подтверждения операций

   Полноценного готового решения еще нет на рынке, поэтому сложно сказать, как процесс подтверждения операции изменится для клиентов. Но гипотетически может быть разработано специальное приложение, которое нужно будет установить на телефон, говорит Музалевский. Это приложение сгенерирует специальный токен, который представляет собой набор символов. Банк должен будет каждый раз при проведении операций запрашивать этот токен, но клиенту ничего не потребуется вводить - приложения будут взаимодействовать между собой самостоятельно. Шейкин отмечает, что уже есть готовые решения для внедрения и технологические возможности для самостоятельной разработки банками.
   Главное преимущество технологии для клиентов в том, что нельзя будет совершить банковскую операцию с другого устройства, продолжает Музалевский: "Мы проводили анализ судебных экспертиз по случаям мошенничества, который показывает, что возможность передачи кода подтверждения третьим лицам - это основная причина денежных хищений".
   Поможет ли поднятие штрафовБанк России не применяет штрафы за нарушение информационной безопасности, говорит Музалевский. "В повседневной деятельности Банк России не так часто прибегает к такой мере ответственности, как штраф", - подтверждает партнер коллегии адвокатов "Ионцев, Ляховский и партнеры" адвокат Игорь Дубов.
   Повышение штрафов положительно влияет на исполнение того или иного закона, считает Дбар. "Вероятнее всего, это будет способствовать повышению безопасности клиентов", - добавляет главный эксперт "Лаборатории Касперского" Сергей Голованов.
   По словам Голованова, рост хищений в последние несколько лет привел к популяризации мнения, что именно простота и доступность банковских услуг повлияла на повышение активности злоумышленников, которые с помощью социальной инженерии выманивали у пользователей конфиденциальные данные.
   Впрочем, банковское сообщество очень дисциплинированное, проблема массового неисполнения каких-либо требований встречается крайне редко и только по причине их непродуманности, отмечает председатель Национального совета финансового рынка Андрей Емелин. "Практика показывает, что авторы законодательных инициатив не всегда всесторонне и точно понимают ситуацию на современном, очень сложном и очень технологичном финансовом рынке, но обычно во время детального обсуждения законопроектов в профильном комитете Госдумы все вопросы решаются", - говорит он, добавляя, что в целом тема поднятия штрафов за нарушения в сфере защиты информации достаточно старая, но всегда она обсуждалась для всех рынков в целом, а не только для банков, и по всему спектру возможных нарушений.

Источник: РБК https://www.rbc.ru/finances/30/11/2023/6565d7ee9a794704efa243f1

30.11.2023

Обсудить в нашей группе на Facebook
Обсудить новости на нашей странице на VKontakte


Новости ББТ
31.10.2024
Обновление раздела ББТ "Информационная безопасность банка" от 31.10.2024
31.10.2024
Обновление раздела ББТ "Противодействие легализации" от 31.10.2024
31.10.2024
Обновление раздела ББТ "Внутренний контроль в банке" от 31.10.2024
31.10.2024
Обновление раздела ББТ "Кредитные операции в банке" - от 31.10.2024
31.10.2024
Обновление раздела ББТ "Противодействие НИИИ/МР" от 31.10.2024 Все новости
Наши мероприятия
26.11.2024
26.11.2024 - "Первая работа. Путеводитель"
25.11.2024
25.11.2024 - "Как ключевая ставка Банка России позволяет управлять инфляцией"
22.11.2024
22.11.2024 - "Инфляция и рынок труда"
05.11.2024
05.11.2024 - "Розничные инвесторы и торговля на бирже"
22.10.2024
22.10.2024 - "Основы потребительского кредитования. Обзорная лекция" Все новости
Новости для банков
09.07.2024
ВНИМАНИЮ КЛИЕНТСКИХ И ЮРИДИЧЕСКИХ СЛУЖБ БАНКОВ
11.12.2024
Определились лидеры онлайн-голосования за символы для новой тысячерублевки
11.12.2024
Госдума приняла закон о допуске банков к госсредствам на основе рейтинга
11.12.2024
ЦБ РФ согласовал стандарт надзора за работой кредитных организаций
10.12.2024
В правительстве одобрили идею МВД о внесудебной заморозке счетов Все новости
Новости библиотеки
18.03.2019
Очередное обновление Электронной Библиотеки Банка от 18.03.2019
12.02.2019
Очередное обновление Электронной Библиотеки Банка от 12.02.2019 Все новости