Регулятор прошелся по сайтам

Регулятор прошелся по сайтам

  8 сентября     ЦБ

ЦБ озабочен улучшением защиты средств, принадлежащим компаниям и гражданам, от хищений. Так, стало известно о вводе дополнительных требований к банкам и прочим структурам, занимающимся проведением платежей, в том числе, он настаивает на том, чтобы операции ограничивали определенные параметры. Это, по мнению экспертов, будет способствовать усилению ответственности банков за безопасность платежей, но полностью проблема решена не будет.

На сайте регулятора опубликованы поправки к положениям ЦБ о требованиях, предъявляемых к обеспечению информзащиты при совершении денежных переводов. Регулятор намерен ввести важные новации, способные защитить средства клиентов банков и платежных систем. Каждый год наблюдается рост объемов мошеннических операций. Только за прошлый год, по данным ЦБ, добычей киберпреступников стало около 1 млрд руб., похищенных со счетов физлиц и 1,9 млрд руб. - принадлежавших компаниям.

Действие новых требований будет распространено не только на банки или платежные системы, но и на все сайты, принимающие оплату. На ежегодной основе по требованию регулятора им придется анализировать уязвимости собственных систем, а также проводить тестирование на возможность взлома, привлекая к этому специалистов с лицензией Федеральной службы по техническому и экспортному контролю (ФСТЭК, работает под ведомством Министерства обороны), и пользоваться только сертифицированным программным обеспечением.

По словам заместителя главы лаборатории компьютерной криминалистики компании Group-IB Сергея Никитина, важно, что эта новация относится не только к банкам, но и ко всем сайтам, принимающим платежи — кинотеатрам, интернет-магазинам, компаниям, собирающим пожертвования. Сейчас при оплате покупки через интернет сайт часто запрашивает сведения на своем сайте с дальнейшей их переадресацией на сайт банка или платежной системы, что только на руку злоумышленникам и что в итоге провоцирует хищения.

Но и для банков важность этой новации очевидна. Как указано в данных исследования Positive Technologies, каждый третий банк-клиент работает с уязвимостями, способными стать причиной хищений.

Чтобы повысить безопасность трансакций, ЦБ требует, чтобы банки, проводящие платежи, ввели дополнительные меры безопасности. Платеж и его подтверждения должны иметь разные программные среды (к примеру, для платежа - компьютер, для подтверждения - телефон). Клиенту обязательно должны быть видны реквизиты платежа, им подтверждаемого. Это, как считают эксперты, защитит клиентов от вредоносных программ, подменяющих реквизиты. По словам руководителя направления Solar inCode компании Solar Security Даниила Чернова, и сегодня некоторые крупные банки при подтверждении трансакции высылают клиенту код, расшифровывая его — непонятно, кому идет платеж и на какую сумму. Платеж корпоративного клиента подтверждает электронная подпись, при этом не нужно выводить подтверждение реквизитов трансакции. Подтверждение платежа возможно не только через специальное приложение для смартфона, но и через отдельное аппаратное устройство, и этот способ относится к одному из наиболее безопасных.

Но банки, пока не проявляют озабоченности к повышению безопасности платежей, действуя по известному принципу: "спасение утопающих - дело рук самих утопающих". После предъявления клиентами претензий к банкам суды, как правило, становились на сторону последних и попытки взыскания похищенного с банка проваливались. Но банки же могут, хотя бы предоставить клиентам возможность видеть, какие трансакции подтверждаются ими.

Но ЦБ все же считает, что банкам следует подумать об усилении контроля за сомнительными трансакциями, когда клиент авторизуется и даже приостанавливать операции, если обнаружатся определенные признаки. Чтобы отсеять подозрительные трансакции, банкам нужно установить ограничение по максимальной сумме трансакции, период времени, за который доступно проведение платежей (допустим, ввод ограничения на частоту трансакций для исключения отправки веерных платежей по многим счетам злоумышленников за пару минут). Под подозрение может попасть и география устройств, с которых был подготовлен платеж. А, значит, любую трансакцию, попадающую, с точки зрения банка, в категорию сомнительных, не проведут, не позвонив клиенту или не получив от него его подтверждения. Это, конечно же, в некоторых случаях вызовет замедление прохождения денег и даже недовольство клиентов, но их средства будут защищены от хищения.

Вступление в силу новых поправок ожидается с 1 июля 2018 года.


Добавить комментарий