Несколько недель назад Ассоциация российских банков и Национальный платежный совет направили г-ну Игнатьеву (главе Банка России) письмо. Суть письма сводится к просьбе направить в адрес банков совметное письмо о применении кредитными организациями и операторами платежных систем «Методических рекомендаций о необходимых действиях в связи с совершением хищения денежных средств в системах дистанционного банковского обслуживания, использующих электронные устройства клиента». Документ должен быть подписан руководством Банка России, АРБ, НП «НПС», а также согласован БСТМ, ФСБ и ФСТЭК.
Редкий случай, но этот документ касается практически каждого.
Итак,
Методические рекомендации содержат порядок действий в случае выявления хищения денежных средств в системах дистанционного банковского обслуживания (Интернет-банк, Мобильный банк и т.п.). Причем порядок расписан для каждого субъекта:
- Клиент, со счета которого неправомерно списаны денежные средства (физическое или юридическое лицо)
- Клиент, на счет которого неправомерно зачислены денежные средства (физическое или юридическое лицо)
- Банк плательщика
- Банк получателя
- Интернет провайдер
- Правоохранительные органы
Наиболее интересны разделы, содержащие порядок действий клиентов, ведь это касается 99,9% читающих эту статью. На них и остановимся.
Что делать если со счета несанкционированно списали деньги?
Юридическое лицо:
1) Выключить компьютер (ноутбук, планшетный компьютер и т.п.) "жестким выключением" и вынуть аккумулятор 2) Отменить платеж с использованием другого компьютера, если есть такая возможность 3) Если возможности нет – звонить в банк 4) Произвести фотосъёмку рабочего места и его расположения в помещении. Обеспечить целостность компьютера вплоть до помещения его в "непрозрачный пакет (мешок) и опечатки горловины" :-) 5) Обратиться в банк плательщика с письменным заявлением об отзыве платежа, возврате средств и блокировании доступа к системе ДБО (пример заявления есть в приложении). Копия заявления по факсу или электронной почте. Оригинал в течение 1 дня!!! 6) Сообщить во все банки, с которыми работаем, что у нас украли деньги и запросить внеплановую замену ключей 7) Обратиться в банк получателя с письменным заявлением в течение 1 дня (пример заявления есть в приложении). Тут не уточняется с оригиналом или достаточно по электронной почте/факсу, ведь банк получателя может быть в другом регионе плюс разница во времени 8) Предпринять меры для обеспечения сохранности и неизменности записей с систем видео-наблюдения, систем контроля доступа, межсетевых экранов и т.п. 9) В течение 1 дня обратиться с письменным заявлением к своему Интернет-провайдеру за логами соединений с компьютера клиента за 3 месяца (пример заявления есть в приложении) 10) Запротоколировать все значимые действия и события, предшествовавшие факту хищения 11) В течение 1 дня обратиться с заявлением в правоохранительные органы о возбуждении уголовного дела (пример заявления есть в приложении) 12) Оперативно обратиться в суд с исковым заявлением в отношении получателя денежных средств 13) Копии вышеуказанных документов направить в свой банк с приложением Справки по факту инцидента информационной безопасности в системе ДБО
Серьезный перечень, да и сроки для большинства компаний очень сжатые.
А что делать простому обывателю, если у него украли деньги?
Практически тоже самое.
Физическое лицо:
1) Выключить компьютер (ноутбук, планшетный компьютер и т.п.) жестким выключением и вынуть аккумулятор 2) Отменить платеж с использованием другого компьютера, если есть такая возможность 3) Если возможности нет – звонить в банк 4) Произвести фотосъёмку рабочего места и его расположения в помещении. Обеспечить целостность компьютера вплоть до помещения его в "непрозрачный пакет (мешок) и опечатки горловины" :-) 5) Обратиться в свой банк с письменным заявлением об отзыве платежа, возврате средств и блокировании доступа к системе ДБО (пример заявления есть в приложении). Копия заявления по факсу или электронной почте. Оригинал в течение 1 дня!!! 6) Сообщить во все банки, с которыми есть договорные отношения, и где есть ДБО, что у тебя украли деньги и запросить внеплановую замену ключей 7) В течение 1 дня!!! обратиться с письменным заявлением к своему Интернет-провайдеру за логами соединений с компьютера за 3 месяца (пример заявления есть в приложении) 8) Подготовить объяснение обо всех значимых действиях и событиях, предшествовавших факту хищения 9) В течение 1 дня обратиться с заявлением в правоохранительные органы о возбуждении уголовного дела (пример заявления есть в приложении) 10) Оперативно обратиться в суд с исковым заявлением в отношении получателя денежных средств. 11) Направить в свой банк копии запрашиваемых документов с приложением Справки по факту инцидента информационной безопасности в системе ДБО
Итого 13 шагов для юридических и 11 шагов для физических лиц. Очевидно, что успеть в течение 1 дня оббежать все инстанции, подготовить пачку заявлений, сделать массу звонков – очень и очень оптимистичный расклад. Сделать это на практике сможет далеко не каждый.
Интересное по документу:
- В перечне действий банка плательщика, прямо указывается на необходимость в общении с банком получателем ссылаться на 115-ФЗ (легализация и отмывание) в качестве основания остановить платеж
- Очень интересный перечень действий для банка получателя. В частности если с получателем платежа не удается связаться по телефону или почте, осуществляется «выезд по месту его жительства и/или работы». Получается, что СБ вашего банка приходит к вам на работу и начинает задавать вопросы о платеже, по которому пришла жалоба. Если вы говорите, что платеж не ваш – осуществляется возврат денег и закрывается счет. Если вы настаиваете, что платеж ваш, вас просят проследовать в офис банка, где вас уже будет ждать полиция ;-)
Итого
В целом рекомендации очень качественные. Все необходимые шаблоны документов есть. Для клиентов процедура трудновыполнима. С одной стороны позиция регулятора понятна, от действий клиента многое зависит, с другой многие шаги проще сделать совместно с банком, например в части подготовки и отправки заявлений.
Не забываем, что это проект. Каким будет финальный документ, покажет время. При этом сам факт, что появились рекомендации по обработке инцидентов в ДБО в рамках НПС, вселяет оптимизм.
Евгений, а Вам не кажется, что рекомендации не «очень качественные», а кошмарные? Как физлицо должно будет узнать про их существование? Я сейчас в Эритрее, с моего счета в Москве деньги перегнали на счет в Науру. Что мне с эти рекомендациями делать? Я в целом знаю, но с нашими новыми законами распространяться не стану. Дело пришьют. И самое главное — положительно оценивая весь этот … материал, Вам не приходила в голову мысль, что банк смело будет посылать пострадавшего, не выполнившего рекомендации? Кстати, у Вас печать есть для опечатывания горловины непрозрачного мешка? А люверсы в нем для продевания нити? И что такое «выключить жестким выключением»? Из розетки выдернуть? Никто не боится, что диск умрет, который для расследования нужен?
> Как физлицо должно будет узнать про их существование?
В рекомендациях сказано, что это задача банка «уведомлять клиентов о рекомендованном порядке действий в случае выявления хищения денежных средств»
>Я сейчас в Эритрее, с моего счета в Москве деньги перегнали на счет в Науру. Что мне с эти рекомендациями делать?
По крайней мере вы знаете, что первым делом нужно выключить машину (принудительно отключить электропитание в обход штатной процедуры завершения работы, извлечь аккумуляторную батарею из ноутбука)
Далее нужно позвонить в банк и уже с ними решать что делать дальше.
>Вам не приходила в голову мысль, что банк смело будет посылать пострадавшего, не выполнившего рекомендации?
Не приходила, т.к. есть 161-ФЗ
Дело в том, сейчас банк так и делает. Без разбирательств в принципе, не ссылаясь на какие-то рекомендации просто отказывает в возмещении и все.
С 1 января в случае если:
— банк не отправляет уведомления о платежах (н-р, смс) — мошеннический платеж банку придется возместить в любом случае.
— банк отправляет уведомление, то есть всего 2 основания для отказа: 1) если банк докажет, что клиент нарушил порядок использования электронного средства платежа, что повлекло совершение операции без согласия клиента, 2) если клиент не направил в банк уведомление.
Других оснований для отказа нет.
> А про жесткое выключение, так это общепринятая рекомендация при заражении. Судите сами, чего шанс выше, что вредонос зачистит следы при выключении или, что HDD погибнет.
А что делать, если платеж был проведен с настольного ПК? Как, простите, извлечь из него аккумулятор, разбирать системный блок?
Жесткое выключение компьютера в первом пункте и обеспечение его целостности в четвертом — взаимоисключающие параграфы.
К чему такая спешка при обращении к провайдеру за логами? Если они будут получены в течение двух дней, произойдет какое-то их видоизменение?
>А что делать, если платеж был проведен с настольного ПК? Как, простите, извлечь из него аккумулятор, разбирать системный блок?
Если настольный, то очевидно просто выключить из сети.
>Жесткое выключение компьютера в первом пункте и обеспечение его целостности в четвертом – взаимоисключающие параграфы.
Абсолютно согласен
>К чему такая спешка при обращении к провайдеру за логами? Если они будут получены в течение двух дней, произойдет какое-то их видоизменение?
Видимо эксперты видят разницу… а вдруг, что… ;-)
Деньги гонятся в абсолютном большинстве случаев не с компа клиента. Если диск умрет, говорить о зачистке следов бессмысленно.Зачем писать про сутки и подлинник, если есть ФЗ-161? Чтобы дать повод отказать в претензии?Очередное зарывание головы в песок вместо реальной помощи.
Как раз таки наоборот, в основном с машин клиентов. Ключи воруют с компьютеров клиентов и подмену платежек совершают тоже на них.
А что, есть статистика, заслуживающая доверия? Это очень удобная для банков позиция, за нее и держатся. Кстати, очень неудобно дискутировать Мне не идут оповещения о комментах.
Статистики нет, к сожалению, а как сделать комментирование удобным еще не придумал(
http://www.forbes.com/sites/andygreenberg/2012/08/27/disable-java-in-your-browser-to-avoid-a-nasty-new-malware-spreading-attack/
Не нашел важного момента. Что делать если факта списания не произошло. Т.е. банк выявил и зарубил платеж. Компрометация, понятно.
Банк не может зарубить платеж просто так. Если все правила клиентом соблюдены — платеж пройдет.