Опубликован проект поправок в Положение Банка России №382-П. Вступает в силу с 1 июля 2018 года, часть положений с 1 июля 2019 года.
Основные моменты:
- Расширено понятие инцидента, если раньше к инцидентам в платежных системах относили только незначительную часть от общего количества инцидентов, то после принятия поправок к ним будет относиться почти все.
- В платежном процессе необходимо применить ряд сертифицированных средств защиты (раньше была расплывчатая формулировка, в духе «могут применяться»).
- Имеется прямая ссылка на ГОСТ Р ИСО/МЭК 15408-3-2013.
- Необходимо проводить ежегодное тестирование на проникновение и анализ уязвимостей лицензиатом ФСТЭК.
- При модернизации систем необходимо проводить внеплановый анализ уязвимостей.
- Детализированы условия, когда по заявлению клиента банк обязан вводить ограничения по параметрам операций. Фактически по заявлению клиента банк обязан ввести требуемые клиенту ограничения.
- Прямое требование по разделению контуров подготовки и подтверждения клиентом электронных сообщений.
- Новые требования по информированию Банка России. Нужно будет информировать ЦБ даже о планах по размещению информации на официальных сайтах, выпуску пресс-релизов и проведению пресс-конференций.
- Оценка соответствия по 382-П должна проводиться только сторонней организацией – лицензиатом ФСТЭК.
Теперь о деньгах. Казалось бы, ну и что, новые требования, просто информационная безопасность для банков немного вырастает в цене. А вот и нет. В случае принятия поправок радикально повышаются шансы клиентов получить возмещение от банков в случае хищения через каналы ДБО.
Профессионально судебными экспертизами систем ДБО занимаются в RTM Group. У компании есть уникальный опыт работы в качестве судебных экспертов по таким делам, в качестве представителей банков и представителей клиентов.Практика рассмотрения судебных споров между банками и клиентами меняется. Клиенты год от года все чаще получают с банков возмещение ущерба от действий злых хакеров. Текущие поправки усиливают и ускоряют этот процесс. Каким образом? При хорошей экспертной поддержке можно однозначно доказать какие-либо нарушения требований ЦБ и в первую очередь это касается нового ГОСТа и 382-П. Опять же, при правильном подходе будет доказана причинно-следственная связь между нарушениями банком требований и хищением денег клиента. А это означает удовлетворение иска на всю сумму плюс расходы.
И еще момент, раньше у банков в суде работала стратегия:
- «А мы ничего не знаем, к нам пришли платежки, ЭЦП мы проверили, они правильные. Какие к нам еще вопросы? Судебная экспертиза? А что нужно? Дать информацию по нашим внутренним ИТ-системам? Раскрыть информацию по фрод-мониторингу и средствам защиты, которые мы используем? Исходники ДБО дать? ДА ВЫ ЧТО! Это же банковская тайна! МЫ НИЧЕГО НЕ ДАДИМ НА ЭКСПЕРТИЗУ! Вот, есть компьютер клиента, с которого украли деньги, вот по нему и проводите экспертизу».
Сегодня эта стратегия уже не работает. Дело №А40-216859/15-170-1768 ООО «Электросервисмонтаж» против ОАО (ныне ПАО) «Московский Кредитный Банк». Читаем основной довод суда:
Банком не представлено достоверных сведений о примененных им аппаратных и программных средствах защиты. Повышение уровня безопасности программного обеспечения могло бы воспрепятствовать несанкционированному вторжению со стороны третьих лиц.
Согласно выводам эксперта уровень безопасности программного средства защиты соответствует низкому уровню.
Экспертом были даны пояснения по проведенной им экспертизе, в частности, эксперт пояснил, что выводы экспертизы сделаны на основании того объема документов и информации, которая предоставлена сторонами в добровольном порядке.
Поскольку запрошенная экспертом информация была предоставлена ответчиком не в полном объеме, сведения в отношении примененных им средств защиты от несанкционированного доступа были не подтверждены, суд считает возражения ответчика необоснованными и приходит к выводу о том, что по характеру обязательства ответчиком не была обеспечена надлежащая защищенность системы.
Вот и все, клиент банка получил полную сумму возмещения, плюс расходы.
Поэтому коллеги, банковские безопасники, доложите своему руководству, что ситуация не просто меняется, а меняется очень быстро. Необходимо проводить нормативное исследование/экспертизу ваших систем ДБО и корректно оформлять их работу. Также необходимо обеспечить качественную досудебную и судебную поддержку своих юридических департаментов. Фактически такого не бывает, чтобы практикующие юристы могли похвастаться компетенцией в вопросах информационной безопасности на экспертном уровне (если таковы есть, я очень хочу с вами сотрудничать – пишите, обсудим).
Еще момент, мы с коллегами в RTM Group разрабатываем методику проведения комплексной экспертизы (нормативная, финансово-экономическая и компьютерно-техническая), которая будет использоваться в судебных экспертизах в рамках споров между банками и клиентами по вопросам хищения денежных средств через каналы ДБО. Обратите внимание, в приведенном выше кейсе, эксперт оценил уровень безопасности как «низкий». Мы, помимо всего прочего, разрабатываем критерии определения уровня безопасности систем ДБО. Будут сделаны соответствующие публикации, методика будет открыта и никаких волюнтаристических оценок экспертов уже не будет, выводы экспертиз будут основаны на методике, которую суды точно примут. По своему опыту могу сказать, что суду очень хочется получить от эксперта качественную оценку уровня безопасности ДБО, с новой методикой он ее получит.
Проводить работу самостоятельно или пригласить сторонних экспертов – ваш выбор. Главное успеть адаптироваться к новой реальности. Не останьтесь крайним лично. Я на некоторых коллег уже насмотрелся. Годами ходить по судам и следователям – это не то «удовольствие», к которому нужно стремиться. Как всегда повторяю свой тезис: «Думайте о себе».
С целью повышения защиты средств компаний и граждан от хищения, Центробанк вводит дополнительные требования к банкам и любым иным структурам, проводящим платежи, в том числе настаивая на ограничении операций определенными параметрами. С новациями, предназначенными для защиты средств клиентов банков и платежных систем от хищений содержатся в поправках к Положениям ЦБ «О требованиях к обеспечению защиты информации при денежных переводах» (с текстом можно ознакомиться на regulation.gov.ru).
Новые требования будут касаться не только банков или платежных систем, но фактически для всех сайтов, принимающих оплату. «Сейчас при оплате покупки в Интернете сайт нередко запрашивает данные на своем сайте, а далее переадресует на сайт банка или платежной системы, чем пользуются злоумышленники и что в итоге приводит к хищениям», — отмечает замглавы лаборатории компьютерной криминалистики компании Group-IB Сергей Никитин.
Для повышения безопасности трансакций будут введены дополнительные меры безопасности. Во-первых, платеж и его подтверждение должны быть в разных программных средах (например, платеж — на компьютере и подтверждение — на телефон). Кроме того, клиент в обязательном порядке должен видеть реквизиты платежа, который он подтверждает. Центробанк также настаивает на том, чтобы банки усилили контроль за сомнительными трансакциями уже на этапе авторизации клиента и даже приостанавливали операции при наличии определенных признаков.
Поправки должны вступить в силу с 1 июля 2018 года.
Источник: banki.ru