Конференции. Совещания. Семинары 17–18 февраля 2009 г. в Москве прошел IX Международный форум iFin-2009 «Электронные финансовые услуги в России». Организатор Форума – финансовый интернет-портал iFin.ru. Форум проводился при поддержке Ассоциации российских банков. Более 20 компаний представили на iFin-2009 свои услуги, технологии и готовые решения в области электронных финансов для банков и финансовых компаний. В работе Форума приняли участие свыше 350 представителей банков и финансовых компаний Москвы, Санкт-Петербурга и еще более чем 40 городов России, а также стран ближнего и дальнего зарубежья. Участники Форума получили возможность в одном месте и в сжатые сроки ознакомиться с лучшими решениями, которые существуют сегодня на отечественном рынке электронного банкинга, электронных расчетов и других электронных финансовых услуг. Программа iFin-2009 была насыщена презентациями различных технологических новинок, интересными дискуссиями, обсуждением наиболее актуальных тем, связанных с развитием рынка электронных финансовых услуг. Большой резонанс вызвало участие в iFin-2009 представителей Банка России и, в частности, публикуемое ниже выступление представителя Главного управления безопасности и защиты информации (ГУБЗИ) Банка России. Интернет-банкинг: вопросы обеспечения безопасности А. Л. Поспелов, начальник управления защиты платежных технологий ГУБЗИ Банка России А нализ развития интернет-банкинга в банковской сфере России позволяет отметить высокие темпы распространения интернет-технологий. В целом эту тенденцию можно оценить как позитивную: применение интернет-банкинга ориентировано на снижение затрат банков по оказанию услуг и расширению их клиентской базы. Вместе с тем международный и отечественный опыт свидетельствует и о росте рисков, связанных с применением интернет-технологий. К ним, в частности, относятся сбои в работе информационных систем, усиливаются операционный и правовой риски. В связи с этим новые банковские технологии привлекают внимание органов банковского надзора во всем мире, в том числе и в России. Учитывая относительную новизну тематики интернет-банкинга, Банк России формирует свою позицию в данной области банковского регулирования и надзора, вырабатывает принципиальные подходы. При этом учитывается и мнение банковского сообщества: Банк России провел анкетирование почти всех действующих банков, которое позволило получить представление о том, кто из них работает в Интернете, какие виды услуг оказывает, сколько имеет интернет-клиентов, какое программное обеспечение применяет, каковы основные проблемы при использовании интернет-технологий. В рамках риск-ориентированного надзора предполагается разработка документов преимущественно рекомендательного характера по выявлению, анализу и мониторингу банковских рисков, связанных с такой формой банковской деятельности. Вместе с тем рабо- та с рисками должна проводиться в первую очередь самими банками. Так же, впрочем, как и со всеми другими рисками. Поэтому основная задача Банка России состоит в том, чтобы оценить качество внутренних систем управления рисками, возникающими при использовании интернет-технологий, а также систем внутреннего контроля, и предложить банкам их усовершенствовать, модернизировать. Что касается реализации рисков, то следует отметить следующее. В последнее время в российском сегменте сети Интернет участились сетевые атаки на сайты и серверы (так называемые ресурсы) кредитных организаций, а также попытки неправомерного получения персональной информации пользователей систем дистанционного банковского обслуживания (ДБО) (пароли, секретные ключи средств шифрования и аналогов собственноручной подписи, ПИН-коды и номера банковских карт, а также персональные данные их владельца). Наиболее распространенными являются распределенные атаки типа «отказ в обслуживании» (так называемые DOS-атаки), при которых большое количество компьютеров (от нескольких сотен до сотен тысяч), программное обеспечение которых предварительно специальным образом дистанционно модифицируется лицами, предпринимающими попытки неправомерного получения персональной информации пользователей систем ДБО, по команде указанных лиц начинают одновременно направлять массовые запросы на атакуемый ресурс, серьезно нарушая либо полностью блокируя его работу. При этом владелец ресурса, как правило, не может самостоятельно, без ДЕНЬГИ И КРЕДИТ • 4/2009 61 Конференции. Совещания. Семинары помощи провайдера Интернета, восстановить работоспособность ресурса. Продолжительность атак может составлять несколько суток, в течение которых оказывается невозможным дистанционное банковское обслуживание множества клиентов кредитной организации, что способно нанести прямой ущерб этой организации и ее клиентам. Банк России считает целесообразным рекомендовать кредитным организациям включать в договоры, заключаемые с провайдерами Интернета, обязательства сторон по принятию мер, направленных на оперативное восстановление функционирования ресурса при возникновении нештатных ситуаций, а также ответственности за несвоевременное исполнение таких обязательств. При совершении попыток неправомерного получения персональной информации пользователей систем ДБО клиентам кредитных организаций по системам электронной почты направляются сообщения, в которых под каким-либо предлогом (техническое перевооружение организации, обновление или сверка баз данных кредитной организации и т. п.) предлагается ввести с клавиатуры компьютера указанные коды в поля экранных форм в ходе имитируемых сеансов информационного взаимодействия с кредитной организацией (к примеру, через созданный дубликат ее web-сайта). Одновременно на компьютер клиента с web-сайта могут передаваться вредоносные программы, являющиеся компьютерными вирусами или «закладками», выполняющими в фоновом режиме работы скрытые функции, связанные с неправомерным получением персональной информации пользователей систем ДБО. Наблюдаются случаи неправомерного получения реквизитов банковских карт при проведении операций через банкоматы. При этом используются накладные устройства на клавиатуру для ввода ПИНкода или на устройство для приема карт в банкомат, а также специально приспособленные для этих целей «фальшивые» банкоматы, которые незаконно устанавливаются, как правило, в не контролируемых кредитными организациями местах и внешне не отличаются от банкоматов, используемых для дистанционного банковского обслуживания клиентов кредитных организаций. Неправомерно полученные различными способами реквизиты банковских карт используются для изготовления поддельных банковских карт, частично (так называемый белый пластик) или полностью имитирующих подлинные. В целях неправомерного получения персональной информации пользователей систем ДБО заинтересованные лица используют также различные варианты телефонного мошенничества. В частности, отмечаются случаи направления мошенниками на мобильные телефоны клиентов кредитных организаций SMS-сообщений о необходимости позвонить по номерам телефонов, которые в действительности не принадлежат этим организациям. Также имеют место звонки клиентам с сообщением автоинформаторов о предоставлении продуктов и услуг банка с предложением нажать определенные клавиши на телефоне для 62 подтверждения согласия в их приобретении и т. п. Тем самым клиенты банка провоцируются к вступлению в контакты с мошенниками, целью которых в том числе может являться получение конфиденциальной клиентской информации (например, номера банковской карты и ПИН-кода). Банк России обращает внимание кредитных организаций на необходимость распространения предупреждающей информации для своих клиентов, в том числе с использованием представительств в сети Интернет (web-сайтов), о возможных случаях неправомерного получения персональной информации пользователей систем ДБО. В состав такой информации целесообразно включать описание официально используемых способов и средств информационного взаимодействия с клиентами, а также описания приемов неправомерного получения кодов персональной идентификации клиентов, информации о банковских картах и мер предосторожности, которые необходимо соблюдать клиентам, пользующимся системами ДБО. В качестве подобных мер кредитные организации могли бы, например, рекомендовать клиентам следующее: • исключить возможность неправомерного получения персональной информации пользователей систем ДБО − не передавать неуполномоченным лицам; • осуществлять операции с использованием банкоматов, установленных в безопасных местах (в государственных учреждениях, подразделениях банков, крупных торговых комплексах, гостиницах, аэропортах и т. п.); • не использовать банковские карты в организациях торговли и обслуживания, не вызывающих доверия; • при совершении операций с банковской картой без использования банкоматов не выпускать ее из поля зрения; • не пользоваться устройствами, которые требуют ввода ПИН-кода для доступа в помещение, где расположен банкомат; • не использовать ПИН-код при заказе товаров либо услуг по телефону/факсу или по сети Интернет; • при наличии возможности, предоставляемой кредитной организацией, использовать реквизиты карты одноразового использования (так называемой виртуальной карты) для осуществления оплаты товаров либо услуг через сеть Интернет; • пользоваться услугой SMS-оповещения о проведенных операциях с применением ДБО (в случае возможности получения такой услуги); • осуществлять информационное взаимодействие с кредитной организацией только с использованием средств связи (мобильные и стационарные телефоны, факсы, интерактивные web-сайты/порталы, обычная и электронная почта и пр.), реквизиты которых оговорены в документах, получаемых непосредственно в кредитной организации. Наряду с изложенным имеет место прямое хищение (или попытки хищения) денежных средств с использованием системы интернет-банкинга. На- ДЕНЬГИ И КРЕДИТ • 4/2009 Конференции. Совещания. Семинары Кроме того, с целью минимизации указанных рисков Банком России разработан комплекс документов в области стандартизации, разработана уже третья редакция Стандарта Банка России по информационной безопасности «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения». Стандарт по информационной безопасности (СТО БР ИББС–1.0) носит добровольный характер. В настоящее время он внедрен в Банке России и в целом ряде организаций банковской системы Российской Федерации. Данный Стандарт основан на лучшей международной практике и многолетнем опыте обкатки в системе Центрального банка. По мнению кредитных организаций, которые приняли участие во внедрении данного Стандарта, его применение позволило выстроить и усовершенствовать процессы управления не только системой информационной безопасности, но и организацией в целом. Отмечается, что в рамках внедрения Стандарта была пересмотрена организационная структура, созданы специальные подразделения, отвечающие за информационную безопасность, пересмотрена или создана заново нормативная база, выпущены специальные положения, политики, инструкции, актуализированы процедуры обеспечения информационной безопасности на различных участках банковских технологических процессов, налажены процедуры мониторинга, контроля и планирования. Риски нарушения информационной безопасности существенно снизились и стали более контролируемы. Это свидетельствует о целесообразности расширения опыта внедрения и применения Стандарта по информационной безопасности в организациях банковской системы Российской Федерации. Все указанные рекомендации направлены на то, чтобы подверженность банков и их клиентов неизбежным рискам оказалась минимальной. Но, несомненно, решать эти проблемы необходимо совместными усилиями кредитных организаций и Банка России. пример, в текущем году со счета крупной фирмы по продаже автомобилей с использованием системы дистанционного банковского обслуживания были несанкционированно сняты денежные средства в сумме 8 205 650 руб. и перечислены на счет другой фирмы. Принятыми мерами попытка хищения предотвращена. В ряде случаев, к сожалению, была доказана причастность сотрудников и руководителей коммерческих банков к открытию и ведению счетов заведомо фиктивных организаций, которые заинтересованы в том, чтобы управление расчетными счетами фиктивных организаций происходило дистанционно по системе «Банк−клиент». Выявлены случаи, когда лицами, не обладающими необходимыми полномочиями, осуществлялось управление расчетными счетами большого количества фиктивных организаций или управление расчетным счетом организации сразу несколькими лицами или организациями. Поэтому Банк России ориентируется на выработку таких рекомендаций для банковского сектора, которые должны способствовать организации надежного и эффективного интернет-обслуживания с учетом существующих проблем. В этих целях Банком России были подготовлены и направлены в территориальные учреждения Банка России для доведения до кредитных организаций письма Банка России от 03.02.2004 № 16-Т «О рекомендациях по информационному содержанию и организации web-сайтов кредитных организаций в сети Интернет», от 07.12.2007 № 197-Т «О рисках при дистанционном банковском обслуживании», от 31.03.2008 № 36-Т «О рекомендациях по организации управления рисками, возникающими при осуществлении кредитными организациями операций с применением систем интернет-банкинга», а также новые рекомендации для кредитных организаций по дополнительным мерам информационной безопасности при использовании систем интернет-банкинга. * * * Интересным и плодотворным получилось заседание круглого стола при участии представителей Банка России А. Л. Поспелова и начальника управления И. М. Гвоздева (Главный центр ключевой информации электронных систем ГУБЗИ Банка России), на котором обсуждалась текущая ситуация и перспективы совершенствования безопасности электронных банковских услуг, в том числе с использованием новой, третьей редакции Стандарта Банка России по информационной безопасности (СТО БР ИББС–1.0–2008). Не менее интересной оказалась тема второго круглого стола – «Антикризисная роль электронных финансовых услуг», участники которого согласились с тем, что использование электронных каналов обслуживания клиентов создает дополнительные возможности и преимущества для банков и финансовых компаний именно в условиях кризиса. Подробную информацию о IX Международном форуме iFin-2009 можно получить на официальном web-сайте iFin-2009 по адресу: http://www.forum.ifin.ru, тел.: (495) 229-8502, e-mail: 2009@ifin.ru. ДЕНЬГИ И КРЕДИТ • 4/2009 63