Сенаторы предложили резко поднять штрафы в сфере безопасности переводов
Их не устраивает, что банки ограничиваются кодами в СМС и push-уведомленияхСенаторы предложили в десять раз повысить штрафы для банков за неисполнение законов и нормативных актов ЦБ из-за нежелания кредитных организаций выполнять требования по повышению безопасности онлайн-операций, которые совершают их клиенты. Соответствующий законопроект разработал Совет по развитию цифровой экономики при Совете Федерации, рассказал источник РБК, близкий к совету. Копия документа есть у РБК. Эта инициатива прорабатывается группой сенаторов и экспертов в области информационной безопасности, сказал РБК один из авторов законопроекта сенатор Артем Шейкин.
В Совет по развитию цифровой экономики входят сенаторы, губернаторы некоторых регионов, представители министерств и т.д., в том числе глава Минцифры Максут Шадаев. Председателем совета является первый зампред Совфеда Андрей Турчак.
Согласно указанию ЦБ от 18 февраля 2022 года (6071-У), которое вносит изменение в положение ЦБ о требованиях в целях защиты информации для борьбы с денежными переводами без согласия клиента, банки должны обеспечить целостность онлайн-операций и подтвердить их составление клиентом с помощью средств криптографической защиты либо усиленной квалифицированной или неквалифицированной подписи. «Данное требование повышает защищенность от таких атак, как программный перехват сообщений, перевыпуск сим-карт, внутренний фрод, социальная инженерия», — говорится в пояснительной записке к законопроекту.
В то же время ряд банков продолжают направлять коды в СМС и push-уведомлениях для аутентификации клиента и подтверждения проведения операции, указывают сенаторы. Авторы инициативы считают, что невыполнение новых требований ЦБ связано с тем, что «сумма возможного штрафа зачастую меньше, чем стоимость работ по внедрению или разработке новых технических средств для исполнения требований указания Банка России».
Шейкин отметил, что усиление ответственности создаст стимул для банков осуществлять необходимые меры по защите данных. «Повышение штрафа сделает такую преднамеренную халатность экономически нецелесообразной и вынудит банки активнее использовать решения для защиты от подмены сообщений. А значит, граждане и их деньги получат дополнительную защиту», — подчеркнул он. По словам Шейкина, мошенничество с перехватом СМС-сообщений от банков появилось практически сразу, после того как этот способ подтверждения денежных переводов стал одним из основных, и сейчас некоторые кредитные организации пренебрегают требованиями ЦБ из-за низкой суммы штрафов.
Банки должны обеспечить целостность электронных сообщений и не допустить возможности их искажений со стороны злоумышленников, сказал РБК представитель ЦБ. В то же время сейчас Банк России «не видит существенных проблем с соблюдением целостности и искажений злоумышленниками электронных сообщений, передаваемых клиентами в банки при проведении онлайн-операций», подчеркнул он.
Как предлагается изменить штрафы
Сенаторы подготовили изменения в закон «О Центральном банке Российской Федерации». Согласно им штрафы должны быть повышены только в том случае, если кредитные организации не выполняют требования по обеспечению защиты информации. В этом случае штраф может быть установлен на уровне до 1% от размера собственного капитала, но не менее 1 млн руб. либо установлено ограничение на проведение банком отдельных операций на срок до шести месяцев.
В настоящее время закон предусматривает для банков начисление штрафов в размере до 0,1% размера собственного капитала, но не менее 100 тыс. руб. Если нарушения не устраняются, то штраф повышается до 1% размера оплаченного уставного капитала, но не более 1% минимального размера уставного капитала.
Минимальный размер уставного капитала для банка с универсальной лицензией составляет 1 млрд руб. В первом случае с банков взыскивается максимум 1 млн руб., во втором — до 10 млн руб. Если предложение сенаторов будет принято, то штрафы для крупнейших банков могут достигать десятков миллиардов рублей.
Насколько масштабна проблема с криптографией
Требование ЦБ в первую очередь не выполняют крупные банки, говорит директор технического департамента RTM Group Федор Музалевский: «Это видно без всякой специальной проверки, так как их клиентам продолжают приходить коды в СМС или push-уведомлениях. Ряд небольших кредитных организаций уже начал использовать средства криптозащиты из-за страха за свою лицензию, однако они внедряют ее в основном для подтверждения действий клиентов — юридических лиц».
По словам Музалевского, крупные банки не внедряют использование ЭП или криптографии не только из-за высокой стоимости, но и из-за технических трудностей. «Это сложно сделать даже на устройствах с Android, устройства на базе iOS они уже даже не берут в расчет. Использование криптографии может ограничить функционал, из-за чего клиенты будут совершать меньше операций и банки в итоге потеряют часть прибыли», — объясняет эксперт.
В то же время источник на банковском рынке пояснил РБК, что использование кодов из СМС или push-уведомлений не означает отказа от применения электронной подписи или криптографии — банк имеет право запрашивать коды для дополнительного подтверждения того, что именно этот клиент совершает операцию или именно он имеет доступ к устройству.
Требования по криптографии в меньшей степени касаются простых граждан, так как они подразумевают страховку от риска подмены или перехвата СМС-сообщений злоумышленниками, но такой способ достаточно дорог в исполнении и в инцидентах с рядовыми людьми встречается редко, объясняет коммерческий директор компании «Код безопасности» Федор Дбар.
Как может измениться процесс подтверждения операций
Полноценного готового мобильного банка с криптографией еще нет на рынке, поэтому сложно сказать, как процесс подтверждения операции изменится для клиентов. Но гипотетически может быть разработано специальное приложение, которое нужно будет установить на телефон, говорит Музалевский. Это приложение сгенерирует специальный токен, который представляет собой набор символов. Банк должен будет каждый раз при проведении операций запрашивать этот токен, но клиенту ничего не потребуется вводить — приложения будут взаимодействовать между собой самостоятельно. Шейкин отмечает, что уже есть готовые решения для внедрения и технологические возможности для самостоятельной разработки банками.
Главное преимущество технологии для клиентов в том, что нельзя будет совершить банковскую операцию с другого устройства, продолжает Музалевский: «Мы проводили анализ судебных экспертиз по случаям мошенничества, который показывает, что возможность передачи кода подтверждения третьим лицам — это основная причина денежных хищений».
Поможет ли поднятие штрафов
Банк России не применяет штрафы за нарушение информационной безопасности, говорит Музалевский. «В повседневной деятельности Банк России не так часто прибегает к такой мере ответственности, как штраф», — подтверждает партнер коллегии адвокатов «Ионцев, Ляховский и партнеры» адвокат Игорь Дубов.
Повышение штрафов положительно влияет на исполнение того или иного закона, считает Дбар. «Вероятнее всего, это будет способствовать повышению безопасности клиентов», — добавляет главный эксперт «Лаборатории Касперского» Сергей Голованов.
По словам Голованова, рост хищений в последние несколько лет привел к популяризации мнения, что именно простота и доступность банковских услуг повлияла на повышение активности злоумышленников, которые с помощью социальной инженерии выманивали у пользователей конфиденциальные данные.
Впрочем, банковское сообщество очень дисциплинированное, проблема массового неисполнения каких-либо требований встречается крайне редко и только по причине их непродуманности, отмечает председатель Национального совета финансового рынка Андрей Емелин. «Практика показывает, что авторы законодательных инициатив не всегда всесторонне и точно понимают ситуацию на современном, очень сложном и очень технологичном финансовом рынке, но обычно во время детального обсуждения законопроектов в профильном комитете Госдумы все вопросы решаются», — говорит он, добавляя, что в целом тема поднятия штрафов за нарушения в сфере защиты информации достаточно старая, но всегда она обсуждалась для всех рынков в целом, а не только для банков, и по всему спектру возможных нарушений.