ОБЗОР СМИ
Информация «Об издании Банком России методических рекомендаций»
В развитие подходов, предусмотренных методическими рекомендациями Банка России от 21.07.2017 № 18-МР, по выявлению и пресечению кредитными организациями деятельности клиентов, совершающих сомнительные операции, 16.02.2018 Банк России издал методические рекомендации № 5-МР«О подходах к управлению кредитными организациями риском легализации (отмывания) доходов, полученных преступным путем, и финансирования терроризма».
Методические рекомендации № 5-МР выпущены с целью оказания кредитным организациям помощи в оценке операций клиентов на предмет наличия в их действиях признаков, указывающих на осуществление расчетов в целях ухода от уплаты НДС в бюджетную систему Российской Федерации либо намеренного занижения размера таких платежей.
Также в методических рекомендациях № 5-МР приведен перечень характерных направлений деятельности клиентов и отраслей экономики, в которых часто используются схемы расчетов, направленные на незаконную неуплату (возмещение) НДС, и даны рекомендации по работе с клиентами, вызывающими подозрения в осуществлении ими незаконных действий, связанных с уплатой НДС.
Методические рекомендации № 5-МР разработаны Банком России во взаимодействии с ФНС России с учетом результатов надзорной деятельности Банка России, правоприменительной практики, контрольной и надзорной деятельности ФНС России и согласованы с ФНС России.
Росфинмониторинг разработал новые критерии для блокировки счетов и операций
В Росфинмониторинге в свете усиления сотрудничества с международной организацией «Эгмонт» разработана система индикаторов для пресечения финансирования терроризма. Под подозрение финансовых разведчиков попадут платежи в адрес религиозных центров, связанных с радикальной идеологией, пропагандой и вербовкой, а также сбор денег на благотворительность через соцсети. ЦБ уже разослал соответствующие указания в кредитные организации, участвующие в пилотном проекте, сообщает «Известия».
«У «Эгмонт» есть система моментального обмена информацией. Предполагается, что обмен данными между ней и Росфинмониторингом усилится. Это будет сделано из-за роста террористической активности в странах ЕС и Сирии», — сказал источник газеты на банковском рынке.
По его словам, новые индикаторы пока применяют 11 крупных банков, а со следующего года использование индикаторов станет для кредитных организаций обязательным. Инструкцию с признаками операций, которые с высокой долей вероятности указывают на причастность к терроризму, ЦБ разослал по банкам, участвующим в пилотном проекте. Получение этого документа изданию подтвердили в трех кредитных организациях.
Новая система индикаторов обяжет банки блокировать операции лиц из окружения граждан, попавших в официальный перечень террористов на сайте финразведки. Также будут заблокированы платежи в пользу религиозных организаций, связанных с радикальной идеологией, пропагандой и вербовкой.
Под блокировку попадет и сбор средств на благотворительность через соцсети. Поскольку во многих из них можно зарегистрироваться под любым именем, то под видом просящих помощь могут скрываться террористы, которым нужны деньги для оплаты мобильной связи, покупки авиабилетов, на содержание или лечение раненых боевиков, пояснил источник, близкий к Росфинмониторингу.
«Банкам придется сложно: нужно будет мониторить соцсети, отслеживать операции фондов и религиозных объединений», — отметила управляющий партнер аудиторской компании «2К» Тамара Касьянова.
Нововведение может замедлить проведение операций через благотворительные фонды и религиозные объединения, полагает финансовый эксперт Ирина Коженкова. Банки, скрупулезно проверяя каждую трансакцию, могут затребовать дополнительные документы и более четкие назначения платежа, добавила она.
Как работает биометрия по рисунку вен
Биометрия при идентификации клиентов финансовых организаций стремительно набирает популярность. Зачем нужна верификация личности по биометрическим данным и почему рисунок вен надежнее отпечатка пальцев?
Деньги текут по венам
По данным аналитического агентства Risk Based Security, в первой половине 2017 года число взломов аккаунтов и личных кабинетов пользователей в Интернете выросло на 75%. С тех пор этот показатель практически не уменьшался: сейчас Россия находится на восьмом месте в мире по количеству краж персональных данных. Тем временем число учетных записей любого активного интернет-пользователя продолжает увеличиваться с каждым годом: чем чаще мы используем онлайн-банки и электронные кошельки, чем больше важной информации о нас хранится в наших почтовых сервисах, тем более изворотливыми становятся хакеры в стремлении получить доступ к нашим данным.
Пароль к учетной записи — самый распространенный, но далеко не самый надежный способ защитить свои данные от мошенников. Развитие технологий позволяет нам использовать более сложный способ верификации личности: подделать или скопировать наши биометрические данные куда сложнее, чем подобрать пароль.
В 95% случаев биометрия — это вид математической статистики. Ее основные характеристики — вероятность ошибки первого или второго порядка. Терминологически они определяются как FAR (False Acceptance Rate) и FRR (False Rejection Rate): первое число — вероятность совпадения биометрических характеристик двух разных людей, а второе — вероятность отказа человеку, имеющему доступ. Чем меньше показатель FRR при одинаковых значениях FAR, тем совершеннее биометрическая система.
Самые совершенные сегодня методы биометрии — идентификация человека по отпечатку пальца, радужной оболочке, геометрии лица или сетчатке глаза. У каждого из них есть свои преимущества и недостатки: так, папиллярный узор отпечатка меняется в зависимости от возраста и состояния организма, а еще его довольно просто подделать; верификация по радужной оболочке — это очень дорого, по сетчатке глаза — долго, а распознавание лица не слишком эффективно.
Но этими методиками рынок не ограничивается. Например, технология распознавания человека по венам руки является сравнительно молодой. Верификация происходит так: инфракрасная камера делает снимки внешней или внутренней стороны руки. Гемоглобин в крови поглощает излучение и «светится» на снимке: рисунок вен отображается в виде черных линий. По показателям FAR и FRR этот метод биометрии сравним с распознаванием радужной оболочки глаза.
В отличие от кредитной карты или паспорта, нет шансов, что вы оставите свой палец дома или потеряете его в автобусе.
Рынок решений по распознаванию рисунка вен постепенно растет: так, в 2016 году компания Hitachi объявила, что разработала технологию, позволяющую сканировать рисунок вен пальцев руки с помощью камеры смартфона. Похожая технология была разработана и для бизнеса: британский банк Barclays совместно с Hitachi Europe предложил корпоративным клиентам использовать биометрию рисунка вен вместо логинов и паролей для входа в интернет-банк. Для этого пользователям нужно положить палец в специальный сканер, который подключается к USB-порту компьютера.
Почему это работает
1. Рисунок вен уникален, и его сложно скопировать.
В отличие от других биометрических характеристик, рисунок вен нельзя получить от человека «на улице», например, сфотографировав его. Рисунок вен не совпадает даже у близнецов.
2. Это не сработает, если ваш палец «украдут».
Как бы неприятно это ни звучало, но сканер вен будет распознавать только живую ткань: если палец отрежут, венозный узор обрушится, а содержание гемоглобина будет невозможно считать.
3. Вы не можете «забыть» палец.
В отличие от кредитной карты или паспорта, нет шансов, что вы оставите свой палец дома или потеряете его в автобусе.
4. Вы можете «ударить» мошенника пальцем.
Клиенты подобных систем могут зарегистрировать «ударный палец»: если вас пытаются заставить отсканировать рисунок вен силой, вы можете нанести на сканер «контрольный удар» пальцем. Это оповестит банк о том, что что-то пошло не так.
Иран уверен, что договоренности с Россией в банковской сфере скоро реализуются
Договоренности Ирана и России по сотрудничеству в банковской сфере должны начать реализовываться в ближайшее время. Об этом заявил в понедельник глава МИД Ирана Мохаммад Джавад Зариф на встрече с министром иностранных дел России Сергеем Лавровым в Москве.
«В наших двусторонних отношениях очень хороший прогресс. Мы уверены, что те договоренности, к которым мы пришли по облегчению визитов граждан двух стран и по укреплению банковских связей, в ближайшем будущем перейдут в практическую плоскость», — отметил Зариф.
В августе 2017 года центробанки России и Ирана подписали меморандум о взаимопонимании. Речь шла о развитии банковской инфраструктуры двустороннего сотрудничества, взаимном открытии корреспондентских счетов кредитными организациями двух стран, развитии расчетов по обслуживанию торговли в национальных валютах, сопряжении национальных систем платежных карт.
Социальные выплаты для жителей Калининградской области переведут на блокчейн
В рамках Российского инвестиционного форума-2018 Внешэкономбанк и правительство Калининградской области договорились о пилотном проекте в сфере социальных выплат с применением технологии блокчейн. Об этом сообщает CoinDesk.
В рамках соглашения на территории региона будут внедряться современные IT-решения, включая проекты с использованием технологии блокчейн для осуществления социальных выплат, а также сервисы электронных услуг для повышения эффективности государственного и корпоративного управления.
«Калининградская область – один из наиболее активных субъектов РФ, в том, что касается имплементации передовых технологий, которые поддерживают развитие цифровой экономики России. Наш пилотный проект затрагивает социальную сферу – область, в которой реализуется одна из базовых функций государства», – рассказал председатель Внешэкономбанка Сергей Горьков.
По его словам, применение новых технологий позволяет повысить прозрачность социальных услуг, избавиться от ненужной бюрократии, сделать сервис проще и удобнее для граждан.
«Кроме того, внедрение технологий блокчейн даст возможность сократить расходы в этой области, которые в масштабах страны составляют триллионы рублей», – объяснил Сергей Горьков.
В свою очередь, губернатор Калининградской области Антон Алиханов выразил надежду, что компетенции Внешэкономбанка в сфере блокчейн-технологий позволят региону повысить качество принятия управленческих решений.
Напомним, ранее в феврале Сергей Горьков положительно оценил перспективу замены бумажных денег на электронные.
Дергунова: технология блокчейн будет популярна в банковском мире
Технология распределенных реестров в банковском мире будем востребованна, считает зампред правления ВТБ Ольга Дергунова.
«Мы верим в технологию распределенных реестров. Мы видим, как эволюционируют стандарты, сколько усилий банковское сообщество во всем мире тратит на то, чтобы сделать платформу устойчивой, а трансакции более быстрыми», — сообщила РИА Новости Дергунова.
«Распределенная система реестров в банковском мире будет востребованна», — добавила она.
По мнению ряда экспертов, технология позволяет серьезно оптимизировать издержки бизнеса и государства. В частности, она помогает проводить платежи в режиме онлайн, оперативно подтверждать актуальность данных о клиенте или сделке, регистрировать сделки и вести их реестр.
Разбор основных экономико-технических угроз для блокчейн-приложений (продолжение)
Рынок информационной безопасности, как правило, на шаг отстает от нововведений в мире информационных технологий. Многие компании очень часто вспоминают о безопасности продукта в том случае, когда что-то уже произошло и последующие риски обнаружения и эксплуатации недостатка безопасности превышают стоимость самостоятельного поиска недостатка и его исправления.
Григорий Васильков, представитель компании BugBounty.Center — платформы по предоставлению возможности аудита безопасности для сторонних компаний в сфере блокчейн-технологий и умных контрактов — специально для ForkLog проанализировал основные риски для блокчейн-компаний, связанные с безопасностью. Всего будет опубликовано три материала на эту становящуюся все более актуальной тему. С первым материалом вы можете ознакомиться здесь. Во второй статье цикла были рассмотрены шесть основных экономико-технических угроз. Журнал ForkLog публикует последний материал, в котором рассмотрены остальные угрозы безопасности блокчейн-приложений.
7. Неопределенность изменения стоимости активов
Описание: Криптовалютный рынок постоянно находится в движении, и очень сложно предсказать, а тем более выявить закономерность, каким будет курс той или иной монеты заранее. Иногда логика разработанного приложения явно зависит от курса криптовалюты или токенов, и разработчикам нужно построить модель приложения таким образом, чтобы учитывались возможные флуктуации курса.
Пример 7.1: Давайте проанализируем следующую модель работы умного контракта. Коммерческая компания оказывает услуги по страхованию грузоперевозок. Из-за сильной волатильности курса Ethereum и необходимости работы с подрядчиками, компания принимает решение хеджировать полученный Ether к доллару США. Таким образом, заранее зная точную цену, по которой получен Ether, участники сделки страхуют свои риски от вероятного колебания курса на криптовалютном рынке и изменения рыночной цены услуги по страхованию. Если что-то случится с товаром во время грузоперевозки, то страховая компания обязуется возместить нанесенный ущерб в Ether, но с привязкой к захеджированному ранее курсу.
Если стоимость Ethereum во время выплаты страховки вырастет, то в таком случае, даже после выплаты страховки, страховая компания будет иметь дополнительную прибыль. Если стоимость Ethereum снизится, то в таком случае компания понесет огромные убытки, вплоть до объявления о банкротстве.
Способ устранения: Необходимо отслеживать изменение стоимости активов и вносить соответствующие изменения в умный контракт. Если умный контракт автономен на длительном промежутке времени, то такой сценарий не всегда возможен и требует другого подхода для решения проблемы.
8. Задержки при получении информации
Описание: Несмотря на то что мы живем в мире высоких технологий и высоких скоростей, мы не можем отрицать, что иногда скорость получения данных не соответствует заявленной или ресурс имеет проблемы с доступностью. Может случится и так, что необходимый нам централизованный ресурс подвергся DDOS-атаке или какая-либо страна решила заблокировать его на своей территории.
Внутри замкнутых децентрализованных систем задержка с получением данных тоже возможна, например, если умный контракт зависит от определенных данных другого контракта, которые должен внести сторонний участник системы.
К проблемам тайминга можно также отнести race condition при включении транзакции в блок, если транзакция попадет не в тот uncles или будет перегрузка блокчейн-сети из-за большого количества отправленных транзакций.
Пример 8.1: Допустим, логика умного контракта завязана на периодическом получении и обработке данных из определенного внешнего источника. Если необходимый источник будет по какой-либо причине недоступен в длительный период времени, то в таком случае умный контракт не сможет выполнять заложенную в нем логику и израсходует все имеющиеся средства на обращение к недоступному источнику.
Способ устранения: В непредвиденных ситуациях, когда отсутствует возможность получения информации из внешних источников, должна иметься возможность ручного ввода данных в приложение.
9. Несоответствие полученных данных
Описание: При правильной разработке архитектуры любого приложения не следует доверять одному единственному источнику получения данных. Цепочка получения данных очень длинная и потенциально может быть изменена на любом участке. Правильным решением было бы получать данные из нескольких независимых источников и сравнивать их. Если данные между собой отличаются, то это расхождение необходимо заметить и принять меры.
Любые возникшие исключения довольно легко обрабатываются в централизованных приложениях. В децентрализованных приложениях имеется множество нюансов, которые не всегда легко предусмотреть.
Пример 9.1: Предположим, что наше децентрализованное приложение обращается к внешнему источнику за текущим курсом криптовалют. Для того, чтобы обезопасить себя от подмены данных, разработчики предусмотрели логику параллельного обращения к другому внешнему источнику для получения текущего курса криптовалют. Если разница между стоимостью курса криптовалют составляет более 3%, то следует совершать запросы, пока курс не будет удовлетворять необходимым условиям.
В виду большой волатильности криптовалют на различных биржах, разница стоимости между ними может быть более 30% на длительном промежутке времени. В описываемой реализации алгоритма приложения, умный контракт может израсходовать все средства на обращение к внешним источникам так и не приступив к требуемой операции.
Способ устранения схож с предыдущим пунктом. В непредвиденных ситуациях, когда отсутствует возможность получения информации из внешних источников, должна иметься возможность ручного ввода данных в приложение.
10. Зависимость выполнения работы умных контрактов от других умных контрактов
Описание: Иногда умные контракты для удобства используют сторонние библиотеки или даже обращаются к сторонним вызовам других контрактов. Данная архитектурная реализация может помочь с процессом обновления умных контрактов, но одновременно ставит в зависимость работоспособность самого приложения от работоспособности сторонних программ и библиотек.
Пример 10.1: Если логика умного контракта, к которому происходит обращение, будет изменена или умный контракт будет уничтожен, например, использовав операцию selfdestruct, то в таком случае работоспособность программы будет поставлена под угрозу. Реализация данного недостатка была продемонстрирована 8 ноября 2017, в результате чего было заблокировано более 500 000 Ether.
Способ устранения: Не стоит полностью полагаться на сторонний контракт, которым вы не управляете. Следует также заметить, что даже если код контракта не содержит вызов метода selfdestruct, то он все равно может выполнить эту операцию с использованием delegatecall или callcode.
11. Сложности прогнозирования и влияния на входные данные
Описание: При разработке умного контракта разработчик должен предусматривать различные варианты получения входных данных. Если полученные данные не соответствуют ожидаемым, то в таком случае необходимо вызывать исключение. Но может случиться так, что входные данные будут соответствовать ожидаемой маске, но кардинально отличаться от текущих валидных. Например, когда разработчик предполагает получать в качестве переменной только целочисленное значение, но забывает предусмотреть диапазон возможных значений.
Пример 11.1: Предположим, что умный контракт, являющийся децентрализованным обменником, обращается к бирже за получением текущего курса криптовалюты или токенов. Злоумышленник может попытаться считать данную транзакцию в Memory Pool и, используя свои средства, попытаться на короткий срок изменить запрашиваемый курс, особенно если торгуемый объем небольшой.
Как только умный контракт внесет полученную курсовую стоимость в блокчейн, злоумышленник совершит обмен ценностями по необходимой ему цене.
Способ митигации: Необходимо предусматривать различные варианты входных данных и вызывать соответствующие методы заморозки, если что-то идет не по плану, особенно в логике приложения, работающей с финансовыми данными.
12. Раскрытие и влияние собственных данных на результат работы
Описание: Во время разработки приложений в блокчейн-системах, следует учитывать, что все передаваемые данные между участниками платформы являются открытыми, если заранее не использованы какие-либо криптографические средства защиты информации. Поэтому всегда стоит понимать, что все, что мы делаем в блокчейн-системах, может быть доступно для анализа окружающим.
Блокчейн является не анонимным по своей природе, а всего лишь неперсонализированным. Это означает, что если всего один раз удастся персонализировать адрес кошелька пользователя блокчейн-системы, то любой участник сможет составить необходимую картину взаимосвязей данного пользователя и сделать соответствующие выводы о его предпочтениях.
Открытые данные для всех участников системы могут существенно повлиять на ход выполнения работы приложения.
Пример 12.1: Предположим что разработанный умный контракт реализует функцию продажи специализированного товара на тендерной основе среди нескольких покупателей. Даже если предположить, что данные, передаваемые между покупателями, участвующими в тендере, и продавцом зашифрованы, то фирме-конкуренту достаточно персонализировать адреса аккаунтов покупателей, которые интересуются продукцией, чтобы каждому из них предложить специализированную цену. В таком случае фирма, реализующая тендер, может остаться без покупателей.
Способ устранения: Используйте алгоритм ZkSNARk, если вы не хотите раскрывать детали, потому что они являются конфиденциальными и секретными. ZkSNARk может просто показать часть процесса, не показывая весь процесс, и доказать, что вы честны.
АСВ выкупит акции Промсвязьбанка за 150 млрд рублей при его передаче в госсобственность
Агентство по страхованию (АСВ) вкладов выкупит акции Промсвязьбанка на сумму до 150 млрд рублей, оплатив их предоставленными ранее в рамках программы докапитализации банков облигациями федерального займа (ОФЗ). После этого агентство передаст банк Росимуществу, пишет РБК.
Схема передачи Промсвязьбанка в госсобственность изложена в поправках в законы «О страховании вкладов физлиц» и «О Центральном банке РФ», подготовленных комитетом Госдумы по финансовому рынку и принятых во втором чтении 15 февраля, сообщает издание со ссылкой на документы.
Законопроект предполагает, что акции Промсвязьбанка будут передаваться в казну при одновременном уменьшении имущественного взноса в АСВ. Согласно одной поправке, ОФЗ, внесенные в качестве имущественного взноса Банка России в имущество агентства, могут быть использованы агентством на основании решения совета директоров для оплаты акций банка. При этом для покупки любого количества акций, согласно поправкам, агентству не нужно согласие ЦБ, антимонопольной службы и соблюдение других обязательных условий.
В соответствии с другой поправкой, правительство России вправе принять в казну акции Промсвязьбанка от АСВ за счет уменьшения имущественного взноса России на сумму до 150 млрд рублей. Количество акций ПСБ, которые будут переданы в казну, и сумму уменьшения имущественного взноса государства, внесенного в имущество АСВ, определит правительство.
Согласно бухгалтерскому балансу АСВ, размер имущественного взноса России на 30 сентября 2017 года составил 988,3 млрд рублей.
Выкуп агентством акций ПСБ произойдет после его докапитализации Банком России в размере примерно 100 млрд рублей, а также дополнительного пополнения его капитала еще на 100—150 млрд рублей, говорит аналитик S&P Екатерина Марушкевич. При текущем отрицательном капитале банка примерно в 120 млрд рублей это необходимые средства для нормального функционирования банка с учетом предполагаемых новых функций, добавляет она.
«Предложенная схема позволит передать банк в собственность РФ и использовать при этом ОФЗ, которые предоставлялись ранее в рамках программы докапитализации банков. Поправки в законы предполагают, что этот механизм может быть использован и для передачи в госсобственность и других банков», — указывают в S&P.
В России принят закон об оплате госуслуг в МФЦ
Президент России Владимир Путин подписал закон об оплате государственных и муниципальных услуг через многофункциональные центры (МФЦ). Документ опубликован на официальном портале правовой информации.
Так, в МФЦ смогут осуществлять финансовые операции, в частности принимать деньги от заявителей в счет оплаты госпошлины и за оказание госуслуг. Введение этой нормы позволит решить проблему платежей, которые в настоящее время возможны только через банк.
«Данное решение особенно важно для малонаселенных пунктов, где отсутствует экономическая целесообразность открытия отделений или размещения банкоматов кредитных организаций. Кроме того, введение указанной нормы положительно скажется на администрировании доходов бюджетной системы, а также на доходной части бюджетов всех уровней», — говорилось в пояснительной записке к законопроекту.
