ОБЗОР СМИ
Банк России разработал рекомендации по информационной безопасности при работе с биометрией
Методические рекомендации Банка России по нейтрализации угроз при работе с Единой биометрической системой основаны на описании актуальных угроз, определенных в Указании Банка России от 09.07.2018 № 4859-У.
В частности, документ устанавливает правила, позволяющие минимизировать риски при сборе биометрических персональных данных, обработке запросов физических лиц и их персональных данных, а также проведении удаленной идентификации.
В первую очередь при сборе, передаче и подписании биометрии необходимо использовать средства защиты информации современных классов.
Наряду с этим Банк России рекомендует регистрировать действия операторов, работающих с персональными данными, и информировать их об этом, а также подчеркивает, что для усиления информационной безопасности при сборе сведений рекомендуется использовать персональный квалифицированный сертификат ключа проверки электронной подписи сотрудника, но при этом оставляет возможность применения простой электронной подписи.
Регулятор предлагает три варианта организации процесса обеспечения информационной безопасности: собственное решение банка, согласованное с ФСБ и Банком России, предлагаемое интегратором по информационной безопасности типовое решение, а в перспективе – облачное решение поставщика услуг.
Также регулятор дает рекомендации по информированию Банка России об инцидентах на всех этапах работы с биометрией.
Банк России подготовил рекомендации для кредитных организаций, работающих с биометрическими данными граждан. Они должны свести к минимуму риск утечки или кражи ценной информации. Эксперты, между тем, не исключают, что из-за сбора биометрических данных банки будут чаще становиться объектами кибератак.
ЦБ советует кредитным организациям регистрировать действия операторов, работающих с персональными данными клиентов. При сборе сведений рекомендуется использовать персональный квалифицированный сертификат ключа проверки электронной подписи сотрудника. Кроме того, банки должны исключить возможность хранения биометрических данных в рабочих компьютерах. По мнению регулятора, им также следует сообщать ЦБ обо всех инцидентах, возникающих на этапах работы с биометрической информацией.
По данным Group IB, в 2018 году каждый месяц в России целенаправленным кибератакам подвергались один-два банка. Целью злоумышленников было хищение средств. Средний ущерб от одного успешного ограбления составил 132 миллиона рублей. «Именно на деньги банков пришлась основная часть похищенных киберпреступниками средств, — говорит тренер по компьютерной криминалистике Group-IB Анастасия Баринова. — Такие атаки всегда тщательно и долго готовятся, и они же приносят хакерам наибольшую прибыль».
Помимо денег ценность для хакеров представляют персональные данные граждан.
Чем больше массив сведений, тем выше интерес преступников. «Не исключено, что атаки на банки активизируются. Причем целью злоумышленников будет не только похищение средств, но и кража биометрических данных — изображений лиц и образов голоса, которые кредитные организации сейчас собирают с клиентов для организации дистанционного обслуживания», — говорит Игорь Чичкан, ведущий андеррайтер страховой компании AIG.
В Европе и США страхование киберрисков и, в частности, ответственности за утечку данных уже вошло в практику. В России этого пока нет. Добровольно бизнес такие риски не страхует, а от идеи обязательного страхования в итоге отказались, чтобы не увеличивать нагрузку на бизнес.
«Если говорить о банках, то они основным риском считают вывод активов через электронные системы. Он страхуется в рамках программ страхования электронных и компьютерных преступлений — такие полисы есть у большинства крупных кредитных организаций», — поясняет руководитель отдела страхования финансовых рисков страховой компании AIG Владимир Кремер. Комплексная защита от возможных последствий киберинцидентов — раскрытия данных, сбоев в работе, угрозы шантажа — менее востребована, добавляет он.
Кредитные организации чуть больше готовы к киберугрозам, нежели какие-то другие, в силу того, что они подвержены более строгому регулированию. Требования к безопасности банковской IT-инфраструктуры намного выше, чем к инфраструктуре представителей других индустрий, называет возможную причину Игорь Чичкан. Однако все это не поможет полностью исключить вероятность киберинцидента, указывает он.
Сейчас киберриски в России страхуют в основном организации нефинансового сектора: IT-компании и маркетинговые агентства, работающие с крупными заказчиками, в том числе зарубежными. «Полисы покупаются под нажимом заказчиков, которые выставляют своим подрядчикам условия, чтобы киберриски были застрахованы. И все равно спрос нельзя назвать высоким», — замечает Владимир Кремер.
Но ситуация будет меняться, уверены страховщики. «Уже сейчас все процессы в высокой степени автоматизированы, связанные с этим риски и ответственность растут, — констатирует Кремер. — Что касается конкретно банков, то электронная часть их бизнеса постепенно будет становиться для них все важнее, так что они скорее всего также пересмотрят свое отношение к киберстрахованию».
Финансовый сектор, торговля, отрасль профессиональных услуг (юридические, бухгалтерские фирмы) находятся в первых строках списка, когда речь идет о киберубытках. Однако общая статистика показывает, что ни один сектор сегодня не имеет гарантированной защиты от кибератак. Более того, список отраслей, которые оказываются в зоне активности хакеров, пополняется каждый год. В 2018 году киберубытки были заявлены компаниями и организациями из восьми отраслей, которые ранее не фигурировали в статистике киберубытков, говорится в последнем отчете AIG.
Любопытно, что для своих целей хакеры научились использовать вполне безобидные на первый взгляд девайсы — «умные» счетчики, контроллеры освещения, датчики температуры, подключенные по беспроводной связи к локальной сети и управляемые с помощью удаленного доступа. По такой схеме злоумышленники, например, получили доступ к базе данных VIP-клиентов крупного казино. Они проникли в сеть, взломав беспроводной термостат, установленный в аквариуме для контроля температуры воды. Закрепившись в системе, нашли базу данных игроков, делающих крупные ставки, и вытащили ее из сети.
Ростелеком согласовал с ФСБ типовое решение для безопасного сбора биометрии
Использование типового решения позволит банкам снизить расходы на обеспечение информационной безопасности при работе с Единой биометрической системой и сократить время выполнения требований.
Единая биометрическая система позволяет банкам дистанционно принимать клиентов на обслуживание с помощью биометрических данных, логина и пароля от Единого портала госуслуг. Безопасность хранения данных обеспечивает оператор системы — компания «Ростелеком», за безопасностью сбора биометрической информации следят банки, регистрирующие граждан. Для сокращения издержек при обеспечении информационной безопасности при работе с биометрией банки теперь могут воспользоваться готовым продуктом — типовым решением «Ростелекома».
Системный проект, согласованный ФСБ России, включает описание архитектуры типового продукта, список одобренного аппаратного и специального программного обеспечения, схемы их взаимодействия друг с другом, а также основополагающие принципы интеграции типового решения в информационные системы банка. «Ростелеком» в проекте выполняет роль разработчика, компания «КриптоПро» отвечает за криптографические средства и проведение анализа безопасности созданного решения. Внедрением занимаются авторизованные интеграторы, которые уже готовы встраивать типовое решение в инфраструктуру банков.
Директор по информационной безопасности компании «КриптоПро» Станислав Смышляев:
«Разработанное «Ростелекомом» решение удовлетворяет строгим требованиям криптографической стойкости. Безопасность криптографических механизмов и протоколов проверялась методами анализа стандартизируемых в России и за рубежом протокольных решений. Все протоколы реализованы внутри функционально законченного “коробочного” решения, который предоставляет высокоуровневый интерфейс встраивания. Благодаря этому не нужно проводить дополнительный анализ и контроль встраивания при внедрении решения в банк».
Иван Беров, директор по цифровой идентичности «Ростелекома»:
«Согласование проекта решения ФСБ России — важный шаг, теперь у банков появилась возможность использовать типовой подход к обеспечению безопасности при работе с биометрией. Внедрением решения займутся авторизованные интеграторы, это позволит банкам быстро и качественно выполнить требования безопасности. В целом создание типового решения — это очередной кубик в экосистеме продуктов для безопасной работы с данными граждан на всех этапах взаимодействия с Единой биометрической системой».
Разработка основных модулей типового решения завершена, в соответствии с системным проектом проводятся тематические исследования для получения заключения ФСБ России.
Аксаков не исключил, что ЦБ может снизить ключевую ставку в сентябре
Банк России может снизить ключевую ставку на 0,25 процентного пункта в сентябре 2019 года. Такое мнение в интервью ТАСС высказал глава комитета Госдумы по финансовому рынку, председатель совета Ассоциации банков России Анатолий Аксаков на полях Российского инвестиционного форума в Сочи.
«Я ожидаю, что уже с третьего квартала текущего года Центральный банк будет задумываться о снижении ключевой ставки и, возможно, даже начнет ее снижать. Вполне возможно, что в сентябре может быть решение о снижении ключевой ставки на 0,25 процентного пункта», — сказал он.
При этом Аксаков отметил, что реализация национальных проектов будет драйвером экономического развития России. Поэтому можно ожидать улучшения ситуации в экономике, добавил он.
Банк России 8 февраля сохранил ключевую ставку на уровне 7,75% годовых. Поясняя решение, ЦБ указал, что инфляция в январе 2019 года — 5% в годовом выражении — соответствовала нижней границе ожиданий регулятора, а вклад повышения НДС в темпы роста потребительских цен был умеренным. В полной мере влияние НДС на инфляцию можно будет оценить не ранее апреля. Регулятор отметил, что будет принимать решения по ключевой ставке, оценивая достаточность повышения ставки в прошлом году.
Обязательный прием карт в магазинах будет отложен?
По словам главы комитета Госдумы по финансовому рынку Анатолия Аксакова, обязательный прием торговыми точками и интернет-магазинами банковских карт планируется перенести с 2021-го на 2023 год.
Соответствующие поправки в закон «О защите прав потребителей» сейчас находятся на стадии обсуждения и должны быть внесены в Госдуму в весеннюю сессию, пояснил А. Аксаков.
«В законопроекте точно сдвинутся сроки, с которых магазины должны будут в обязательном порядке принимать карты к оплате. Сейчас мы рассматриваем вариант обязать ТСП с торговым оборотом от 20 млн руб. принимать карты к оплате с 1 января 2020 года, от 10 млн руб. — с 1 января 2021 года, от 5 млн руб. — с 1 января 2022 года, все магазины вне зависимости от оборота — с 1 января 2023 года», — подчеркнул глава комитета Госдумы по финрынкам.
Действующее законодательство предписывает принимать к оплате в обязательном порядке только карты «Мир», и это требование распространяется на все торговые точки с оборотом 40 млн руб., за исключением тех, что расположены в районах без доступа к интернету.
В 2018 году началось обсуждение поправок, которые предусматривали поэтапное распространение обязанности принимать карты на все торговые точки — не только «Мир», а не менее трех видов безналичных платежных средств. Первая версия законопроекта, разработанная рабочей группой в рамках АНО «Цифровая экономика», предлагала завершить полный переход на новые правила в 2023 году, но в последующих версиях срок сократился до 1 июля 2021 года (ноябрьский вариант есть у РБК).
Банк России в целом поддерживает инициативы по снижению порога [для обязательного приема карт] до 20 млн руб. [от оборота], а в дальнейшем и ниже, поскольку это в том числе содействует росту доли безналичных операций, сообщили в пресс-службе ЦБ. «При этом в случае реализации таких шагов крайне важно учитывать развитие инфраструктуры приема карт, в том числе среди малых и средних ТСП, а также в удаленных регионах», — добавили там.
Разработчики законопроекта считают, что массовое внедрение безналичной оплаты обеспечит прозрачность торговли, особенно в интернете, для налоговых органов. Масштабный теневой рынок, связанный с продажей контрафактной продукции, существует в значительной степени именно за счет микропредприятий, использующих исключительно наличную форму расчетов с покупателями, говорится в пояснительной записке к законопроекту. Чаще всего такая продукция реализуется именно через интернет из-за практически полного отсутствия механизмов контроля со стороны государственных органов.
В настоящее время на розничном рынке соотношение наличных и безналичных платежей примерно равное — 50 на 50, привели свои данные в Ассоциации компаний интернет-торговли (АКИТ). В обороте интернет-магазинов доля безналичных платежей составляет 60–75%, оставшуюся часть занимают наличные расчеты. Всего в России работает более 40 тыс. интернет-магазинов, указали там.
Доля магазинов, которые не предоставляют возможность безналичной оплаты, сегодня невелика, указывает директор Союза независимых сетей России (СНСР) Сергей Кузнецов. Все торговые сети, как федеральные, так и региональные, принимают к оплате банковские карты, говорит он, а на сети приходится не меньше 60% розничного рынка продуктов питания. Из оставшихся значительная часть торговых точек также предоставляет возможность безналичной оплаты, говорит С. Кузнецов. Большинство торговых точек, которые не принимают банковские карты, расположены в малых населенных пунктах, в общем товарообороте объем таких ретейлеров невелик, заключил он.
Образовательный стандарт для получения статуса квалифицированного пользователя интернета может быть разработан в России, отметил на международном форуме по кибербезопасности депутат Госдумы, председатель комитета Госдумы по информационной политике, информационным технологиям и связи Леонид Левин.
Сейчас, когда обратной стороной развития интернета является активность киберпреступников, важно повышать цифровую грамотность населения. Россия лидирует по количеству преступлений в интернете. Основной метод — фишинг, который опасен не столько разведкой, сколько банальным вымогательством денег у пользователей. В январе Центробанк России был наделен полномочиями блокировать мошеннические сайты-двойники и финансовые пирамиды в досудебном порядке. В условиях повышенной киберпреступности каждый человек должен обладать базовым набором знаний.
Имеет место создание единого национального образовательного стандарта, который бы позволил людям в России получить статус квалифицированного пользователя информационных систем.
«Масштабное внедрение программ обучения и тестирования для различных социальных групп позволило бы уменьшить влияние человеческого фактора на уязвимость современного бизнеса и государственных организаций к угрозам в цифровой среде, и как следствие — способствовало устойчивому развитию экономики в целом», — заключил Леонид Левин.
По данным Ассоциации электронных коммуникаций в 2018 году произошло существенное падение уровня цифровой грамотности России. Причина заключается в том, что люди не успевают за развитием интернета. Особенно это характерно для центральной России, где появляется больше всего новых ресурсов и сервисов.
Еще одна крупная проблема, с которой борются законодатели разных стран, — фейковые новости. По словам директора Института развития интернета (ИРИ) Сергея Петрова, в 2018 году количество планированных ложных новостей в России выросло на 32 процента. Закон о блокировке фейковых новостей пока только разрабатывается в России. В январе он прошел процедуру первого чтения.
«Сейчас над текстом документа ведется работа, имеющая целью изложить определения и критерии применимости закона таким образом, чтобы его применение было определено в рамках четких и понятных процедур и не допускало вкусовщины и вариативного толкования», — сказал Леонид Левин.
Чиновники и профессиональное сообщество сейчас также разрабатывают методы борьбы с кибербуллингом — травлей в интернете. Это также крупнейшая проблема для всего мира. 12 процентов обращений на горячую линию Рунета связано с жалобами на порочащую информацию. Уже есть способы помочь пострадавшим пользователям. Например, соцсети постепенно запускают прием жалоб пользователей на кибербуллинг.
Инфографика «РГ»: Антон Переплетчиков/ Юлия Кривошапко
Эксперт назвал сумму, которую лжесотрудники банков воруют у россиян
Банки отмечают всплеск социальной инженерии
Мошенники воруют у россиян в среднем по 3—5 тыс. рублей в год, выдавая себя за сотрудников банков. Доля таких атак постепенно растет, поскольку россияне становятся более доверчивыми, сообщил в интервью РИА Новости на Российском инвестиционном форуме в Сочи вице-президент, директор по безопасности Почта Банка Станислав Павлунин.
По его словам, мошенники все чаще звонят клиентам банков и представляются сотрудниками или службой безопасности, которая якобы обнаружила подозрительную активность. Злоумышленники получают от клиентов их личные данные и коды доступа, а затем выводят все средства со счетов.
«Всплеск социальной инженерии замечают все банки: в 2018-м по сравнению с 2017 годом количество подобных случаев увеличилось на 15—20%. В среднем размеры мошеннических операций с использованием социальной инженерии невелики — 3—5 тысяч рублей, но таких клиентов много, соответственно, и общая сумма большая», — сказал Павлунин.
Он рассказал один из примечательных случаев: клиенту позвонили и представились сотрудником банка. В процессе разговора выяснилось, что у клиента открыт депозит, и ему предложили новый депозит с повышенным процентом, но при условии закрытия текущего. Для проведения такой операции мошенники взяли у клиента все данные и коды, а дальше просто перевели все средства на себя. Когда в банке увидели такую активность, перезвонили клиенту для выяснения причины. Он сказал, что хочет открыть новый депозит, и отказался слушать представителей банка. Когда его счета заблокировала служба безопасности, клиент пришел в банк, разблокировал их и все же провел операцию и передал средства мошенникам.
«Это то, что называется социальной инженерией. Она широко используется, потому что люди стали очень доверчивыми. Ситуация напоминает историю с Красной Шапочкой, которая рассказала волку, куда идет, и волк съел бабушку. В этой связи мы очень беспокоимся за наших клиентов и принимаем все возможные меры. Мы внедрили систему от Group-IB, которая позволяет на ранних этапах предупреждать банк, что устройство клиента может быть заражено. Удаленно запускаем скоринг, проверяем и в случае угроз не проводим потенциально опасные операции», — отметил Павлунин.
По его словам, в настоящее время наблюдается тенденция массовых утечек информации пользователей. «Мошеннические кол-центры стали новым развитием социальной инженерии. Злоумышленники очень правдоподобно воспроизводят работу настоящих банковских кол-центров, чем вводят людей в заблуждение. Данные пользователей можно найти в соцсетях, на андерграундовых сайтах, многие данные продаются», — добавил он.
Жители Москвы смогут оплачивать электронные госуслуги без комиссии по карте «Мир»
Национальная система платежных карт (НСПК) совместно с Департаментом информационных технологий Москвы до конца 2019 года реализуют возможность оплаты госуслуг в мобильных приложениях «Госуслуги Москвы» и «Моя Москва» по карте «Мир» без комиссии. Об этом сообщается в пресс-релизе НСПК.
«До конца 2019 года при оплате картой «Мир» образовательных услуг, кружков и секций, а также парковок, услуг ГИБДД и транспортных штрафов с горожан не будет взиматься комиссия. Условие действует для портала mos.ru, а также мобильных приложений «Госуслуги Москвы» и «Моя Москва», — говорится в сообщении.
С 18 февраля без комиссии можно оплачивать образовательные и транспортные услуги по карте «Мир».
Чтобы провести оплату без комиссии, следует в личном кабинете на портале mos.ru или в мобильном приложении в качестве средства платежа использовать карту «Мир» любого банка. Банком-эквайером является МТС Банк.
Сбербанк предупредил о новом виде банковского мошенничества
В Сбербанке прогнозируют, что в течение полугода злоумышленники начнут использовать новый вид банковского мошенничества.
Как рассказал на сессии Российского инвестиционного форума в Сочи зампред правления крупнейшего банка страны Станислав Кузнецов, потенциальным жертвам будет звонить робот, подделывающий любые голоса.
В качестве примера, демонстрирующего возможности новой мошеннической технологии, Кузнецов включил в зале аудиозапись диалога, в котором условный губернатор, говорящий голосом актера Иннокентия Смоктуновского, просил у собеседника 5 млрд рублей на строительство моста в регионе.
«Голос узнаваемый, телефонный звонок совершается с номера этого губернатора и точно его голосом договаривается уже о проведении трансакции. Это не артист, это делает робот. Все, что говорил «Иннокентий Смоктуновский», — это делал компьютер. И это возможно уже сегодня», — подчеркнул Кузнецов.
По словам зампреда правления банка, Сбербанк уже разработал меры противодействия таким преступлениям, но нужно, чтобы подобная система была у всех банков.
ОБЗОР МЕЖДУНАРОДНЫХ СОБЫТИЙ
В ЕС снизят комиссию на трансграничные платежи
Европейские парламентарии проголосовали за новые правила, которые заставят банки сократить сборы за трансграничные платежи в евро между странами ЕС, которые находятся в еврозоне, и теми, которые нет. Решение было принято 532 голосами против 22, 55 парламентариев воздержались. Изменения планируется внедрить до конца года.
Новые правила также защитят потребителей от взимания произвольных расходов за конвертацию валюты. При каждой транзакции им сообщают о сумме, подлежащей выплате, в местной валюте и валюте их счета.
Потребители получат электронное push-уведомление, текстовое сообщение, электронное письмо или уведомление через мобильное или веб-приложение плательщика о сборе за конвертацию валюты.
Эти услуги по уведомлению должны предлагаться бесплатно, и банкам также придется раскрывать приблизительную полную стоимость конвертации валюты в случае банковских переводов до осуществления платежа.
“6 миллионов предприятий и 150 миллионов граждан ЕС, живущих и работающих в странах за пределами Еврозоны, платят гораздо более высокие сборы за перевод евро, чем их коллеги из Еврозоны” — Ева Майдел, Депутат Европейского парламента.
По словам Майдел, такой шаг позволит людям, живущим за пределами ЕС, сэкономить денег на общую сумму 1 млрд евро в год.
У банков может появиться новый конкурент. И это не FinTech
Совет по финансовой стабильности США (FSB) предупредил банки о том, что они должны опасаться конкурентного влияния компаний BigTech в сфере финансовых услуг. Американское ведомство тщательно следит за развитием рынка финтех и потенциальными препятствиями для финансовой стабильности этого сегмента.
“Большая конкуренция и разнообразие сервисов в таких сферах как кредитование, платежи, страхование, торговля и других могут создать более эффективную и устойчивую финансовую систему. Могут возникнуть новые последствия для финансовой стабильности банков под влиянием BigTech” — из сообщения Совета по финансовой стабильности США.
Хотя FSB рассматривает отношения между действующими финансовыми институтами и финтех-компаниями как взаимодополняющие, все же, в ведомстве подчеркивают, что нельзя игнорировать угрозу, создаваемою BigTech. Кроме того, зависимость финучреждений от третьих лиц, в частности поставщиков услуг в сфере облачных вычислений, передачи данных, является еще одной областью, на которую стоит обратить внимание.
“Поскольку финтех-компании, фирмы в сфере BigTech и третьи лица в качестве поставщиков услуг для финансовой отрасли, продолжают развиваться, важно продолжать следить за каждым из них. Ведь это важно для поддержания финансовой стабильности” — из сообщения Совета по финансовой стабильности США.
Эксперт обнаружил в Интернете китайскую базу данных слежки за 2,6 млн человек
В Интернете в свободном доступе оказалась база данных, в которой китайские власти собирали персональные данные почти 2,6 млн жителей Синьцзян-Уйгурского автономного района. Базу обнаружил эксперт по кибербезопасности Виктор Геверс из некоммерческой организации GDI Foundation, сообщает Financial Times.
В базу в режиме реального времени попадали фотографии и данные о местоположении, именах, идентификационных номерах, домашних адресах, работодателях. Геверс полагает, что в качестве источника данных широко использовались камеры наблюдения в комплексе с системой распознавания лиц.
По словам эксперта, только за одни сутки было собрано почти 6,7 млн GPS-координат. Многие из тех, чьи данные попали в базу, являются уйгурами.
Вела базу данных китайская компания SenseNets. В течение полугода база была в свободном доступе, однако после запроса в SenseNets эта уязвимость была ликвидирована. «Эта база данных используется аффилированными с правительством структурами для отслеживания меньшинств», — рассказал изданию Боб Дьяченко из Security Discovery, консалтинговой компании, которая ранее работала с Геверсом.
