Законодатель и регулятор финансового рынка в лице Центробанка должны поставить точку в юридическом трактовании 9 статьи закона о национальной платежной системе, заявил председатель Национального платежного совета Андрей Емелин, выступая на конференции «E-payments Russia», состоявшейся 3 сентября 2013 года в отеле «Ренессанс-Москва».
Он подчеркнул, что внедрение в практику требования о немедленном возврате средств клиенту банка, которые он потерял в результате мошеннической транзакции, заставит российские банки существенно поменять свои матрицы риска. По словам Андрея Емелина, однозначная трактовка данного требования «сначала банк должен вернуть клиенту незаконно списанные средства, а затем доказывать мошенничество» приведет к тому, что банки могут существенно могут повысить ставки по своим кредитным продуктам, а службы безопасности кредитных организаций потребуют сузить круг потенциальных клиентов. А трактовка статьи «не возвращать средства клиенту до конца проведения банком расследования» послужит основанием для массового обращения пострадавших клиентов в суды, добавил Емелин. «А вот как в этой ситуации поведут себя суды, предугадать нетрудно», – отметил он, намекая этими словами на тот факт, что отечественные суды общей юрисдикции в споре банка и клиента, как правило, встают на защиту прав физических лиц. Поэтому, по мнению Емелина, точкой отсчета в данном сложном вопросе должен стать момент фиксации уведомления клиентом своего банка о факте совершения со средствами на его счете мошеннических действий. Но пока вопрос остается открытым, и при этом Емелин напомнил, что проблема сроков возврата средств должна быть решена до начала 2014 года.
Банковские услуги должны стать «выездными»
Михаил Мамута, ныне являющийся омбудсменом по защите прав предпринимателей в сфере банковских услуг, а в прошлом – глава саморегулируемой организации микрофинансовых компаний (СРО «МИР») выступил на конференции, как было сказано модератором мероприятия, в качестве «евангелиста финансового равенства». Он отметил, что в России есть громадное количество населенных пунктов, где классическим банкам невыгодно держать свои точки, поэтому будущее – за развитием банковско-агентской модели предоставления финансовых услуг. Благодаря такой модели уже появились, например, такие продукты, как платежная карточка «Кукуруза», эмитентом которой выступает не банк, а процессинговый центр платежной системы «Золотая корона» или топливные карты некоторых нефтяных компаний. Но пока доступ к финансовым услугам в российской глубинке осуществляют люди, которые, чтобы не нарушать законодательство, вынуждены оформляться в банк на пол- или четверть ставки, а это не всегда удобно – и банку, и самому агенту. Необходимо таким финансовым агентам, например, сотрудникам микрофинансовых организаций, дать право не только выдавать клиентам небанковские ссуды, но и привлекать у жителей села, например, банковские вклады. Делать это они должны от имени этого банка, вследствие чего российская экономика получит приток средств, и что немаловажно, эти деньги будут находиться под защитой государства, то есть в системе страхования вкладов, считает Михаил Мамута. По его мнению, законодателю нужно пойти дальше и разрешить сотрудникам МФО предоставлять банковские услуги населению, что называется, «на выезде», чтобы человек не был привязан ни к наличию у него доступа в Интернет, ни к отделению банка.
В ходе конференции в зале было проведено голосование по вопросу о том, пойдут ли традиционные банки, например, Сбербанк или тот же ВТБ24, в область активного развития мобильных платежей. Вывод присутствовавших на конференции заключается в том, что крупные банки подождут и «посмотрят на те шишки, которые набьют себе инноваторы» процесса активного развития этой части финансовых услуг. Успех вхождения банков в область мобильных денег будет зависеть от того, как банки смогут продавать свой продукт, так как просто открыть свой электронный кошелек и ждать, что им начнут пользоваться клиенты, глупо. Но инерция крупного банка очень велика, поэтому банки, желающие активно развивать какое-то новое направление, или покупают уже готовые бизнесы, или создают модели развития электронного бизнеса в содружестве – банк и молодая активная компания, которая при поддержке банка работает по продвижению электронных платежей.
Но у банков давно есть уже электронные сервисы – это предоплаченные карты, это классический аналог электронных денег. Вопрос лишь в том, будут ли розничные банки развивать этот бизнес дальше и переносить на электронные кошельки, сделали вывод участники конференции.
Россия кишит киберпреступниками
Системы электронных платежей – это основная цель атак злоумышленников, сообщил, выступая на конференции, начальник отдела безопасности банковских систем компании «Информзащита» Евгений Афонин. По его словам, по данным Центробанка России за 2012 год, Россия – вторая страна по количеству предпринятых атак на системы электронных платежей и банковские сайты дистанционного обслуживания. 43,1% от общего числа этих атак – это попытки незаконного перевода средств. При этом 96% проверенных «Информзащитой» компаний имеют в системе своей защиты точки уязвимости.
В Южной Корее в марте этого года были предприняты атаки на сайты многих компаний, и пострадали в том числе и банки, отметил Афонин. И финансовый регулятор Южной Кореи установил для своих банков требование – 5% от штата кредитной организации должны заниматься IT, и при этом 5% от этого блока IT должно заниматься именно безопасностью. А 7% от бюджета всей финансовой организации должны тратиться на безопасность. Российский регулятор таких норм не устанавливал, но по сложившейся практике можно понять, что если российский банк тратит на безопасность меньше 10% своего бюджета, то к его безопасности и сохранности средств на счетах клиентов такого банка есть большие вопросы.
Эффективность инвестиций в развитие безопасности характеризуется результатом, и этот результат должен быть в стоимостном выражении – тратишь миллион рублей на безопасность, на выходе получаешь сэкономленные 10 млн. рублей, которые иначе бы пришлось списать на убытки, считает Афонин. Бизнес говорит на языке денег, поэтому и специалисты по информационной безопасности должны с владельцами компаний говорить на языке денег, а не на птичьем языке цифр, то есть доносить до бизнеса преимущества защиты своей информации и своей собственности.
Россия создала свое устройство для мобильных платежей
Заместитель генерального директора компании «Андэк» Вячеслав Максимов посвятил свой доклад вопросам безопасности при использовании мобильного телефона в качестве POS-терминала. Доклад был представлен совместно с управляющим партнером компании JackPSP Владимиром Нечаевым, который рассказал о принципах работы такого устройства на основе решения, разработанного компанией JackPSP.
Количество кредитных карт в России превышает количество экономически активного населения страны в 1,7 раза, но вот вне Москвы заплатить картой можно далеко не везде, отметил Владимир Нечаев. В целом 1 млн. 350 тыс. точек по России не могут принимать оплату карточками. Дело в том, что далеко не каждый индивидуальный предприниматель может купить POS-терминал, а именно малый бизнес составляет львиную долю предприятий в России. Поэтому компания JackPSP решила вывести на рынок свое устройство, стоимость которого не превысит 1,5 тыс. рублей. Владимир Нечаев подчеркнул, что ключевой задачей при разработке решения являлось обеспечение безопасности, и именно вопросам защиты информации уделялось основное внимание.
Вячеслав Максимов сосредоточился на трех потенциально слабых местах таких терминалов – точках возникновения риска при работе с устройствами обработки транзакций по карточкам.
Первая точка – место инициации платежа. Так как продавец имеет физический доступ к карте, он может списать или сфотографировать ее данные. Но именно мобильный POS снижает эти риски, поскольку все операции с картой происходят на глазах держателя. Однако, как только данные карты попадают в мобильное приложение, во весь рост встают проблемы, связанные с использованием мобильного телефона в качестве POS-терминала. Ключевая причина этих проблем в том, что до решения проблем с обеспечением защиты информации в мобильных устройствах еще очень далеко. Не новость, что для телефонов под управлением Android уже написано множество вирусов, работающих на уровне ядра. И появление вируса, написанного специально под мобильное платежное приложение – только вопрос времени. Поэтому, если данные платежных карт попадают в телефон в открытом виде, риск их утечки на сегодняшний день максимален. А происходить это может в случае, если считывающее устройство не обеспечивает шифрование данных, или если мобильное приложение предоставляет альтернативный способ проведения транзакции (позволяет вводить номер карты вручную).
Второй точкой возникновения рисков является процесс передачи транзакции в банк или платежный шлюз. Недостаточно надежные механизмы аутентификации субъектов информационного обмена (как на стороне банка, так и на стороне продавца), слабая аутентификация самих транзакций, а также отсутствие шифрования канала передачи информации предоставляют возможности как для компрометации данных платежных карт, так и для осуществления мошеннических действий по отношению к торгово-сервисному предприятию (перевод денежных средств за товары или услуги на счет другой организации).
И третья точка – место обработки данных в самом банке или платежном шлюзе. Но эти проблемы давно известны и решаются уже знакомыми банкам мерами, начиная от реализации требований стандарта PCI DSS и заканчивая внедрением антифрод-систем.
Возвращаясь к устройству компании JackPSP, Максимов Вячеслав отметил: «Ключевой особенностью этого решения является то, что функции шифрования данных полностью выполняются на считывателе карт. При этом используется асимметричный алгоритм (RSA-1024), с невыгружаемыми ключами. Функционал для периодической замены ключей также реализован. Это позволяет говорить о действительной безопасности решения, представленного компанией JackPSP».
Присутствовавший на круглом столе представитель процессингового центра Украины сообщил, что представленное компаниями «Антек» и JackPSP устройство не подключит ни один процессинговый центр на Украине, так как при его использовании нарушается базовая концепция закона о купле-продаже – потребитель не получает бумажный чек. При оплате покупки с использованием мобильного ридера информация о платеже приходит на телефон владельца карточки в виде sms-сообщения или в виде письма на электронную почту. На это Владимир Нечаев ответил, что российский Центробанк с 2012 года разрешает проводить операцию, при которой чек формируется в электронном виде.
Киберпреступники в России отделываются условными сроками
Около 80% дел о киберпреступности в России все же доходит до суда, например, о том, что Сбербанк инициировал ряд процессов против хакеров, этот банк заявлял даже в прессе, сообщил генеральный директор компании Group-IB Илья Сачков. Но, увы, из-за несовершенства российского законодательства преступники получают очень небольшие сроки, чаще даже условные. В то время как в США хакеры российского происхождения получают тюремные сроки на 30–35 лет. По обороту рынок киберпреступлений в России уже обогнал оборот рынка наркотиков нашей страны, и случаи новых изощрений на этом поприще удивляются даже видавших виды профессионалов из ФСБ или ФАПСИ. Например, 16-летний юноша придумал сдавать свою бот-сеть для кибератак в аренду, и неплохо на этом заработал – миллионы долларов за три месяца, рассказал Илья Сачков.
Случаи атак на системы дистанционного банковского обслуживания происходят во всех банках из ТОП-10 России, считает Сачков. Один преступник может за 2 недели заразить 17 тыс. машин, поэтому благодаря киберпреступности операции по обналичиванию денег в России ускорились до 1 дня – от списания денег со счета до получения средств преступниками в виде кеша проходит менее суток. Сейчас киберпреступники достаточно обленились и стараются не работать с суммами на счете меньше 300 тыс. рублей, отметил Сачков. С меньшими суммами работают лишь новички, которые быстро попадают под влияние крупных криминальных авторитетов, но, увы, в России эти новички с хорошими мозгами появляются как грибы в лесу после дождя, пожаловался эксперт.
Большинство преступных групп, проводящих хищения на территории России, из-за активизации российских правоохранительных органов сейчас переместились на Украину и в Таиланд и при этом работают преимущественно по хищению средств со счетов российских банков. Всего в России заражено 1 млн. 400 тыс. компьютеров, утверждает Илья Сачков. При этом он отметил, что любые новшества в защите данных не приведут ни к чему, если разработчики не будут работать в сотрудничестве с правоохранительными органами.
И еще одна аномалия, которую подчеркнул Сачков – неповоротливость российского закона. Человек, укравший с участка соседки 7 кустов роз, получает 7 лет колонии строгого режима, а человек, укравший со счетов банка миллионы долларов, отделывается условным сроком. Илья Сачков привел пример изворотливости одного преступника – его взяли с поличным, и дело было доведено до суда. В ходе одного из судебных заседаний он вышел покурить и исчез. «Хорошо, что мы его поймали снова, так как со своей преступной деятельностью он не завязал, но поймали мы его через два года и после того, как он посетил пластического хирурга, то есть опознать его было весьма сложно. Кстати, он в этом году отсидел свой срок и вышел на свободу, вот ждем его нового появления на ниве криминальной деятельности в сети», – обрадовал собравшихся Сачков.
Делать хороший интернет-банк никогда не поздно
После разоблачительного выступления Ильи Сачкова банкирам было трудно обсуждать работу интернет-банкинга своих кредитных организаций, но они все же рискнули высказать свое мнение – у любого уважающего себя банка должна быть такая услуга, как возможность интернет-банка.
Сейчас делать хороший Интернет-банк уже поздно, на это уйдет 2–3 года, и по истечении этого срока банк получит такой сервис, какой уже есть у конкурента, считает вице-президент Банка Москвы Максим Патрин. По его мнению, все видят, что Интернет-банк активно мигрирует на мобильные устройства.
С Патриным не согласился руководитель управления разработки и продвижения интернет-проектов банка «Тинькофф кредитные системы» Сергей Леонидов. По его мнению, сделать хороший интернет-банк можно за год, и всегда не будет предела совершенству, так как есть такая часть потребителей, которым нужно все больше опций при оплате чего угодно через Интернет.
Если банк считает, что система интернет-банка является для банка конкурентным преимуществом, то банк может создавать этот продукт своими силами, как это сделали ТКС-банк или Альфа-банк, отметил Максим Патрин. Но Банк Москвы купил коробочное решение у компании, которая многие «фишки» делает специально под этот банк и его требования.
Директор департамента интернет-банкинга Промсвязьбанка Алгирдас Шакманас считает, что интернет-банк все же лучше делать своими силами, так как в этом случае проще устранять недоделки и неудобные для клиентов решения. Плюс к тому, он считает, что не стоит так ставить вопрос, должен быть у банка интернет-банк или нет, такая услуга у банка просто должна быть, и точка. «А если ориентироваться на данные о множестве киберпреступников в России, и из-за этого опасаться работать с деньгами через Интернет, то нельзя забывать и тот факт, что наличные деньги тоже очень легко потерять или стать жертвой ограбления», – считает он.
Для мобильных устройств надо создавать полноценный интернет-банк, а не останавливаться на усеченной версии, полагает Максим Патрин. Он считает, что развитие мобильного банкинга будет обгонять развитие интернет-банка на стационарных компьютерах. Сергей Леонидов отметил, что необходимо делать 2–3 платформы для «зоопарка мобильных устройств в России», и уже сейчас некоторые банки активно стремятся ориентировать своих клиентов именно на общение через сеть, отказываясь от посещения отделений банков, да и попросту не открывая эти отделения.
В России есть психотип недоверия к банковской системе и недоверие друг к другу, поэтому люди и не доверяют интернет-банкингу, считает Альгирдас Шакманас. «Эти люди и банкоматам в метро-то не доверяют, поэтому банкам надо в продвижении интернет-услуг все же не конкурировать друг с другом, а объединять свои силы в просвещении клиентов, объясняя им, что пользоваться своими средства дистанционно – это просто и удобно», – резюмировал банкир.