ОСНОВНЫЕ СОБЫТИЯ
ЦБ задумался о национальной альтернативе SWIFT
МОСКВА, 21 августа. /ПРАЙМ/. На фоне санкций ЦБ задумался об альтернативе международной системе межбанковских сообщений SWIFT, которая сейчас является основным операционным каналом для российского финансового рынка. Это следует из письма ЦБ /имеется в распоряжении «Коммерсанта»/, в котором он предложил банковскому сообществу подумать над тем, как организовать альтернативные каналы взаимодействия при обмене межбанковскими сообщениями.
Письмо направлено участникам рынка в начале августа, через несколько дней после введения санкций США и ЕС в отношении российских госбанков. В документе ЦБ ссылается на то, что в современных условиях создание единой национальной инфраструктуры обмена финансовыми сообщениями увязывается с вопросами обеспечения национальной экономической безопасности. Большинство опрошенных собеседников издания сходятся во мнении, что речь идет о создании альтернативы глобальной системе обмена межбанковскими финансовыми сообщениями SWIFT — на случай отключения российских банков от нее.
Сейчас практически все валютные межбанковские расчеты, использующие SWIFT, позволяют иностранным банкам запрашивать информацию о клиентах российских банков и, если полученные сведения их не удовлетворят, блокировать операции. По словам банкиров, причина того, что ЦБ именно сейчас озаботился созданием альтернативных каналов,- риски санкций.
По оценкам экспертов, переход на канал коммуникации, недоступный для западного контроля, займет минимум год.
В ЦБ отказались от комментариев.
В ЕС предложили запретить операции с рублем
МОСКВА, 21 авг — ПРАЙМ. Заместитель председателя Европарламента Рышард Чернецкий предложил исключить рубль из мирового финансового оборота, сделав его неконвертируемой валютой.
«Российский рубль должен перестать быть конвертируемой валютой, рубль нужно исключить из международного финансового оборота», — цитирует РИА Новости заявление Чарнецкого в польском сейме в среду, 20 августа.
По словам политика, отказ мировых держав от операций с рублем должен стать «профилактической санкцией» против российской экономики, которая «работала бы на опережение».
«Президент Владимир Путин должен знать, чего бояться и что его ждет», — добавил Чернецкий.
Польша, будучи крупным экспортером яблок и других фруктов в Россию, стала одной из наиболее пострадавших от ответных санкций РФ страной ЕС. По оценке инвестбанка ING, Польша лишится 23 тысяч рабочих мест в результате российского продовольственного эмбарго — больше, чем другие страны ЕС.
Всего же, как утверждают в ING, армия безработных в ЕС пополнится на 130 тысяч человек из-за того, что Россия отказалась закупать фрукты, овощи и другое продовольствие в европейских странах. В денежном выражении потери Евросоюза составят 6,7 миллиарда евро, подсчитали в ING.
Хакеры похитили данные десятков тысяч клиентов UPS
НЬЮ-ЙОРК, 21 августа. ПРАЙМ. Крупнейшая в мире компания по доставке почты и логистике UPS подверглась атаке со стороны киберпреступников. Как сообщили в среду официальные представители фирмы, предположительно произошла утечка данных о 100 тыс транзакциях.
По сведениям UPS, киберпреступники могли получить информацию о банковских картах и адресах электронной почты клиентов компании, которые пользовались ее услугами с 20 января по 11 августа текущего года. Наличие этих данных облегчает для злоумышленников получение несанкционированного доступа к банковским счетам граждан. Вредоносные программы, использованные хакерами, были обнаружены в компьютерных системах 51 отделения UPS, которые расположены в 24 американских штатах.
Представители компании указали, что данный вирус, название которого не уточняется, неуязвим для имеющих в настоящее время в наличии антивирусных программ. Об опасности кибератаки компания была предупреждена сотрудниками министерства национальной безопасности /МНБ/ США. Вирус был обнаружен в результате проведенных после этого проверок.
В настоящее время проблема устранена, специалисты UPS приняли дополнительные меры для защиты информации. Компания не располагает информацией о каких-либо случаях мошенничества или других преступлений, которые имели место в результате произошедшей утечки данных.
Набсовет ВТБ 22 августа рассмотрит вопрос о создании единого казначейства
МОСКВА, 20 августа. /ПРАЙМ/. Набсовет ВТБ 22 августа рассмотрит вопрос о создании единого казначейства, говорится в материалах кредитной организации.
Голосование набсовета по вопросу «О создании единого казначейства ОАО «Банк ВТБ»VTBR +0,30%, его дочерних и зависимых организаций» пройдет в заочном режиме, сообщает банк.
Долгосрочная стратегия развития группы ВТБ предполагает консолидацию финансовых активов. В середине июня на общем годовом собрании акционеров группы ВТБ ее глава Андрей Костин сообщал, что ВТБ планирует в течение пяти-шести лет интегрировать все банки группы. Сейчас группа работает под брендами ВТБ, ВТБ 24, Банк МосквыMMBM +3,73% и др.
«Будут приниматься меры по интеграции всех российских банковских структур группы. Цель на горизонте пяти-шести лет — создание единой банковской платформы, то есть организационное и техническое объединение», — пояснял Костин.
Группа ВТБ последовательно проводит политику консолидации активов. В прошлом году в опорный розничный банк группы — ВТБ 24 — вошел банк ТКБ. Оптимизация проходит и в Банке Москвы. В апреле во время презентации стратегии банка заместитель президента — председателя правления банка ВТБ Юлия Чупина заявила, что Банк Москвы, входящий в группу ВТБ, в 2014 году намерен сократить присутствие в 14 регионах России. В рамках новой трехлетней стратегии развития группы ВТБ планирует интегрировать и объединить крупнейшие банки группы.
Группа ВТБ является второй крупнейшей банковской группой в России, насчитывающей свыше 30 банков и финансовых компаний в более чем 20 странах мира.
Источник: «Почта России» готовит ребрендинг
МОСКВА, 20 августа. /ИТАР-ТАСС/. ФГУП «Почта России» рассматривает вопрос ребрендинга, сообщил ИТАР-ТАСС источник на рекламном рынке.
По его словам, ФГУП обратилось за консультациями в брендинговые агентства BBDO, Landor и Mildberry.
«Агентства ожидают тендер на ребрендинг, начальная стоимость которого может составить более 55 млн рублей», — сказал источник.
Основатель и управляющий партнер брендингового агентства Mildberry Олег Бериев подтвердил ИТАР-ТАСС, что почтовый оператор обращался за консультацией.
«К нам совсем недавно обращалась «Почта России» за консультацией по ребрендингу», — сказал Бериев. Источник, близкий к брендинговой компании BBDO Branding, знает о готовящемся тендере.
«Мы знаем, что «Почта России» готовит такого рода тендер и мы в нем будем участвовать. Официально к нам еще не приходило предложение с параметрами тендера», — пояснил источник. «Почта России» направляла запрос с целью сформировать тендерное предложение», — пояснил источник в одном из крупнейших брендинговых агентств.
В пресс-службе «Почты России» отказались от комментариев и не подтвердили подготовку тендера по ребрендингу.
ФГУП «Почта России» — национальный почтовый оператор, объединяющий 86 филиалов и около 42 тыс. объектов почтовой связи. Выручка «Почты России» по итогам 2013 года составила 133,1 млрд рублей.
Райффайзенбанк обновил мобильное приложение R-Mobile
Райффайзенбанк расширил функционал сервиса по управлению финансами через мобильные устройства. Как рассказали в банке, в обновленной версии мобильного приложения R-Mobile теперь можно, в частности, совершать переводы на карты других банков в рамках одной платежной системы; менять пароль как при первом входе в интернет-банк, так и при дальнейшей работе; совершать платежи в бюджет РФ (налоги, штрафы); докупать ПИФы. Также приложение показывает партнерские банкоматы на карте и позволяет узнавать об акциях по интересующему продукту.
Приложение R-Mobile доступно для скачивания в App Store и Google Play.
ИНФОРМАЦИЯ РЕГУЛЯТОРОВ
БАНК РОССИИ
- О создании Совета по актуарной деятельности
На основании положений статей 8 и 17 Федерального закона от 2 ноября 2013 года № 293-ФЗ «Об актуарной деятельности в Российской Федерации» Банк России создал Совет по актуарной деятельности (далее — Совет) и утвердил положение о Совете и его состав.
Совет действует при Банке России на постоянной основе, координирует деятельность саморегулируемых организаций актуариев и обеспечивает их взаимодействие с органами государственной власти и Банком России.
В состав Совета вошли представители саморегулируемых организаций актуариев, научной и педагогической общественности, независимые эксперты и иные не являющиеся представителями саморегулируемых организаций актуариев лица, представители Минфина России и Банка России.
Основными функциями Совета являются разработка и утверждение федеральных стандартов актуарной деятельности, консультирование Банка России, федеральных органов исполнительной власти по вопросам актуарной деятельности, подготовка предложений по профессиональной подготовке актуариев и ответственных актуариев и рассмотрение обращений саморегулируемых организаций актуариев.
- Информационное письмо от 20.08.2014 № 015-54/6729 «О порядке приема к учету специализированными депозитариями первичных документов»
ОБЗОР СМИ
SWIFT в адаптированном переводе
Для российских банков ищут альтернативу международной системы платежей
На фоне санкций ЦБ задумался об альтернативе международной системе межбанковских сообщений SWIFT, которая сейчас является основным операционным каналом для российского финансового рынка. Сейчас практически все валютные межбанковские расчеты, использующие SWIFT, позволяют иностранным банкам запрашивать информацию о клиентах российских банков и, если полученные сведения их не удовлетворят, блокировать операции. По оценкам экспертов, переход на канал коммуникации, недоступный для западного контроля, займет минимум год.
В распоряжении «Ъ» оказалось письмо ЦБ, в котором он предложил банковскому сообществу подумать над тем, как организовать альтернативные каналы взаимодействия при обмене межбанковскими сообщениями. Оно направлено участникам рынка в начале августа, через несколько дней после введения санкций США и ЕС в отношении российских госбанков. В документе ЦБ ссылается на то, что в современных условиях создание единой национальной инфраструктуры обмена финансовыми сообщениями увязывается с вопросами обеспечения национальной экономической безопасности. Большинство опрошенных собеседников «Ъ» сходятся во мнении, что речь идет о создании альтернативы глобальной системе обмена межбанковскими финансовыми сообщениями SWIFT — на случай отключения российских банков от нее. В ЦБ отказались от комментариев.
SWIFT — сообщество всемирных межбанковских телекоммуникаций. За день через сеть SWIFT проходят платежные поручения более чем на $6 трлн, в ней участвуют более 10 тыс. финансовых организаций в 210 странах. По уставу SWIFT в каждой стране сообщества создаются группа членов и группа пользователей. В РФ их объединяет ассоциация «РосСВИФТ».
Способы снизить зависимость российского финансового рынка от SWIFT — по аналогии со снижением зависимости от Visa и MasterCard — российские власти начали искать еще с весны, когда ряд банков попали под американские санкции. Как и в случае с международными платежными системами, проблему начали решать параллельно двумя путями: пытаясь склонить международных игроков к локализации и найти им местную замену. О необходимости заставить SWIFT обеспечить бесперебойность передачи информации и ввести финансовую ответственность за отключение в одностороннем порядке участников SWIFT задумались в Минфине (см. «Ъ» от 28 апреля). Тогда же начались переговоры между ЦБ, SWIFT и ассоциацией «РосСВИФТ» о локализации системы в России. «Переговоры о локализации SWIFT в России по-прежнему ведутся»,— заверил исполнительный директор «РосСВИФТ» Роман Чернов. Однако, как следует из письма ЦБ, и от идеи создать российскую альтернативу SWIFT регулятор не отказался.
По словам банкиров, причина того, что ЦБ именно сейчас озаботился созданием альтернативных каналов,— риски санкций. «Это попытка повысить конфиденциальность межбанковских и клиентских операций»,— говорит собеседник «Ъ» в банке из топ-20. Дело в том, что некоторая информация, которой обмениваются российские банки посредством SWIFT, будучи доступной иностранным контрагентам, может вынудить их отказаться от работы с этими российскими игроками, говорит собеседник «Ъ» в банке из топ-10. О том, какие именно операции могли бы заставить иностранные банки, например, закрывать российским валютные корсчета, банкиры рассказывают неохотно. Речь идет об обслуживании банков и компаний, попавших под санкции первого пакета, полностью запретившие включенным в перечень лицам взаимодействовать с американскими резидентами, считают собеседники «Ъ». «В стандартной валютной операции, которая совершается даже между двумя российскими контрагентами, традиционно задействован корсчет в иностранном банке»,— поясняет один из собеседников «Ъ». «Это наиболее удобный и быстрый способ — рассчитываться через банки в стране, эмитирующей валюту»,— подтверждает собеседник «Ъ» в банке из топ-10. Российский банк, у которого открыт корсчет в иностранном, может и не входить в санкционный список. Однако иностранный банк, опасаясь штрафов за недостаточную бдительность в схемах обхода санкций, имеет право запросить российский банк о том, в чью пользу проводится операция. «В отсутствие ответа он может заблокировать сначала саму операцию, а потом и корсчет»,— поясняет собеседник «Ъ».
Избежать участия иностранных банков в цепочке валютных операций и таким образом спрятать своих клиентов от западного контроля сложно. Один способ — открытие прямых валютных корсчетов и расчеты через них. Еще можно провести такую операцию, когда оба счета — получателя и отправителя — открыты в одном и том же банке, добавляет один из источников «Ъ». До недавнего времени случаи открытия прямых корсчетов крупнейшими российскими банками друг у друга были нечастыми. По информации «Ъ», в третьем квартале госбанки открыли друг у друга прямые валютные корсчета.
Как именно может быть реализован механизм локализации валютных расчетов и обмена информацией о них в России, банкиры пока не могут сказать однозначно. «Это будет непросто: через внутренние счета сейчас проходит лишь 5-10% расчетов»,— говорит предправления банка «Российский капитал» Дмитрий Еропкин. «Создать единый механизм можно было бы на базе уже существующей платежной системы Банка России, в которой есть транспортный канал для обмена сообщениями, но он потребует серьезной доработки, так как пока через него возможна передача сообщений лишь по операциям, совершаемым через корсчета в ЦБ, а не между банками напрямую»,— отмечает источник «Ъ», знакомый с документом ЦБ. По его оценкам, на создание единой системы обмена сообщениями может уйти более года.
Инструменты доверия
Дистанционное банковское обслуживание удобно пользователям и выгодно банкам, но небезопасно. На взломе ДБО киберпреступники выстроили весьма прибыльный бизнес. Технологии, позволяющие обезопасить дистанционную работу с банком, уже существуют. Портал Банки.ру выяснял, как работают защитные системы: уже вышедшие на рынок и те, которым еще предстоит получить признание.
Непременным элементом в дистанционной работе с банком является какой-либо компьютер, будь то стационарная рабочая станция, домашний ПК, планшет или смартфон. Все эти устройства характеризуются тем, что, помимо работы с банком, применяются для самых разнообразных задач, в том числе для доступа в Интернет. И любое такое устройство может быть скомпрометировано, что позволит кибербандитам получить доступ к вашим банковским счетам.
В системе «Банк – канал передачи данных – компьютер клиента» можно доверять банку, можно защитить канал с помощью криптографического канала. Но компьютер клиента был, есть и всегда будет устройством недоверенным. Даже применение электронных ключей, без установки которых нельзя подписать созданный документ, не мешает хакерам подменить реквизиты платежа, и деньги будут уходить «не по адресу».
Антивирусы, брандмауэры и задание сложных паролей могут затруднить злоумышленникам задачу, но гарантий безопасности не дают. Поэтому основные надежды разработчики систем безопасности ДБО возлагают на заведомо доверенные инструменты, с помощью которых клиент банка создает платежные документы или подписывает документы, созданные им в недоверенной среде персонального компьютера.
«В цепочке «Клиент – система интернет-банкинга – банк» самым слабым звеном является клиент. Поэтому подавляющее большинство атак злоумышленников направлено именно на клиента. Результат известен – заражение компьютера клиента вредоносными программами, хищение его аутентификационных данных или создание мошеннических платежей прямо на компьютере клиента, – говорит директор по продажам компании «БИФИТ» Станислав Шилов. – Рецепт борьбы с угрозой прост: критические операции должны осуществляться в отдельной доверенной среде, не подверженной вирусным атакам, с контролем содержимого клиентских операций. Такие устройства, используемые для подписи документов, получили название TrustScreen, что хорошо отражает их назначение – обеспечение доверенной среды с отображением содержимого подписываемого документа на экране. Компания «БИФИТ» завершила работы по созданию такого устройства, сейчас идет производство первой партии».
Устройства TrustScreen уже перестали быть диковинкой. Подобные продукты есть в ассортименте многих компаний, занимающихся информационной безопасностью. Широкому их распространению мешает цена в несколько тысяч рублей, несмотря на то что они могут защитить от дистанционных ограблений на многие миллионы.
SafeTouch от компании SafeTech представляет собой небольшое устройство с ЖК-экраном, кнопками «Х» и «+» под ним и слотом для смарт-карты или USB-токена на боковой панели. Эта черная коробочка содержит в себе доверенную среду, в которую злоумышленник никак не может вмешаться.
Устройство подключается к компьютеру по USB, в него вставляется токен или смарт-карта. Когда пользователь создает платежный документ в системе ДБО, реквизиты платежа уходят в SafeTouch, которое отображает их на экране. Если троянская программа сумела перехватить и изменить реквизиты, пользователь сможет увидеть подмену на экране устройства.
Если реквизиты верны, клиент нажимает кнопку «+» для подтверждения платежа, и установленная смарт-карта или токен подписывает реквизиты электронной подписью. Если троянец попробует подменить реквизиты на этом этапе, система ДБО банка определит несоответствие подписи реквизитам, и мошенническая трансакция будет заблокирована.
Необходимость физически нажать кнопку, чтобы подтвердить операцию, гарантирует, что хитроумный злоумышленник, взявший под контроль компьютер, не сможет подписать платежный документ вместо клиента банка, даже если клиент легкомысленно оставит без присмотра подключенное устройство с установленным токеном и введенным ПИН-кодом.
Таким образом, чтобы провести мошенническую операцию, злоумышленник будет вынужден украсть устройство SafeTouch с установленной смарт-картой или токеном, к тому же ему еще придется узнать ПИН-код пользователя. Последнее, правда, вполне возможно благодаря тому, что ПИН-код вводится на компьютере и может быть перехвачен программой-кейлогером. Тут также имеется элемент риска: пусть без нажатия на кнопку документ и не подписать, но, имея перехваченный ПИН-код (при условии, что клиент оставил токен подключенным), злоумышленники смогут авторизоваться в системе ДБО. Или в другой системе, вход в которую защищен токеном.
Аналогичным образом работают «Рутокен PINPad» компании «Рутокен», но есть и одно существенное отличие – вместо кнопок аппарат оснащен сенсорным экраном, что позволяет вводить ПИН-код токена или смарт-карты на самом устройстве. Перехватить ПИН-код злоумышленники уже не смогут.
Антифрод-терминал от компании «Аладдин Р.Д.» оснащен ЖК-экраном, аппаратной цифровой клавиатурой и слотами для смарт-карт и токенов. Он умеет все то же, что и предыдущие два рассмотренных нами устройства. Но в дополнение к этому содержит собственный криптографический чип. Этот чип применяется не для подписания документов – этим занимается смарт-карта или токен. С помощью чипа терминал подписывает журнал всех операций. Защищенный журнал, по замыслу разработчиков, обеспечит возможность разбора конфликтных ситуаций и облегчит расследование инцидентов.
По мнению начальника управления информационной безопасности банка «Союз» Сергея Потанина, в устройствах класса TrustScreen имеется существенный изъян – они получают информацию от компьютера, который может быть скопрометирован. Действительно, если троянец подменит реквизиты, пользователь сможет увидеть подлог, да вот только не факт, что он заметит изменения. Бухгалтер, оформляющий десятки и сотни документов в день, запросто может проглядеть несоответствие в двух-трех цифрах номера счета. Тем более если он вводил этот номер несколько месяцев или лет назад, при создании шаблона платежа. Потанин разработал собственное устройство, которое полностью снимает такие риски.
«Любое доверенное устройство, которое имеет дуплекс (двунаправленный обмен информацией) с недоверенной средой, всегда будет ею заражаться, всегда будут существовать атаки на протоколы, справочники и так далее, устройство будет компрометироваться. Мое устройство – однонаправленное, оно только выдает в компьютер скан-коды нажатых клавиш, ничего не получает и не обрабатывает никакой информации из компьютера пользователя, что не позволяет провести атаку на него из недоверенной среды», – рассказал порталу Банки.ру Сергей Потанин.
Разработка Потанина представляет собой отдельную клавиатуру, с которой пользователь ДБО вводит реквизиты платежа. Клавиатура подписывает вводимые реквизиты с помощью токена или смарт-карты, и сгенерированная подпись прикрепляется к документу. Получается, что при этом нельзя пользоваться справочниками и шаблонами в системе ДБО, все реквизиты каждого платежа необходимо вводить с доверенного устройства. Но изобретение Потанина умеет хранить собственные шаблоны и вводить сохраненные реквизиты в систему ДБО по команде пользователя.
Сергей Потанин занимается продвижением своей идеи уже третий год, но пока безрезультатно. По его словам, проблема исключительно в деньгах: «У нас уже есть небольшая опытная партия, выпущенная на мои средства и средства моих друзей для демонстрации принципов данного метода защиты ДБО. Устройство, конечно же, требует доработки, денег на это пока мы не нашли – нужно финансирование. Причем банки готовы приобретать такие устройства, но финансированием IT-стартапов они не занимаются, поэтому проект пока буксует. Парадокс: наше устройство получается слишком простым, дешевым и надежным, чтобы им заинтересовались крупные игроки рынка».
Еще более радикальную идею пытается продвинуть Илья Рабинович, выпускник МИФИ, программист, занимающийся информационной безопасностью более десяти лет. Его замысел заключается в создании полностью доверенной среды, в которой пользователь ДБО будет создавать все платежные документы.
Суть в следующем: доверенное устройство (небольшая коробочка, внутри которой кроется маломощный компьютер с UNIX-подобной операционной системой), подключается к компьютеру пользователя. Причем клавиатура, мышь и монитор подключаются через доверенное устройство. В обычном режиме работы доверенное устройство просто транслирует сигналы от клавиатуры и мыши в компьютер пользователя и передает изображение от компьютера на монитор.
Чтобы создать платежный документ, пользователь нажимает определенную комбинацию клавиш, и доверенное устройство перехватывает управление на себя. Пользователь видит на мониторе картинку уже от доверенного устройства, и оно же получает сигналы от клавиатуры и мыши. Для доступа в Интернет доверенное устройство пользуется собственным сетевым портом. По защищенному каналу устройство подключается к серверу банка и действует как «тонкий клиент», то есть обеспечивает пользователю доступ к среде, работающей на сервере банка.
По словам Рабиновича, его продукт должен обходиться клиенту дешевле устройств TrustScreen и обеспечивать более защищенную и удобную работу с ДБО. Правда, пока это лишь идея в процессе патентования – ни финансирования, ни команды разработчиков у автора проекта нет. Особенности реализации устройства и его конечная стоимость находятся под вопросом. Как и защищенность. Поскольку доверенное устройство Ильи Рабиновича – по сути, компьютер с выходом в Интернет и может содержать программные уязвимости, нет никаких гарантий их отсутствия. И если злоумышленники обнаружат хотя бы одну такую уязвимость, к примеру в реализации протокола шифрования, то ваше «доверенное» устройство может однажды стать инструментом вашего же ограбления.
Оговоримся, что в любой идее и продукте можно найти изъяны, идеал по определению недостижим. Все решения только усложняют ворам жизнь, и то лишь в том случае, если слабым звеном не станет сама жертва, легкомысленно относящаяся к защите своих данных. Во всех случаях самая надежная защита – ваши собственные бдительность и осторожность.
