ОБЗОР СМИ
Приказом Банка России от 10.08.2018 № ОД-2077 с 10.08.2018 отозвана лицензия на осуществление банковских операций у кредитной организации Расчетная небанковская кредитная организация «Инновационный расчетный центр» Акционерное общество РНКО «ИРЦ» АО (рег. № 3447-К, г. Москва). Согласно данным отчетности, по величине активов на 01.08.2018 кредитная организация занимала 503 место в банковской системе Российской Федерации. РНКО «ИРЦ» АО не является участником системы страхования вкладов.
Деятельность РНКО «ИРЦ» АО на протяжении длительного времени являлась убыточной в связи с неэффективностью бизнес-модели кредитной организации. В результате произведенных операций по доначислению резервов на возможные потери по образовавшейся на балансе РНКО «ИРЦ» АО проблемной дебиторской задолженности в августе т.г. произошло существенное снижение размера ее собственных средств (капитала).
Руководство и собственники кредитной организации не предприняли действенных мер по нормализации ее деятельности. В сложившихся обстоятельствах Банк России на основании статьи 20 Федерального закона «О банках и банковской деятельности» исполнил обязанность по отзыву у РНКО «ИРЦ» АО лицензии на осуществление банковских операций.
Решение Банка России принято в связи со снижением размера собственных средств (капитала) кредитной организации ниже минимального значения уставного капитала, установленного на дату ее государственной регистрации.
В соответствии с приказом Банка России от 10.08.2018 № ОД-2078 в РНКО «ИРЦ» АО назначена временная администрация сроком действия до момента назначения в соответствии с Федеральным законом «О несостоятельности (банкротстве)» конкурсного управляющего либо назначения в соответствии со статьей 23.1 Федерального закона «О банках и банковской деятельности» ликвидатора. Полномочия исполнительных органов кредитной организации в соответствии с федеральными законами приостановлены.
Комментарий Банка России относительно текущей ситуации на валютном рынке
Повышенная в последние дни волатильность курса рубля является естественной реакцией финансового рынка на новости о новых потенциальных санкциях на фоне изменений на глобальных финансовых рынках. Такие эпизоды волатильности уже возникали ранее на фоне обсуждения санкционных ограничений и имели временный характер. Поддержку рублю по-прежнему оказывают существенные продажи экспортной валютной выручки.
Банк России отслеживает ситуацию на финансовом, в том числе валютном рынке. В частности, для ограничения волатильности Банк России может корректировать ежедневный объем покупки иностранной валюты на валютном рынке в рамках реализации механизма бюджетного правила. При этом в течение более длительного срока операции в рамках бюджетного правила будут осуществлены в полном объёме.
Банк России имеет достаточно инструментов, чтобы предотвратить угрозы для финансовой стабильности.
Единая биометрическая – есть вопросы?
Еще одно событие лета – с 1 июля в России официально начала действовать Единая биометрическая система (ЕБС), использующая для идентификации россиян ЕСИА с подтверждением пользователя с помощью голосового профиля и фотоизображения.
Несмотря на то что сбор биометрических данных россиян уже начали 20 кредитных структур, а в конечном итоге к системе будут подключены все российские банки, которые соответствуют требованиям ЦБ, у участников рынка остается большое количество вопросов к практической реализации данной инициативы, хотя в целом она оценивается однозначно положительно.
Так, например, до сих пор отсутствует четкое разграничение зон ответственности участников проекта. По словам Романа Прохорова, председателя правления Ассоциации «Финансовые инновации», не определено приемлемое значение степени соответствия верифицируемых данных эталонным, и субъект проекта, который должен его определять, принимая соответствующие риски как отказа, так и неправомерных операций, такую ответственность брать на себя, согласно имеющейся информации, не готов. Речь идет о Ростелекоме, который с 30 июня выступает оператором ЕБС, обеспечивая в числе прочего проверку соответствия данных первично сданным биометрическим параметрам пользователей.
Еще один момент – риски компрометации биометрических данных населения, хранящихся в ЕБС. Как уже неоднократно отмечал журнал «ПЛАС», вероятность такого развития событий нельзя сбрасывать со счетов, несмотря на все оптимистичные заверения заинтересованных структур. В то же время, как подчеркивает Алма Обаева, председатель правления Национального платежного совета, до сих пор не прописаны действия банковского клиента и кредитной организации в случае, если у них появились подозрения, что биометрические данные скомпрометированы, – по аналогии с правилами поведения при компрометации карточных данных.
Эксперты отмечают и отсутствие подзаконных актов, однозначно и в полном объеме определяющих требования к ИТ-инфраструктуре для сбора, обработки и передачи биометрии – и это на фоне четко установленных сроков реализации проекта. При этом присутствует понимание: если придется закладываться, исходя из существующих требований «по максимуму», такой проект окажется слишком затратным для мелких и средних кредитных организаций.
Не решен и вопрос стимуляции населения к сдаче биометрических данных. Как констатируют в Банке России, спрос на такого рода услуги пока невысок. Эксперты объясняют это отчасти и тем обстоятельством, что клиентура крупных банков слишком лояльна, чтобы интересоваться возможностью дистанционного обслуживания в других кредитных структурах. На этом фоне частным лицам для более активной сдачи биометрических данных необходимы дополнительные стимулы со стороны государства. Характерно, что все эти моменты практически никак не отражены в обсуждаемых сегодня подзаконных актах.
Что же касается внедрения биометрической идентификации на банкоматах, то здесь мнения расходятся – с одной стороны, многофакторность ИД-решения всегда повышает безопасность, однако отказ добросовестным держателям в выдаче денег из-за флюса или охрипшего голоса может серьезно повлиять на их клиентский опыт. Кроме того, ни для кого не секрет, что клиенты зачастую идут на такое формальное нарушение правил, как передача карты для снятия наличных доверенному лицу – родственнику или другу. Несмотря на то что такие действия не являются правомерными, в случае инвалидности, болезни или пожилого возраста такая возможность бывает жизненно необходима многим держателям карт, и полностью лишать их такого вынужденного выхода из ситуации с внедрением обязательной биометрической идентификации было бы неправильно.
Напоминаем, что эти и другие, не менее актуальные вопросы будут рассматриваться на юбилейном 10-м Международном ПЛАС-Форуме «Банковское самообслуживание, ритейл и НДО», который пройдет в московском КВЦ «Сокольники» уже 14–15 ноября 2018 года! Ждем Вас на мероприятии! Кстати, регистрация делегатов ПЛАС-Форума давно началась – и стоит поторопиться, чтобы успеть стать участниками нашего юбилейного мероприятия!
В целом же некоторые эксперты уверены, что ЕБС может быть оправданна только в качестве первого шага на пути к созданию общенациональной системы идентификации и аутентификации участников цифровых сделок. Только в этом случае можно будет говорить о том, что она в полной мере отвечает потребностям цифровой экономики. Однако вопрос, закончится ли данный госпроект созданием худо-бедно функционирующей ЕБС, или в случае успеха он получит масштабное продолжение, остается пока открытым.
Медведев сравнил новые санкции против России с объявлением экономической войны
Возможное дальнейшее усиление экономических санкций против России можно будет расценить как объявление экономической войны, на эту войну надо будет реагировать экономическими, политическими или иными методами. Об этом заявил премьер-министр РФ Дмитрий Медведев на встрече с сотрудниками Кроноцкого государственного заповедника.
«Разговоры о будущих санкциях я бы не хотел комментировать, но могу сказать одно: если последует что-то типа запрета деятельности банков или использования той или иной валюты, то это можно будет назвать совершенно прямо, это объявление экономической войны. И на эту войну необходимо реагировать — экономическими методами, политическими методами, а в случае необходимости — и иными методами. И наши американские друзья это должны понимать», — сказал премьер-министр, отвечая на вопрос одного из участников беседы, какие еще санкции в отношении России могут быть приняты и как они могут повлиять на экономику страны.
Премьер-министр признал, что санкции так или иначе влияют на экономику страны. «Ничего хорошего в этом нет, потому что всякого рода ограничения в конечном счете сказываются на самочувствии экономики, на движении курса валют», — добавил Медведев.
Глава российского правительства также указал, что американские санкции направлены не только против России, подобные санкционные протекционистские меры Вашингтон использует и против Китая, «это, конечно, не нравится китайцам, это никому не нравится, и наша задача всем этим мерам противостоять».
Как изменился онлайн-рынок финансовых услуг РФ за последний год?
Компания Admitad представила основные данные аналитического исследования онлайн-рынка финансовых услуг РФ. За основу были взяты данные с начала 2017-го по июнь 2018 гг., собранные собственной платформой Admitad.
Анализ собранной статистики по всей территории РФ показал, что среди российских регионов по трем основным категориям, включающим онлайн-оформление кредитных карты, потребительских кредитов и микрозаймов, лидируют Москва и Санкт-Петербург, Московская и Свердловская области, Краснодарский край. Суммарно на эти категории приходится более 90% заказов пользователей.
Чаще всего заявки на финансовые услуги в сфере страхования потребители оставляют на купонных сайтах. Для получения микрозаймов российские клиенты чаще всего обращаются к поставщикам услуг через сайты — витрины (сайты с иллюстрированным каталогом продукции) и, наконец, пользователи охотно кликают на ссылки из почтовых рассылок и объявления контекстной рекламы.
Также стоит отметить, что в течение последних 12 месяцев Admitad наблюдает рост спроса на кредиты и микрозаймы среди пользователей Android. Пик по количеству совершенных заказов пришелся на лето 2017 г. Скачок был обусловлен резким увеличением количества заявок на получение новых кредитных карт со стороны российских пользователей.
В банкоматах обнаружилось новое уязвимое место
В самых популярных на российском рынке банкоматах NCR обнаружена серьезная уязвимость, которая позволяет изымать наличность через сейфовую часть устройства. Производитель банкоматов NCR устранил дефект еще полгода назад, однако российские банки обновления не получили, а узнали об уязвимости только от корреспондента “Ъ”. Пользователи банкоматов в случае успешной атаки могут требовать возмещение от его производителя. Если только их не остановят репутационные риски, связанные с появлением публичной информации об успешной хакерской атаке на банк.
Вчера на конференции по информационной безопасности Black Hat в Лас-Вегасе эксперты Positive Technologies сообщили о выявленной компанией уязвимости наиболее популярных в России банкоматов производства американской компании NCR. Проблема заключается в том, что хакер может установить на контроллер диспенсера (сейфовой части банкомата для выдачи купюр) устаревшее и менее защищенное ПО с использованием технологии Black Box. А именно — подключить одноплатный компьютер к диспенсеру, используя недостатки защиты сервисной зоны банкомата, и отправить команду на снятие наличных. Уязвимости связаны с недостаточной защитой механизма записи памяти в двух моделях диспенсеров — S1 и S2.
По словам директора исследовательского центра компании Digital Security Романа Бажина, банкоматы NCR являются одними из самых распространенных в России. Только на сервисном обслуживании компании «Эн. Си. Ар., NCR A/O» находятся более 40 тыс. банкоматов (по данным ЦБ, общее количество банкоматов различных производителей на 1 апреля составляло около 200 тыс. шт.). При этом подавляющее большинство из них имеют диспенсер S1, банкоматы с диспенсером S2 распространены менее широко. По словам господина Бажина, выявленная уязвимость является очень серьезной.
К тому же чтобы ее исправить, необходимо устанавливать обновление программного обеспечения вручную на каждый банкомат. «Обновление достаточно сложное, потребуется подключаться к каждому устройству, а это весьма проблематично, учитывая большую территориальную распределенность банкоматов»,— подчеркнул эксперт.
Эксперты Positive Technologies выявили уязвимость и сообщили о ней в головной офис NCR. 6 февраля 2018 года NCR на своем сайте www.ncr.com вывесила пресс-релиз об устранении уязвимости, выпуске обновления и дала рекомендации его установить. Российские банки, которые используют эти банкоматы, узнали об уязвимости от корреспондента “Ъ”. Естественно, что они не получили и обновления программного обеспечения для ее устранения. Результат — резкий рост атак на банкоматы весной этого года. Только в апреле с использованием технологии Black Box было атаковано десять устройств; для сравнения, за весь 2017 год — 21 (см. “Ъ” от 25 апреля).
В ряде атак злоумышленники использовали именно выявленную уязвимость. «В апреле-мае мы зафиксировали несколько попыток атак на наши банкоматы с использованием техники Black Box,— рассказал директор департамента информационной безопасности МКБ Вячеслав Касимов.— Скорее всего, данная уязвимость использовалась в этих атаках». Атаки на банкоматы NCR с использованием Black Box наблюдаются c 2015 года, отметил эксперт, при этом политика подготовки исправлений у производителя не всегда позволяла эффективно справляться с угрозой. Банку удалось отбить атаки, пояснил Вячеслав Касимов, в МКБ для защиты применяются сторонние специализированные аппаратные средства защиты от Black Box, а также круглосуточный мониторинг и оперативное реагирование.
Однако неизвестно, насколько успешными были отражения атак в других кредитных организациях, чьи банкоматы злоумышленники пытались взломать с использованием технологии Black Box. По словам Романа Бажина, информация об успешных атаках тщательно скрывается банками, так как несет репутационные риски. В Банке России на вопрос “Ъ” о количестве атак на банкоматы с использованием технологии Black Box и их результативности отвечать отказались.
«Мы не можем говорить, что за последний год количество атак увеличилось, но мы можем совершенно точно сказать, что выявляемость атак увеличилась» — Артем Сычев, замначальника главного управления безопасности и защиты информации Банка России, в интервью «РИА Новости» 2 марта 2018г
В NCR заявили, что сотрудничали с Positive Technologies в ходе расследования. При этом в компании утверждают, что «обнаруженные уязвимости были устранены и обновления были предоставлены». Помимо информирования об обновлениях в начале года, компания обновила их в августе «с учетом последней информации». Однако в NCR не ответили на запрос “Ъ”, почему кредитные организации вовремя не получили обновление.
Теоретически те, кто пострадал от связанных с эксплуатацией данных уязвимостей атак, могут предъявить иск к NCR по компенсации убытков. «Если у банка есть соглашение на обслуживание банкоматов, то в случае успешно проведенной атаки против них он может предъявить исковые требования по компенсации убытков к производителю, если соглашение заключено с ним, или к сервисным центрам, оказывающим услуги по их обслуживанию»,— отмечает глава АБ «Старинский, Корчаго и партнеры» Евгений Корчаго. Впрочем, в этом случае факт атаки станет публичным, и кредитная организация будет выбирать, что ей дороже — репутационные риски или потеря денег из банкомата.
Фейк-ньюс об очередной уязвимости банкоматов NCR
Эксперты Positive Technologies на конференции по информационной безопасности Black Hat в Лас-Вегасе рассказали об обнаруженной ранее уязвимости в банкоматах NCR. Positive Technologie сообщила о проблеме в головной офис NCR. В результате один из мировых вендоров АТМ еще в феврале 2018г. выпустил обновление ПО, которое предотвращает использование мошенниками данной уязвимости.
Однако ряд СМИ сегодня сообщил, что NCR, якобы, не предупредил российски банки об уязвимости и они не получили обновления ПО для ее устранения. В итоге число атак на банкоматы весной текущего года резко выросло.
«В феврале 2018г. было выпущено обновление ПО, исключающее возможность эксплуатации этого класса уязвимостей, всем клиентам были разосланы рекомендации по защитным мерам», — заявили порталу PLUSworld.ru в пресс-службе NCR.
По данным экспертной АТМ Группы Ассоциации участников МастерКард, количество атак типа “Blackbox” за 1 квартал 2018 года снизилось в 2 раза по сравнению с аналогичным периодом прошлого года. Таким образом, весной 2018 г. специалисты не зафиксировали роста атак на АТМ.
Уязвимость в банкоматах NCR была связана с недостаточной защитой механизма записи памяти в двух моделях диспенсеров — S1 и S2. Это позволяло проводить атаку типа Black Box. Хакер мог установить на контроллер диспенсера устаревшее и менее защищенное ПО, подключить одноплатный компьютер к диспенсеру и отправить команду на снятие наличных.
В NCR еще раз подчеркнули, что использование актуальных, поддерживаемых версий ПО является критично-важным элементом эшелонированной защиты банкоматов от логических атак, в то время как использование устаревших, снятых с поддержки версий ПО является серьезной угрозой безопасности.
Group-IB: продажи ПО для скрытого майнинга выросли в пять раз
Международная компания Group-IB, специализирующаяся на предотвращении кибератак и расследовании преступлений в сфере высоких технологий, зафиксировала рост количества объявлений на теневых форумах, где предлагают купить или арендовать программы для скрытого майнинга. За год их число увеличилось в пять раз.
За первое полугодие 2018 года система Threat Intelligence (киберразведка) Group-IB зафиксировала 477 объявлений на хакерских форумах о продаже или аренде программ для майнинга, в то время как за аналогичный период 2017 года их количество было в пять раз меньше — 99, говорится в сообщении компании Group-IB.
При этом минимальная цена на программы для скрытого майнинга составила 0,5 доллара, в среднем стоимость — 10 долларов.
Для криптоджекинга (использования вычислительной мощности компьютера или инфраструктуры для майнинга криптовалюты без согласия или ведома владельца) может быть задействовано любое устройство (компьютер, смартфон или сервер). А зараженное устройство может не только замедлиться в работе и нести повышенные амортизационные потери, но также и стать угрозой устойчивости и непрерывности бизнес-процессов.
По словам эксперта по киберразведке Group-IB Рустама Миркасымова, низкий «порог входа» на рынок «черного заработка» на нелегальном майнинге приводит к тому, что добычей криптовалюты занимаются люди без технических знаний и какого-либо опыта участия в мошеннических схемах.
«Получив доступ к простым инструментам для скрытого майнинга криптовалют, они не считают это преступлением, тем более что российское законодательное поле пока еще оставляет достаточное количество лазеек для того, чтобы избежать преследования за подобные хищения. Случаев ареста и практики судебного преследования за криптоджекинг по-прежнему мало, несмотря на то что большинство методов установки программы-майнера предполагают нарушение законов 272 и 273 УК РФ», — пояснил эксперт.
Медведев: ВЭБ будет финансировать проекты в области цифрового развития и инфраструктуры
Об этом премьер-министр сообщил на заседании наблюдательного совета Внешэкономбанка.
Внешэкономбанк сейчас проходит этап трансформации, будет финансировать первостепенные для РФ проекты, в том числе в области цифрового развития и инфраструктуры. Об этом сообщил премьер-министр Дмитрий Медведев на заседании наблюдательного совета Внешэкономбанка.
«Банк сейчас проходит этап трансформации, формирует контуры оптимальной бизнес-модели, которая позволит ему активно участвовать в исполнении наших стратегических задач, включая указ президента от 7 мая. Совместно с другими институтами развития [банк будет] финансировать проекты, которые имеют первостепенное значение для нашей страны, прежде всего в сфере инфраструктуры и цифрового развития», — сказал он.
Альфа-Банк представил сервис проверки статуса зачисления срочных платежей онлайн
Альфа-Банк представил новый сервис для клиентов-юрлиц – получение в режиме онлайн информации о статусе зачисления срочного платежа в рублях соответственно новой норме Банка России, предусматривающей направление банком получателя срочного платежа информации о статусе зачисления в банк отправителя.
Для клиентов сервис бесплатный. Обновление статуса срочного платежа в интернет-банке автоматическое, говорится в сообщении кредитной организации. В настоящее время такой сервис – самый простой и быстрый способ удостовериться в зачислении платежа.
По словам директора операционно-сервисного обслуживания корпоративных клиентов Альфа-Банка Александры Гладун, этот сервис упростит и ускорит расчеты между контрагентами. Также она добавила, что ряд клиентов, которым важно отслеживать статус зачисления платежа, предпочтут пользоваться не обычными, а срочными платежами.
Waves Platform и Sputnik DLT интегрируют технологию блокчейн в госсектор и бизнес-процессы
Российские стартапы Waves Platform и Sputnik DLT подписали соглашение о сотрудничестве в рамках продвижения блокчейн-платформ Waves и Vostok. Об этом ForkLog сообщила пресс-служба Waves.
В рамках партнерства компании изучат возможности интеграции технологии распределенного реестра в государственные структуры и бизнес-процессы. Кроме того, Waves Platform и Sputnik DLT будут исследовать юридические и технологические нюансы внедрения блокчейна.
Также Sputnik DLT займется экспертизой оптимальных блокчейн-решений и площадок для внедрения DLT-технологии.
«Я уверен, что интеграционная, технологическая и юридическая экспертиза Sputnik DLT поможет корпоративным и государственным компаниям извлечь максимум из решений Waves и Vostok», — заявил основатель и CEO Waves Platform и Vostok Александр Иванов.
Ранее ForkLog сообщал, что Waves применит решения «дочки» Сбербанка для безопасности блокчейн-платформы Vostok.
ОБЗОР МЕЖДУНАРОДНЫХ СОБЫТИЙ
Apple предложила заменить паспорта на iPhone
Ведомство по патентам и товарным знакам США зарегистрировало заявку компании Apple на технологию идентификации личности через iPhone. Об этом сообщил портал Apple Insider.
Предполагается, что технология позволит использовать смартфон вместо паспорта. Идея строится на передаче зашифрованных данных владельца из защищенного хранилища к запрашивающему информацию органу.
Компания планирует передавать информацию с гаджета при помощи технологии радиочастотной идентификации, например через NFC, которая уже используется на большинстве смартфонов. По задумке разработчиков, защиту от несанкционированного доступа к данным обеспечат технологии биометрической верификации Touch ID и Face ID.
У концепции широкая сфера применения: ее смогут реализовать и частные компании (например, в пропускной системе для сотрудников), и государства (при паспортном контроле).
Издание подчеркивает, что Apple еженедельно направляет в патентное ведомство множество заявок, но лишь немногие из разрабатываемых технологий реализуются в конечных продуктах компании.
Банки Норвегии откроют данные, чтобы защитить отрасль от техно-гигантов
Банки Норвегии работают над открытым доступом к своим счетам
Банки Sbanken, Sparebanken Vest и Sparebanken Sogn og Fjordane работают над новым проектом, стараясь оказаться в числе первых компаний, которые выполняют нормы платежной директивы PSD2, которая вступила в силу в январе 2018.
Совместная инициатива позволит управлять счетами в разных банках через один интерфейс. Например, зайдя в онлайн-банкинг одного банка, клиент сможет просмотреть информацию о своих счетах в других финучреждениях.
Директива пока не обязывает банки внедрять такие новшества. Однако финучреждения активно работают над проектом, опасаясь, что инициативу могут перехватить финтех-стартапы или технологические компании.
“Когда клиенты норвежского банка привыкнут просматривать свою историю операций в разных банках на одной платформе, входной барьер для иностранных игроков будет значительно выше” — Совместное заявление банков
Партнеры по проекту сейчас разрабатывают соглашение о сотрудничестве. Документ можно будет расширить и на другие норвежские банки, которые захотят присоединиться к инициативе.
“Мы уже обсуждаем инициативу с другими банками и поощряем отрасль присоединиться к тренду. Мы открыты для обмена нашими данными с любым, кто хочет принимать участие” — Кристоффер Хернс, директор по цифровым технологиям норвежского онлайн-банка Sbanken
Commonwealth Bank of Australia выпустит первые облигации на базе блокчейна