Читаем Кибербезопасность в условиях электронного банкинга. Практическое пособие полностью

В нынешних реалиях российские банки стараются максимально переложить риски информационной безопасности при предоставлении услуг ЭБ, включая риски кражи электронной подписи, несанкционированного доступа в личный кабинет, мошенничества и т. д., на самого клиента. Однако изменения в ч. 11 ст. 9 Федерального закона от 27.06.2011 № 161-ФЗ «О национальной платежной системе» [51] кардинально улучшили ситуацию с защитой прав клиентов, переложив ответственность за безопасность денег клиента на сами банки.

Необходимо отметить, что ЭБ не ограничивается переводом электронных денежных средств: он также подразумевает возможность клиента давать поручение на приобретение ценных бумаг или валюты на Московской бирже в рамках брокерского договора. А риски по этому направлению иной раз куда выше, чем при переводе электронных денежных средств в системе «Банк-Клиент».

До сих пор большинство договоров банков по указанным услугам с клиентами выстраиваются с максимальной защитой интересов банков, а не клиентов. В подобных условиях банк обходится минимальным набором защитных механизмов.

Усложняет ситуацию то, что в Федеральном законе от 06.04.2011 № 63-ФЗ «Об электронной подписи» [60] отсутствует унифицированный подход к электронной подписи, выраженный в обязательстве любой организации принять документ, подписанный усиленной квалифицированной электронной подписью.

Гражданин или юридическое лицо не может сгенерировать ключи электронной подписи и выпустить в сертифицированном удостоверяющем центре по доступной цене квалифицированный сертификат, а далее использовать усиленную квалифицированную подпись в любой системе интернет-банкинга банка, микрофинансовой организации, ломбарда, платежного агента и т. д. С другой стороны, не решены проблемы идентификации клиентов в самих удостоверяющих центрах, за последние годы зафиксировано огромное количество случаев мошенничества, в том числе связанных с переоформлением собственности. Поэтому российские банки как нельзя кстати начали активно работать над внедрением средств биометрической идентификации клиентов, что в итоге должно повлиять и на уровень безопасности, и на удобство самих клиентов.

Федеральный закон от 27.07.2006 № 152-ФЗ (ред. от 21.07.2014) «О персональных данных» [52] с учетом невысоких штрафных санкций, предусмотренных КоАП РФ, не обязывает со всей серьезностью относиться к обеспечению безопасности персональных данных. Яркими примерами стали утечки в 2019 г. у Сбербанка и ВТБ[72], сведения о каких-либо штрафных санкциях в отношении этих банков в СМИ отсутствуют. Европейская практика в рамках General Data Protection Regulation показала, что высокие штрафы[73] стимулируют коммерческие и государственные компании активнее тратиться на средства безопасности[74](в т. ч. средства двухфакторной аутентификации), а также внедрять процессы ИБ в соответствии с такими стандартами, как ISO 27001.

Законодательная база России в области информационной безопасности не в полной мере соответствует реальным нуждам в данной области. Создание новых законов и редактирование действующих, то есть процесс законотворчества, требуют вовлечения людей, непосредственно обеспечивающих информационную безопасность на местах. А высокие штрафы за невыполнение законов, стандартов и требований мегарегулятора должны побудить банки серьезнее относиться к защите конфиденциальной информации.

СЭБ, кроме случаев аутсорсинга, является неотъемлемой частью инфраструктуры банка, и качество обеспечения безопасности на местах напрямую сказывается на возможности злоумышленника произвести атаку на банк. Зачастую сам банк является пользователем систем интернет-банкинга. К ним можно отнести системы управления депозитарными счетами в уполномоченных банках Московской биржи, перевода денежных средств через Банк России, отправки отчетности в Банк России, взаимодействие с платежными системами, например «Город» или QIWI, для ускоренного перевода платежей, связанных с оплатой мобильной связи и т. д., систему SWIFT, системы перевода моментальных платежей типа Western Union и другие.