Безопасность переводов денежных средств: взгляд со стороны банка

Журнал «Про кредиты&вклады»

29 Октября 2015

В сфере осуществления переводов денежных средств предприятий и организаций очень многое зависит и от банков, которые, в соответствии с Федеральным законом «О национальной платежной системе», эти переводы осуществляют. Обычно, в ходе расследования инцидентов, связанных с хищениями денежных средств с расчетных счетов выясняется, что клиент не соблюдал элементарные требования безопасности – хранил на компьютере электронный ключ для входа в систему «Клиент-Банк», забыл аннулировать сертификат подписи при смене директора, не провел вовремя антивирусную проверку своего компьютера. Однако когда происходит расследование каждого такого случая, клиент задает вопрос: «А почему меня не предупредили о том, что надо предпринимать все эти действия?». Хорошо, если банк включил такого рода условия в договор с клиентом, тогда вероятность появления претензий к банку резко снижается. Если же нет, то у банка возникают дополнительные, зачастую весьма существенные, риски.

Всякий раз, когда происходит хищение денежных средств со счета клиента кредитной организации, независимо от того, насколько виноват в случившемся сам клиент, возникает вопрос: «А все ли возможное сделал банк, чтобы предотвратить хищение и уберечь своего клиента от финансовых потерь?».

Помимо рисков, связанных с предъявлением банку претензий со стороны клиента, на первый план также выходят вопросы реализации репутационного риска – вряд ли предприятие, у которого украли деньги, останется клиентом банка, в котором такой инцидент произошел. Поэтому такая распространенная позиция банка как: «клиент сам виноват, он не соблюдал требования информационной безопасности и поэтому понес ущерб» рано или поздно приведет к тому, что такой банк понесет значительные репутационные риски и рано или поздно лишится своей клиентской базы - основного источника чистого комиссионного дохода.

По данным Центрального банка Российской Федерации1, банками было зафиксировано почти 5 тысяч попыток осуществления несанкционированных операций посредством систем дистанционного банковского обслуживания на общую сумму более 1,6 млрд. руб. Примечательно, что из них 825 операций (что составляет 17 процентов от общего количества попыток несанкционированного списания) на сумму около 900 млн. рублей удалось остановить. При этом 14 процентов таких попыток были пресечены банками, и только 3 процента – клиентами кредитных организаций. Эта статистика свидетельствует о том, что некоторые банки в достаточно высокой степени осознают свою ответственность перед клиентами в сфере переводов денежных средств.

Это является прямым следствием работы, проводимой регулирующими органами, прежде всего, Центральным банком Российской Федерации, в целях повышения безопасности денежных переводов. Так, еще в марте 2014 года вышли в свет рекомендации Банка России по организации применения средств защиты от вредоносного кода (письмо Банка России от 24.03.2014 №49-Т). Банк России обратил внимание кредитных организаций на то, что клиентские автоматизированные рабочие места систем дистанционного банковского обслуживания (ДБО) могут оказаться наиболее подверженными атакам вредоносного кода в силу ограниченных возможностей контроля состояния защиты со стороны банка. В этом документе можно выделить 6 основных несложных рекомендаций, прежде всего организационного характера, которые позволят существенно снизить риски хищений денежных средств со счетов клиентов банка, а именно:

  1. Разработать и утвердить требования по защите от вредоносного кода клиентских АРМ и порядок подтверждения выполнения клиентами-пользователями указанных требований, своевременно обновлять их;

  2. Включить требования по защите от вредоносного кода клиентских АРМ в договоры с клиентами, эксплуатационную документацию на АРМ и в памятки, передаваемые клиентам;

  3. При внесении изменений в эти требования информировать клиентов и актуализировать указанную документацию;

  4. Предусматривать в договорах описание процедур разрешения споров, возникающих в связи с компрометацией логинов и паролей, разграничивать ответственность клиента и кредитной организации;

  5. Обеспечить на постоянной основе информационную поддержку для клиентов-пользователей систем ДБО–в виде горячей линии, консультирования на web- сайте или с помощью электронной почты;

  6. Организовывать информирование клиентов через каналы связи, отличные от используемых для ДБО (SMS-информирование, телефонное подтверждение, электронная почта) о поступлении от этих клиентов распоряжений о переводе денежных средств и получение подтверждений клиентов о подлинности таких распоряжений.

Несмотря на то, что данное письмо Банка России носит рекомендательный характер, его неисполнение, и, в особенности, непринятие банком во внимание рекомендации относительно организации дополнительного подтверждения по альтернативным каналам связи, приводит к тому, что попытки злоумышленников не удается остановить.

В отличие от рекомендаций № 49-Т, Положение Банка России от 9 июня 2012 года №382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств», это нормативный акт Банка России, и кредитные организации обязаны обеспечивать его выполнение. С 16 марта 2015 года вступили в силу изменения в это Положение, усилившие требования к функционированию систем Интернет-банкинга для юридических лиц, такие, как:

-использование в системах Интернет-банкинга пароля многоразового действия и одноразового кода подтверждения в целях аутентификации клиента (в случае, если банк примет такое решение);

-определение на основании заявления клиента параметров операций, которые могут осуществляться клиентом в системах Интернет-банкинга (максимальная сумма перевода, перечень получателей, перечень устройств, время направления распоряжений в систему и т.д.);

-передача клиенту средств контроля целостности программного обеспечения.

Кроме того, законодательством предусмотрено еще одно требование к банкам, установленное как Положением № 382-П, так и Федеральным законом «О национальной платежной системе» — банк обязан информировать своего клиента о рисках, связанных с использованием электронного средства платежа. Выбор способа и объема такого информирования - прерогатива банка, но нужно учитывать, что если подходить к данной обязанности формально, существенно возрастает вероятность несанкционированного доступа к деньгам клиентов, и, соответственно, репутационные риски банка.

Перечисленные выше меры вполне способны закрыть риски предъявления претензий к банкам в случае, если хищение денежных средств все-таки произойдет, и в разы снизят вероятность самого хищения. Мы надеемся что банкиры, прочитав наш материал, еще раз обратят внимание на систему защиты, выстроенную в каждом банке в целях недопущения несанкционированных переводов денежных средств, и уберегут своих клиентов от неприятностей, связанных с действиями кибер-преступников.

1. Обзор о несанкционированных переводах денежных средств, опубликован на сайте www.cbr.ru в июне 2015 года.

Комментарии
Текст сообщения*
Защита от автоматических сообщений
мультимедиа
Атнинский театр открыл сезон премьерой спектакля Матч КХЛ: ХК Ак Барс - ХК Трактор Жиль Апап и La Primavera Интервью с начальником отдела Военного комиссариата РТ  Дмитрием Гурылевым Симпозиум Родные языки в поликультурной образовательной среде П/к посвященная совершенствованию акушерской службы РТ П/к, посвященная результатам экологического мониторинга реки Казанка П/к посвященная внесению изменений в Федеральный закон «О защите конкуренции» Интервью уполномоченного по правам человека в РТ Сарии Сабурской П/к  посвященная особенностям приемной кампании  Казанского ГМУ в 2016 году. Муфтий Татарстана запустил в печать отредактированную версию «Казанского Корана» П/к посвященная II Республиканскому фестивалю-конкурсу «Национальная торговая марка» П/к посвященная реализации дополнительных мероприятий в сфере занятости населения
Лучшие материалы

Пришло время качества

Профилактика подросткового суицида: памятка родителям

Рустем АБЯЗОВ: «Главное – заманить слушателя в зал»

Марат АХМЕТОВ: «В сельском хозяйстве должно везти с погодой»

«МЕГА Казань»: в новую десятилетку с новой концепцией

Реклама.