• НПА

БЕЗОПАСНОСТЬ ПЛАТЕЖНЫХ УСЛУГ: ЗА РАМКАМИ ПРИВЫЧНЫХ ПОДХОДОВ


Участники сессии:

Андрей ЕМЕЛИН, НСФР (модератор)

Матвей ГЕРИНГ, SWIFT

Владислав КОНТОРОВИЧ, Сбербанк

Эльман МЕХТИЕВ, СРО «МиР»/СРО «НАПКА»

Виктория НИКИТИНА, Банк России

 

КРАТКИЕ ВЫВОДЫ


Главный вывод из состоявшегося на сессии обсуждения заключается в том, что рост преступлений с использованием высоких технологий в платежной сфере и их развитие и усложнение, соответствующее темпам развития и усложнения самих платежных услуг, требуют изменения подхода к противодействию им и их предотвращению: на первый план выходят не какие-либо отдельные технологические, организационные, регуляторные инновации, но комплексность предпринимаемых мер и кооперация, взаимодействие всех возможных сторон, которое позволяет этой комплексности достичь. Такое взаимодействие принимает исключительную значимость на всех уровнях, начиная от отдельных элементов платежной инфраструктуры и заканчивая разработкой и принятием регуляторных решений.


Данный тезис нашел подтверждение в обсуждении темы, которой в ходе сессии было уделено наибольшее внимание, - преступлениям с использованием «социальной инженерии». Ключевые тезисы состоявшейся дискуссии:


  • Проблема социальной инженерии не может быть решена каким-либо одним способом, необходим комплекс мер, реализуемый и участниками рынка, и профильными регуляторами, и прочими госорганами и заинтересованными сторонами.

  • При этом зачастую требуется не только разработка новых механизмов противодействия и предотвращения преступлений, но донастройка имеющихся и переиспользование задействованных в смежных сегментах. Участники сессии предложили сразу несколько подобных решений.

  • Многие решения с точки зрения разработки и принятия решений находятся в плоскости ответственности сразу нескольких сторон – платежного регулятора, Минцифры, МВД, иных ведомств, что требует организации и ведения диалога по имеющимся проблемам.

  • От экспертного сообщества, отраслевых объединений и отдельных участников рынка требуется проактивная позиция по участию в проработке и предложении мер противодействия и предотвращения преступлений.



 



Андрей ЕМЕЛИН (модератор): Проблематика информационной безопасности не менее многогранна, чем любые другие вопросы на финансовом рынке. Она касается и защиты персональных данных во всех ипостасях, причем, как защиты позитивной, когда мы налаживаем наше взаимодействие с клиентами и защищаем каналы, так и с точки зрения противодействия незаконным вмешательствам и в работу наших технологических систем, и во взаимоотношения с клиентами.


К огромному сожалению, за последний год мы получили взрывной рост так называемой «социальной инженерии». Явление, наверное, гораздо в большей степени психологического свойства, чем технологического, что, кстати, интересно характеризует нашу эпоху, когда, казалось бы, каждому человеку доступен колоссальный объем информации, в том числе, способной повысить его финансовую грамотность, предотвратить возможность совершения ошибочных поступков, ведущих к потере денежных средств.


Но, несмотря на весь этот объем информации и совместные усилия и финансового рынка, и всех регуляторов, причастных к защите прав потребителей, мы пока в лучшем случае видим лишь некоторую стабилизацию ситуации с инженерией. То есть, прекращается стремительный рост, но проблема остается чрезвычайно насущной и ее решение в последние месяцы стало практически основной задачей, которую мы пытаемся решить, поскольку задача крайне нетривиальная и методы, которые требуются для противодействия этой угрозе, тоже должны быть нетривиальными.

Помимо этого, есть вопросы, связанные и с более широким использованием дистанционного удостоверения распоряжений. Это все виды электронной подписи. Все более широкое использование ПЭП ЕСИА, внедрение госключа и облачного УНЭП, дискуссия о приемлемости и неприемлемости тех или иных видов подписей для тех или иных видов распоряжений. Это и тема, связанная с противодействием телефонному мошенничеству, распадающаяся на противодействие подмене номеров и на создание единой информационной системы проверки сетей абонентов, которая все никак не дойдет до второго чтения, хотя мы очень надеемся, что нам остался последний рывок, основные компромиссы достигнуты и мы все-таки получим эффективную систему, связанную с взаимодействием финансовых организаций и операторов сотовой связи. Большое им спасибо за кооперацию. Без усилий, которые они прикладывают в течение последних лет, по зачистке баз абонентов и формированию системы подтверждения идентификационных сведений, конечно, не было бы тех результатов, что есть сейчас.


Нельзя обойти стороной и проблематику взаимодействия с правоохранительными органами. Мы понимаем, что лавинообразный рост технологичных преступлений чрезвычайно усложняет работу правоохранительных органов, требует от них гораздо более сложных механизмов и в сборе доказательств, и во взаимодействии с судами, когда эти доказательства должны быть представлены и корректно доказывать те или иные обстоятельства очень сложно организованных технологических преступлений. Здесь мы тоже видим возможность определенной оптимизации нашего взаимодействия, и сегодня мы об этом тоже поговорим.


Виктория НИКИТИНА: Хотелось бы кратко рассказать о тех работах, которые сегодня ведет Департамент информационной безопасности Центрального Банка по обозначенной проблематике.


Как мы с вами знаем, борьба с киберпреступностью уже давно является проблемой не отдельно взятого государства, а всего мирового сообщества. Количество мошенников растет, об этом говорят итоговые цифры, которые были опубликованы на сайте Банка России в отчете, например, по операциям без согласия. Выводы делать, конечно, сложно – ухудшается ли сейчас статистика или же все-таки благодаря мерам, которые проводят Центральный банк и кредитные организации, иные участники финансового рынка, идет снижение данных цифр.


Банк России работает по трем направлениям: профилактика операций без согласия, выявление операций без согласия и пресечение правонарушений, которые возникли или могут возникнуть в результате действий мошенников.

В Банке России есть план по противодействию социальной инженерии, по которому мы движемся и прорабатываем ряд мероприятий, которые, как мы очень надеемся, помогут решить проблему и снизить не только потенциальные риски мошенничества, но и, в целом, преступлений, связанных с использованием методов социальной инженерии.


Что касается профилактики, несколько слов о том, какие мероприятия проводят банки. Банки предупреждают граждан о потенциальных рисках, связанных с мошенничеством.


Важнейшая задача банков - прорабатывать с клиентами все возможности для исключения всех потенциальных рисков.

Через телефонные звонки и подозрительные сайты граждане оставляют свои аутентификационные данные, что становится инструментом для мошенников при совершении противоправных деяний. В этой связи данное направление работы очень важно. Хочется верить, что в результате граждане все-таки станут бдительными и будут очень внимательно относиться к своим данным, чтобы не допускать мошенников, в первую очередь, к своим аутентификационным данным.


Что касается выявления операций, хотелось бы сказать, что Центральный банк пытается сейчас подготовить ряд предложений концептуального характера по изменениям в 161 Федеральный закон.


Мы как регулятор считаем, что необходимо защитить права клиентов, потребителей финансовых услуг от опасных преступлений в финансовой сфере, связанных с социальной инженерией, и создать сложный механизм, чтобы предотвратить вывод денежных средств мошенниками.

Это основные цели, которые мы преследуем при подготовке предложений в профильный закон.


В данный момент обсуждается ряд предложений в 161-й Федеральный закон, которые были разосланы довольно большому спектру участников финансового рынка, мы охватили все ассоциации, крупные банки и иные субъекты национальной платежной системы. Мы получили ряд замечаний и предложений, которые по сейчас обрабатываются, и как только мы совместно продумаем концепцию – подчеркну, это наша общая с участниками финансового рынка задача – будем ее обсуждать.


Какие будут по сравнению с действующим механизмом процедуры антифрода или возврата, говорить преждевременно, на данный момент эти темы еще только обсуждаются, работа только начата.

Хотелось бы надеяться, что участники рынка активно подключатся к этой работе и представят не только критику внесенных предложений, что они никак не решат проблему по сравнению с действующей практикой, существующей в силу 161-го Федерального закона, но и конкретные предложения практиков, которые непосредственно работают с антифродом и механизмами возврата, по совершенствованию этих механизмов. Мы очень надеемся все-таки решить эту задачу и, насколько это возможно, нивелировать риски, связанные с мошенничеством, которые сейчас пугают наших граждан.


Еще раз подчеркну, что вся эта работа, в первую очередь, связана не только с совершенствованием законодательства в части противодействия хищению денежных средств, она еще решает ключевую задачу, связанную с защитой прав потребителей, соблюдением законных интересов поднадзорных организаций – банков, которые участвуют в этом процессе. Необходимо, чтобы правовой механизм не нарушал права клиентов и организаций, участвующих в этом процессе, при этом решал проблему. Задача очень сложная, и мы надеемся здесь на наше совместное сотрудничество.


Коротко хотела бы сказать о блоке работы над пресечением правонарушений.


Банк России работает сейчас над механизмом оперативного обмена данными банков с правоохранительными органами. Это делается, чтобы у органов предварительного следствия была возможность оперативно раскрывать преступления «по горячим следам».

Но обязательное условие тут — необходимость сохранения правового режима банковской тайны. В части режима банковской тайны мы менять ничего не планируем и предлагаем использовать действующий механизм.


Единственное, что мы предлагаем, – создать площадку, чтобы банки на платформе Банка России могли обмениваться данными с правоохранительными органами. Полагаем, что это ускорит процесс расследования преступлений, связанных с 158-й, 159-й, 272-й статьями УК РФ. Сейчас эта работа ведется, законопроект, разработанный при активном участии Министерства финансов, находится на межведомственном согласовании, идет обсуждение с Министерством внутренних дел о возможной его редакции. Полагаем, что принятие такого закона в будущем позволит все-таки снизить рост преступлений в кредитно-финансовой сфере.


Андрей ЕМЕЛИН (модератор): Мне кажется, что есть не триада, а скорее квадрига проблем: профилактика, выявление, пресечение и расследование. И из этих четырех этапов, наверное, менее всего проблем на стадии выявления, потому что большинство операций, даже операций с использованием социнженерии, в принципе, детектируемы – по определенным признакам можно выделить, что лицо намерено совершить нестандартную операцию, не присущую ему по его клиентскому профилю. Плюс к тому у нас есть очень богатый опыт в сфере противодействия легализации, где выявляются подозрительные операции, то есть, операции, которые приводят к возникновению подозрения в совершении легализации преступных доходов и финансировании терроризма. Все эти системы детектирования существуют.


Получается, что на фронте борьбы именно с социнженерией не очень готовы к возникшей ситуации оказались фактически первый, третий и четвертый элементы.

Что касается профилактики, как ранее сказала Виктория Леонидовна, конечно же, гражданам просто необходимо быть более социально ответственными и соблюдать правила технологической гигиены: не передавать свои данные лицам, которых не знают, что бы они ни рассказывали – что они действуют по поручению государственных органов, или намерены подарить сногсшибательный подарок, или пытаются решить проблему ваших родственников. В СМИ проходит такое количество информации, что уже грех не научиться и давно пора понять, что защита наших персональных данных – прежде всего наша собственная проблема, потому что в колоссальном количестве случаев именно мы сами являемся источниками собственных проблем. Мы сами передаем данные, которые впоследствии используются прекрасно организованной системой преступности, чтобы пытаться нас каким-то образом лишить наших средств.


И если это - в большей степени забота средств массовой информации и, возможно, блока, связанного с защитой прав потребителей, то третий аспект – по пресечению – в наибольшей степени юридический. Мы довольно долго пытались провести поправки в ФЗ 161, которые закрепляли бы определенную упрощенную процедуру судебного рассмотрения случаев незаконного списания средств. Эта предложения были отклонены ввиду разных соображений и сейчас мы вынуждены изобретать какое-то иное решение, которое позволило бы в случае выявления факта совершения социнженерной операции неким образом реагировать так, чтобы либо не дать деньги увести, либо, позволив их увести, сразу же поймать правонарушителя.


И здесь я абсолютно поддерживаю Викторию Леонидовну: мы тоже не сторонники абстрактной критики и, как вы знаете, сотрудничаем по огромному количеству вопросов. Мы всегда настроены как раз на то, чтобы найти конструктивное решение, которое позволит рынку эффективнее реагировать на те или иные угрозы.


Хотелось бы подчеркнуть то, что я вначале обозначил, вероятно, недостаточно явным образом. По большому счету, нынешний статус ситуации с мошенничеством, где огромную долю занимает социальная инженерия, является результатом применения существующей конфигурации реагирования на стандартные способы незаконного списания.

Как Виктория Леонидовна напомнила, когда принимался 167-й закон, где вводилась процедура реагирования на такие инциденты, она-то была выстроена. И до тех пор, пока не появилась социальная инженерия, особых проблем не было, мы всего лишь искали механизм перенесения этой системы на физических лиц, вот была наша задача номер один еще в позапрошлом, прошлом году. Но после распространения «социнженерии» эти механизмы не стали хуже, они просто никак не решают именно данную проблему.


Поэтому мы и себя стараемся четко сориентировать, что нужно искать не решение в целом, опять возвращаясь на несколько этапов назад и пересматривая конфигурацию модели, заложенной в 167-й закон, а нужно искать решение конкретной прикладной задачи, связанной с социнженерией. И совершенно не исключено, что для этой задачи в обозначенной выше четырехчастной структуре решения ключевой может оказаться другая часть.

Здесь я хотел бы попросить к нам подключиться Владислава Конторовича, с которым мы в последнее время обсуждали вопросы, связанные с возможностью «новой старой» модели реагирования на ситуацию с социнженерией, и высказать свои соображения на эту тему.


Владислав КОНТОРОВИЧ: За последнее время я выступил на нескольких мероприятиях, посвященных проблеме дистанционного мошенничества. Все выступления я начинал со слайда, что эта работа посвящается памяти Андрея Андреевича Козлова, который отвечал за противодействие использованию банков в криминальных целях и погиб 15 лет назад вместе с водителем при всем известных обстоятельствах от рук наемных убийц.







В принципе, вся статистика по проблеме мошенничества общеизвестна. В 2019 году произошел практически экспоненциальный рост кейсов. При этом резко возрос объем мошенничества с использованием телефона. Причин всплеска касаться не будем, возможно, среди участников мероприятия есть люди, которые хорошо понимают, что именно произошло в четвертом квартале 2018 года и спровоцировало его.


Уровень мошенничества увеличился тогда практически в 10 раз, на этом совершенно неприемлемом уровне он в настоящее время, как вы знаете, примерно и находится.





Масштаб бедствия всем известен – официальная статистика представлена на сайте Центрального банка. В иных источниках найти настолько же корректную статистику, как информация ЦБ, которая собирается по отчетности банков, не удалось. По данным МВД за 2020 год уровень мошенничества – около 60 миллиардов рублей. Но я так и не смог понять, насколько сопоставимы эти данные с данными ЦБ. Подозреваю, что там другой способ учета. В любом случае, данные доступны на портале генпрокуратуры и для научного исследования они могут быть очень интересны.





Очень важно, какова позиция руководства страны на создавшуюся ситуацию. На прямой линии, которая прошла 26 июня 2021 года, Президент выразился очень четко. На слайде представлены некоторые цитаты из части выступления, которая была посвящена проблеме дистанционного мошенничества с использованием социальной инженерии (далее – ДМСИ).


Здесь я бы отметил две вещи. Первая — фраза «это просто подонки». С моей точки зрения, этого было достаточно. Дальше с вероятностью 100% можно ожидать, что в следующем году эта проблема если не будет сведена до нуля, то, во всяком случае, ополовинена, это точно. Я в этом абсолютно уверен.


Я хотел бы обратить внимание на выделенный красным текст, про коммерческие банки. Президент Российской Федерации отметил, что коммерческие банки – и отправители, и получатели – должны самым внимательным образом контролировать процессы, чтобы сузить до нуля возможности мошенников. Лично я интерпретирую эту фразу очень просто.


Руководство страны ожидает от банковской системы нахождения таких механизмов, которые, цитирую, «сузили бы до нуля возможности мошенников». Обратите внимание, именно коммерческие банки, а ни кто бы то ни был еще.





Коротко остановлюсь на одном поразившем меня факте, с которым я столкнулся впервые в этом году.


Оказалось, что среди сотрудников кредитных организаций, которые занимаются 115-ФЗ и 161-ФЗ, существует практически «китайская стена».

Это для меня было полной неожиданностью. Когда мы с коллегами в Центральном банке обсуждали эту проблему в начале 2021 года, те предложения, которые были сформированы в рамках нашего открытого общения, во всяком случае, с моей стороны предполагали, что в интересах противодействия мошенничеству, в том числе, и в отношении 161-ФЗ, используются как минимум все действующие механизмы из 115-ФЗ, которые можно использовать (очевидно, есть и такие, которые невозможно использовать). Летом выяснилось, что это совершенно не так, и с тех пор я существенно поменял свое отношение и представление о том, что и как можно и нужно сделать для решения этой общей проблемы.





«Жесткие» и «мягкие» механизмы противодействия


На практике есть «жесткие» механизмы, обеспечивающие неотвратимость наказания и возврат украденных средств, есть «мягкие» механизмы, которые снижают экономическую мотивацию преступления, делают его невыгодным и, тем самым, его предотвращают. Такую классификацию мне подсказал один генерал МВД, с которым мы довольно подробно обсуждали вопрос. Я специально обращаю внимание на этот момент, потому что он является важным для дальнейших рассуждений.


Общие требования к эффективным механизмам противодействия


При этом для получения значимых результатов в разумное время используемые механизмы, очевидно, должны быть юридически корректны, эффективны по затратам, скорости отдачи и, очень важно, отсутствию существенных конфликтов интересов основных участников системы противодействия. Это вообще принципиальная вещь. В противном случае, какие бы законы, рекомендации или что-то еще ни были бы формально внедрены, участники найдут возможность так или иначе их игнорировать.


С учетом акцента, сделанного Президентом в своем выступлении (слайд 5), рассмотрим основные проблемы и задачи на стороне банков.


Вся нынешняя система противодействия построена согласно 161-ФЗ на выявлении и приостановлении банком подозрительной операции и запросе у клиента подтверждения на ее проведение. То есть предотвращении возможности перевода денег со счета клиента на дропперские счета. По имеющейся информации в настоящее время порядка 90% всех реализованных случаев кражи денег с использованием дистанционного мошенничества осуществляется путем «самопереводов». Человек, доведенный мошенниками, активно использующими методы НЛП, до совершенно невменяемого состояния, сам переводит деньги на указанный ему дропперский счет. При этом во многих случаях клиент, находясь в состоянии невменяемости, подтверждает банку эту операцию и даже настаивает на ее проведении, если банк не хочет ее проводить. Таких случаев очень много.


Таким образом, банки научились с использованием своих Антифрод-систем в рамках 161-ФЗ выявлять и приостанавливать подозрительные операции (т.н. операции без согласия клиента), в том числе выявлять дропперские счета.


Однако в случае, если клиент под воздействием мошенников подтвердит явно подозрительную операцию, то у банков нет эффективных механизмов отмены такой операции, а также эффективных механизмов блокировки украденных средств, попавших (просочившихся) в систему дропперских счетов.

Поэтому мошенники могут легко, просто и практически безрисково выводить украденные средства, используя системы дропперских счетов в различных банках. В результате, как совершенно правильно отметил выше Андрей Емелин, нынешняя система противодействия ДМСИ противостоять этому не может.


Поэтому есть две проблемных задачи:


Во-первых, в рамках существующего законодательного поля снизить вероятность осуществления клиентом, находящимся под воздействием социальных инженеров, самоперевода («операции без согласия»).


Во-вторых, повысить для мошенников сложность и риски использования дропперских счетов.


Для решения этих двух задач пока не просматриваются «жесткие» механизмы, которые были бы эффективны в рамках проблематики ДМСИ. Поэтому рассмотрим следующие «мягкие» механизмы.





Сервисы «вторая рука»


Многие из присутствующих знают рекомендацию Центрального банка №11-МР по созданию сервисов «вторая рука». Но, думаю, не все знают, что эта рекомендация была написана на базе конкретных сервисов, реализованных в Сбербанке. Один из этих сервисов (оффлайн) был реализован два года назад, второй (онлайн-сервис) – был реализован в этом году и проходит апробацию в Среднерусском банке (это крупнейший филиал Сбера) и, видимо, в следующем году будет запущен на всю страну. Все детали и нюансы, в том числе и юридические, которые очень интересны и нетривиальны, сейчас нет смысла обсуждать. Те, кому это интересно, могут взять рекомендации и детально их изучить. Это описание реальных сервисов, которые уже работают.


Я имел отношение к этим сервисам и знаю, как они разрабатывались и внедрялись. Поэтому хочу обратить внимание на один важный момент. Мы с Эльманом Мехтиевым эту тему специально обсудили и я с ним согласен – они хороши в случае, когда сознательно используются клиентами, для чего у клиентов должен быть достаточно высокий уровень понимания рисков. Без такого понимания заставить использовать эти сервисы невозможно. Поэтому если, например, внести в законодательство требование, чтобы все банки в обязательном порядке предоставляли такие сервисы своим клиентам, то можно ожидать, что ими воспользуется порядка одного процента клиентов. Это оценка Эльмана, но я с ней интуитивно согласен. Однако это, конечно, не исключает целесообразность наличия в законодательстве такого требования. «Мягкий» механизм противодействия использованию дропперских счетов, построенный на компиляции рекомендации Банка России от 27.04.2007 № 60-Т и классической схемы взаимодействия банков с полицией.





Важный вопрос — это использование опыта применения механизмов 115-ФЗ и, в частности, я хотел обратить внимание на рекомендацию Банка России от 27.04.2007 №60-Т.

Она была выпущена 15 лет назад и работает с тех пор практически без изменений. Более того, ссылки на необходимость следования положениям этой рекомендации есть практически во всех рекомендациях Банка России по проблематике 115-ФЗ.





В чем смысл 60-Т? Сомнительные операции как правило проводятся с использованием средств ДБО. Если нет законодательных ограничений, банк обязан открыть счет. Но банк не обязан предоставлять ДБО, электронные средства платежа. Это дополнительный сервис. Поэтому рекомендация заключается в том, чтобы, во-первых, банки в своих договорах предусматривали свое право на отключение ДБО. И, во-вторых, если банки видят, что клиенты проводят сомнительные операции, то они должны отключать ДБО, электронные средства платежа и переводить таких клиентов на обслуживание через офис. При этом, обращаю внимание, речь не идет о том, чтобы в нарушение законодательства блокировать операции таких клиентов.


Это позволяет перевести подозрительную активность из онлайн в оффлайн, что многократно снижает ее привлекательность.


Необходимо отметить, что в рамках 115-ФЗ, если такая активность продолжается, то клиентов фактически вынуждают подтверждать свои подозрительные операции многочисленными документами, и этот процесс подтверждения фактически может быть эквивалентен полной блокировке движения средств по счету. Сам 115-ФЗ при этом, как вы знаете, предполагает в определенных случаях и непосредственную блокировку средств на несколько дней, и много чего еще. Вплоть до закрытия счета и включения «плохого» клиента в «черный» список.


Все это не очень эффективно работает в интересах проблематики 161-ФЗ. Вот почему.


Особенность дистанционного мошенничества заключается в том, что в среднем размер украденных средств многократно меньше, чем те суммы, которые контролируются в рамках 115-го закона.

Например, в прошлом году 2020 году по статистике Центрального банка от ДМСИ пострадал около 1 млн. граждан, средняя сумма потерь составила примерно 10 тыс. рублей. В этом году, видимо, эта сумма составит от 15 до 20 тыс. рублей (см слайд 4). Но все равно она многократно меньше, чем те суммы, которые контролируются в рамках 115-го закона. Кроме того, счета, используемые в дропперских целях, как правило открываются на ФЛ. При этом пулы дропперских счетов формируются с использованием счетов, открытых по украденным с помощью фишинга реквизитам, или покупки аутентификационных данных для дистанционного управления такими счетами у социально безответственных лиц. Поэтому помещение этих лиц в «черные» списки не поможет решению проблемы, но может создать социальную напряженность.


Обычно украденные деньги поступают от обманутого клиента на дропперский счет первого уровня, на котором находятся считанные минуты. После этого украденные средства либо немедленно обналичиваются, либо переводятся на дропперские счета более высокого уровня. Таких уровней может насчитываться до нескольких десятков. На последних уровнях происходит концентрация потоков из разных источников и их финальный вывод. Причем эти счета обычно открываются на тех дропперов, которые этими счетами и управляют. Поэтому в случае получения требования банка в рамках 115-ФЗ о закрытии счета (прекращении договора), дропперы на законном основании приходят в банк, закрывают счет и на основании Инструкции ЦБ от 30.05.2014 № 153-И забирают наличными все деньги и спокойно уходят. Вызов полиции в таких случаях банками обычно не практикуется, в том числе в связи с появлением персональных рисков у сотрудников банков. При этом банки в случае «самопереводов» защищены от возможных претензий со стороны обманутых клиентов судебной практикой по ст.9.15 161-ФЗ «О национальной платежной системе».


В результате использование дропперских счетов является самым дешевым и безрисковым способом вывода украденных средств. Таковы на сегодня сложившиеся «неписанные» правила игры.


Понятно, что механизм противодействия ДМСИ, построенный на рекомендации 60-Т и дополненный передачей явившихся за деньгами дропперов полиции, выглядит привлекательным. Однако в сложившихся условиях можно ожидать, что даже если какой-нибудь один продвинутый социально ответственный банк вдруг изменит концепцию и начнет активно блокировать ДБО (ЭСП) к дропперским счетам, а в случае попыток закрытия этих счетов и снятия с них средств будет сдавать полиции пришедших за деньгами в офис дропперов, то в целом ситуация не изменится. Потому что организаторы ДМСИ просто начнут активнее использовать другие, менее социально ответственные банки. При том, что резко возрастут персональные риски руководителей этого социально-ответственного банка.


Следовательно, механизм противодействия ДМСИ, построенный на рекомендации 60-Т и дополненный передачей явившихся за деньгами дропперов полиции, может быть эффективным только в случае, если его будут выполнять все банки, а не только отдельные социально-ответственные банки.

А для этого необходимо выпустить соответствующий документ, например, в форме Письма ЦБ, завизированного МВД по аналогии с письмом Банка России 60-Т или совместного письма ЦБ-МВД за подписью первых лиц (см слайд 11). При этом представляется что у ЦБ и МВД достаточно возможностей, чтобы обеспечить выполнение этих рекомендаций всеми банками и подразделениями полиции по аналогии с тем, что все рекомендации ЦБ по 115-ФЗ фактически являются обязательными к выполнению.





Таким образом, суть предложения. Отключение «дроперских» счетов от ДБО, ЭСП в полном соответствии с рекомендацией № 60-Т, потому что «дроперские» счета в рамках системы антифрод все, естественно, легко детектируются. Далее, если все-таки какой-то дроппер придет в банк за деньгами, то необходимо вызвать полицию. Причем, не просто вызвать, но заявить, что приходит человек, в отношении которого есть основание полагать, что он проводит мошенническую операцию. Это полностью соответствует ст.144 УПК РФ. В среднем, через десять минут, а в Москве – быстрее, приедет наряд милиции. Распечатать из автоматизированной банковской системы заранее подготовленное заявление в полицию, провести операцию, которую хочет этот человек провести, снять деньги, отдать ему эти деньги и дальше вместе с полицейским они пойдут разбираться в отделении полиции. Второй экземпляр заявления, который будет завизирован полицейским, сканируется и пересылается в ФинЦЕРТ ЦБ. ФинЦЕРТ пересылает это в Центральный аппарат МВД и, таким образом, МВД может контролировать, что делают люди на местах. Если какой-нибудь сотрудник полиции захочет за половину денег отпустить жулика, значит, он будет иметь общение с соответствующим подразделением Службы внутренней безопасности Министерства внутренних дел.


Представляется, что в таких условиях мало кто из людей, которые инвестируют деньги в создание и развитие мошеннических схем с использованием дистанционного мошенничества и социальной инженерии, будет использовать «дропперские» банковские счета для вывода средств: слишком большой риск, что деньги туда попадут, но легко и просто забрать их будет невозможно. Никто сам не пойдет в полицию в качестве подозреваемого, причем вместе с вещественными доказательствами. Поэтому никакой дополнительной нагрузки ни на банки, ни на правоохранительную систему не будет.


То есть механизм противодействия оказывается беззатратным и начинает работать сразу после опубликования указанного письма.

В результате дистанционное мошенничество просто исчезнет. Останется недистанционное мошенничество. Людей будут, например, убеждать передать деньги им лично в руки, выбрасывать с балкона. Как вы знаете, было несколько таких кейсов. Но это уже не дистанционное мошенничество, и совершенно другие масштабы и, естественно, риски у мошенников – тоже. Людей, которые готовы выбросить деньги со своего балкона, чтобы «помочь полиции найти жуликов», несравненно меньше чем тех, которые могут повестись на то, чтобы переслать деньги на «защищенный счет в Центральном Банке».


Мы подробно общаемся с коллегами из Центрального Банка по этому механизму. Есть уверенность, что он будет работать.


При этом точно хуже не будет – и это один из самых главных моментов – потому что все банки с этим инструментом работают уже 15 лет, правда, только по 115-ФЗ.

Теперь предлагается перенести этот механизм на проблематику 161-ФЗ с привлечением полиции в рамках стандартных бизнес процессов и без изменения действующего законодательства.


Андрей ЕМЕЛИН (модератор): Мы с Владиславом Карловичем подготовились к сегодняшнему Форуму и то, что сейчас было им презентовано, обличено в формат проекта письма в адрес Банка России. Разумеется, мы хотели бы его обсудить, поскольку идея подкупает доступностью решения и очень хочется предотвратить возникновение каких-либо «подводных камней», хотя, честно говоря, мне по некоторому изучению этого варианта таковых не видится. Мы хотели бы предложить с участием всех объединений, которые и сегодня присутствуют на Форуме, и, в принципе, участвуют в наших мероприятиях, провести по возможности, оперативное обсуждение и сформулировать это предложение как коллективное.


Я полностью разделяю мнение Владислава Карловича, что одной из самых привлекательных характеристик предложенной схемы является то, что она практически беззатратна. То есть, это просто экстраполяция имеющегося опыта применения мер противодействия на соседнюю область. Нужно будет поделиться опытом исключительно внутри банка. Я уже не говорю о том, что за 15 лет все наверняка давно технологизированно и можно подключить к соответствующим каналам передачи информации лиц, которые занимаются противодействием фроду в рамках 161-ФЗ. В остальном то, что касается взаимодействия с полицией, требует действительно реализации анонсированного Викторией Леонидовной механизма взаимодействия, но тут я тоже разделяю точку зрения, что уж в этой части интерес абсолютно общий, никаких противоречий нет и его реализация, зависящая только от госорганов, мне кажется, должна быть сделана достаточно быстро.


В любом случае, как абсолютно точно указывает Владислав Карлович, это позволит предотвратить возникновение ситуаций, вызывающих на последующих этапах самые большие сложности, -приостановление операций с не очень понятным правовым статусом, приостановление денег у банка-получателя с еще более непонятным статусом, попытка кому-то что-то вернуть со счета получателя, который зачастую может быть лишь промежуточным звеном и аналогом добросовестного приобретателя средств. То есть, все то, что у нас вызывало огромное количество споров, попыток трансформировать чуть ли не Гражданский кодекс просто исчезает. Отсекая источник проблемы, мы, по большому счету, действительно сохраняем только ту часть, которая связана с непосредственным личным участием злоумышленника в том или ином преступным действии, а уж по этому направлению, тут я с Владиславом Карловичем тоже согласен, у нас есть профессионалы в Министерстве внутренних дел.


Матвей ГЕРИНГ: Первое, на чем я хотел бы остановиться, это какие мы видим изменения в мошенничестве, которые происходят в межбанковской сфере, во-первых, и, в том числе, как мы себе представляем должна меняться функция главы безопасности банка. Мы общаемся с многими из них с точки зрения знаний, технологий и так далее. А, во-вторых, какие у SWIFT требования к банкам и чем SWIFT помогает банкам выполнять эти требования, дабы увеличить уровень собственной защиты банка, двухсторонних каналов банк-контрагент в SWIFT и всего мирового сообщества.





Какие мы видим изменения в киберугрозах, затрагивающих банки. Во-первых, это то, что со стороны мошенников активно внедряются новые технологии – «искусственный интеллект», «machine learning» и другие технологии.

Что касается и вендоров, то будь то легитимные вендоры и их решения, которые попадают под угрозу, будь то вендоры решений мошеннических, везде наблюдается определенная концентрация.


Также с каждым годом все больше и больше мы замечаем использование клауда как потенциальный источник рисков. Финансовым организациям с точки зрения безопасности, я бы сказал, более комфортно и более привычно охранять свой собственный периметр, нежели чем периметр, который частично не у них.


Как и раньше, мошенники ищут самое слабое звено в цепочке — человеческий фактор, который может быть и внутри, и снаружи.

И поэтому гонка за тем, чтобы то самое слабое звено закрыть, и все то, что во всех финансовых и технологических организациях делается – все эти «занудные тренинги», которые надо проходить, – это имеет свою пользу. Есть статистика, которая доказывает, что тренинги, которые кажутся простыми, потом вспоминаются и поведение меняется, когда получаешь со странных адресов странные письма, в которых вложены странные ссылки. Тренинги надо продолжать делать и проходить, а руководству – наказывать тех, кто не проходит тренинги. Это важно и, с точки зрения знаний, я к этому еще вернусь, потому что есть определенные недостатки в некоторых организациях.


Регулирование также не стоит на месте, как на национальном уровне, так и в конкретных сферах -ценных бумаг или торгового финансирования – и т.д. И поэтому кроме собственных обязательств банка по защите своих клиентов и своего бизнеса, есть определенные последствия, но я здесь подчеркну, с точки зрения как раз финансовых рынков, Владислав Карлович говорил насчет «дроперских» счетов, что регулятор, ответственный за ценные бумаги, уже присматривается все больше и больше в разных странах на «ценнобумажную» часть DVP, а не только на платежную составляющую расчета, после того, как сделка сделана на бирже. И в части атак – их число с каждым годом, с каждым месяцем увеличивается. Некоторые примеры представлены в левой части слайда.


Что это значит для главы безопасности и для функции безопасности в компании? Во-первых, важность менеджмента киберугроз не в момент, когда банк попал под атаку, а до этого. Это то, что должно быть постоянно на повестке совета директоров, исполнительного комитета.


Также мы видим, что независимость разных бизнес-подразделений с точки зрения их IT-разработок и решений третьих сторон, которые они внедряют, увеличивается и процессы типа Agile и т.п. означают, что безопасность не должна быть отдельным блоком в банке. Она должна работать внутри каждой из групп, внутри блоков, у каждого из которых есть независимая разработка IT-решений и приложений.

Функция безопасности должна быть не только защитой и противодействием. Она становится функцией восстановления, континуити-менеджментом. Нельзя просто сказать: «Окей, мы все защитили», если при этом данные и средства ушли, информация утекла. Вопрос о восстановлении все больше и больше уходит от исключительно функции операционного блока и становится частью функции CISO — главы кибербезопасности. С точки зрения знаний и опыта в блоке безопасности требуется значительное увеличение знаний о технологиях, и это ответственность главы блока безопасности.


И последний момент, на котором я хотел бы остановиться, что мы видим все больше как в бизнесе вообще, так и в киберзащите использование решений третьих сторон, находящихся в облаке и защищающих от нападения на то же самое облако.


Также мы видим усилия по внедрению лучших практик и самых успешных решений, сотрудничество между банками на форумах, например, сегодняшнем, чтобы формально и неформально оценить и рассказать, что и как работает. Это то, что очень ценно и где мы можем участвовать. Мы не показываем пальцем, какой вендор лучше или хуже, но мы рассказываем на коллективном агрегированном уровне, что мы видим в ландшафте киберугроз.





Несколько лет назад появилась Программа кибербезопасности CSP SWIFT. Все банки-участники SWIFT обязаны к ней подключиться и подчиняться ее правилам. Банк должен выполнять требования по безопасности, которые становятся каждый год все жестче. Например, весь интерфейс и подключение к SWIFT должны быть защищены от внешнего интернета – должно быть буквально несколько сантиметров воздуха и т.д.. В соответствии с требованиями данные о выполнении необходимо выкладывать на наш портал KYC по безопасности, причем, начиная с этого года, банки должны предоставить оценку третьей независимой стороны. Эта сторона может быть внутри банка, но тогда она должна быть независима от блока, в котором находится соответствующая сеть департаментов, или внешняя компания. Эта сторона должна предоставить оценку, что требования действительно выполнены так, как соответствующий департамент описал в отчете.


Также этот инструментарий позволяет банкам получать информацию о контрагентах и давать контрагентам информацию о себе. Мы видим, что использование этого инструмента растет с каждым годом и очень надеемся, что рост будет продолжаться, в том числе, среди российских банков и их контрагентов внутри России и за рубежом.


Кроме того, через SWIFT ISAC мы публикуем информацию о киберугрозах и нападениях, технические детали попыток взломать банки. Подписывайтесь на эту информацию. Она предоставляется как в формате, который могут читать люди, так и в машиночитаемом формате для центров безопасности, которые курируют весь бизнес банков с точки зрения безопасности и эвристически выявляют возможные угрозы.


Также мы просим пользователей и в России, и во всем мире, в случае, если ваш банк столкнулся с киберугрозой, информируйте не только локального регулятора, как необходимо делать по закону, но и SWIFT.

Чем быстрее вы нам расскажете, чем быстрее мы можем помочь, тем быстрее вы сможете помочь мировому сообществу, проинформировав о новой угрозе. Такую информацию мы публикуем, конечно, в обезличенном виде, соответствующие процедуры есть у ваших свифтовиков и безопасников. Мы рекомендуем проверять раз в год в рамках тестирования ваших процедур по безопасности, что вы и эту процедуру выполняете на бумажном носителе, в случае, если у вас нет доступа к компьютерам.





Также хотел рассказать, что с конца 2022 года часть требований в CSP становятся обязательной, а именно проверка исходящих платежных поручений и платежей на подозрительные и потенциально мошеннические характеристики.


Идея следующая. Такая проверка сейчас осуществляется в подавляющем большинстве банков тем или иным образом: в одних банках – если выше какой-то суммы, в других – если это международные платежи, то есть, по разным показателям. Здесь есть два «но». Во-первых, это делается не для всех, лишь для части операций. А, как мы видим, сейчас идет не только дедолларизация мошеннических операций, но и снижение суммы в долларов или евро за счет повторных попыток. Во-вторых, если взломана ваша IT-инфраструктура, то потенциально взломана и система, которая должна проверять платежи и другие транзакции на предмет подозрительных характеристик.


В виду этого мировое сообщество обратилось к SWIFT, что, раз SWIFT видит все платежи установивших CSP, почему бы он сам не останавливал платеж, если банк, например, внезапно отправляет средства в Японию через Сенегал. При всем уважении к Японии и Сенегалу, это нестандартный подход, нестандартная корреспондентская цепочка, чтобы посылать иены в Японию. Раньше SWIFT отвечал, что не имеет такого права, так как он кооператив и работает только в рамках того, что позволено участниками. Но теперь все разрешения через совет директоров и центральные банки, которые наблюдают за SWIFT, были даны, такой инструментарий разработан и широко используется. Можно сказать, что это последняя проверка платежа, на независимом уровне, а именно в самом SWIFT, и в случае, если платеж подозрительный, посылается не через SWIFT извещение, что он блокирован, и только определенные высокопоставленные лица (в зависимости от суммы) могут вручную пропустить этот платеж. Это решение называется Payment Controls и мы, работая с коллегами из Ассоциации пользователей SWIFT в России договорились о более легком с точки зрения ценового и административного характера внедрении в России.


Конечно, в банках есть системы проверки, но это – последнее независимое звено, где вы можете настроить, в какой день, к какому часу вы не ожидаете платежей, по какому каналу, на какой счет и так далее – все эти характеристики можно определить в системе и останавливать платежи. Если платежи легитимные, то без проблем – подтверждение и потом банк получает копию извещения, что платеж был пропущен кликом такого-то руководителя банка.


Мы готовы по этому поводу и по всем другим поводам работать вместе. Но еще раз обращаюсь с просьбой делать самоаттестацию до конца года. Она обязательно должна быть проверена независимой третьей стороной, будь то аудит внутри банка, будь то одна из организаций, которые проводят такую оценку. Есть список, в нем 70 или 80 организаций по всему миру, в том числе, порядка пяти или шести в России. Есть дочерние структуры иностранных организаций, есть организации российские. Мы готовы помочь своими силами, дать информацию об организациях, которые готовы помочь как третья сторона.


Эльман МЕХТИЕВ: Я бы хотел сказать о том, что, может, не впрямую относится к информационной безопасности, но с чем я столкнулся в процессе недавней работы над стратегией развития микрофинансового рынка. Документ, кстати, публичный, направлен в ЦБ и его можно посмотреть, но обсуждать мы будем не рабочую, а финальную версию, которая будет подготовлена с Центральным банком.


В процессе работы над стратегией мы начали разбирать мифы, которые есть вокруг микрофинансирования и пришли к интересным выводам, которые касаются не социальной инженерии, а технологий. Недавно, если вы помните, было достаточно много публикаций, что МФО взламывают сайт Госуслуги и используют учетные записи на нем, чтобы выдавать мошенническим способом займы, а потом требовать возврат через коллекторов. Когда мы начали проверять и этот миф, и другие, обнаружили совершенно другую историю. Поэтому то, что я сейчас попытаюсь рассказать, нельзя назвать «информационной безопасностью», но для нас это – борьба с мошенничеством и, прежде всего, с социальной инженерией.


Мы столкнулись с одной простой вещью. Все прекрасно знают, что есть упрощенная идентификация физического лица в соответствии со 115-м федеральным законом. Прекрасный инструмент, очень хорошо работающий, баланс того, что нужно бизнесу и потребителям, и того, что нужно Росфинмониторингу, чтобы не было отмывания доходов, финансирования терроризма.





Упрощенная идентификация физического лица — это установление в его отношении персональных данных и проверка его документов. Проверка может осуществляться путем предъявления оригиналов, то есть в оффлайне( понятно, что это самый ненужный вариант), с использованием информации из различных государственных информационных систем, и с использованием ЕСИА, если у клиента есть так называемая «подтвержденная учетная запись», то есть, он не просто в онлайне ее создал, но пришел в МФЦ и МФЦ подтвердил, что это он и информация – тоже его.





В октябре 2016 года появился также Единый сервис упрощенной идентификации – автоматизированный сервис, который предоставляет возможность упрощенной идентификации тех, кто зарегистрирован в ЕСИА, называется «УпрИд через ЕСИА». Как это работает. На сайте МФО или любой другой организации, например БКИ в соответствии с законом о кредитных историях вешается виджет, человек через него заходит по ссылке на сайт Госуслуги, вводит логин, пароль, подтверждает себя, фактически дает разрешение сайту Госуслуги передать информацию, хранящуюся в государственных системах. В этом случае, чтобы подтвердить операцию, человеку может прийти SMS, если это какая-то специальная операция.


Но есть еще одна вещь, так называемая «УпрИд через СМЭВ», где нужно, чтобы человек предъявил не просто паспорт, но и ИНН и СНИЛС. В этом случае, опять же, происходит запрос на проверку данных, но разрешение у человека не запрашивается и SMS-код ему не направляется.






Эта схема чаще всего используема оффлайн. Но на слайде видно, как это делается и онлайн. Это стандартная схема, ничего нового. Единственное, что я попросил бы обратить внимание, что-идентификация тут может быть как однофакторной, то есть, логин и пароль, так и двухфакторной — логин/пароль плюс дополнительные SMS или почта. Это достаточно важный момент, в том числе и в связи с теми кейсами и хайпом, который был по поводу МФО.


Вторая схема — это тот же самый так называемый офлайн-запрос, когда человек дал заранее согласие и оно хранится в цифровом профиле гражданина, но это опять та же здесь присутствует та же самая однофакторная или двухфакторная идентификация.


Теперь следующие рассуждения. Недавно я споткнулся о данные, вице-премьер Чернышенко озвучил в своем выступлении, что уже 90 миллионов учетных записей физических лиц на Госуслугах не просто заведены, но подтверждены. То есть, люди пришли в МФЦ. Мы пытались найти официальные данные за последние три или четыре года. С одной стороны, мы нигде не можем таких данных найти, чтобы понять динамику. Но, с другой стороны, в разные моменты публиковались данные просто о количестве учетных записей и давались экспертные оценки числа подтвержденных учетных записей. И тут интересно, что какие бы данные ни проскакивали в выступлениях государственных спикеров, мы видим, что с декабря 2019 года по декабрь 2020 года (две даты, где есть официальные заявления на эту тему) произошел резкий рост, чуть ли не удвоение количества подтвержденных учетных записей на Госуслугах. Данные, которые попались нам недавно, – что-то вроде 45 миллионов тогда и 90 миллионов сейчас.


Это удвоение имеет определенные причины, и мы с вами их прекрасно знаем. Когда в мае прошлого года было принято решение об осуществлении социальных выплат через портал Госуслуг, несколько помощников депутатов Государственной Думы позвонили мне и просили проконсультировать, как можно получить эти деньги. Я спросил: «У вас же есть запись на Госуслугах?». «Да, есть». «А подтвержденная ли учетная запись?». «Да, подтвержденная, конечно». «А SMS получаете?». «Зачем?».


Теперь представьте себе, что огромный поток физических лиц идет на сайт Госуслуги, получает подтвержденную учетную запись с однофакторной идентификацией и, давайте, опять же подумаем из жизни, что логин-то в основном – номер мобильного телефона, то есть, половина уже известна всему миру А пароль, понятно, что как бы мы ни ругали, как бы мы ни объясняли, у большинства людей – это что-нибудь типа даты рождения или простейший пароль типа qwerty123456, что легко взламываемо и, тем более, легко сообщаемо при осуществлении социальной инженерии.


Понятно, что здесь возникает ситуация, когда действительно надо думать, что делать, и тут как раз есть те дыры, которые, мне кажется, можно было бы достаточно легко и быстро решить, и даже без изменения законодательства.





Берем ту самую однофакторную идентификацию. Мы прекрасно понимаем, что двухфакторная идентификация — не абсолютное решение, потому что тот же самый SMS-код точно так же социальная инженерия может выбить, тем не менее, она немного более качественная. Что же надо сделать, чтобы наши граждане сделали переход от однофакторной к двухфакторной идентификации? Если бы такая ситуация была, например, в моем бизнесе, я бы сказал бы: «Ну-ка, срочно мне базу данных, у кого однофакторная, ну-ка, срочно послать им SMS, посылать им электронную почту, позвонить им». В конце концов тем, кто остался после этих трех шагов, отправить письмо.


Как вы думаете, если всем тем, у кого однофакторная идентификация, Минцифры или оператор Госуслуг Ростелеком завтра направит SMS «В целях безопасности мы рекомендуем вам...», послезавтра он отправит электронное письмо, после этого через неделю колл-центры обзвонят, конечно, не все 45 млн отреагирует, но от 30 до 50% моментально бросится делать, потому что верят государству. Конечно, мошенники этим тоже воспользуются, но если мы хотя бы включим эту ситуацию, то уже произойдет резкое сокращение.


Хорошо, мы сказали, что двухфакторная идентификация — это хорошо. Но что, если мы возьмем идею Владислава Конторовича, и осуществим трехфакторную идентификацию.

То ли в 2019 году мы с ним обсуждали, то ли в 2018 его идею второго ключа или доверенного лица, когда другой человек, которого назначает владелец счета, будет принимать решение о нестандартных операциях.


Несколько недель назад я вдруг понял, что это можно применить к этому, когда запрашиваются данные через государственные информационные системы для упрощенной или для любой другой идентификации.

Когда речь идет о выдаче в онлайне, удаленно и т.п., мы думаем: «Если я напишу заявление в мой банк, мне там кредит не выдадут». Но банков – 400, пусть даже не все занимаются кредитованием физических лиц, МФО – 1.300, пусть даже 200 из них не занимаются физическими лицами. Я во все эти должен написать? Значит должна быть единая точка. Когда говорят: «Давайте сделаем через Бюро кредитных историй», я говорю: «Извините, но, 1). их восемь 2). а если у меня нет кредитной истории? 3). а если кредитор проигнорирует наличие такого запрета?» Да, потом можно оспорить, но все равно мошеннические операции будут сделаны.


Если на портале Госуслуг предоставить сервис назначения доверенного лица, и это доверенное лицо – тоже такая же подтвержденная учетная запись – получает автоматически (не только я, но и он) SMS о том, что кто-то запросил информацию для идентификации, понятно, что это не остановит мошеннические операции, но, по крайней мере, это будет фактором для того, кто выдает кредиты и займы, обеспокоиться тем, что есть даже не флаг «двухфакторная идентификация», а флаг «нужно обратиться к доверенному лицу».

Третий момент – идентификация через СМЭВ, почему здесь на ту же самую ситуацию не посмотреть по-другому? Мы же понимаем, что у СМЭВ нет уведомлений для физического лица, значит, соответственно, нужно просто послать SMS физическому лицу. А если он назначит доверенное лицо, то SMS физическому лицу и доверенному лицу.


Как вы понимаете, второй и третий сценарий можно легко объединить в информационной кампании. Конечно, вы можете возразить, что, как мы только что обсуждали, только 1% людей отреагирует. Да, но 1% – это когда мы в рамках коммерческой услуги пытаемся объяснить людям. Если же государство, а, тем более, наше государство скажет людям: «Ну-ка, срочно будьте обеспокоены вашей защитой аккаунта на Госуслугах», я вас уверяю, это будет иметь гораздо больше последствий.


Да, понятно, что это может помочь и мошенникам, но давайте двигаться и двигать ситуацию. Мне кажется, что понятно, что мы не закроем все дырки, понятно, что мы не убьем мошенничество, но тут-то не нужно менять законодательство.


Тут даже не нужно никакого регулирующего акта принимать. Нужна всего лишь воля провести информационную кампанию и воля разработать дополнительный сервис.

Неужели для того, чтобы дополнительный сервис предоставить на Госуслугах, нужно принимать решение на уровне правительства? Я абсолютно в этом не уверен.


Я уверен в другом, что если мы захотим это сделать, то первое, с чего мы должны начинать, просто задаться вопросом: сколько на Госуслугах подтвержденных учетных записей с однофакторной идентификацией, сколько с двухфакторной. Я не смог найти эти данные. Думаю, что, если Банк России запросит эти данные, наверное, ему сообщат, но наверно Банку России даже запрашивать не надо. Просто если мы все вместе предложим это как возможный способ сокращения мошенничества и противостояния социальной инженерии, то я уверен, зная руководство, тех, кто занимается порталом Госуслуг, ЕСИА и прочим, они достаточно быстро отреагируют. Я напомню, «кредитные каникулы» через портал Госуслуг от идеи, которая была высказана в конце апреля прошлого года, до реализации заняло меньше трех месяцев.


Такую идею хотел озвучить. Может быть, это поможет, может не поможет, но пробовать надо или хотя бы надо проинформировать людей о том, что они должны (именно такое слово – «должны») подключить двухфакторную идентификацию.


Андрей ЕМЕЛИН (модератор): Я так понимаю, что мы сегодня получили в качестве домашнего задания не одно письмо, которое мы готовили с Владиславом Карловичем, а два письма – второе письмо будет с реализацией Эльмана.


Схема Эльмана, на мой взгляд, получилась очень удачной. Мне кажется, что действительно очень несложно это описать. Реализовать, я думаю, тоже не очень значимо сложно, потому что, действительно, речь идет даже не о новых технических решениях, чего, например, потребовала бы перпендикулярная схема. По большому счету это доведение имеющегося функционала до пользователя. То есть, мы понимаем, что это и сейчас можно сделать, за исключением части со СМЭВ. И только третья схема требует доработки – повышение защищенности тех каналов, по которым взаимодействуют наши клиенты с государством или с финансовыми организациями.


Из всего, что сегодня было озвучено, мне кажется, все предельно реалистично, начиная от планов Департамента информбезопасности, которые Виктория Леонидовна нам рассказала и в которых мы все принимаем посильное активное участие. И предлагаемая схема Владислава Карловича, и практические вопросы работы SWIFT, и комплексное решение, которое изложил Эльман.

Все это для меня, например, служит залогом того, что у нас точно совершенно есть задача на следующий месяц. С письмом Владислава Карловича я думаю, мы успеем в декабре. Письмо Эльмана, наверное, потребует некоторого обдумывания, но драфт мы, конечно, еще в этом году на консалтинговом уровне проведем и выйдем с инициативой.


Мария МИХАЙЛОВА: Коллеги из телекоммуникационной отрасли по ходу вашей дискуссии сообщали, что Минцифры уже провело обсуждение и, скорее всего, в следующем году уже будет через ЕПГУ реализован сервис SMS для всех. По крайней мере, эта тема активно обсуждается поэтому, наверное, стоит действительно оформить.


Эльман МЕХТИЕВ: Случаи, о которых я рассказывал – про госуслуги и прочее, мы очень оперативно отрабатывали с Минцифры. Они нам подсказывали следы, и мы им сообщали, где не была включена двухфакторная аутентификация и т.д. Я думаю, что это не прошло мимо ушей. Им же тоже надо было что-то делать и объяснять, почему вдруг госуслуги таким образом используются. Мы притом нашли концентрацию в южном федеральном округе, оказалось почти так же, как с ОСАГО. Поэтому я только рад, что Минцифры теперь это рассматривает как план своих действий.


Андрей ЕМЕЛИН (модератор): Коллеги, я не могу не отметить, на мой взгляд, заслуживающий всяческого уважения оперативный формат нашего взаимодействии с регуляторами. Если раньше мы что-то обсуждали, потом писали письма, потом ждали ответа, то теперь мы в онлайне обсуждаем тему и тут же получаем реакцию регулятора.


И я искренне благодарю Минцифры. Специалисты министерства на мой взгляд, везут совершенно необъятный воз проблематики. Он связан с интеграцией и количеством не только участников финансового рынка, но и других секторов, взаимодействием со всеми ФОИВ, каждое из которых имеет свою историю развития собственных информсистем, интеграций, внутренних решений.