О защите информации в национальной платежной системе.
Российская национальная платежная система создана в 2011 году. В настоящее время особое внимание уделяется обеспечению информационной безопасности в национальной платежной системе в соответствии с требованиями Федерального закона от 27.06.2011 N 161-ФЗ "О национальной платежной системе". В контексте функционирования платежных систем рассматриваются вопросы использования мобильных технологий и направления совершенствования обеспечения защиты информации в условиях дистанционного банковского обслуживания.
В самом общем виде платежная система представляет собой одну из ключевых частей монетарной системы, включающую совокупность правил, процедур и технической инфраструктуры, которые обеспечивают перевод стоимости от одного субъекта экономики к другому <1>.
<1> Швейцарское финансовое право и международные стандарты [Schweizerisches Finanzmarktrecht und internationale Standards] / П. Нобель; пер. с нем. Н. Сироткина, Ю. Волобуева, В. Иванова; науч. ред. И.Г. Хубер. 2-е русскоязычное изд. М.: Инфотропик Медиа, 2012. 1104 с.
В каждой стране в рамках финансовой системы создается самостоятельная платежная система. С развитием международного обмена возникают международные платежные системы, обеспечивающие проведение платежей между участниками международных рынков, находящимися в разных странах.
Платежные системы являются заменителем расчетов наличными деньгами при осуществлении внутренних и международных платежей и одним из базовых сервисов, предоставляемых банками и другими профильными финансовыми институтами. Самым большим международным сервисом такого рода является система SWIFT.
В России платежная система, подконтрольная государству, была создана сравнительно недавно - осенью 2011 года и получила официальное название "национальная платежная система".
Термин "национальная платежная система" начал использоваться в официальных изданиях в конце XX - начале XXI столетия, в публикациях международных финансовых организаций, в частности Комитета по платежным и расчетным системам Банка международных расчетов <2>.
<2> Первой публикацией Банка международных расчетов, в которой можно найти термин national payment system, была работа: Payment Systems in Eleven Developed Countries. Prepared by the Group of Computer Experts of the Central Banks of the Group of Ten Countries and Switzerland. Bank for International Settlements. 1980. February.
В июле 2009 г. Банк России стал членом Комитета по платежным и расчетным системам Банка международных расчетов, а в сентябре 2011 г. в рамках проекта "Красная книга" Комитет по платежным и расчетным системам Банка международных расчетов опубликовал документ "Платежные, клиринговые и расчетные системы в России", подготовленный совместно с Банком России, в котором нашли отражение существенные изменения состояния платежных, клиринговых и расчетных систем в России за период с 2003 г., включая принятие российского Закона о национальной платежной системе <3>. Этот документ содержит описание новой модели национальной платежной системы России версии 2011 г., которая существенно отличалась от версии 2003 г.
<3> Payment, clearing and settlement systems in Russia // Payment, clearing and settlement systems in the CPSS countries. Vol. 1. CPSS BIS Publications. September 2011. N 97. Перевод: Платежные, клиринговые и расчетные системы в России. Банк России // Платежные и расчетные системы. 2011. N 29.
Со вступлением в силу Федерального закона от 27.06.2011 N 161-ФЗ "О национальной платежной системе" <4> (далее - Закон о национальной платежной системе) термин "национальная платежная система" приобрел в России легальный статус.
<4> Федеральный закон от 27.06.2011 N 161-ФЗ "О национальной платежной системе" (ред. от 29.12.2014) (с изм. и доп., вступ. в силу с 01.03.2015) // Российская газета. 30.06.2011. N 139.
Национальная платежная система России образуется из совокупности отдельных платежных систем, в нее в качестве участников могут входить: международные финансовые организации, иностранные центральные (национальные) банки и иностранные банки. Регистрацию операторов платежных систем ведет Банк России. Первая платежная система была зарегистрирована Банком России в августе 2012 года, она называется "Платежная система CONTACT", на конец августа 2015 года их количество достигло сорока <5>.
<5> См.: Реестр операторов платежных систем на официальном сайте Банка России: http://www.cbr.ru/PSystem.
Закон о национальной платежной системе установил основы деятельности всей платежной системы в целом и скорректировал правила осуществления безналичных расчетов, эмиссии и использования электронных денег. Вступившая в действие 1 июля 2012 года ст. 27 данного Закона устанавливает необходимость обеспечения защиты информации в платежных системах. Требования безопасности для обеспечения такой защиты устанавливают Правительство РФ и Банк России. Они же осуществляют контроль выполнения этих требований.
Соответствующее Постановление Правительства РФ "Об утверждении Положения о защите информации в платежной системе" <6>, раскрывающее состав требований к защите информации, вступило в силу 1 июля 2012 г. Банк России также издал ряд документов (Положение от 09.06.2012 N 382-П <7> и указание от 09.06.2012 N 2831-У <8>) по рассматриваемой тематике, в которых определил требования к безопасности информации при переводе денежных средств и требования к отчетности по этому вопросу.
<6> Постановление Правительства РФ от 13.06.2012 N 584 "Об утверждении Положения о защите информации в платежной системе" // Российская газета. 22.06.2012. N 141.
<7> Положение Банка России от 09.06.2012 N 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" (ред. от 14.08.2014) (зарегистрировано в Минюсте России 14.06.2012 N 24575) // Вестник Банка России. 22.06.2012. N 32.
<8> Указание Банка России от 09.06.2012 N 2831-У "Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств" (ред. от 21.06.2013) (зарегистрировано в Минюсте России 14.06.2012 N 24573) // Вестник Банка России. 22.06.2012. N 32.
Данные документы определяют не только то, какого свойства информация должна подлежать защите, но и в момент совершения каких действий участниками платежной системы (далее - участники ПС) должна обеспечиваться соответствующая защита информации, с помощью каких организационных и технических мер обеспечивается эта защита, также конкретизируется состав требований, предъявляемых непосредственно к участникам ПС - операторам по переводу денежных средств, банковским платежным агентам (субагентам), операторам услуг платежной инфраструктуры. Распределение обязанностей по определению порядка обеспечения защиты информации при осуществлении переводов денежных средств возлагается на оператора платежной системы. Таким образом, с принятием вышеназванных нормативных актов Банка России созданы необходимые предпосылки для формирования системы безопасности в национальной платежной системе.
Также ряд требований по защите информации предъявляет кредитным организациям Стандарт Банка России СТО БР ИББС <9>. Первая версия этого Стандарта появилась в России в 2004 году. Именно с введением и совершенствованием этого Стандарта преступления из сферы корпоративных кибертехнологий плавно перетекли в платежную систему.
<9> Стандарт Банка России СТО БР ИББС-1.0-2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" разработан в целях повышения доверия к банковской системе РФ, достижения адекватности мер по защите от реальных угроз информационной безопасности, а также предотвращения и снижения ущерба от инцидентов информационной безопасности.
Однако вышеназванные нормативные акты не регулируют ни безопасность операционных центров, расположенных за пределами России, ни в должной мере безопасность систем дистанционного банковского обслуживания, ни деятельность клиентов в системах электронных средств платежа и участников карточных платежных систем, регулируемую стандартом PCI DSS <10>.
<10> Payment Card Industry Data Security Standard (PCI DSS) - стандарт безопасности данных индустрии платежных карт, разработанный Советом по стандартам безопасности индустрии платежных карт (Payment Card Industry Security Standards Council, PCI SSC), учрежденным международными платежными системами Visa, MasterCard, American Express, JCB и Discover.
Масштабы киберпреступлений впечатляют. Не так давно компания Hewlett-Packard опубликовала результаты пятого ежегодного исследования в области информационной безопасности Cost of Cyber Crime Study, проведенного Ponemon Institute. В данном документе впервые был проанализирован и российский рынок, на котором средний ущерб от действий киберпреступников в расчете на организацию составил 3,3 млн. долл. Для сравнения: в США этот показатель составляет 12,7, в Германии - 8,1, в Японии - 6,9, во Франции - 6,3, в Англии - 5,9 млн. долл. <11>.
<11> Здесь и далее статистика приводится по: Сухаренко А. Киберщит для бизнеса // ЭЖ-Юрист. 2014. N 43. С. 9.
Наиболее часто для нападений на крупные компании используются вирусы, "трояны" и "черви" (98%), вредоносное программное обеспечение (97%), зомби-сети (59%) и веб-атаки (58%). Однако самыми опасными оказались инсайдеры (213,542 долл.) и DoS-атаки (166,545 долл.), именно они в расчете на один инцидент приносят больше всего ущерба. Распознавание атак и восстановление после них являются самыми дорогостоящими внутренними видами IT-активности: на их долю приходится 49% общих годовых издержек.
Согласно отчету компании Group-IB в 2013 году русскоязычные хакеры заработали 2,5 млрд. долл. (в 2012 году - 1,9 млрд. долл.). Основными мишенями преступников стали государственный и финансовый секторы. В данном отчете отмечается, что участились случаи хищения у юридических лиц через системы дистанционного банковского обслуживания (далее - ДБО): хакеры атакуют как местные, так и иностранные банковские системы. Средняя сумма похищенных у юридических лиц средств составила 40 тыс. долл. (в 2012 году - 56 тыс. долл.).
Благодаря исследованию бот-сетей экспертам Group-IB удалось установить, что число скомпрометированных пользователей по разным системам ДБО для юридических лиц по состоянию на 01.08.2014 составило 2162 компании у IBANK2 (общий максимальный баланс - 8,9 млрд. руб.), 580 - у СБ РФ и 204 - у iFOBS. Потенциальный объем ущерба превышает 12,1 млрд. руб. В данную цифру не включены балансы на счетах пользователей системы iFOBS, Альфа-Банка, BSS и т.д. в связи с отсутствием данных.
Общемировая тенденция свидетельствует о том, что около 70% всех преступлений, совершаемых в сфере высоких технологий, составляют деяния, в которых компьютеры и другие средства электронной техники используются в качестве средства совершения хищения и умысел виновного лица направлен на завладение чужим имуществом <12>.
<12> Привод. по: Лебедева А.А. Мошенничество в сфере высоких технологий // СПС "КонсультантПлюс". 2014.
Впереди планеты всей в области компьютерных преступлений оказались США. Одно из первых известных мошенничеств в сфере высоких технологий совершено там еще в 1966 г. <13>, а первые законы о компьютерных мошенничествах появились в штатах Флорида и Аризона в 1978 г. <14>.
<13> См.: Combating computer crime. Prevention. Detection. Investigation / Chantico publishing company, inc. 1990.
<14> См.: Казаков С.Э. Компьютерные преступления в законодательстве США и Канады: Учебное пособие. Н. Новгород, 2003. С. 123 - 124.
Ввиду небольшого объема настоящей статьи ограничимся рассмотрением сложившихся тенденций в области мобильных технологий на рынке интернет-банкинга. Насыщение данного рынка платежными услугами обусловило смещение конкуренции поставщиков дистанционных банковских сервисов в сферу дополнительной функциональности. Организовав инфраструктуру удаленных платежей, провайдеры начали инвестировать средства в инструменты управления личными финансами пользователей. В их числе - персональный бюджет, автоматический анализ расходов, платежи по заданному графику. Так, в банках неуклонно растет доля активных пользователей систем интернет-банкинга (совершающих не менее одной транзакции в месяц) в совокупной клиентской базе физических лиц. Ряд банков оценили значение данного показателя на уровне более 50% по итогам 2013 г., а самые амбициозные прогнозные значения по итогам 2014 г. достигают 80% <15>. На этом фоне функциональность и удобство системы дистанционного банковского обслуживания становятся одним из залогов стабильного роста клиентской базы банков. В целях развития систем поставщики услуг интернет-банкинга не только наращивают платежный функционал, но и внедряют дополнительные возможности, направленные на предоставление пользователю полного спектра услуг в сфере управления личными финансами. По данным исследованных систем интернет-банкинга, в 21% таких систем реализованы функции персонального бюджета и финансового планирования, в рамках которых пользователю доступны открытие целевых счетов, средства планирования операций и визуализации категорий расходов. Многие системы позволяют оформить поручение на платеж будущей датой и принимают счета, выставленные на оплату услуг поставщиком в интернет-банк клиента. А в 11% исследованных систем доступен запрос справок из бюро кредитных историй. Но для сохранения позиций на рынке интернет-банкинга одной из наиболее актуальных задач остается обеспечение надлежащей защищенности дистанционных операций пользователей услуг от мошенничества третьих лиц.
<15> Здесь и далее статистические данные приводятся по: Беликов Ю., Доронкин М. Функциональность не в ущерб безопасности // Банковское обозрение. 2014. N 7. С. 88 - 93.
Вступившая в силу с 1 января 2014 года ст. 9 Закона о национальной платежной системе, направленная на защиту клиентов операторов по переводу денежных средств от мошеннических действий, в некоторой степени призвана обеспечить такую защиту. В частности, данная статья обязывает операторов по переводу денежных средств информировать клиентов о каждой совершенной с использованием электронного средства платежа операции (ч. 4 ст. 9), а также возмещать суммы, перечисленные со счета клиента в результате не санкционированной им операции, если только не будет доказано нарушение клиентом - физическим лицом порядка использования электронного средства платежа (ч. 15 ст. 9).
В сочетании с надлежащим информированием об операциях по счетам одним из основных требований к системам интернет-банкинга как со стороны регулирующих органов, так и со стороны пользователей остается защищенность персональных данных от внешних и внутренних угроз. Банк России рекомендовал банкам регламентировать порядок противодействия хакерским атакам и проводить аудит уязвимости к ним не реже одного раза в квартал. При этом лица, выполняющие аудит уязвимости процессов и процедур, должны руководствоваться положениями следующих стандартов Банка России в области информационной безопасности: ГОСТ Р ИСО 19011-2012 <16>, СТО БР ИББС-1.1-2007 <17>, СТО БР ИББС-1.2-2014 <18>. Помимо указанных мер противодействия, кредитным организациям рекомендуется внедрять современные технологические принципы дополнительной защиты (двухфакторную аутентификацию; продуманную политику управления паролями; постоянный контроль работоспособности сайтов и обеспечение информационной безопасности; использование дополнительных методов аутентификации, таких как отпечатки пальцев, одноразовые пароли, криптокалькуляторы и т.д.).
<16> ГОСТ Р ИСО 19011-2012 "Национальный стандарт Российской Федерации. Руководящие указания по аудиту систем менеджмента" (утв. и введен в действие Приказом Росстандарта от 19.07.2012 N 196-ст).
<17> Стандарт Банка России СТО БР ИББС-1.1-2007 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности" (принят и введен в действие распоряжением Банка России от 28.04.2007 N Р-345) // Вестник Банка России. 18.05.2007. N 29.
<18> Стандарт Банка России СТО БР ИББС-1.2-2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2014" (принят и введен в действие распоряжением Банка России от 17.05.2014 N Р-399) // Вестник Банка России. 30.05.2014. N 48 - 49.
Представляется, что данных мер недостаточно, поскольку дополнительной обязанностью и ответственностью охватываются только поднадзорные Банку России субъекты платежной системы и участники ПС, на которых распространяются нормативные требования Банка России. Тогда как применение новых информационно-коммуникационных технологий, различных технических средств и электронных носителей значительно расширяет состав лиц, участвующих в операциях по переводу денежных средств, следовательно, необходимо определить права и обязанности, а также меру ответственности каждого из участников ПС.
В качестве дополнительных мер охраны интересов пользователей платежной системы можно привести позицию М.К. Белобабченко, которая предлагает обеспечить дополнительную гарантию интересов пользователям платежных услуг путем создания гарантийного фонда платежной системы за счет денежных средств (гарантийных взносов) каждого субъекта и участника ПС <19>.
<19> Подробнее см.: Белобабченко М.К. Взаимодействие участников платежной системы: вопросы формирования гарантийного фонда // Журнал российского права. 2014. N 10. С. 59 - 65.
Действующий Закон о национальной платежной системе (п. 1 ст. 29) уже предусматривает порядок обеспечения исполнения обязательств участниками ПС путем создания гарантийного фонда платежной системы. Данный фонд образуется за счет денежных средств (гарантийных взносов) ограниченного числа участников ПС. Так, Законом о национальной платежной системе предусмотрено (ст. 29), что гарантийный фонд может формироваться за счет взносов оператора платежной системы, центрального платежного клирингового контрагента и (или) расчетного центра, а в случае неисполнения или ненадлежащего исполнения кем-либо из указанных участников своих обязательств для удовлетворения требований по обязательствам используется именно его гарантийный взнос, и только при его недостаточности может быть использован взнос другого участника ПС, при этом "провинившийся" участник должен возместить использованную сумму гарантийного взноса и, кроме того, уплатить проценты за ее использование, если это предусмотрено правилами платежной системы.
Нельзя не согласиться с мнением М.К. Белобабченко, которая полагает, что данная схема формирования и использования гарантийного фонда не в полной мере отвечает целям надежности, бесперебойности, а главное, функционирования платежной системы как единого целого, поскольку не охватывает других участников ПС, участвующих в определенных операциях по переводу денежных средств. При формировании гарантийного фонда платежной системы, считает она, нужно исходить из единства цели участников ПС, а значит, гарантийный взнос должен вноситься всеми участниками ПС и использоваться в случае неисполнения или ненадлежащего исполнения обязательств кем-либо из участников ПС без обособления взноса конкретного участника; норматив размера гарантийного фонда должен быть установлен Банком России в зависимости от объема обязательств платежной системы, а также не может быть применен принцип возвратности и платности в связи с использованием средств гарантийного фонда для удовлетворения требований по исполнению обязательств участниками ПС.
В заключение отметим, что для минимизации потерь от мошенничества с электронными средствами платежа недостаточно совершенствовать законодательство в сфере защиты платежных технологий и внедрять современные технологические принципы дополнительной защиты. Как показывает практика, в большинстве случаев несанкционированного доступа к системе первопричиной утечки данных выступает сам пользователь, поэтому полагаем, что, наряду с вышеперечисленными мерами, необходимо развивать взаимодействие с клиентами, обучать их методам безопасного пользования электронными средствами платежа, ответственному отношению к хранению как самого электронного средства платежа (например, банковской карты), так и любой конфиденциальной информации, касающейся персональных данных клиента, информации о счетах, картах и технологиях интернет-платежей. Для этого в договорной базе целесообразно предусмотреть обязанность клиента следовать инструкциям по безопасному использованию электронного средства платежа и ответственность клиента за ущерб, понесенный им в случае нарушения таких инструкций.
