20.4.15

Что Банк России и российские банки думают про безопасность мобильных платежей?

На прошлой неделе в прессе началась шумиха о заражении мобильных устройств под управлением Android 350 тысяч клиентов российских банков и нанесенном им ущербе в 50 миллионов рублей. В итоге в прошлую среду Банк России опубликовал у себя на сайте сообщение "О несанкционированных операциях, совершенных с использованием устройств мобильной связи". Произошло это спустя месяц с момента вступления в силу новой редакции положения Банка России 382-П, устанавливающего требования по защите информации при осуществлении денежных переводов, в т.ч. и мобильных.

В 382-П вопросам безопасности мобильного банкинга, как самостоятельной задаче, внимания почти не уделено, что и понятно. Все-таки мобильный банкинг с точки зрения защиты отличается от обычного только способом получения клиента ДБО - через магазин приложений Apple, Google или Microsoft. Вся остальная обработка, реализуемая на стороне банка, идентична Интернет-банкингу и другим формам денежных переводов от физлиц. Кроме того, клиенты не входят в сферу регулирования ни Банка России, ни иных регуляторов. Поэтому ни ФЗ-161 о Национальной платежной системе, ни ПП-584 о защите информации в платежных системах, ни 382-П не распространяются на клиентов и не требуют от них ничего в контексте обеспечения информационной безопасности.

Поэтому Банк России, продолжая свою традицию, начатую письмами Банка России 120-Т от 02.10.2009 и 154-Т от 22.11.2010 и распространяющихся на банковские карты, решил вновь выпустить некоторую памятку для клиентов, но уже как пользователей мобильного банкинга, а не платежных карт. Эта памятка содержит в себе 8 простых и при этом здравых рекомендаций:

  • установить на устройство мобильной связи антивирусное программное обеспечение с регулярно обновляемыми базами
  • не переходить по ссылкам, приходящим из недостоверных источников, в том числе на известные сайты
  • своевременно уведомлять кредитную организацию о смене номера телефона мобильной связи, который клиент предоставил кредитной организации для получения услуги «мобильный банкинг», в том числе, на который происходит информирование об операциях по счету клиента
  • не скачивать на устройство мобильной связи приложения из непроверенных источников
  • не передавать устройство мобильной связи и платежную карту для использования третьим лицам, в том числе родственникам
  • не сообщать третьим лицам, в том числе сотрудникам кредитной организации, ПИН-код платежной карты и контрольный код, указанный на оборотной стороне платежной карте (СVV/CVC-код1 ), пароли от «Клиент-банка», одноразовые коды подтверждения
  • при наличии подозрения, что такие данные стали известны третьему лицу, необходимо сообщить об этом кредитной организации по контактным данным, указанным на ее официальном сайте
  • в случае обнаружения списания денежных средств необходимо в сроки, установленные законодательством РФ, обратиться в кредитную организацию или к оператору связи (если произошло списание денежных средств, предоставленных оператору связи в качестве оплаты услуг связи, в том числе перечисление денежных средств на «короткие номера»).
У меня, по сути, претензия только к последней рекомендации, а точнее к "срокам, установленным законодательством РФ". Где они установлены и почему нельзя было просто указать конкретное значение?

Я бы хотел посмотреть на данное событие (шумиха и документ ЦБ) с двух точек зрения. Первая касается экономики. Отдельные "эксперты" в очередной раз заявили о том, что вот он, наступающий апокалипсис мобильных платежей и надо срочно всем банкам бежать и заказывать услуги анализа защищенности мобильных приложений и вообще отдельным экспертам тяжело в одиночку сдерживать натиск хакеров всего мира и пора бы всем уже проснуться. Я хочу вновь вернуться к своей заметке двухлетней давности.

Сейчас тема экономической оценки эффективности вновь на коне и если смотреть на деятельность служб ИБ не с точки зрения торговли страхом, а с точки зрения банальной оценки выгод и затрат, то необходимость борьбы с мобильными банковскими угрозами не такая уж и очевидная (если не сказать больше). Ситуация с общим состоянием мобильных платежей не сильно изменилась по сравнению с описанной 2 года назад (соотношение осталось таким же).  И если мы посмотрим на текущий кейс, то картина следующая - 350 тысяч пострадавших и 50 миллионов рублей, о которых говорят журналисты. Делим одно значение на другое и получаем 142 рубля потерь на одного клиента. СТО СОРОК ДВА рубля! Ответьте себе на вопрос - вы будете что-то делать из-за такого ущерба? Вы поставите себе на смартфон антивирус? К слову сказать, тот же антивирус Касперского для Android стоит в год 300 рублей. Чтобы его окупить со мной должно случиться не менее трех аналогичных инцидентов в год. 

Правда по данному инциденту необходимо сделать несколько оговорок:
  • Если верить тому, что число пострадавших именно таково, то данный инцидент малоинтересен для клиентов банков - ущерба для них нет и заморачиваться этим не стоит (я бы не стал точно). Если число реальных пострадавших меньше и значение 350 тысяч выбрано для показа "сурьезности", то в этом случае потери на одного клиента будут больше. Но насколько?
  • Если посмотреть на инцидент с точки зрения банка, то тут все зависит от числа пострадавших банков. Если он один, то стоит задуматься о том, что существует риск, что 350 тысяч жертв обратится за возвратом своих незаконно списанных средств (пользуясь 9-й статьей ФЗ-161). И тогда 50 миллионов - это потери одного банка. Это может заставить задуматься. Но в статье говорится о нескольких банков и в этом случае надо считать реальные потери для каждого банка (с учетом практики обращений клиентов по 9-й статье).
  • Чтобы делать вывод о серьезности проблемы в общероссийском масштабе нужна общая статистика об инцидентах с мобильными платежами и объеме похищенных или готовящихся к хищению средств. К сожалению Департамент НПС Банка России до сих пор так и не опубликовал статистику по собранным по 203-й форме отчетности инцидентам. Последняя опубликованная статистика датирована первым полугодием 2013-го года.
Отсюда вывод с точки зрения экономики ИБ - каким бы страшным не казался данный инцидент (или как бы не запугивали отдельные представители отрасли), с точки зрения экономической целесообразности борьба с этой проблемой не такая уж и очевидная в настоящий момент.

Есть и вторая точки зрения. Это compliance (три драйвера "продаж" ИБ - страх, compliance и экономика). В 382-П у нас есть пункт 2.7.5, согласно которому, при обнаружении вредоносного кода участники платежной системы должны обменяться информацией о вредоносе. Банки должны сообщить оператору платежной системы, а он, в свою очередь, остальным участникам платежной системы. В п.2.12.3 также есть требование о необходимости обязательного уведомления клиентов о рисках несанкционированного доступа к защищаемой информации и мерах по их снижению. И вот тут возникает закономерный вопрос - а должны ли были банки уведомлять своих клиентов о данной угрозе? И в какой форме? И с какой периодичностью? Один раз при заключении договора? При каждом инциденте? Или еще как-то? Такой вопрос, кстати, возникал при подготовке еще второй редакции 382-П, но по ряду причин его так и не рассмотрели. Поэтому сейчас я бы рассматривал публикацию на сайте Банка России как пример того, как можно это сделать.