Это интересно

Регулятор следит за тобой. Газета "Коммерсантъ" об использовании биометрических данных

Думаю, почтальон Печкин удивился бы, узнав, что «усы, лапы и хвост» не только могут заменить документы, но и стать ценными сведениями, доступ к которым получат ЦБ и Росфинмониторинг. И все потому, что они являются биометрическими данными — уникальным идентификатором каждого из нас, которые невозможно подделать.

Рекламная кампания о преимуществах биометрической идентификации, стартовавшая с начала сбора в июле 2018 года, обещала гражданам исключительно удобство получения банковских услуг дистанционно. Но большинство тех, кто поддался на уговоры и сдал биометрию, вряд ли внимательно прочитали «антиотмывочный» закон. А именно ст. 9, которая дает ЦБ и Росфинмониторингу право получать эту информацию.

Об этой норме ненавязчиво напомнил появившийся на днях проект приказа Минкомсвязи. Выгрузка данных о сдавших биометрию гражданах, а также о фактах верификации с ее помощью для получения доступа к банковским услугам для мегарегулятора и финразведки будет производиться еженедельно.

«Обезличено,— заверил собеседник “Ъ” в Росфинмониторинге.— Лишь с указанием номеров документов, по которым человек идентифицирован в ЕСИА (например, СНИЛС), и банков, где он сдавал биометрию или воспользовался банковскими услугами». Но, выявив среди сдавших биометрию нужное лицо, по запросу Росфинмониторинг может получить уже полную информацию.

Собеседник “Ъ”, знакомый с позицией ЦБ, подчеркнул, что добропорядочным гражданам незачем опасаться повышенного внимания со стороны финразведки или регулятора — новшество только для «плохих парней», вовлеченных в террористическую деятельность или отмывание преступных доходов.

Я была бы рада поверить и согласиться, но слишком хорошо помню историю создания черного списка банковских отказников и того, сколько добропорядочных людей вдруг на ровном месте оказались «плохими». Между тем могут появиться и другие претенденты на биометрические данные. И то, что задумывалось якобы исключительно для удобства граждан, может послужить совершенно иным целям. Примерно как с соцсетями, которые преподносятся как некое развлечение для населения, а на самом деле являются идеальным источником сбора персональной информации.

Стоит ли отказаться от сдачи биометрии лишь потому, что наши «усы, лапы и хвост» станут доступны заинтересованным лицам? С учетом ст. 9 и приказа Минкомсвязи — решать только самим гражданам. Но безоговорочно верить, что данные в единую биометрическую систему собираются лишь для вашего удобства, точно не надо.

 

Вероника Горячева

Опубликовано 6 июня 2019 года в газете "Коммерсантъ" №97
Подробнее...
Источник: https://www.kommersant.ru/doc/3991960

 

Банкам расписали безопасность. ЦБ озаботился сохранностью счетов и вкладов

Банк России опубликовал положение «О требованиях к безопасности данных в банках». Оно призвано обеспечить информационную безопасность значительного ряда операций, проводимых клиентами преимущественно дистанционно (открытие счетов и вкладов). Сейчас банки обязаны делать это только для перевода денежных средств. Впрочем, эксперты отмечают, что большую часть перечисленных инструментов защиты крупные банки и так уже применяют.

Фото: Кристина Кормилицына / Коммерсантъ

ЦБ 21 мая разместил на своем сайте положение, направленное на повышение уровня банковской защиты от действий киберпреступников. «Новое положение Банка России обязывает кредитные организации обеспечивать информационную безопасность таких банковских операций, как привлечение денежных средств физических и юридических лиц во вклады, размещение привлеченных средств от своего имени и за свой счет, открытие и ведение банковских счетов физических и юридических лиц и ряд других»,— отмечается в сообщении регулятора. Ранее банки должны были принять комплекс мер, который минимизировал бы риск лишь неправомерного перевода средств. Теперь они будут обязаны обеспечить сохранность средств, размещенных на вкладе или банковском счете. Положение вступит в силу с июня.

Сейчас участники рынка сами определяют меры защиты информбезопасности, теперь регулятор вводит общие требования к информационной инфраструктуре банков, их программному обеспечению, системе хранения персональных данных, методам идентификации, а также меры по криптографической защите данных. Так, банкам будет необходимо анализировать различные технические параметры, например слепки устройств, IP-адреса, изменения геолокации пользователя, а также обеспечить подтверждение целостности и авторство электронных сообщений электронной подписью клиента, регистрировать действия работников банка и клиентов при обработке платежной информации, проводить мониторинг и регистрацию инцидентов информбезопасности и информирование о них ЦБ. Также по новому положению банки должны проводить тестирование на проникновение (пентест) и анализ уязвимостей ИТ-инфраструктуры.

Максимальные меры защиты предусмотрены для системно значимых банков и банков, выполняющих функции оператора услуг платежной инфраструктуры системно значимых платежных систем, а также для значимых на рынке платежных услуг кредитных организаций. Для остальных участников рынка обязательными будут только типовые требования стандарта безопасности банковских операций, принятого в 2017 году. Так, например, системные банки могут использовать только многофакторную аутентификацию пользователей, должны обеспечить в помещениях банка, где стоят компьютеры с доступом к защищенным данным, средства контроля доступа и круглосуточное видеонаблюдение. Если банк меняет свой статус и подпадает под требования по усиленному уровню безопасности, то он обязан обеспечить соответствие новым требованиям не позднее чем через полтора года.

Участники рынка указывают, что новые требования регулятора должны повысить безопасность операций при дистанционном банковском обслуживании, однако крупные банки в основном уже применяют указанные практики. «Для кого-то это нововведение, а для организаций, адекватно относящихся к информационной безопасности, уже практика»,— говорит директор департамента информационной безопасности МКБ Вячеслав Касимов. «Большую часть перечисленных инструментов все крупные игроки уже используют в повседневной работе со своими клиентами, например криптозащиту, сбор данных об устройствах и многое другое»,— добавляют в пресс-службе «Русского стандарта». «Все это именно уточнение и усиление так или иначе установленных ранее ЦБ требований к защите платежной инфраструктуры и информации о переводах денежных средств»,— заключает директор департамента информационной безопасности Росбанка Михаил Иванов.

 

Вадим Арапов, Светлана Самусева

Опубликовано 22 мая 2019 года в газете "Коммерсантъ" №86
Подробнее...
Источник: https://www.kommersant.ru/doc/3976158

 

Электронная подпись подвела заемщиков. К кредитам подключились неожиданные услуги

Как выяснил “Ъ”, распространение практики заключения договоров потребительского кредита с использованием простой электронной подписи вылилось в проблемы для клиентов банков. Такой подход хоть и ускоряет оформление, но в новинку для граждан и позволяет почти незаметно продавать им сопутствующие услуги, согласие на оказание которых подтверждается при помощи кода из СМС. В ЦБ призывают граждан быть внимательными и готовы реагировать на жалобы.

Фото: Олег Харсеев / Коммерсантъ

На портале «Банки.ру» появились жалобы на практику использования простой электронной подписи (ПЭП) при оформлении потребительских кредитов Почта-банком. Суть жалоб — заключение одновременно с договором кредита договоров на допуслуги, о которых заемщики не подозревали. При этом стоимость услуг включалась в тело кредита, существенно увеличивая его. При оформлении кредита с помощью ПЭП в офисе банка клиентам приходили СМС-сообщения примерно следующего содержания: «Код подтверждения 1234. Платеж "С заботой о Вас!", 3000 руб., комиссия 0 руб.». Клиенты утверждают, что сотрудники не объясняли им характер подключаемых услуг, а просили только назвать коды из приходящих СМС. В итоге граждане получали такие услуги, как «Гарантированная ставка», «Юрист-24», «Врач-24», «Личный врач», «Привет, сосед» и другие. По словам некоторых клиентов, сотрудники банка якобы утверждали, что подключение услуг обязательно.

Судя по отзывам, гражданам не предоставляли бумажных договоров с подробными условиями этих услуг. «Как раз удобно, чтобы клиенты не видели и не читали, что подписывают»,— написал в одной из жалоб клиент банка о применении электронной подписи. Почта-банк на эти отзывы ответил, что клиенты якобы были проинформированы об условиях продуктов, не уточняя, как именно (банк не ведет аудио- или видеофиксацию разговоров).

Возможность использовать простую электронную подпись при оформлении потребительских кредитов есть в Сбербанке, Альфа-банке, Московском кредитном банке, Райффайзенбанке, Ситибанке, Росбанке и ряде других. Но за последние месяцы “Ъ” не удалось обнаружить на портале «Банки.ру» и иных профильных форумах жалобы на этих участников рынка о навязывании допуслуг с применением простой электронной подписи.


"Главное — предотвращать ситуации, когда люди без разбора берут кредиты. И здесь на первый план выходит информированность граждан", - Владимир Путин, президент РФ, 19 апреля 2017 года.


В пресс-службе Почта-банка заявили “Ъ”, что оформление простой электронной подписи не отменяет предоставление клиенту бумажного договора. Без согласия клиента банк никогда не добавляет дополнительные услуги. «Приобретение страховой или любой дополнительной услуги в Почта-банке — исключительно добровольное решение заемщика»,— пояснили в банке, добавив, что позволяют отказаться и вернуть средства не только по страховым, но и по другим продуктам. В банке также действует система депремирования сотрудников за некачественную продажу, что снижает риск навязывания сервисов и услуг. «С начала 2019 года порядка 50% заемщиков оформили кредит без приобретения каких-либо дополнительных услуг, 25% покупают один дополнительный продукт и еще 25% — по два-три продукта,— отметили там.— В банке действует ограничение на продажу не более трех дополнительных продуктов одному клиенту».

Управляющий партнер «ВМ-Право и Консалтинг» Владимир Чувашов поясняет, что само по себе использование электронной цифровой подписи при заключении кредитного договора с банком является законным средством подтверждения волеизъявления сторон. «А вот что касается дополнительных предложенных банком услуг, то здесь нужно изучать каждую ситуацию отдельно»,— указывает он. В частности, по его словам, права заемщика нарушены, если ему не объяснили, что он может отказаться от допуслуг. Руководитель коммерческой практики юридической компании BMS Law Firm Денис Фролов считает, что если сотрудники банка не разъяснили клиенту условия предоставления услуг, то он должен обращаться либо в контрольные органы, либо в суд.

В ЦБ на запрос “Ъ” ответили, что, несмотря на кажущуюся простоту использования аналогов собственноручной подписи, для заключения договора потребителю необходимо очень внимательно знакомиться как с текстом подписываемых таким образом документов, так и с порядком подтверждения своей личности при подписании электронных документов, в том числе с текстом электронных сообщений (например, СМС-сообщений), направляемых кредитором. При этом там отметили, что готовы рассматривать жалобы граждан и реагировать на них.

 

Вадим Арапов, Виталий Солдатских

Опубликовано 16 мая 2019 года в газете "Коммерсантъ" №82
Подробнее...
Источник: https://www.kommersant.ru/doc/3968833

 

 

 

 

 

Мошенники приняли кадровое решение. Под атаки с подменой номера попали менеджеры банков

Сотрудники банков стали новой целью атак мошенников с подменой номера, получивших широкое распространение в 2019 году. Используя звонки от имени коллег, мошенники целенаправленно атакуют банкиров. Эксперты отмечают, что новая схема может быть эффективнее ставших уже привычными атак против обычных клиентов, поскольку звонки с номера банка его же сотруднику, как выяснилось, вызывают у него меньше подозрений.

Рисунок: Виктор Чумачев / Коммерсантъ

О новом тренде атак с использованием социальной инженерии, нацеленных на сотрудников кредитных организаций, рассказали “Ъ” в двух крупных банках. Первые атаки были зафиксированы в конце апреля и оказались удачными, поскольку звонки мошенниками совершались с номера банка (с помощью подмены). По словам собеседников “Ъ”, такая атака на сотрудника банка идет в два этапа. Сначала на мобильный телефон потенциальной жертвы поступает заведомо мошеннический звонок. «Руководителю департамента нашего банка звонили с левого номера 495, представились службой безопасности Сбербанка,— рассказывает собеседник “Ъ” в крупном банке.— Причина звонка — вход в личный кабинет в онлайн-банке с попыткой хищения 4 тыс. руб.». При этом мошенники сообщали, что ведут расследование по поручению Ассоциации банков России, что еще сильнее подчеркивало нереальность звонка. Через несколько минут потенциальная жертва получала еще один звонок, на этот раз — с телефонного номера собственного банка. «Звонивший представлялся сотрудником службы безопасности, отмечал, что звонит в связи с мошенническим звонком, подробно спрашивал, какую информацию и по каким счетам пытались выяснить злоумышленники,— рассказывает собеседник “Ъ”.— В случае с нашим коллегой повезло: он был на рабочем месте и решил проверить должность звонившего по телефонному справочнику банка». При аналогичном звонке, но заставшем потенциальную жертву в дороге и далеко от компьютера, мошенникам удалось убедить предоставить данные карт, в результате похищено было порядка 800 тыс. руб.

Специалисты по информационной безопасности уверены, что мошеннические действия против сотрудников банка могут быть даже более эффективными, чем против обычных клиентов. «Схема с точки зрения жертвы весьма правдоподобная, звонок собственной службы безопасности ожидаем после мошеннического звонка,— отмечает начальник отдела по противодействию мошенничеству ЦПСБ "Инфосистемы Джет" Алексей Сизов.— Тот факт, что злоумышленники используют телефонный номер самого банка, еще больше усиливает доверие». По словам главы департамента информационной безопасности ОТП-банка Сергея Чернокозинского, звонок на мобильный номер от коллег в рабочее время должен насторожить потенциальную жертву (чаще для подобных коммуникаций используются внутренние телефоны), однако звонок на мобильный в нерабочее время или же когда человека нет на месте вполне объясним и может вызвать доверие. По словам начальника управления режима информационной безопасности департамента защиты информации Газпромбанка Алексея Плешкова, данная атака относится к классу «многозвенных», они сравнительно недавно пришли на смену типовым линейным схемам. Чаще всего такие «двухходовки» рассчитаны на то, что если жертва не поверит в первый звонок, то следующий звонок якобы с номера банка может быть эффективным.

В известных случаях мошенники были нацелены на сотрудников банков, занимавших руководящие позиции. Однако эксперты уверены, что больше шансов у злоумышленников с рядовыми работниками. «Вероятность того, что мошенникам удастся обмануть руководителя, значительно ниже. Скорее у них получится обмануть начинающего неопытного сотрудника»,— отмечают в «ФК Открытие». По словам директора департамента информационной безопасности МКБ Вячеслава Касимова, риск того, что сотрудник банка поверит «доверенному» звонку от коллег, есть, но насколько он велик, зависит от обучения сотрудников банка. По словам зампреда правления банка «Ренессанс Кредит» Сергея Королева, важна и квалификация самих мошенников, их способ психологического воздействия на потенциальную жертву. «Цыганам порой удается выманить деньги у разумных, мыслящих людей,— рассуждает он.— И потому я допускаю, что даже грамотный и опытный сотрудник банка под психологическим воздействием сообщит мошенникам информацию, которую, он точно знает, сообщать нельзя никому и никогда».

По словам Алексея Сизова, не исключено, что при подобных атаках злоумышленники будут действовать прицельно против сотрудников конкретного банка, возможно, с упоминанием имен реальных «безопасников» или с подменой внутренних номеров телефонов. В «ФК Открытие» добавляют, что не исключен факт использования инсайдерской информации из банка о сотрудниках: ФИО, телефоны, остатки на счетах. «В подобной ситуации сотрудники службы безопасности банка должны довести до своих сотрудников порядок взаимодействия с ними в случае несанкционированных операций по их счетам, кто кому и по каким телефонам может позвонить»,— отмечает Алексей Сизов.

 

Вероника Горячева

Опубликовано 7 мая 2019 года в газете "Коммерсантъ" №78
Подробнее...
Источник: https://www.kommersant.ru/doc/3962504

 

 

Троянская конница. Хакерские рассылки разлетаются из банков по клиентам

В 2019 году хакеры будут активно использовать реализованную в конце 2018 году схему, когда взлом одного банка позволяет успешно атаковать его контрагентов, отмечают в Solar JSOC. При этом хакеры унифицируют свои инструменты — уже сейчас банки и их контрагенты атакуются при помощи единых фишинговых рассылок с одинаковыми вирусами. В банках разделяют данные опасения, отмечая, что теперь им придется тщательно защищать всю сеть своих коммуникаций.

Фото: Евгений Павленко / Коммерсантъ

Прогноз экспертов по информационной безопасности на 2019 год неутешительный. Директор центра мониторинга и реагирования на кибератаки Solar JSOC Владимир Дрюков отмечает, что рост количества атак на компании в этом году сохранится. «Высока вероятность возникновения атак, подобных тем, что производились в отношении некоторых платежных систем в 2018 году»,— отметил господин Дрюков. В конце прошлого года был громкий инцидент, когда злоумышленникам удалось взломать банк «Юнистрим», получить контроль над его почтовым сервером, и в итоге вредоносные рассылки от его имени пошли по контрагентам банка. Для отдельных игроков подобные «дружественные» письма обернулись хищением денежных средств (см. “Ъ” от 21 декабря 2018 года). Те же опасения высказал и директор экспертного центра безопасности Positive Technologies Алексей Новиков. «Мы прогнозируем, что в этом году злоумышленники продолжат атаковать слабо защищенные компании для проведения атаки на конечную цель, в зоне риска находятся компании из тех областей, где уровень защищенности пока не очень высок: сфера услуг, образование, медицина или розничная торговля»,— отметил он.


В 2018 году на 19% возросло количество критичных инцидентов, в том числе и тех, что позволяют похитить более 1 млн руб. Это самый высокий показатель начиная с 2015 года, отмечается в аналитическом отчете Solar JSOC.


По словам Алексея Новикова, рост критичных инцидентов коррелирует с общим ростом атак. По итогам прошлого года их число увеличилось почти на треть, при этом доля целенаправленных атак в общем объеме превысила половину, что очень отличается от реалий последних лет.

При этом в 2018 году, как отмечается в отчете Solar JSOC, хакеры при атаках на корпоративных клиентов использовали те же средства, что и при атаках на кредитные организации.


"Хакеры не менее опасны, чем вооруженные преступники", - Герман Греф, глава Сбербанка, на Международном конгрессе по кибербезопасности 6 июля 2018 года.


Одинаковые фишинговые письма с вредоносом выявляли в банках, энергетических и промышленных предприятиях. Всего же при сложных целевых атаках на компании фишинг использовался в 70% случаев, тогда как в 2017 году — лишь в 54% случаях. «Банки традиционно более защищены — их чаще атакуют, и потому у них выше готовность к попыткам взлома, плюс есть достаточно жесткие требования регулятора,— отмечает руководитель лаборатории практического анализа защищенности "Инфосистемы Джет" Лука Сафонов.— Другие компании в среднем защищены слабее, и потому эффективность тех же фишинговых рассылок может быть выше в небанковской сфере».

Тренд единых атак на банки и их клиентов активно начал проявляться во втором полугодии 2018 года. Именно в этот период, отмечается в отчете, сменился «лидер» среди вредоносов для фишинговых рассылок — «корпоративный» троян Dimnie уступил место банковскому трояну RTM. Единый подход, судя по цифрам, уже принес свои плоды. Так, в 2018 году компании были атакованы на 89% чаще, чем в 2017 году, причем во втором полугодии отмечался резкий рост атак с целью хищения денежных средств (на 37% по сравнению с первым полугодием). По данным ФинЦЕРТ ЦБ, из 6,15 тыс. несанкционированных трансакций, зафиксированных в целом за 2018 год, 5,7 тыс. операций пришлось на второе полугодие, причем 4,8 тыс. из них — на четвертый квартал. При этом, по данным Solar JSOC, во втором полугодии хакеры атаковали компании не только для вывода у них средств — на 20% также возросли атаки, направленные на получение контроля над инфраструктурой жертвы.


Эксперты не исключают, что при атаках на компании конечной целью может быть именно банк.


«Вероятен взлом контрагента банка с целью далее атаковать кредитную организацию»,— отмечает Лука Сафонов. И кредитные организации весьма опасаются таких перспектив. «Банки неплохо защищены против традиционных атак, потому злоумышленникам приходится использовать доверенные источники доставки вредоноса: подрядчиков, деловых партнеров,— отмечает глава департамента информационной безопасности ОТП-банка Сергей Чернокозинский. — Вектор атак, скорее всего, действительно пойдет через доверенных контрагентов, и потому банкам придется защищать всю сеть своих коммуникаций».

 

Вероника Горячева

Опубликовано 25 апреля 2019 года в газете "Коммерсантъ" №74
Подробнее...
Источник: https://www.kommersant.ru/doc/3954826

 

 

Страницы