Услугами банков и платежных систем сегодня активно пользуются все слои общества. В частности, правительство планирует в ближайшее время перевести большинство пенсионеров на получение пенсий через банк, как и получателей социальной помощи. В этих условиях очень важным становится фактор безопасности онлайн-платежей. Видимо, поэтому Национальный банк Украины принял решение повысить требования к нормам информационной безопасности и киберзащиты в сфере денежных переводов.
Нацбанком было принято постановление, предусматривающее внедрение риск-ориентированного подхода к защите информации в зависимости от суммы возможных убытков. Также вводится обязательное установление требований к использованию средств защиты информации. Кроме того, участники платежного рынка должны определить политику управления доступом и повысить уровень безопасности своих услуг для пользователей. По мнению представителей НБУ, «это позволит минимизировать количество инцидентов информационной безопасности и киберинцидентив в сфере перевода средств».
Данное постановление уже вступило в силу с 29 мая, однако участникам платежного рынка предоставлен комфортный переходный период — следующие 12 месяцев. За это время они обязаны усовершенствовать свои системы безопасности и применить требования Нацбанка. О том, что это за требования и как они отразятся на порядке перевода средств простыми гражданами, «ФАКТАМ» рассказал управляющий партнер Консалтинговой компании «Финансовая студия» кандидат экономических наук Евгений Невмержицкий.
— На какие именно денежные переводы распространяется действие постановления? Идет ли речь о самых популярных переводах между карточными счетами граждан?
— Да, действие постановления распространяется на все платежные системы, включая карточные счета самых популярных систем «Виза» и «Мастеркард», а также расчеты между держателями карт этих систем. Требования данного постановления не распространяются на платежные системы, созданные НБУ, а именно — «Простір» (бывшая НСМП). К слову, непопулярная система фактически навязанная коммерческим банкам самим НБУ, жизнедеятельность которой обеспечивается лоббированием НБУ, а не ее эффективностью, что не отвечает интересам банков и их клиентов. На каких основаниях действие постановления не распространяется на платежные системы, созданные самим регулятором, НБУ не поясняет.
— Какие именно новые меры безопасности внедряются?
— Эти меры касаются технических аспектов, усиливающих безопасность расчетов, например, одноразовый пароль должен содержать не менее 8 символов, среди которых — маленькие и большие латинские буквы. И использоваться такой пароль должен не дольше 10 минут. Можем охарактеризовать это требование.
Действительно, оно увеличивает безопасность и усложняет для хакеров перехват пароля с помощью вредоносного программного обеспечения. Однако это усложняет и использование удаленного обслуживания, в частности, держателям карт. Например, при перечислении небольшой суммы, до 5 000 грн, пользователь должен будет применить более длинный пароль, при введении которого он сам может ошибиться, набирая маленькие и большие символы и переключаясь минимум 3 раза между режимами ввода. Без листочка, на котором можно записать такой одноразовый пароль, простую операцию перевода небольшой суммы будет сделать сложно, если ограничены возможности копирования данного пароля, например, с мобильного телефона.
Банкам, участникам платежных систем, потребуются время и деньги на переоснащение своих систем безопасности и корректировку правил указания паролей. Это может привести к неудобствам для клиентов при переналадке операционных систем банков.
Данная уравниловка, по сути, не увеличивает безопасность, а просто создает дополнительные неудобства пользователям. Одноразовый пароль хакерам и мошенникам перехватить непросто, а если они могут перехватить короткий пароль, то и более длинный, с разными символами, также смогут перехватить и применить для похищения средств клиента. Но следует отметить, что одноразовые пароли при двухфакторной аутентификации — это достаточно надежный инструмент безопасности. И ужесточать требования путем увеличения длинны пароля фактически не имеет смысла. Банки на такое усиление требований безопасности потратят гораздо больше денег, чем смогли бы украсть мошенники при старых правилах.
Также следует отметить, что банки хорошо научились управлять инструментами безопасности на основе рисков: чем больше риск, тем лучше защита. Также удобный способ — предоставление самим клиентам возможности управлять своей защитой. Например, самостоятельно устанавливать лимиты на перечисление в Интернете. Если клиент хочет максимально обезопасить себя от мошенничества в сети, то устанавливает нулевой лимит перечислений в Интернете и увеличивает его до нужной суммы при каждой необходимости сделать платеж онлайн. Такой подход очень надежно защищает. Хакеру, даже сумевшему разместить на гаджете держателя карты вредоносное ПО, способное перехватить одноразовый пароль, необходимо отследить еще и момент, когда держатель будет совершать платеж. А это очень сложно, и затраты хакера намного выше, чем возможная выгода.
Хотя следует отметить, что многие требования постановления полезны с точки зрения подходов к безопасности поставщиков финансовых услуг и обязывают их учитывать и предотвращать широкий перечень угроз как внутренних (субъективный фактор, то есть мошенничество самого персонала), так и внешних (все виды хакерских атак, компрометация данных, вредоносное ПО для несанкционированного доступа к конфиденциальной информации клиентов).
— Изменится ли сам порядок перевода денег, их максимальные суммы и так далее?
— Принципиально порядок расчетов не изменится, так как сами платежные системы предусмотрели рациональные правила безопасности, являющиеся стандартными для всего мира и сбалансированные с защитой от угроз, рисками и удобствами пользователей. Эта сбалансированность и рациональность и делает международные платежные системы, такие как «Мастеркард» и «Виза», самыми популярными в мире. Их правила, обязательные для всех членов этих платежных систем, постоянно усовершенствуются и безопасность расчетов всегда на первом месте, но это не доходит до абсурдных правил, которые портят жизнь клиентам без обоснованной необходимости, в частности одноразовый пароль из восьми символов с тремя режимами переключения.
— Ощутят ли граждане усиление требований к защите информации при проведении переводов?
— Особого изменения в порядке платежей пользователи не почувствуют, кроме дополнительных неудобств при введении более длинного и сложного пароля. Однако хочу подчеркнуть, что подобное регулирование в целом является важным элементом безопасности платежей, которая, и это надо отметить, в Украине всегда была на высочайшем уровне, без преувеличений. В большинстве случаев деньги похищают со счетов по весьма примитивной схеме — без перехвата одноразовых паролей и использования сложных хакерских программ.
К сожалению, НБУ часто не может защитить интересы потребителей финансовых услуг в условиях, когда сами банки начисляют необоснованные комиссионные, не указанные в договорах. Именно о таком виде нарушения одним из коммерческих банков я лично написал жалобу в НБУ в специализированное подразделение по защите прав потребителей, с предоставлением всех обосновывающих документов. Мне сложно придумать более грубое нарушение, которое по факту называется воровством. Нацбанк рассмотрел жалобу и прислал письменный ответ, что мне следует обратиться в суд. Такие отписки получает большинство людей, обращающихся с жалобами в НБУ, а нарушение прав клиентов имеет массовый характер. Эффективный контроль защиты прав потребителей финуслуг Нацбанк до сих пор не обеспечил.
Тем не менее в целом данное постановление является полезным и дополнительно усовершенствовало электронные сервисы коммерческих банков и других поставщиков удаленных платежных услуг, — подытожил Евгений Невмержицкий.
Стоит напомнить, что недавно вступил в силу закон, меняющий правила финансового мониторинга счетов украинских граждан и компаний. В частности, установлена сумма денежного перевода, при превышении которой проводится проверка законности происхождения перечисляемых средств.
Фото https://ua.depositphotos.com/