Тимур Аитов, банковский экспертТимур Аитов, банковский эксперт

Никого не надо убеждать в необходимости борьбы с киберпреступниками и киберпреступлениями в сфере платежей. Безопасность платежей важна и тем, что именно она определяет успех продвижения безналичных платежей в клиентской среде. Какой бы удобной, простой и доступной ни была система платежей, как только она становится небезопасной, клиент моментально теряет к ней интерес. По этой причине безопасность – это, безусловно, ключевой фактор успешного продвижения безналичных платежей на рынке.

Часть экспертов-аналитиков заносят нашу страну в черные списки стран, особо подверженных мошенничеству. Россию размещают в многострочных рейтингах на первых верхних позициях, а в публикациях приводят многомиллиардные суммы потерь владельцев карт из числа россиян.

Так ли это на самом деле?

Известно, что, по крайней мере, в розничных платежах уровень потерь по картам российских банков-эмитентов примерно в 10 раз меньше, чем по картам зарубежных банков. Напомним, что средний уровень фрода по Европе примерно 6–7 базовых пунктов (1 б.п.=0,01%), в России он примерно равен 0,5 б.п. И это официальные данные – об этом публично заявляла платежная система Visa, а сотрудникам MC/EC на эту тему даже приписывают более образное выражение: «В России фрода нет». Смысл его в том, что фрод в России исчезающе мал, если оценивать его по европейским меркам.

Незначительный уровень фрода в России, конечно, связан не с тем, что соотечественники особо честные или в нашей стране действуют какие-то необычные мошенники. Причины чисто экономические – дампы номеров скомпрометированных карт россиян не столь привлекательны для продаж заинтересованным лицам: средние остатки по счетам у наших граждан гораздо меньше, чем у западноевропейских кардхолдеров. Соответственно, стоимость дампа на черном рынке оказывается пропорционально ниже.

Успокаиваться, конечно, не следует. Новые технологии платежей в России развиваются и при этом порождают новые угрозы – ничего страшного в этом нет, надо только быть готовыми активно заниматься ликвидацией уязвимостей. К примеру, когда технологии NFC только выходили на рынок, была обнаружена масса уязвимостей типа pick-up атак, при которых злоумышленник мог имитировать наличие устройства дистанционного приема платежей и этим способом очищать электронный кошелек клиента («кошелек с прикрученной антенной» – так об этом писали с иронией СМИ). Сегодня уязвимость ликвидирована – введены ограничения по сумме бесконтактной транзакции и придуманы «мобильные» ПИНы, которые надежно защитили кошельки клиентов от потерь. Сразу сменили свой тон в отношении бесконтактных платежей и специальные СМИ.

Появление новых указаний и инструкций со стороны ЦБ, направленных на усиление мер борьбы со злоумышленниками, конечно, следует приветствовать. И конечно, неукоснительно выполнять, поскольку указания ЦБ в деле безопасности, по сути дела, обобщают лучшие практики рынка. Очевидно, необходимо сообщать клиентам о наличии фишинговых сайтов, а банкоматы снабжать специальными информационными табличками о его принадлежности – как то предписывает очередное указание Банка России. Скажу даже более – многие банки давно подобную практику используют и идут даже дальше предлагаемых мер, размещая на мониторах банкоматов картинки, иллюстрирующие внешний вид данного устройства тогда, когда на нем нет никаких «лишних» деталей, установленных скиммерами. Это делается в интересах клиента и для повышения его защищенности от действий злоумышленников. Все предлагаемые меры, видимо, повлияют на состояние борьбы с кибермошенниками.

Но на что хочется сразу обратить внимание?

Увы, во многом задача борьбы со злоумышленниками, как чаще всего сегодня бывает, перенесена на сторону клиента. Именно клиент должен, получив информацию о фишинговом сайте, проявлять осторожность и, возможно, даже сообщать в Управление «К» МВД России. Именно он должен оспаривать транзакции, о проведении которых он не знал в соответствии с духом и буквой статьи 9 закона 161-ФЗ. Именно пострадавший должен направить заявления в многочисленные внешние инстанции, если пропали деньги в результате противоправных мошеннических действий в системах ДБО. Дело поставлено так, что без воли клиента практически ничего не делается. Возможно, это правильно с юридической точки зрения – деньги-то пропали у конкретного лица, – но это не очень эффективно с точки зрения борьбы.

Преступники же действуют быстро: при проведении фишинговой рассылки счет идет на минуты. И самым эффективным способом борьбы с ней пока остается не информирование клиента о наличии противоправного сайта, а мгновенная блокировка счетов всего пула клиентов, попавших в рассылку – с последующим изменением логинов и паролей. Да, многие клиенты некоторое время будут испытывать неудобства из-за отсутствия доступа к своим счетам, но платой за это послужит сохранность их сбережений на банковских счетах. Увы: 7% клиентов из числа попавших в фишинговую рассылку до сих пор добровольно передают в руки злоумышленников свои логины и пароли.

Сегодня мнение большинства экспертов единодушно – для радикального изменения ситуации и интенсификации борьбы с кибермошенниками необходимо создание специализированного Центра кибербезопасности в кредитно-финансовой сфере. Новый Центр будет мгновенно реагировать на происходящую ситуацию, вести эффективную борьбу и координировать активность в этой борьбе и действия других силовых ведомств. Конечно, Центр должен заниматься разработкой превентивных мер.

Подобные специализированные центры существуют во многих других странах мира, во многих других – кроме России. Пожелания о необходимости создании такого центра высказывались сообществом многократно, в том числе поддерживались и со стороны Банка России. Однако в ходе последующих обсуждений возникли опасения, что при работе подобного центра будет нарушаться ряд существующих законодательных актов в части защиты персональных данных и закона о банковской тайне. Именно по этим причинам создание Центра кибербезопасности и мониторинга фрод-транзакций до сих пор не начато. Причины, безусловно, весомые, но с другой стороны, недавние события показывают, что если наши парламентарии чего-то сильно захотят, то они могут решить любую законодательную проблему – было бы только желание. Сегодня принятие закона о создании Центра кибербезопасности кредитно-финансовой сферы стало насущным требованием времени – имея в виду и начатую реализацию проекта НСПК, и непростую ситуацию с провайдерами розничных безналичных платежей в стране. Дело за малым – проявить политическую волю и в скорейшем времени принять закон. А благодарны за это будут все – и Банк России, и игроки рынка, и конечно, все мы – граждане.