13 февраля в Башкортостане начала свою работу ставшая уже традиционной ежегодная межбанковская конференция «Уральский форум: информационная безопасность банков», собравшая более трехсот участников. Программа конференции сформирована таким образом, чтобы представители банковского рынка и государственных регуляторов, в том числе силовых, в процессе общения могли найти ответы на животрепещущие вопросы и, одновременно, добиться большего взаимопонимания.

В числе основных целей форума – создание среды, которая своим существованием помогала бы добиваться снижения рисков банковского бизнеса.

По мнению заместителя начальника Главного управления безопасности и защиты информации Банка России Андрея Курило, сегодняшний момент интересен тем, что начинает работать Закон № 161-ФЗ «О национальной платежной системе», серьезно переформатировавший поле деятельности. Он предоставил Центральному Банку определенные права и полномочия, которые должны быть правильно использованы для того, чтобы способствовать снижению рисков информационной безопасности.

Второй важный действующий фактор – новая версия Закона № 152-ФЗ «О персональных данных». Закономерно, что эти нормативные документы станут центром внимания участников конференции.

Кроме того, на конференции будут много говорить о стандартизации. По словам Андрея Курило, важно понять, что такое стандарты, зачем они нужны, и что в результате их внедрения банки получат. Необходимо создать систему формализованных понятий и взглядов, что пригодится для эффективного достижения целей в будущем.

Россия не может не учитывать факторы, которые сложились на международном банковском рынке, в том числе несоответствие наших платежных карточных систем международным стандартам PCI DSS. На конференции будут рассматриваться и вопросы сертификации по этим стандартам.

В числе серьезнейших тем для обсуждения – дистанционное банковское обслуживание. Проблема затрагивает все страны мира без исключения, но у нашей страны есть своя специфика, находящая отражение в действующих моделях угроз. Сегодня необходимо создавать адекватные меры противодействия, чтобы переломить негативную динамику хищений.

Кроме того, что проблемы безопасности всеобъемлющи: они касаются отдельных граждан, банков и экономики в целом. Динамика роста киберпреступности огромна, сообщил президент Ассоциации российских банков Гарегин Тосунян. Если три года назад Россия по темпам роста отставала от развитых стран, то теперь по масштабам мы вышли на третье место в мире. «Очень важным является не только введение  ограничений, связанных с хакерством, – считает Гарегин Тосунян, – для страны вообще актуальна проблема недостаточного законодательного регулирования всех платежей и электронных платежей в особенности». Таким образом создается искусственный стимул и возможности для формирования таких элементов платежной системы, которые вроде бы и не нарушают закон, но и не обеспечивают должного контроля над платежами, генерируют дополнительные риски. Сейчас законодательно тема платежной системы в определенной степени урегулирована, но предстоит еще провести существенную работу на подзаконном уровне. Сделан лишь первый шаг в нужном направлении. Вспомнив дискуссии о «терминальщиках», Гарегин Тосунян, обратил внимание на свойственную России тенденцию перегибать палку, чего, по его мнению, важно избежать, например, в виде излишней «зарегулированности» под предлогом борьбы с киберпреступностью.

Курило согласился с Тосуняном, что если закручивать гайки и при этом не видеть стратегические направления, то снижения рисков бизнеса не достичь.

Не следует забывать, что безопасность надо рассматривать как фактор, способствующий снижению рисков бизнеса, продолжил Андрей Курило. Если говорить о глобальных угрозах или глобальных кризисах, то информационная безопасность на эти проблемы не влияет. В качестве иллюстрации Андрей Курило привел банк Lehman Brothers, в котором, по оценкам специалистов, была лучшая система безопасности в мире, что не помогло ему избежать банкротства из-за высокорисковой деятельности его дилеров.

На тенденциях развития платежных систем остановился первый заместитель Председателя Банка России Владислав Конторович. Говоря о вступлении в силу Закона № 161-ФЗ, Владислав Конторович отметил, что отсутствие регулирования только на первый взгляд кажется благом, поскольку оно всегда связано с ограничениями. Но в отсутствии регулирования непонятно, занимаетесь вы законной или незаконной деятельностью, что хорошо для мошенников, но останавливает инвесторов, особенно в ситуациях, которые требуют серьезных инвестиций. Для инвесторов эта правовая неопределенность вообще смерти подобна. Закон – первое институциональное обстоятельство, создание рыночных инфраструктур в форме объединений участников этого бизнеса – второе важное обстоятельство, они оба ориентированы на развитие отечественных платежных систем. По мнению Конторовича, все самое интересное начнется с июля, когда, в соответствии с законом, Банк России начнет заниматься надзором и регистрацией платежных систем. Вот с этой минуты и станет понятно, насколько быстро (как по количеству, так и по качеству) будет развиваться этот рынок. Сейчас, по оценкам экспертов, которые спикеру представляются правдоподобными, около 50–70 платежных систем в определении закона могут быть зарегистрированы к концу 2012 года.

Важно, что закон по духу соответствует европейскому законодательству. В данном случае под духом закона подразумевается защита прав слабых, то есть потребителей, клиентов банка. В то же время, по мнению Конторовича, есть некоторый непропорциональный сдвиг ответственности в сторону банков по сравнению с ответственностью клиентов.

Это мнение еще более эмоционально выразил Гарегин Тосунян, утверждая, что на самом деле слабым является добросовестный клиент банка, но не менее слабым по отношению к мошенникам является и сам банк. Ключевое слово здесь «добросовестный», поэтому все меры защиты должны быть направлены против тех, кто является недобросовестными участниками рынка и не важно, это банк или клиент.

Золотая середина состоит в следующем: закон должен защищать добросовестного клиента и добросовестный банк, подтвердил Владислав Конторович. Сейчас приходится повторно производить ревизию опыта европейского законодательства, возможно ситуацию удастся отрегулировать нормативными документами, есть вероятность, что законодательство будет формироваться по существу судебной практикой.

Журналистов интересовала и судьба универсальной электронной карты, тем более, что Башкортостан имеет уникальный опыт эмиссии социальной карты. Владислав Конторович сообщил, что Банк России, не став ключевым провайдером в этом вопросе, проект поддерживает в части, касающейся его компетенции, добавив от себя лично, что считает его положительным для нашей страны, поскольку он создает дополнительные условия для здоровой конкуренции.

Таким образом, 2012 год должен стать знаковым как для национальной платежной системы, так и для отечественной системы информационной безопасности банков.