Безопасность денежных средств должна измениться 16 марта 2015 года

Центробанк официально опубликовал в «Вестнике Банка России» №83 (от 17 сентября) Указание №3361-У «О внесении изменений в Положение Банка России от 9 июня 2012 года №382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств». Это Указание изменяет требования Положения к защите терминалов, Интернет-торговле и ДБО.

Указание должно вступить в силу 16 марта 2015 года – через 180 дней после опубликования. Предполагается, что новые требования помогут повысить стабильность банковской системы за счет своевременного выявления случаев мошенничества. В блоге Артёма Агеева можно найти презентацию главного экономиста департамента НПС Центробанка Дмитрия Крутова, в которой он обсуждает изменения, а также таблицу в формате Excel, предназначенную для самопроверки по новым требованиям ЦБ.

По мнению Евгения Сачкова, старшего аудитора отдела безопасности банковских систем компании «Информзащита», нововведения можно условно разделить на четыре группы:

• дополнительные требования к разработке прикладного программного обеспечения, используемого клиентами для переводов денежных средств;
• требования к подтверждению права формирования распоряжений на перевод денежных средств, а также требования к информированию о таких распоряжениях;
• требования к контролю штатного функционирования терминальных устройств дистанционного банковского обслуживания;
• требование прекратить выпуск карт, не оснащенных микропроцессором, до 1 июля 2015 года.

Наиболее существенным оказалось последнее требование в списке. В соответствии с ним все банковские карты, которые будут выпускаться российскими банками с 1 июля следующего года, обязательно должны иметь микропроцессор, обеспечивающий более безопасные транзакции, чем авторизация с помощью магнитной полосы. Сачков утверждает: «Самым затратным для банков моментом может оказаться переход с пластиковых карт с магнитной полосой на карты, оснащенные микропроцессором, либо на их гибридный вариант. С другой стороны, переход на новые типы карт поможет снизить потери от мошеннических транзакций». Собственно, именно на защиту клиентов банков от мошенничества и нацелено изменение требований. «На карточный бизнес российских банков запрет карт без чипа никак не повлияет, –  считает Артём Сычёв, заместитель начальника главного управления безопасности и защиты информации Банка России. – Большинство из них и так уже выпускает карты с чипами».

Не менее важным нововведением Указания №3361-У является требование установки в банке системы защиты от мошенничества, так называемой антифрод-системы, которая выявляет попытки мошенничества по совокупности признаков. «У большинства банков антифрод уже работает, так что это – лишь констатация существующего положения вещей», – отмечает Сычёв. Его слова подтверждает и Евгений Сачков: «Внесенные изменения являются скорее признанием и адаптацией удачных мировых практик, чем кардинальной сменой курса развития ИБ».

Напротив, эксперт BISA Павел Головлёв считает, что новые требования сильно повлияют на деятельность банков: «Расходы на реализацию новых требований ЦБ могут значительно превысить ущерб от мошенничества», –  говорит он. При этом выбран самый неудачный для банков момент, когда в результате войны санкций финансовый бизнес и так находится в несколько затруднительном положении. Сейчас уровень мошенничества, по данным «Российской газеты», находится на уровне 0,01% всех операций по банковским картам, и усиление мер по дальнейшему снижению этого показателя в коммерческих банках просто не окупится.