Мы предлагаем:
Почему мы:
Музалевский Фёдор Александрович
Царев Евгений Олегович
Гончаров Андрей Михайлович
Кобец Дмитрий Андреевич
Ведущий эксперт компьютерно-технического направления
Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО «ВГУИТ»
Все эксперты
Эксперт по информационной безопасности
Опыт: Экспертная работа с 2011 года. Педагогический стаж с 2008 года
Все эксперты
Юрист в области информационной безопасности
Опыт: Профессиональный опыт в области IT-права с 2015 года
Все эксперты
Эксперт в сфере информационной безопасности
Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2009 года
Все экспертыНаиболее высокий уровень информационной безопасности в целом имеет место в банковской среде. Отчасти это связано с высоким уровнем автоматизации банковских процессов, отчасти это связано с регулированием деятельности банков со стороны Банка России. Общее количество документов, регулирующих в той или иной степени область информационной безопасности, насчитывает около полусотни.
Наиболее значимыми являются следующие требования:
В отличие от СТО БР ИББС требования 382-П являются обязательными вне зависимости от решения самой организации банковской системы. Нарушения 382-П влекут за собой правовые последствия для банков как в части регулирования и надзора со стороны Банка России, так и в части потенциальных споров с платежными системами и клиентами банков.
Особое значение выполнение или невыполнение требований 382-П и СТО БР ИББС имеет в случаях хищения денежных средств через каналы дистанционного банковского обслуживания, таких как Интернет-банк, Мобильный банк или ТУ ДБО (банкоматы и платежные терминалы).
Несмотря на сложность доказывания фактов нарушения указанных требований банками, тем не менее, это возможно. В судебных спорах между клиентами и банками, суды с особым вниманием относят к исполнению банками требований регулятора. Клиенты, в свою очередь, должны исполнять требования договора с банком. Споры по таким делам относятся к категории сложных и позиция банков изначально более сильная, однако практика рассмотрения дел связанных с хищением злоумышленниками денежных средств развивается. В отечественной судебной практике уже имеются факты истребования самописных компонентов средств дистанционного банковского обслуживания, имеются факты исследования выгрузок внутренних систем банков, а также исследование самих банковских систем на предмет поиска уязвимостей. Все это имеет значительный вес для суда.
Таким образом, в настоящий момент при профессиональной юридической и технической поддержке, у клиентов банков имеются все основания и возможности истребовать у банка полную сумму возмещения похищенных денежных средств.
Для уточнения стоимости и сроков экспертизы заполните форму ниже. Срок реакции на запрос от 1 до 7 часов. Заявки принимаются круглосуточно.
| Наименование услуги | Стоимость |
|---|---|
|
Консультация |
Бесплатно |
|
Информационное письмо для суда |
бесплатно |
|
Экспертизы по направлению ИБ в банковской деятельности |
от 40 000 руб. |
Добрый день. У нас спор с клиентом по поводу хищения денежных средств с расчетного счета. Нужна экспертиза о том, что у нас ИБ обеспечивается в полном объеме.
Денис
Здравствуйте.
Для финансовых организаций подтверждением полноты обеспечения ИБ являются, как минимум, периодические оценки соответствия по ГОСТ 57580, 382-П, результаты пентестов. Если оценка проведена достаточно давно (более полугода назад), рекомендуем провести оценку в рамках экспертизы, поставив перед экспертом вопрос: соответствует ли система ИБ организации требованиям законодательства и платежных систем?
Кобец Дмитрий Андреевич
Как банку обезопасить клиентов, чтобы они не говорили кодовое слово мошенникам?
Дмитрий
Повысить осведомленность клиентов.
Когда приходит код для подтверждения операции, прописано – никому не говорить код. То, что прописано, мы все знаем, а вот клиенты, которые три года назад подписали договор по обслуживанию расчетного счета об этом не помнят.
Поэтому осведомление клиентов должно быть периодическим. Если хотя бы SMS с текстом, в таком виде, отправлять раз в полгода клиентам, то это должно их держать, как минимум, в тонусе, чтобы они понимали, что происходит.
Музалевский Фёдор Александрович
Верно ли, что, когда деньги увели – уже поздно метаться?
Дмитрий
На самом деле, увод денег — это не одномоментная процедура, мошенникам их надо перевести, обналичить, и мошенники тоже не всегда действуют достаточно расторопно. То есть здесь надо просто проявить максимум оперативности, чтобы успеть быстрее, чем мошенники. Грубо говоря, если у меня украли деньги и перевели их злоумышленнику, я успел позвонить в банк за десять минут, то заблокировать счет злоумышленника за десять минут реально, но для этого должно быть оперативное взаимодействие. За десять минут снять миллион рублей – это тяжело, даже физически банкомат не успеет их выдать.
Музалевский Фёдор Александрович
Какие трудности возникают при взаимодействии с правоохранительными органами?
Вера
Во-первых, правоохранительные органы, чтобы добиться какой-то информации от банка, должны пройти целую бюрократию. Это, как правило, месяц и даже несколько месяцев. А делать надо в тот же день, то есть, грубо говоря, сотрудники полиции с экспертом придут к вам в день хищения – вы их пустите в серверную? Вряд ли. Вы им дадите логи? Вряд ли. У вас там будет целая куча согласований, за это время мошенники не то, что деньги снять успеют, они уже будут в другой стране.
Музалевский Фёдор Александрович
Возможен ли возврат украденных средств только по решению суда?
Дмитрий
Фактически всегда решение суда – единственная возможность вернуть заблокированные деньги. Даже если успели заблокировать денежные средства на счете, в банке может не быть внутренней процедуры взаимодействия по возврату этих денег и, как правило, это идет через суд.
Музалевский Фёдор Александрович
Вы сотрудничаете с правоохранительными органами?
Галина
Мы оказываем содействие правоохранительным органам в рамках участия как в следственных действиях, так и в рамках проведения экспертизы. Иногда это происходит по заключенному договору, но никакого предварительного соглашения, конечно, нет. Если им необходимо участие специалистов, например, в оперативных мероприятиях – мы его оказываем на разных стадиях расследования.
Волокитин Сергей Анатольевич
Деньги часто уходят на Qiwi- кошелёк и мгновенно оттуда уходят. Как бороться с такими кошельками?
Алексей
Здесь бороться с фактом перевода проблематично, надо бороться именно на стадии его предотвращения. Помимо этого, мы говорим про оперативное реагирование – это не закроет все 100% хищений, но к этому надо, как минимум, стремиться.
Музалевский Фёдор Александрович
Есть статистика по мошенничеству в СБП Банка России?
Иван
Статистики по мошенничеству в СБП пока немного, потому что к СБП начали подключаться только в прошлом году. И мы видим, по аналогии с общей статистикой хищений, что сведения в Банк России передаются в крошечном размере от общей статистики, а правоохранительные органы не выделяют у себя хищение через Visa, хищение через СБП, хищение через расчетный счет. Поэтому данная детализация статистики нам может быть доступна только из Центрального Банка и в том объеме, в котором он сам ее получит.
Музалевский Фёдор Александрович
Какой способ считаете наиболее эффективным для подтверждения легитимности операции удаленно, для исключений мошенничества. При использовании мобильного приложения? Канал связи? Маркеры?
Иван
Во-первых, здесь стоит разделять физических лиц и юридических лиц.
Для юридических лиц – это однозначно «четыре глаза», то есть одной подписью ограничиваться не стоит.
Для физических лиц, для мобильных приложений, опять же, — это второй фактор по альтернативному каналу, никак не через Интернет: это должна быть хотя бы старая добрая SMS, которая вставлена в другой телефон.
Но эффективность для подтверждения операции и безопасность данной операции – это не совсем одно и то же. Все мы знаем, что безопасность снижает эффективность, если мы ставим у себя дверь с тремя замками, мы же сами эту дверь дольше открываем. Безопасность повышена? Повышена. А эффективность открытия дверей снижена. Поэтому мы говорим сейчас о рекомендациях по повышению безопасности. Повышение эффективности работы платежной системы и оперативность совершения платежей входят в прямой конфликт с обеспечением информационной безопасности. Хотелось бы, чтобы все это прекрасно понимали, и здесь надо соблюдать баланс, чтобы мы с одной стороны клиента не загоняли в какие-то негативные рамки вроде задержек в переводе, а с другой стороны – обеспечили ему какую-то безопасность.
Музалевский Фёдор Александрович
Интересует, что делать, когда фрод сработал ложно?
Иван
Если антифрод сработал ложно, то это должно быть основанием совершить звонок клиенту с проверкой кодового слова, которое кроме клиента знать никто не должен. По переадресации звонков с телефона клиента – скажем так, кулуарно обсуждаются запреты таких функций. Сначала начали SIM-карты по паспортам выдавать, а теперь еще, я думаю, что номер телефона должен быть привязан к конкретному клиенту. То есть вся переадресация и так далее рано или поздно тоже начнет регулироваться, причем, на достаточно высоком уровне.
Операторы связи не по своей доброй воле это делают – их стимулируют, компетентные органы, потому что подобные функции — это, опять же, ограничение свободы клиента, вызывают негатив. Очевидно, что, если мы введем задержку по операции, клиент будет недоволен, но будет некоторое время чтобы мошенничество остановить.
Музалевский Фёдор Александрович
