Артем Шейкин

Член Комитета Совета Федерации по конституционному законодательству и государственному строительству

Штраф за кражу денег клиентов банков необходимо увеличить в десять раз

01.12.2023 11:22

Для обеспечения безопасности счетов своих клиентов большинство банков используют метод двухфакторной аутентификации, который включает заранее определенные 4—6-значные коды. Эти коды необходимы для подтверждения транзакций или входа в интернет-банк. Обычно банки отправляют разовые коды клиентам через СМС-сообщения.

Мошенничество, связанное с перехватом СМС от банков, стало распространенной проблемой из-за уязвимости данного метода подтверждения денежных переводов.

Как работает перехват СМС

Киберпреступники используют различные методы, такие как фишинг, клавиатурные шпионы и банковские трояны, чтобы получить логин и пароль для доступа к онлайн-банкингу. После этого они входят в учетную запись и отправляют запрос на перевод денег.

Большинство банков требуют дополнительное подтверждение для совершения перевода и отправляют код, чтобы удостовериться, что операцию выполняет именно владелец счета.

Однако, в случае если банк отправляет код подтверждения через СМС, злоумышленники могут воспользоваться уязвимостью SS7 и перехватить сообщение. Затем они вводят полученный код, притворяясь владельцем телефона. Банк, рассматривая операцию как полностью легитимную, авторизованную дважды (с помощью пароля и разового кода), выполняет перевод денег. В результате мошенники без преград получают доступ к чужим деньгам.

Указание Центробанка

В соответствии с указанием ЦБ от 18 февраля 2022 года (6071-У), внесшим изменения в положение ЦБ о требованиях по защите информации для предотвращения несанкционированных денежных переводов, банки обязаны обеспечивать целостность онлайн-операций и подтверждать их авторство у клиента с использованием средств криптографической защиты или усиленной квалифицированной или неквалифицированной подписи.

Данное требование направлено на повышение уровня защищенности от таких атак, как программный перехват сообщений, перевыпуск сим-карт, внутренний фрод.

Штрафы дешевле

В случае невыполнения банками указанных требований Банк России имеет право применять меры, предусмотренные статьей 74 Федерального закона «О Центральном банке Российской Федерации» № 86-ФЗ, включая наложение штрафа в размере до 0,1 процента минимального размера уставного капитала.

Таким образом, стоимость работ по внедрению или разработке новых технических средств для соответствия требованиям Банка России зачастую превышает сумму возможного штрафа. Из-за этого некоторые кредитные организации продолжают использовать СМС и push-коды для аутентификации отправителя сообщения и подтверждения операций.

Следует отметить, что такое решение повышает уязвимость и риск мошенничества.

Законодательная инициатива

Для усиления ответственности кредитных организаций за нарушение требований Банка России предлагается внести изменения в статью 74 Федерального закона «О Центральном банке Российской Федерации». Предлагается увеличить штраф до одного процента от минимального размера уставного капитала (сейчас штраф установлен в размере 0,1 процента), то есть в 10 раз.

Такое изменение поможет повысить ответственность кредитных организаций и стимулировать их более активно соблюдать требования Банка России в области защиты информации. Введение более серьезных финансовых санкций за невыполнение предписаний ЦБ обеспечит повышенный уровень защиты клиентов от кибератак и других угроз безопасности.

В настоящий момент, согласно статье 11 Федерального закона «О банках и банковской деятельности», размер уставного капитала для вновь зарегистрированного банка с базовой лицензией составляет 300 миллионов рублей. Соответственно, штраф, который может быть наложен на такой банк, законодательно ограничен суммой в 300 тысяч рублей. Такая сумма несопоставима с затратами, которые необходимы финансовой организации на обеспечение требуемых мер информационной безопасности.

Защита интересов граждан

Разрабатывая и внедряя системы безопасности, финансовые организации должны в первую очередь думать о защите от угроз граждан и их финансов. Использование СМС-сообщений в качестве единственного варианта двухфакторной аутентификации в банковской сфере может продолжать создавать уязвимости и риски взлома.

Однако стоит отметить, что некоторые банки уже внедрили дополнительные методы аутентификации, такие как использование мобильных приложений, аппаратных токенов или биометрических данных. Использование таких методов аутентификации предполагает более высокий уровень безопасности и помогает снизить уязвимости, связанные с перехватом СМС-сообщений.

Своевременная актуализация законодательства в области информационной безопасности (ИБ), требований к мерам ИБ и ответственности за их несоблюдение финансовыми организациями, а также развитие технических средств защиты являются необходимыми шагами для повышения безопасности банковских систем.