Своевременные меры. Борьба с социальной инженерией вступила в завершающую стадию

BIS Journal №1(48)2023

22 марта, 2023

Своевременные меры. Борьба с социальной инженерией вступила в завершающую стадию

BIS Journal попросил Анатолия Аксакова подвести итоги 2022 года и наметить перспективы законотворческой деятельности в 2023 году.

 

ОБ ИЗМЕНЕНИЯХ В ФЕДЕРАЛЬНЫЕ ЗАКОНЫ

— Анатолий Геннадьевич, в конце 2022 года произошло несколько важных событий. Во-первых, создание УБК МВД РФ, а также внесение изменений в Федеральный закон «О банках и банковской деятельности» позволили банкам и правоохранительным органам оперативно реагировать на преступления в финансовой сфере. 

Во-вторых, по инициативе Банка России рассматриваются изменения в ФЗ «О банках и банковской деятельности», которые дадут банкам право блокировать перевод денежных средств на счета мошенников, несмотря на согласие отправителя. Этот проект закона уже получил положительное заключение правительства, ведутся работы по проработке формулировок статей для исключения двойного толкования. 

Расскажите, пожалуйста, в чем состоят изменения в ФЗ «О банках и банковской деятельности»? Какой механизм борьбы с фродом и социальной инженерией они создают?

 

— Во-первых, да, действительно, Президентом подписан Федеральный закон от 20.10.2022 № 408-ФЗ «О внесении изменений в статью 26 Федерального закона "О банках и банковской деятельности" и статью 27 Федерального закона "О национальной платежной системе"», который создает условия для автоматизированного обмена данными между Банком России и МВД России, что позволит объединить усилия указанных ведомств в борьбе с кибермошенниками.

Закон будет способствовать повышению скорости расследования дел по фактам мошенничества при денежных переводах. Сейчас при рассмотрении таких дел значительное время уходит на запросы данных и переписку между правоохранительными органами и банками. Закон предусматривает подключение МВД к автоматизированной системе ФинЦЕРТ Банка России, в которой содержится информация об операциях, проведенных без согласия клиентов. Благодаря этому правоохранительные органы смогут практически в онлайн-режиме получать сведения о мошеннических операциях, в том числе о получателях похищенных денег. Обмен данными будет происходить с соблюдением всех норм банковской тайны. МВД России будет передавать в базу ФинЦЕРТ сведения о совершенных противоправных действиях. Банки – участники информационного обмена, в свою очередь, смогут учитывать эти данные в своих бизнес-процессах для предотвращения мошеннических переводов.

Закон вступит в силу через год, в октябре 2023 года, а до этого момента регулятор и министерство заключат двустороннее соглашение, в котором будут определены виды сведений, порядок, сроки и формат их передачи, а также интегрируют информационные системы.

 

О БЛОКИРОВКЕ СРЕДСТВ

Во-вторых, в Государственную Думу внесен проект федерального закона № 197920-8 «О внесении изменений в Федеральный закон "О национальной платежной системе" (в части совершенствования механизма противодействия хищению денежных средств)».

Согласно указанному законопроекту в целях улучшения действующих механизмов антифрода предлагается обязать не только банк плательщика (как это установлено сейчас), но и банк получателя средств проводить обязательную антифрод–процедуру, т. е. осуществлять проверку операций на признаки мошенничества, включая сверку с базой данных о случаях и попытках осуществления переводов денежных средств без согласия клиента, которую ведет Банк России.

Кроме того, в связи с тем, что у граждан похищают денежные средства чаще всего методами социальной инженерии, при которой лицо самостоятельно переводит деньги мошеннику, предлагается предоставить банкам право не принимать к исполнению распоряжения по явно мошенническим операциям в течение двух дней, даже несмотря на наличие согласия клиента (в случае, если оператор по переводу денежных средств получил от Банка России информацию, содержащуюся в базе данных о случаях и попытках осуществления переводов денежных средств без согласия клиента, указывающую на операцию без согласия клиента). Как правило, за два дня клиент осознает, что деньги перечисляются мошеннику.

Также у банка получателя появляется право приостанавливать использование клиентом электронного средства платежа (ЭСП), если такой клиент или используемый ЭСП находится в базе данных Банка России.

Дополнительно вносятся уточнения в части особенностей операций по переводу денежных средств с использованием платежных карт при проведении кредитными организациями антифрод-мероприятий, позволяющие не приостанавливать операции без согласия клиента, а осуществлять проверку на признаки операций без согласия клиента на этапе до приема к исполнению распоряжения клиента.

Данный законопроект был разработан в тесном сотрудничестве с Банком России и кредитными организациями, полагаем, что он находится в высокой степени готовности. Конечно, ко второму чтению будут некоторые поправки, но, учитывая актуальность темы, мы рассчитываем на его принятие в весеннюю сессию 2023 г.

 

О ТЕЛЕФОННОМ МОШЕННИЧЕСТВЕ

— Как нам стало известно, проведена и большая работа по борьбе с телефонным мошенничеством. Во-первых, планируется внести изменения в Федеральный закон «О связи» для быстрого и эффективного реагирования на звонки мошенников. Изменения в законодательстве, которые вступили или вступят в силу, обяжут операторов связи верифицировать все звонки в сети, а структурам МВД РФ позволят оперативно получать информацию от банков.

Во-вторых, с января 2023 г. вступили в силу изменения в ст. 13.2.1 КОАП РФ, которые вводят штрафы для операторов связи, не исполнивших обязанности по подключению к системе обеспечения соблюдения операторами связи требований при оказании услуг связи и услуг по пропуску трафика в сети связи общего пользования. Оператор будет обязан передавать абонентам реальные номера звонящих.

В-третьих, согласно изменениям в Федеральный закон «О связи» в обязанности оператора связи войдёт необходимость передавать Минцифры всю цепочку связи для установки нарушителя. Планируются также введение уголовной ответственности за нарушения данного закона, аннулирование лицензий. Среди прочих мер рассматривается возможность прекращения обслуживания номеров иностранных граждан при окончании сроков на право пребывания в стране – с номеров, зарегистрированных на таких абонентов, также поступает много поддельных звонков.

Расскажите, в чем состоят изменения в ФЗ «О связи»? Какой механизм борьбы с фродом и социальной инженерией они создают?

 

— В настоящее время в Комитете по финансовому рынку ведется активная работа по подготовке текста ко второму чтению законопроекта № 514780-7 о создании информационной системы проверки сведений об абоненте.

Данный законопроект был разработан при активном участии Минцифры России, Банка России и участников финансового рынка в целях обеспечения возможности для любой финансовой организации проверить факт принадлежности конкретного номера мобильного телефона конкретному физическому лицу – клиенту финансовой организации, который клиент использует для дистанционного взаимодействия с финансовой организацией, а также для выявления событий, свидетельствующих о возможной попытке злоумышленника использовать номер телефона клиента для хищения его денежных средств в рамках исполнения требований Федерального закона № 161-ФЗ «О национальной платежной системе».

До сих пор доступ к таким сведениям на основании прямых договоров с отдельными операторами связи имеет лишь узкий круг банков (менее 30), в то время как остальные финансовые организации такого доступа не имеют вследствие избранной операторами связи ценовой политики.

 

ЕИС ПСА

Для системного решения задачи по противодействию совершению правонарушений с использованием средств связи Законопроектом предусматривается дополнение Федерального закона «О связи» новой статьей 44.3, регулирующей создание Единой информационной системы проверки сведений об абоненте – физическом лице и о пользователях услугами связи абонента – юридического лица либо индивидуального предпринимателя (ЕИС ПСА).

В рамках ЕИС ПСА предлагается установить обязанность операторов подвижной радиотелефонной связи сообщать уполномоченным государственным органам, перечень которых и цели использования которыми ЕИС ПСА прямо закрепляются в законе (это Банк России, Минцифры России, ФСБ России, МВД России и Росфинмониторинг), а также на платной основе кредитным организациям, операторам платежных систем, операторам услуг платежной инфраструктуры, операторам услуг информационного обмена, некредитным финансовым организациям и бюро кредитных историй семь видов информации:

  • о состоянии идентификационного модуля, в том числе о факте его замены на пользовательском (оконечном) оборудовании абонента,
  • о факте подключения (включения и/или выключения) абонентом переадресации голосовых вызовов,
  • о факте смены пользовательского (оконечного) оборудования абонента и т. д.

Важно отметить, что в процессе функционирования ЕИС ПСА никакие персональные данные передаваться не будут. Идентификация клиента – абонента будет производиться по номеру телефона.

В целях защиты информации, передаваемой с использованием ЕИС ПСА, Законопроект включает положения:

  • о запрете получения пользователями ЕИС ПСА, том числе государственными органами, информации в целях, прямо не предусмотренных Законом о связи;
  • о запрете получения финансовыми организациями информации о физических и юридических лицах, не принятых ими на обслуживание;
  • о запрете хранения информации оператором ЕИС ПСА сведений, передаваемых с использованием системы;
  • о полномочиях Минцифры России по согласованию с ФСБ России, ФСТЭК России и Банком России определять перечень угроз безопасности персональных данных, актуальных в случае передаче персональных данных в ЕИС ПСА.

Важно отметить, что ЕИС ПСА сразу создается в инфраструктуре, обеспечивающей информационно–технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг и исполнения государственных и муниципальных функций, что позволит минимизировать затраты всех участников на интеграцию с ней. Оператор ЕИС ПСА будет определен Правительством Российской Федерации.

Банк России также получает полномочие устанавливать случаи обязательной проверки сведений через ЕИС ПСА (это полномочие вступит в силу с 01.01.2024).

Одновременно для операторов связи и финансовых организаций сохраняется возможность получения сведений аналогичных содержащихся в ЕИС ПСА на основании прямых договоров с операторами связи.

 

ОБ УТЕЧКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

— Ожидается увеличение штрафов за утечку персональных данных. Сегодня за утечку данных предусмотрен максимальный штраф в размере 75 тыс. руб. согласно ст.13.11 КоАП РФ. Минцифры подготовило законопроект об оборотных штрафах для компаний за утечку персональных данных – до 3 % от оборота. Эти меры должны мотивировать компании вкладывать средства в инфраструктуру РБ до киберинцидента.

На какой стадии находится данный законопроект? Какой механизм действий предполагает?

 

— Данный законопроект пока не внесен в Государственную Думу и находится на согласовании в Правительстве РФ.

Он направлен на усиление защиты персональных данных граждан нашей страны. На проработку этого вопроса дано поручение Президента – до 1 июля 2023 года рассмотреть вопрос об установлении оборотных штрафов в отношении компаний, допускающих утечку персональных данных, а также усилить ответственность за их незаконный оборот.

По моему мнению, введение оборотных штрафов является весьма своевременной мерой, учитывая реальный урон, который наносят утечки персональных данных. И здесь государство безоговорочно встает на сторону граждан, защищая их права.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

15.04.2024
«Мы начали внедрение искусственного интеллекта с самих себя»
15.04.2024
«Ростелеком»: Рынок должен вложиться в инфраструктуру связи
15.04.2024
Балканские инженеры добавили ярких красок в системы безопасности
15.04.2024
Расходы ИТ-компаний на продвижение в СМИ выросли в полтора раза
15.04.2024
Имейл — небезопасный канал для получения распоряжений на перевод
15.04.2024
В App Store просочилось фейковое ПО «Сбера»
15.04.2024
В России создают базу научных публикаций по ИИ
12.04.2024
Дуров: Умные люди всегда будут предпочитать свободу ограничениям
12.04.2024
Мигрантов обяжут регистрироваться на «Госуслугах» перед покупкой «симок»?
12.04.2024
Голоса в голове. Кто на самом деле убеждает вас взять кредит

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных