Опубликовано в журнале "Финансовый менеджмент" №3 год - 2019
Шалаев И.А.,
кандидат экономических наук, доцент кафедры экономики и экономической
безопасности Среднерусского института управления (филиал Российской
академии народного хозяйства и государственной службы при Президенте РФ)
ЛысенковаС.С.,
магистр Среднерусского института управления (филиал Российской академии
народного хозяйства и государственной службы при Президенте РФ)
В данной статье изучена проблема информационной защиты и обеспечения безопасности проведения расчетов в национальной платежной системе в современных рыночных условиях. Проанализирован несанкционированный доступ в национальную платежную систему. Представлена структура национальной платежной системы.
В настоящее время к современной платежной системе для качественного обеспечения платежей предъявляются высокие требования. Данная тема актуальна к тому же потому, что необходимо обеспечивать информационную безопасность национальной платежной системы с той целью, чтобы предотвратить угрозы, которые могут оказать негативное влияние на экономическую безопасность и разрушить финансово-экономическую стабильность нашей страны. Для более точного раскрытия темы необходимо дать ряд определений. Федеральный закон от 27.06.2011 (ред. от 27.06.2018) № 161-ФЗ «О национальной платежной системе» трактует определение так: национальная платежная система (НПС) – это совокупность операторов по переводу денежных средств (включая операторов электронных денежных средств), банковских платежных агентов (субагентов), платежных агентов, организаций федеральной почтовой связи при оказании ими платежных услуг в соответствии с законодательством Российской Федерации, операторов платежных систем, операторов услуг платежной инфраструктуры (субъекты национальной платежной системы) [1].
Информационную безопасность НПС многие ученые трактуют так: это состояние защищенности целей деятельности НПС от информационных угроз, обеспечивающее реализацию задач эффективности и бесперебойности, а также соответствие национальной платежной системы потребностям банковского сектора, экономики и финансового рынка РФ. Организационно-правовые формы и отраслевая принадлежность субъектов НПС представлены на рис. 1.
Анализируя нормативно-правовую базу, мы выявили обязанности субъектов НПС.
Субъекты НПС обязаны:
- гарантировать банковскую тайну;
- обеспечивать защиту конфиденциальной информации;
- обеспечивать защиту информации при осуществлении переводов денежных средств [1].
В целях обеспечения защиты информации Банк России осуществляет формирование и ведение базы данных о случаях и попытках осуществления переводов денежных средств без согласия клиента. Субъекты НПС обязаны направлять в Банк России информацию обо всех случаях и (или) попытках несанкционированного доступа или о проведении операций, не связанных с несанкционированным доступом. Они также вправе получать от Банка России подробную информацию о несанкционированном доступе или попытках доступа. Федеральный закон № 161-ФЗ «О национальной платежной системе», а именно ст. 32, закрепляет за Банком России право проведения инспекционных проверок. Участники национальной платежной системы обязаны
отправлять в Банк России отчетность, касающуюся информационной безопасности.
Формы и сроки отчетности определяются Банком России [1].
Под инцидентом понимается одно или серия связанных нежелательных или неожиданных событий защиты информации, которые могут привести к таким последствиям, как:
- перевод денежных средств без согласия клиента;
- проведение банковской операции без согласия клиента;
- неоказание или несвоевременное оказание услуг по переводу денежных средств;
- неоказание или несвоевременное оказание банковских услуг [2].
Существует ряд угроз (они названы далее по тексту), возникающих в национальной платежной системе, которые могут повлиять на экономическую безопасность нашей страны и разрушить ее финансовую и экономическую стабильность.
1. Высокую опасность для платежных систем страны, которые используют западное оборудование, представляет возможность установки «жучков» или «заглушек» иностранными спецслужбами.
2. Угрожающими темпами растет уровень кибернетических угроз, который вынуждает субъектов национальной платежной системы, предоставляющих плохо защищенные финансовые услуги, делать выбор: либо повышать информационную безопасность, либо уходить с рынка.
3. Министерство обороны Российской Федерации для выплаты денежного довольствия военнослужащим пользуется услугами западных платежных систем, а именно VISA и Master Card, что дает возможность западным государствам узнать численность Вооруженных сил Российской Федерации, а также их персональные данные.
4. Возможность похищения личных данных пользователей: их паспортные данные, пароли от пластиковых карт и иные данные.
Проводя анализ несанкционированных операций в отношении сведений об инцидентах, произошедших при эксплуатации объектов информационной инфраструктуры, можно сделать следующий вывод: за 2017 г. операторы представили в Банк России информацию о восьми атаках на свои процессинговые центры. В результате доступа, изменения остатка средств и установленных лимитов злоумышленники совершили покушение на хищение 950 000 000 руб. В Банк России представлена также информация об одной успешной атаке на рабочее место оператора системы SWIFT. Объем хищения составил 339 500 000 руб. Это свидетельствует о том, что недостаточно защищена внутренняя локальная сеть кредитных организаций. В 2017 г. два оператора по переводу денежных средств представили данные о несанкционированных операциях с корреспондентских счетов на сумму 54 000 000 руб. Причина – воздействие вредоносного кода на объекты информационной инфраструктуры. В 2016 г. ущерб от подобного рода инцидентов составил свыше 700 000 000 руб. Шесть операторов сообщили о случаях перевода кассиром денежных средств на счета злоумышленников в объеме 7 000 000 руб.
Причиной послужили обман и злоупотребление доверием клиентов. Результаты проведения анализа несанкционированных операций за 2017 г. представлены на рис. 2 [3].
Проанализировав события, не связанные с несанкционированными операциями, можно сделать вывод о том, что 10 операторов представили в Банк России данные о 21 атаке на хищение денежных средств посредством воздействия на банкоматы. Объем такого хищения составил 40 000 000 руб. Четыре оператора сообщили о 120 атаках на хищение денежных средств из платежных терминалов. Объем ущерба составил 2 000 000 руб. Результаты проведения анализа операций за 2017 г., не связанных с несанкционированным доступом, представлены на рис. 3 [3].
Если сравнивать операции с несанкционированным доступом и операции, не связанные с несанкционированным доступом, то мы видим, что объем несанкционированных операций намного больше.
Таким образом, в качестве основной причины возникновения большинства несанкционированных операций операторами указывается использование электронных средств платежа без согласия клиента. Значительная часть несанкционированных операций осуществляется путем воздействия вредоносного кода и обмана или злоупотребления доверием клиентов. Данные, представленные операторами по переводу денежных средств и операторами услуг платежной инфраструктуры, говорят о том, что клиенты в большинстве случаев не информируют отчитывающихся операторов о факте обращения в правоохранительные органы.
Среднее значение показателя, характеризующего выполнение всех требований по обеспечению защиты информации при переводах денежных средств, соответствует качественной оценке выполнения требований – «удовлетворительно» (0,8 в количественном эквиваленте).
Литература
1. Федеральный закон от 27.06.2011 № 161-ФЗ (ред. от 27.06.2018) «О национальной платежной системе» (с изменениями и дополнениями) [Электронный ресурс]. URL: consultant.ru/document/cons_doc_LAW_37570/ (дата обращения: 06.12.2018).
2. Стандарт Банка России. Безопасность финансовых (банковских) операций. Управление инцидентами информационной безопасности. О формах и сроках взаимодействия Банка России с участниками информационного обмена при выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации. СТО БР БФБО-1.5-2018 (принят и введен в действие приказом Банка России от 14.09.2018 № ОД-2403) [Электронный ресурс]. URL: consultant.ru/document/cons_doc_LAW_310165/ (дата обращения: 06.12.2018).
3. Обзор несанкционированных переводов денежных средств за 2017 г. Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ Банка России)
Главного управления безопасности и защиты информации Банка России [Электронный ресурс]. URL: cbr.ru/statichtml/file/14435/survey_transfers_17.pdf (дата обращения: 06.12.2018).
4. Официальный сайт Центрального банка Российской Федерации [Электронный ресурс]. URL: cbr.ru/ (дата обращения: 06.12.2018).