Еще одной активно обсуждаемой темой на Уральском форуме стал банковский CERT. Идею его создания поддержал г-н Лунтовский (первый зампред Банка России), ГУБЗИ, ДНПС, АРБ, а на проведенном отдельном круглом столе идея в целом была поддержана и банковским сообществом.
Правда, на мой скромный взгляд название для этой инициативы было выбрано неудачное. Я, как и многие коллеги, повелись на термин CERT, который имеет вполне конкретное толкование и наполнение. Во всем мире CERT - это центр, которые реагирует (в форме расследования или уведомлений/бюллетеней) на достаточно технические проблему/угрозы/уязвимости. Так работает CERT/CC, US-CERT, ICS-CERT, CERT-GIB, GOV-CERT и т.п. Даже финансовые центры, например, американский FS-ISAC , обменивается техническими сведениями о "банковском" спаме, троянах для банков, уязвимостях в банковских системах и т.п.
ЦБ же под данным термином понимает немного иную конструкцию. Судя по описанию, озвученному и поддержанному большинством банков, речь идет об организации, которая будет отслеживать мошеннические транзакции, обмениваться списком мошенников (дропперов) и подставных юрлиц, рассылать правила для систем антифрода и выполнять другую аналогичную работу, которая явно не относится к техническому уровню. И хотя основную задачу "банковского CERT" Банк России видит в снижении числа инцидентов, методы решения он предлагает немного иные, чем безопасники привыкли, толкуя термин CERT. Хотя это и не так уж и важно.
Помимо обмена информацией о мошенничестве, Банк России поднял вопрос и об изменениях в законодательстве. Подготовленные в прошлом году ДНПС рекомендации по возврату незаконно списанных средств натолкнулись на недостатки действующего законодательства - банки не могут приостанавливать платежи, требовать их возврата, обмениваться сведениями о мошенниках. Поэтому сейчас ЦБ подготовил поправки в законодательство в части упрощенного возврата незаконно списанных средств. Посмотрим, чем закончится эта эпопея с изменением законодательства, уже не один год обсуждаемая в Магнитогорске. Пока можно только сослаться на опыт Сбербанка, который активно использует разные статьи УК РФ для преследования преступников (не всегда успешно). Опасения банков по поводу вала запросов на возврат средств в рамках 9-й статьи ФЗ-161 не сбылись - ДНПС считает, что проблема оказалась преувеличенной.
С "банковским CERT" связана и другая тема - по отчетности об инцидентах. Сейчас эта информация уходит в рамках 203-й формы отчетности только в ДНПС. Будут ли эти сведения уходить еще и в "CERT"? В каком порядке? На каких основаниях? Не придется ли дублировать отправляемые сведения? Пока ответа на этот вопрос нет. Как и вообще ясности с отчетностью по 202-й форме и СТО БР ИББС. Например, 8-й Центр заявил, что они не видят смысла в отправке отчетности по "письму шести", которая отправляется в ЦБ, РКН, ФСБ и ФСТЭК. Из всех регуляторов только ЦБ и ФСТЭК ее как-то использует. РКН опирался на отчетность, чтобы понять, кто из банков не посылал уведомление в РКН :-) ФСТЭК анализирует статистику и динамику, но не может предпринять никаких действий в отношении банков. 8-й Центр ФСБ вообще не смотрит на эту отчетность. Более того, часто банки отправляют отчетность на общий адрес управления ФСБ, а там, получив письмо от банка, направляют его в экономический блок, минуя 8-й Центр. "Экономисты" же, получив какую-то отчетность, либо выбрасывают ее в корзину, либо названивают в банки для уточнения "что это за фигню вы тут нам прислали". В итоге на банков навешивается излишняя головная боль с отправкой отчетности всем регуляторам, из которых реально эти данные нужны только Банку России. При этом даже в этом случае есть два вопроса к получаемой отчетности по СТО БР ИББС. Зачем она нужна при наличии схожей отчетности по 382-П? И что делать, если в отчете невысокие показатели и за 3 года они не изменились? ФСТЭК задала на Форуме закономерный вопрос с обратной связью по результатам анализа отчетности. Если нет рекомендаций по улучшению (или санкций за низкий уровень), то мотивация заниматься отчетностью снижается :-(
ЗЫ. На вопрос о том, может ли банк возложить на клиента возмещение затрат на расследование мошенничества, ДНПС ответил, что нет. Так что вот такие вот вставки в тарифную сетку банка должны скоро исчезнуть.
Правда, на мой скромный взгляд название для этой инициативы было выбрано неудачное. Я, как и многие коллеги, повелись на термин CERT, который имеет вполне конкретное толкование и наполнение. Во всем мире CERT - это центр, которые реагирует (в форме расследования или уведомлений/бюллетеней) на достаточно технические проблему/угрозы/уязвимости. Так работает CERT/CC, US-CERT, ICS-CERT, CERT-GIB, GOV-CERT и т.п. Даже финансовые центры, например, американский FS-ISAC , обменивается техническими сведениями о "банковском" спаме, троянах для банков, уязвимостях в банковских системах и т.п.
ЦБ же под данным термином понимает немного иную конструкцию. Судя по описанию, озвученному и поддержанному большинством банков, речь идет об организации, которая будет отслеживать мошеннические транзакции, обмениваться списком мошенников (дропперов) и подставных юрлиц, рассылать правила для систем антифрода и выполнять другую аналогичную работу, которая явно не относится к техническому уровню. И хотя основную задачу "банковского CERT" Банк России видит в снижении числа инцидентов, методы решения он предлагает немного иные, чем безопасники привыкли, толкуя термин CERT. Хотя это и не так уж и важно.
Помимо обмена информацией о мошенничестве, Банк России поднял вопрос и об изменениях в законодательстве. Подготовленные в прошлом году ДНПС рекомендации по возврату незаконно списанных средств натолкнулись на недостатки действующего законодательства - банки не могут приостанавливать платежи, требовать их возврата, обмениваться сведениями о мошенниках. Поэтому сейчас ЦБ подготовил поправки в законодательство в части упрощенного возврата незаконно списанных средств. Посмотрим, чем закончится эта эпопея с изменением законодательства, уже не один год обсуждаемая в Магнитогорске. Пока можно только сослаться на опыт Сбербанка, который активно использует разные статьи УК РФ для преследования преступников (не всегда успешно). Опасения банков по поводу вала запросов на возврат средств в рамках 9-й статьи ФЗ-161 не сбылись - ДНПС считает, что проблема оказалась преувеличенной.
С "банковским CERT" связана и другая тема - по отчетности об инцидентах. Сейчас эта информация уходит в рамках 203-й формы отчетности только в ДНПС. Будут ли эти сведения уходить еще и в "CERT"? В каком порядке? На каких основаниях? Не придется ли дублировать отправляемые сведения? Пока ответа на этот вопрос нет. Как и вообще ясности с отчетностью по 202-й форме и СТО БР ИББС. Например, 8-й Центр заявил, что они не видят смысла в отправке отчетности по "письму шести", которая отправляется в ЦБ, РКН, ФСБ и ФСТЭК. Из всех регуляторов только ЦБ и ФСТЭК ее как-то использует. РКН опирался на отчетность, чтобы понять, кто из банков не посылал уведомление в РКН :-) ФСТЭК анализирует статистику и динамику, но не может предпринять никаких действий в отношении банков. 8-й Центр ФСБ вообще не смотрит на эту отчетность. Более того, часто банки отправляют отчетность на общий адрес управления ФСБ, а там, получив письмо от банка, направляют его в экономический блок, минуя 8-й Центр. "Экономисты" же, получив какую-то отчетность, либо выбрасывают ее в корзину, либо названивают в банки для уточнения "что это за фигню вы тут нам прислали". В итоге на банков навешивается излишняя головная боль с отправкой отчетности всем регуляторам, из которых реально эти данные нужны только Банку России. При этом даже в этом случае есть два вопроса к получаемой отчетности по СТО БР ИББС. Зачем она нужна при наличии схожей отчетности по 382-П? И что делать, если в отчете невысокие показатели и за 3 года они не изменились? ФСТЭК задала на Форуме закономерный вопрос с обратной связью по результатам анализа отчетности. Если нет рекомендаций по улучшению (или санкций за низкий уровень), то мотивация заниматься отчетностью снижается :-(
ЗЫ. На вопрос о том, может ли банк возложить на клиента возмещение затрат на расследование мошенничества, ДНПС ответил, что нет. Так что вот такие вот вставки в тарифную сетку банка должны скоро исчезнуть.