России еще предстоит столкнуться с проблемой интернет-мошенничества в полной мере, но эксперты рынка уже сейчас понимают, что необходим комплексный подход: сочетание законодательных мер, активного использования систем информационной безопасности основными операторами транзакций – банками и телекомом, интеллектуальной аналитики, организованного взаимодействия всех участников рынка позволяют добиться высоких результатов. И конечно, грамотность простого пользователя.
Чем выше уровень информатизации в стране, тем большую угрозу представляет киберпреступность. Например, за 2012 г. потери от мошенничества в Великобритании, по оценкам National Fraud Authority, достигли 73 млрд ф.ст., в других развитых странах наблюдается аналогичная ситуация. России еще предстоит столкнуться с этой проблемой в полной мере.
20 июня Информационное агентство РБК провело конференцию «Защита от мошенничества: современные подходы», в ходе которой эксперты обсудили современные вызовы и угрозы, создаваемые ростом киберпреступности в мире, и сценарии реагирования на них в различных плоскостях: законодательной, технической и информационной.
Синхронизация законов
Преступники подрывают доверие граждан к информационным системам, в том числе к электронным госуслугам, и тем самым наносят ущерб государству – поскольку государство инвестирует значительные средства в создание информационных систем, прежде всего в развитие электронных госуслуг. Разрабатываемая в Совете Федерации стратегия кибербезопасности призвана поставить заслон хакерам, защитить секретную информацию и предотвратить преступления в интернет-пространстве.
«Киберпреступления сложнее заметить, поэтому считать их еще нужно учиться», – сказал Руслан Гаттаров, член Совета Федерации, председатель Комиссии по развитию информационного общества. По данным разных информационных агентств, в мире от действий киберпреступников пострадало от 1 % до 17 % жителей. Разработчики антивирусов называют большие цифры, правоохранители меньшие. Достоверная картина не складывается, потому что киберпреступления сложно обнаружить, а с точки зрения законодательства, которое не поспевает за развитием технологий, не все вторжения в информационные системы можно квалифицировать как преступления.
Сказывается и низкая информированность граждан о рисках при пользовании платежными системами и совершении иных действий в интернете. Например, после опроса, проведенного в Европе, в ходе которого хотели выяснить, что пользователи знают об угрозах в сети, 15 % опрошенных решили отказаться от интернет-банкинга.
Среди проблем, которые препятствуют развертыванию более действенной борьбы с компьютерными преступлениями на государственном уровне, можно упомянуть несовершенство законодательства, отсутствие механизма регистрации жалоб на кибермошенничество и необходимость широкого международного сотрудничества спецслужб – тогда как у мошенников международная кооперация налажена очень хорошо.
Борьба с киберпреступностью только в своих границах малоэффективна. Однако формирование международных механизмов идет очень тяжело: постоянно встает вопрос о предоставлении данных за рубеж. «Нужны не подпольные договоры между спецслужбами, а практика взаимодействия и относительная синхронизация национальных законов», – сказал Руслан Гаттаров.
ЦБ за превентивные меры
Как и в охране здоровья, профилактика лучше экстренных мер по исправлению ситуации – лечению больного или возмещению ущерба клиентам, пострадавшим от мошенников. Андрей Курило, заместитель директора департамента регулирования расчетов Банка России, отметил, что тенденция роста попыток мошенничества есть, но она пока небольшая, в пределах 20 % в год и банки в целом с ситуацией справляются. К числу наиболее острых проблем в борьбе с мошенниками относятся неопределенность правового поля и отсутствие механизмов влияния на производителей систем.
Первым рубежом в борьбе с кибермошенничеством должны быть превентивные меры, чтобы отразить возможные атаки. Если это не удалось, то нужно переходить ко второй фазе борьбы, проводить организационно-технические мероприятия по компенсации нанесенного вреда, восстановлению прав и возмещению денежных средств. На сегодняшний день, отметил Андрей Курило, нет механизма влияния на производителей ПО в части соблюдения требований по безопасности, многие текущие продукты имеют изъяны и терпеть это нельзя. Принятие продукта в эксплуатацию должно происходить после проведения испытаний на устойчивость к атакам.
Банкам нужно отказаться от использования устаревших технологий, которые уже не могут противостоять мошенникам, прежде всего от карт с магнитной полосой. Скимминг стал широко распространенным явлением. В Индии с этой поступили просто – к каждому банкомату приставили по офицеру безопасности, что возможно в этой стране из-за низкой заработной платы. Конечно, переход к картам с чипами потребует значительных инвестиций и займет какой-то период времени, поскольку связана также и с заменой оборудования, но это всё равно придется делать.
В целом проблема защиты от мошенничества носит многоплановый характер, поэтому и работа должна вестись по разным направлениям. Во-первых, банкам следует активно подключаться к системам фрод-мониторинга, уже доказавшим свою эффективность. Во-вторых, тщательно реализовывать требования по безопасности, изложенные в стандарте ЦБ. Только лишь формальное выполнение этих требований никому не нужно, это скорее создает питательную среду для киберпреступности.
Однако, задача номер один – повышение компьютерной грамотности пользователей, которые часто становятся жертвами мошенников исключительно вследствие своей беспечности. Пользователи должны сами позаботиться о своей безопасности и никакой специальный закон этого не сделает – ведь не нужен закон, чтобы чистить зубы.
Противодействовать сообща
В своем выступлении Андрей Емелин, президент некоммерческого партнерства «Национальный платежный совет», рассказал участникам о стратегических моделях предотвращения мошенничества, которые обсуждаются в рамках комитетов и рабочих групп НП НПС.
Одним из ключевых проектов в этой сфере является создание централизованной системы «Фрод-мониторинг», которая позволит банкам обмениваться информацией о фактах несанкционированных переводов. С точки зрения главы НП НПС, необходимо также, чтобы деятельность такой системы была отражена в нормативных актах.