ЦБ хочет вести базу компаний и людей, счета которых хакеры использовали для вывода денег
Банки должны будут ограничивать операции таким клиентамЦБ создаст базу, в которой будут содержаться данные получателей денег, которые могли быть украдены. Сведениями регулятор будет делиться с банками, чтобы те могли лучше противодействовать мошенникам, следует из проекта указания Банка России.
Если какой-либо банк сообщил о несанкционированном переводе, ЦБ может отправить запрос в банк получателя этих средств. И тот будет обязан предоставить информацию о номере карты или счете получателя, а также о сумме, дате и времени операции. Кроме того, нужно будет передать в ЦБ в хешированном (обезличенном) виде номер паспорта и СНИЛС получателя, а для компаний – номер ИНН, хешированные паспортные данные и СНИЛС лица, уполномоченного распоряжаться деньгами на счете. Если получатель деньги вернул, об этом тоже нужно сообщить ЦБ.
Сведения о получателях несанкционированно списанных денег ЦБ будет передавать банкам. Если те найдут в этой базе своих клиентов, то будут должны ограничить им операции перевода денег на другие счета и получения денег в банкомате. Лимиты банки будут устанавливать сами, говорит представитель ЦБ.
По сути, указание ЦБ предусматривает формирование базы клиентов банков – юридических и физических лиц, которые участвуют в транзите или обналичивании украденных денег (последних называют дроперами), объясняет эксперт в сфере информационной безопасности Николай Пятиизбянцев: в большинстве случаев похищенные деньги выводятся именно через физических лиц – дроперов, это самый быстрый способ. Как правило, продолжает Пятиизбянцев, остановить такие операции очень сложно: вывод и обналичивание денег может занимать всего несколько часов. А эффективного способа борьбы с дроперами нет.
База данных получателей незаконно списанных денег должна улучшить ситуацию, но указание ЦБ предусматривает слишком мягкие ограничения, считает Пятиизбянцев, было бы гораздо лучше, если бы такие операции классифицировались как отмывание доходов, полученных преступным путем. Тогда бы они попадали под антиотмывочный закон и финансовый мониторинг, их счета можно было бы блокировать, думает он.
Банки всегда были заинтересованы в обмене информацией о клиентах-мошенниках и сотрудничали, говорит замдиректора дирекции контроля и безопасности «ОТП банка» Олег Водовсков. Например, организовался целый антидроп-клуб, в который входило несколько сотен банков: они обменивались данными о тех, кто обналичивал деньги, рассказывали «Ведомостям» банкиры. Отношение к обмену у банков было разное, вспоминает Водовсков, для него не было правовой базы: наладить его не позволял закон о персональных данных.
Проект ЦБ вполне соответствует законодательству о персональных данных, говорит управляющий партнер юридической компании «Емельянников, Попова и партнеры» Михаил Емельянников. Если данные о человеке передаются в таком виде, что без дополнительной информации нельзя установить его личность, их нужно рассматривать как обезличенные и согласия человека на их обработку не требуется, объясняет Емельянников. Другой вопрос, продолжает он, можно ли считать хеширование надежным способом обезличивания: ФСБ уже заявляла, что хешированная информация неустойчива к атакам типа «подбор».
Всех проблем база не решит, предупреждает Водовсков. В базе будут накапливаться сведения по уже совершенным операциям, а преступники стремятся не повторяться и не использовать свои счета, ставшие объектом внимания правоохранительных органов и служб безопасности банков, знает он. Но хлопот у мошенников прибавится: они будут вынуждены обновлять свою сеть привлеченных компаний и физлиц.
О заинтересованности в таком обмене с ЦБ рассказал представитель ВТБ, а член правления «Почта банка» Елена Мохначева заявила, что это поможет в борьбе с мошенниками, но тут же добавила, что об эффективности такого инструмента пока говорить рано.
При сотрудничестве всех участников банковского рынка инициатива станет ценным продуктом по борьбе со злоумышленниками, говорит директор департамента информационной безопасности Московского кредитного банка Вячеслав Касимов. Его банк предоставил ЦБ дополнения, позволяющие снизить риски ошибок и раскрытия информации о клиентах, не являющихся злоумышленниками. История знает случаи, когда мошенниками втемную использовались счета хороших компаний, подтверждает Водовсков: «Что будет с ними, когда они попадут в такую базу данных ЦБ?»
Два участника обсуждения проекта в ЦБ рассказывали, что документ предусмотрит способ реабилитации попавших в базу. На это представитель ЦБ сказал, что порядок занесения в базу будет таким, чтобы максимально снизить риски ошибок. В базе ЦБ будет также храниться информация о технических характеристиках атак, параметрах устройств, с которых совершались несанкционированные переводы, и т. д.-