Как спасти свои сбережения от мошенников
EN
Эксперты ГК «Солар» обнаружили критические уязвимости в каждом втором банковском приложении. Больше половины сервисов имеют уязвимости высокой или средней степени критичности, то есть позволяют хакерам нанести существенный ущерб информационным активам компании при успешной атаке. Может ли быть ужесточена ответственность банков за плохую антифрод-систему и какие правила нужно соблюдать, чтобы не стать жертвой мошенника, разбирались «Известия».
Обоюдная работа
В регуляторной среде наблюдается явная тенденция к ужесточению требований в области защиты финансовых операций и персональных данных, заметил в беседе с «Известиями» управляющий практикой информационной безопасности RAMAX Group Алексей Колодка.
— Регулятор активно продвигает законодательные инициативы, направленные на расширение ответственности как банковских организаций, так и операторов связи за последствия киберпреступлений. Операторы сотовой связи вынуждены внедрять передовые технологии на базе искусственного интеллекта для выявления потенциально мошеннических звонков, — сказал он. — Это связано с новыми требованиями, согласно которым операторы могут нести финансовую ответственность за убытки клиентов, возникшие в результате телефонного мошенничества.
Банковский сектор, по его словам, также сталкивается с повышенными требованиями к системам контроля и предотвращения мошенничества. В частности, вводятся строгие процедуры при осуществлении крупных денежных операций. Банки обязаны проводить дополнительную верификацию клиентов перед выдачей значительных сумм наличных средств, чтобы избежать риска перевода денег злоумышленникам. В случае последующего обнаружения факта мошенничества банк может быть привлечен к компенсации ущерба клиенту.
— Чтобы защититься от мошенников, необходимо включить двухфакторную аутентификацию во всех критически важных сервисах, особенно в интернет-банкинге. Пользоваться антивирусом и определителем номеров от операторов связи или банков. Блокировать незнакомые входящие номера, — напомнил эксперт.
Также он отметил, что нужно соблюдать и другие правила безопасности: никогда не переходить по ссылкам из непроверенных источников, с подозрением относиться к сообщениям от давно неактивных контактов, а также никому и никогда не говорить одноразовые коды из СМС и push-уведомлений.
Есть и другие меры предосторожности. В частности, директор по развитию направления кибербезопасности «EdgeЦентр» Максим Большаков в беседе с «Известиями» посоветовал избегать общественных сетей Wi-Fi и подключаться к банковским приложениям только через защищенные сети. Кроме того, в целях безопасности эксперт рекомендует отключить автоматическое заполнение паролей в браузерах и приложениях.
Работа по обеспечению безопасности использования приложений должна быть обоюдной — со стороны банка и со стороны клиента, сказал «Известиям» основатель проекта по борьбе с мошенническими call-центрами «Пиэра» Арсен Акопян.
— Стоит понимать, что доля хакинга банковских приложений среди других случаев мошенничества не так велика, так как это требует серьезных ресурсов и интеллектуальных затрат высококвалифицированных специалистов. С большинством атак системы безопасности банков справляются. Но бреши как раз и оказываются в фокусе внимания в случае утечек данных, — пояснил он.
Законодательная база
Уже предусмотрена ответственность за невыполнение требований по защите информации для финансовых организаций, сказал «Известиям» бизнес-консультант по информационной безопасности Positive Technologies Алексей Лукацкий.
— Это требование закона о критической информационной инфраструктуре и, соответственно, ст. 13.12 КоАП за невыполнение требований об обязательной защите информации — устранение уязвимостей входит в обязательные требования, установленные регуляторами. Со стороны ЦБ также существует правило, что если клиент теряет деньги из-за плохой работы антифрода и когда банк вовремя не отследил появление новой информации о той или иной мошеннической схеме или о том или ином мошеннике и выдал все-таки деньги этому мошеннику, то банк обязан компенсировать все потери в сторону клиента, — напомнил эксперт.
Это само по себе, по его мнению, должно мотивировать банки лучше заниматься борьбой с мошенничеством.
— Поэтому вопрос сегодня стоит не в усилении какой-либо ответственности банков, а просто в нормальном правоприменении имеющихся норм, — считает Алексей Лукацкий.
Причина проблем
Требования к безопасности информационных систем — как общие, установленные Федеральной службой по техническому и экспортному контролю (ФСТЭК) России, так и специальные, предписанные для кредитных организаций Банком России, — в целом достаточно эффективны при условии их соблюдения, заявил «Известиям» ведущий научный сотрудник Центра технологий государственного управления Президентской академии Алексей Ефремов.
— Большинство проблем возникает на стороне пользователя банковского приложения. Именно от его уровня понимания информационной безопасности и зависит зачастую судьба его финансовых активов, — отметил эксперт. — Это касается элементарных вещей — например, открытия сообщений от незнакомых людей в мессенджерах или перехода по сомнительным ссылкам в таких сообщениях или электронных письмах. А также зачастую хранения данных о банковских картах в приложениях разного рода сервисов, например маркетплейсов, служб доставки, бронирования билетов и гостиниц, либо в браузерах на смартфоне или ином компьютере.
Решение этой проблемы заключается, по его словам, в повышении финансовой и информационной грамотности населения, в том числе с помощью соответствующих информационных материалов и инструкций в самих приложениях, которые пользователь должен бы внимательно изучить перед установкой или активацией соответствующего приложения.
— В 2024 году была значительно ужесточена административная и уголовная ответственность за незаконную обработку персональных данных, на рассмотрении Госдумы находится проект федерального закона об уголовной ответственности за использование для совершения мошенничества дипфейк-технологий, — напомнил Алексей Ефремов.
Однако, по его мнению, одних мер ответственности недостаточно без эффективного правоприменения и, что самое главное, повышения уровня финансовой и информационной грамотности значительной части населения.
Основные моменты
Обнаруженные слабые места в защите банковских приложений, особенно критические, подчеркивают важность усиления контроля и ответственности банков за кибербезопасность, заметил в беседе с «Известиями» доцент кафедры государственного и муниципального управления ГУУ Михаил Поляков. В условиях роста киберпреступлений и участившихся утечек данных, особенно в финансовой сфере, Центробанк, вероятно, ужесточит требования к кредитным организациям.
— Это может выражаться в более строгих нормах по информационной безопасности, обязательном тестировании на проникновение, регулярном аудите безопасности приложений, а также в финансовых санкциях за несоблюдение установленных стандартов, особенно в части контроля доступа и защиты от атак, направленных на взлом учетных записей сотрудников, — отметил эксперт.
Бдительность и осведомленность — залог защиты от мошенничества, поскольку киберпреступники постоянно совершенствуют свои методы. Важно напомнить, что с 1 марта 2025 года вступает в силу закон о самозапрете на выдачу кредитов, позволяющий клиентам банков защитить себя от несанкционированного оформления кредитов злоумышленниками, напомнил эксперт.
«Известия» направили запросы в ЦБ и Минфин, но на момент публикации ответы получены не были.