При правительстве РФ будет создана специальная рабочая группа, целью работы которой станет изменение законодательства, что позволило бы банкам более эффективно бороться с хакерами. Таков главный итог закрытого совещания премьера Дмитрия Медведева с банковским сообществом, регулятором и чиновниками.
Премьер-министр отметил, что бороться в одиночку с киберпреступлениями невозможно. По данным ЦБ, с октября 2015 года по март 2016-го потери банков от хакерских атак превысили 2 млрд рублей. Для снижения рисков необходимо сформировать инфраструктуру и законодательную базу.
«Нормативная база должна отвечать тем вызовам, которые бросает нам техническая революция», — указал министр связи и массовых коммуникаций Николай Никифоров. По его словам, участники обсудили совершенствование нормативно-правовой базы: Гражданского кодекса, Уголовного кодекса, речь также шла о новых составах преступлений.
Участники совещания договорились координировать работу между банками по борьбе с киберпреступностью на базе ЦБ РФ. Также есть предложение Сбербанка, у которого уже создан центр мониторинга и реагирования на инциденты (FinCert).
Необходимо создание централизованной системы, в которую бы вошли ЦБ, правоохранительные органы, Министерство связи и банковская система, для того чтобы были выработаны единые подходы, технологии по борьбе с киберпреступностью, рассказал после совещания президент ВТБ Андрей Костин.
Какие меры должны предпринять государство и банки для эффективной борьбы с хакерами?
С ростом проникновения мобильной связи и сопутствующих интернет-услуг роль дистанционных банковских сервисов возросла. Так, например, уже сейчас значительная часть транзакций совершается в интернете, а число пользователей интернет- и мобильных банков растет в геометрической прогрессии. Неизбежным сопутствующим фактором в такой среде становится мошенничество на уровне хакерских атак, потери от которого будут только возрастать, так как переход значительной части финансовых сервисов и контактов с пользователем в онлайн-сферу неизбежен. На этом фоне абсолютно естественным выглядит желание государства и участников рынка защитить отрасль на уровне законодательства, это адекватный шаг с учетом изменяющейся окружающей инфраструктуры.
На мой взгляд, меры для борьбы с киберпреступностью необходимо предпринимать на основе рекомендаций специалистов в области компьютерной безопасности. Они знают слабые места защиты и могут предложить меры по их устранению.
Гарантировать стопроцентную безопасность невозможно, но сделать защиту максимально сложной необходимо.
Что же касается изменения законодательства, то в этом нет необходимости. Законом уже сегодня предусмотрены составы преступлений, по которым преступников данной категории можно привлечь к ответственности.
Но вопрос заключается в сложности доказывания такой деятельности и причастности к преступлению. Для повышения показателей раскрываемости данной категории преступлений необходимы специализированные знания сотрудников правоохранительных органов, а также специализированные отделы по борьбе с данным видом преступности.
Стремительное развитие информационных технологий не могло не сказаться на киберпреступлениях, которые стали совершаться с использованием новейшего программного обеспечения, например, мошенничество с использованием интернет-банкинга и мобильных систем связи. Данные преступления стали носить трансграничный характер, в основе которых лежит использование электронных денег, виртуальных банков, бирж, магазинов. Стало очевидно, что киберпреступность никуда не исчезнет, и одними лишь арестами хакеров и административными мерами этот процесс не остановить.
В качестве меры по совершенствованию противодействия киберпреступности предлагается наладить взаимодействие меду органами государственной власти и правоохранительными органами различных государств, в том числе по линии Интерпола. Уже можно наблюдать первый результат такого сотрудничества: на международном уровне была разработана Европейская конвенция о киберпреступности, основной целью которой является эффективная борьба с глобальными преступлениями в сфере информационных технологий и создания условий для обмена информацией между всеми странами, подписавшими конвенцию. Из 46 стран, подписавших конвенцию, ратифицировали ее только 24 страны. Российская Федерация данную Конвенцию пока не подписала.
В качестве одного из способа по борьбе с киберпреступностью рассматривается предложение на введение ограничения доступа к сети Интернет, как это сделано в Сингапуре - власти требуют обязательной регистрации владельцев IP-адресов в полиции.
Также предлагается наладить обмен информацией между банками и правоохранительными органами. Однако, ввиду наличия такого понятия как «банковская тайна» и существования закона о защите персональных данных в его нынешней редакции, сделать это проблематично. Соответствующий законопроект обсуждается уже почти два года, но чиновники и банкиры никак не могут прийти к компромиссу.
Существующее уголовное законодательство Российской Федерации, направленное на борьбу с компьютерными преступлениями, имеет множество недостатков и пробелов, в частности, ответственность за преступления в сфере компьютерной информации установлена лишь 3 статьями Уголовного кодекса РФ: 272 (Неправомерный доступ к компьютерной информации), 273 (Создание, использование и распространение вредоносных компьютерных программ), 274 (Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей). Установленные нормы перестали отвечать потребностям гражданского оборота, и нуждаются в немедленном совершенствовании.
Раньше хакеров интересовали юрлица с дистанционными каналами обслуживания собственных счетов, затем они переключились на сети банков, чтобы заполучать доступ к корреспондентским счетам банков в платежных системах. Сейчас, по некоторым сообщениям СМИ, хакеры ухитряются получать доступ и к корреспондентским счетам в ЦБ. Поэтому было бы очень хорошо, если бы сам Центральный Банк или другие аккредитованные организации предоставляли современные технические средства для проведения аудита инфраструктуры информационной безопасности российских банков. Конечно, есть много аудиторов в этой сфере, но они зачастую не всегда учитывают все требования регулятора. Однако чтобы минимизировать риск атак, было бы очень полезно не только иметь профессиональное мнение авторитетного центра, но и прислушиваться к коллективному разуму – профессиональному сообществу специалистов информационной безопасности из банковской сферы.
Киберпреступления в банковской сфере – весьма чувствительная тема для общества. Однако большинство преступлений такого рода остаются латентными. Это связано либо с нежеланием самого потерпевшего защищать и восстанавливать свои права, либо с тем, что банки и правоохранительные органы не способны должным образом отреагировать на эти акты.
Решение этой глобальный проблемы должно быть комплексным.
Необходимо пересмотреть уголовное и административное законодательство и оценить содержащиеся в них положения на предмет соответствия их реалиям. Если необходимо – ввести новые составы преступлений. При этом, нужно определить четкие критерии, чтобы понимать, что в одном случае взлом банковской системы - это может быть подростковой шалостью, не причинившей крупного ущерба, а в другом случае, - серьезное преступление с тяжелыми последствиями, могущее перерасти в кибернетический терроризм.
Также целесообразным было бы обязать банки сообщать в контролирующие органы о подобных преступлениях в подробном отчете, а за умолчание о факте преступления – возложить ответственность. Надзорные и правоохранительные должны иметь достаточно данных для выработки методики борьбы с киберпреступления. Так, по данным Бюро специальных технических мероприятий МВД в 2014 году в России зарегистрировано около 11000 компьютерных преступлений (это 41% от всех краж и мошенничеств). В действительности же это в 5 раз меньше реально совершенных киберпреступлений. Кроме этого, нужно разработать и согласовать схему взаимодействия между банками различных стран для предупреждения трансграничных киберпреступлений.
Не исключено, что преступления в банковской сфере могут совершаться с участием банковских сотрудников. Граждане доверяют им свои деньги, а они пользуются этим доверием в своих корыстных целях. Поэтому нужно обратить внимание на меру ответственности этой категории людей (например, помимо прочего – запретить заниматься банковской деятельностью или работать на банковских должностях). Для этих же целей необходимо повысить эффективность работы служб безопасности и иных подразделений банков, занимающихся внутренними расследованиями.
Для улучшения работы правоохранительных органов следует разработать подробные методические рекомендации по борьбе и расследованию киберпреступлений. Для судебных инстанции было бы полезным постановление Верховного Суда РФ по рассмотрению соответствующей категории дел. Если рамки законодательной техники не позволяют определить в законах понятия того или иного явления киберпреступления, то это можно сделать в судебной практике или подзаконных актах.
Открытым стоит вопрос о трансграничных киберпреступлениях: как быть с хакером, отдыхающем где-нибудь на экзотическом пляже и взламывающим какой-нибудь российский банк? Определённо судить будут его в той стране, на территории которой находился взломанный банк. Но для решения вопросов международного киберпреступления или кибертерроризма необходима разработка соответствующих международно-правовых актов и тесное взаимодействие банковских структур.