Сбербанк: в эпоху digital кошелек не в кармане, а в компьютере

Зампред правления Сбербанка Станислав Кузнецов, курирующий в банке вопросы безопасности, рассказал в интервью РИА Новости, как обезопасить себя от киберпреступников, можно ли доверять онлайн-банку и зачем ужесточать уголовное законодательство.

Стремительное развитие IT-технологий не только сделало банковские услуги комфортными для граждан, но и сыграло на руку мошенникам. Злоумышленники все чаще пользуются доверчивостью банковских клиентов и с помощью высокотехнологичных уловок обнуляют их счета, тем самым создавая проблемы для банков. 

— Станислав Константинович, какие основные проблемы вы видите в связи с ростом мошенничества в банковской сфере?

— Больше всего нас беспокоит тот факт, что вместе с трансформацией банковской системы меняется и парадигма действий преступников. Сегодня абсолютное большинство преступных действий в банковской сфере — около 98% — так или иначе связаны с digital.

В этой ситуации возникает вопрос к банкам, государственным институтам, регулятору: готовы ли мы все к таким изменениям и как мы должны действовать в новой ситуации? Стремительное развитие IT-технологий в банках и одновременный рост посягательств со стороны мошенников говорят о том, что отраслевая инфраструктура оказалась к этому не готова. Чтобы банки могли адекватно работать в новых условиях, необходимы глобальные преобразования в законодательстве, в судебной и правоохранительной системе.

— Какие поправки в законодательство, на ваш взгляд, назрели?

— Прежде всего, мы говорим о необходимости принятия поправок в Уголовный кодекс для ужесточения наказаний за преступления, совершаемые через интернет. Сейчас у нас за 100 тысяч украденных рублей дают срок пять лет, а за 47 миллионов, украденных через компьютер, дают условное наказание. Очевидно, что такой подход совершенно алогичен с точки зрения законодательства.

Напомню, что уже приняты поправки о введении шестилетнего срока уголовной ответственности за скимминг (установку на банкоматы мошеннического оборудования — ред.). В США за скимминг суд выносит преступникам наказание сроком на 60 лет.

По другим видам преступлений мы также имеем огромные проблемы с точки зрения привлечения к ответственности. В этой связи очень показателен случай с братьями (Дмитрием и Евгением) Попелышами.

— Что это за случай?

— Три года назад банда братьев Попелышей совершила массу преступлений, воруя деньги у клиентов банков через digital, то есть через телефоны, компьютеры и так далее. Пострадали все крупнейшие банки, суммы были украдены значительные. По итогам рассмотрения дела им дали условный срок. Еще когда проходило следствие, было зафиксировано, что подсудимые опять возобновили преступную деятельность.

Однако на протест прокурора судья возобновил свое решение об условном сроке. Попелыши воровали еще три года, а государство потратило огромное количество сил, чтобы их снова задержать. Сейчас вновь идет следствие, необходимо собрать огромное количество свидетельских очных показаний. Это яркая иллюстрация проблем нашего законодательства, которое требует срочного совершенствования.

Мы считаем, что необходимо ужесточить наказание за подобные преступления, и это должна быть совместная работа с регулятором, с правоохранительными органами, с Ассоциацией российских банков. Принимать такие поправки в Уголовный кодекс надо в ускоренном графике, потому что digital развивается стремительно, IT развивается стремительно и, к сожалению, стремительно развивается преступный мир.

— Что вы делаете для борьбы с мошенниками?

— При нашем непосредственном участии в 2014 и 2015 годах ликвидировано несколько киберпреступных групп. Мы разработали собственную программу борьбы со скиммингом за счет применения специальных методик, по которым мы научились вычислять места, где возможны такие виды преступлений. С другой стороны, уже сейчас почти 90% наших карт работают с чипом, а к концу года все действующие карты Сбербанка будут чиповыми, что обеспечит большую защищенность и безопасность для наших клиентов.

Недавно правоохранительные органы при нашем участии задержали банду мошенников в составе десяти человек из Молдавии, которые занимались взломами банкоматов. Это была сложная операция, она длилась фактически восемь месяцев. Мы эту группу долго отслеживали, пока полиция не предъявила им обвинения по трем случаям. При задержании было изъято очень много вещественных доказательств — от номерных знаков до разных частей банкоматов, а также оружие. Уже доказано, что у Сбербанка эта банда украла около 22 миллионов рублей, но сумма реального ущерба значительно больше.

— Каковы убытки Сбербанка от мошенников в интернете?

— По количеству cлучаев мошенничество в digital на первом месте, но по сумме финансовых убытков оно значительно уступает другим видам посягательств. Из всей массы цифровых посягательств сейчас более половины преступлений совершается с применением методов социальной инженерии. В этих случаях методами убеждения клиента принуждают как бы добровольно сообщить преступникам свою персональную банковскую информацию, свои пароли, свои кодовые слова, после чего мошенникам не составляет труда украсть деньги.

При этом на первое место по количеству случаев мошенничества сегодня выходят схемы с использованием сайтов объявлений. Например, пожилой мужчина звонит продавцу, разместившему объявление и говорит, что ему якобы понравился в объявлении автомобиль и он хочет внести задаток, присылает данные своего паспорта, продавец якобы должен сделать то же самое. Затем покупатель просит прислать фотографию банковской карты, на которую он может внести залог, и задает вроде бы простые вопросы, касающиеся банковской информации. Как результат — через очень короткое время деньги с карты похищаются мошенниками.

Для предотвращения такого рода ситуаций всем нам — банкирам, обществу, депутатам и СМИ — надо открыто говорить о проблеме. Необходимо объяснять людям, что в эпоху digital их кошелек находится уже не в кармане или закрытой сумочке, а в телефоне и компьютере и к нему нужно относиться так же внимательно, как к кошельку с наличными деньгами.

— Как клиентов обманывают с помощью ложных смс-сообщений?

— Схема достаточно проста, к сожалению. Клиент получает смс-сообщение с информацией о том, что у него якобы заблокирована карта. Или, например, что он недавно приобретал какой-то товар в магазине. Сейчас для мошенников не проблема купить базу данных о покупке товаров в магазинах. Далее они могут позвонить человеку для подтверждения того, что он, например, покупал телевизор в таком-то магазине и предлагают вернуть часть средств по скидке.

Сначала просят продиктовать номер карты, а затем, шаг за шагом, узнают информацию о клиенте и его счетах. Более того, в отдельных случаях в целях убеждения мошенники иногда переводят ему небольшие суммы денег, а потом у пострадавшего исчезают все средства со счетов.

— Компенсируете ли вы потери обманутых клиентов?

— По объективным причинам мы не можем компенсировать потери таким клиентам. Однако по каждому случаю мы проводим расследования, тесно взаимодействуем с правоохранительными органами. Там, где клиент не нарушал условий банковского договора, мы всегда компенсируем потери.

— Насколько уязвим мобильный банк в телефоне?

— Уязвимость мобильного банка присутствует только для некоторых платформ. В наибольшей степени подвержены этим рискам телефоны на платформе Android. Поэтому мы недавно выпустили первое в мире мобильное приложение на Android со встроенным бесплатным антивирусом, который позволяет защитить пользователя от различного рода мошеннических атак.

— В этом году вступил в силу закон об уголовной ответственности за скимминг. Насколько сократилось число случаев после этого?

— Во втором квартале 2015 года у нас зафиксировано 124 случая скимминга против 287 случаев в прошлом году, но по убыткам это в разы меньше. Два года назад у нас было более 800 таких случаев. Мы можем говорить о том, что скимминг существует уже в не таких масштабах, как раньше, и принятые нами меры были эффективны. По понятным причинам мы не можем рассказывать о всех мерах противодействия. В этой работе участвуют сотрудники многих служб банка.

— Как Сбербанк противостоит DDoS-атакам?

— DDoS-атаки — это внешние воздействия на системы банка. Они приводят к перегрузке и в конечном счете к остановке работы банка. У банка достаточно сил и средств, чтобы противодействовать DDoS-атакам. Мы почти в ежедневном режиме сталкиваемся с большим количеством DDoS-атак, так же, как и многие другие банки. Последняя крупная DDоS-атака на Сбербанк была в октябре, мы ее отразили. Чего не скажешь о нескольких других российских банках, не буду называть их, которые эту атаку не выдержали и вынуждены были остановить на некоторое время свою работу.

— Глава Сбербанка Герман Греф рассказывал, как в декабре прошлого года одна крупная атака вызвала панику среди населения и опустошение банкоматов по всей стране. Кто ее организаторы?

— Организаторы этой атаки находятся не в России, по политическим мотивам мы не раскрываем эту информацию. Действительно, 16 декабря 2014 года центр управления наличным денежным обращением Сбербанка зафиксировал повышенный спрос населения на валюту. 18 декабря клиенты Сбербанка по всей стране получили ложные смс-сообщения о том, что карты Visa заканчивают свою работу к 24 часам этого дня и им необходимо снять деньги в банкоматах. Уже к обеду мы зафиксировали колоссальный объем совершенных операций. По решению Германа Оскаровича (Грефа — ред.) был создан кризисный штаб. С целью оперативного реагирования на ситуацию мы перевели наши подразделения по всей стране на круглосуточный режим работы.

Учитывая большие объемы снятия наличных, главный кассовый центр Сбербанка начал направлять деньги в региональные филиалы, а также оказывал поддержку другим банкам. В этот непростой период мы осуществляли координацию деятельности с Банком России. На выходных я лично позвонил Георгию Лунтовскому (первому зампреду ЦБ — ред.) и попросил его дать телеграмму, чтобы все сотрудники в кассовых центрах ЦБ в регионах вышли на работу. Таким образом, мы получили поддержку и возможность "подкрепиться" деньгами ЦБ. Благодаря такой слаженной работе уже в понедельник нам удалось стабилизировать ситуацию по всей стране.

— Возможно ли повторение этой атаки?

— Похожие атаки нельзя исключать, и Сбербанк делает все необходимое, чтобы быть к ним готовым. Мы проводим специальные тренинги, разрабатываем различные сценарии действий. Банк должен выступать гарантом надежности своих систем и обслуживания клиентов, и сегодня можно сказать, что мы уверены в своих возможностях.

— Сотрудничаете ли вы с ЦБ и другими банками в борьбе с мошенниками?

— У нас очень тесное взаимодействие и с ЦБ, и с коллегами из других банков. Считается хорошим тоном, если ты получил звонок от своего коллеги с просьбой заблокировать операцию по выводу денег преступным путем, оказать мгновенную помощь. Поэтому службы безопасности разных банков в этом случае действуют не как конкуренты, а, наоборот, объединяются, чтобы предотвратить преступления.

Мы должны быть кирпичиками в том фундаменте, который выстраивает центр мониторинга и реагирования на компьютерные атаки ЦБ. Все участники рынка должны работать по единым правилам, возможно, стоит даже задуматься над разработкой новых стандартов для безопасности IT-систем банков. Нам также надо создавать единую базу данных по примеру бюро кредитных историй, аккумулирующую все инциденты, включая информацию о преступниках, их дропперских картах и другие полезные данные. Такие инициативы мы уже обсуждаем с коллегами и рассчитываем в ближайшее время перейти к конкретным действиям.



РСХБ
Авторские экскурсии
ТГ