Центробанк пытается улучшить защиту средств компаний и граждан от хищений. Он вводит дополнительные требования к банкам и любым иным структурам, проводящим платежи, в том числе настаивая на ограничении операций определенными параметрами, пишет «Коммерсант».
Новации для защиты средств клиентов банков и платежных систем от хищений содержатся в поправках к Положениям ЦБ «О требованиях к обеспечению защиты информации при денежных переводах» (текст опубликован на regulation.gov.ru).
Новые требования вводятся не только для банков или платежных систем, но фактически для всех сайтов, принимающих оплату. Ежегодно по требованию регулятора эти структуры обязаны проводить анализ уязвимости своих систем, а также тестировать на возможность взлома с привлечением специалистов, имеющих лицензию Федеральной службы по техническому и экспортному контролю (ФСТЭК, подведомственна Минобороны), и использовать только сертифицированное программное обеспечение.
«Крайне важно, что данная новация касается не только банков, но и всех тех сайтов, которые принимают платежи, — интернет-магазинов, кинотеатров, даже компаний, собирающих пожертвования на разные цели», — отмечает замглавы лаборатории компьютерной криминалистики компании Group-IB Сергей Никитин.
«Сейчас при оплате покупки в Интернете сайт нередко запрашивает данные на своем сайте, а далее переадресует на сайт банка или платежной системы, чем пользуются злоумышленники и что в итоге приводит к хищениям», — продолжает Никитин.
Для повышения безопасности трансакций ЦБ требует от проводящих платежи введения дополнительных мер безопасности. Платеж и его подтверждение должны быть в разных программных средах (например, платеж — на компьютере и подтверждение — на телефон). Клиент в обязательном порядке должен видеть реквизиты платежа, который он подтверждает. Это, по словам экспертов, должно защитить клиентов от вредоносных программ подмены (когда на экране телефона или компьютера клиент видит одни реквизиты, тогда как на самом деле платеж уходит по другим реквизитам).
Данная новация также важна для банков: ЦБ настаивает на том, чтобы банки усилили контроль за сомнительными трансакциями уже на этапе авторизации клиента и даже приостанавливали операции при наличии определенных признаков.
Поправки должны вступить в силу с 1 июля 2018 года.