Способы борьбы с мошенниками в банковской сфере искали участники второй сессии форума «Банковский сектор: эпоха перемен»

Вторая сессия форума «Банковский сектор: эпоха перемен» была посвящена информационной безопасности банков.

Модератором дискуссии выступили Рустам Колесник, шеф-редактор газеты «Юридическая практика», и Семен Ханин, управляющий партнер ЮК «АМБЕР».

Как отметил Рустам Колесник, тема сессии интересна как банкам, так и их клиентам, поскольку в последнее время страну захлестнул вал мошенничеств в области цифровых технологий. Это не удивительно, ведь сегодня 25% всех трансакций проходят онлайн, поэтому остро стоит вопрос информационной безопасности.

В ходе онлайн-включения Дмитрий Янишевский, начальник управления информационной безопасности АО «ОТП Банк», рассказал об «информационной» ответственности банка. Он отметил, что в первую очередь речь идет о надлежащем сохранении информации, составляющей банковскую тайну. И хотя все банки предпринимают комплекс мер по ее защите, все же можно говорить о наличии пласта проблем, связанных с разглашением банковской тайны.

Он проанализировал реальный кейс мошенничества, совершаемого опытными психологами с целью завладения данными банковской карты. При этом клиент, раскрывший мошенникам данные своей карты, впоследствии обращается именно в банк с жалобой на разглашение банковской тайны.

Дмитрий Янишевский подчеркнул, что развитию этого способа мошенничества способствует чрезмерная открытость информации в сети Интернет – сегодня без труда можно получить доступ ко всевозможным реестрам и базам данных. В том числе источником информации для мошенников могут стать и развиваемые государством онлайн-платформы. На таких платформах имеется достаточно данных, чтобы, ознакомившись с ними, мошенники могли уверенно начать общение с человеком и склонить его к раскрытию информации, необходимой для перевода средств с его банковской карты. Он привел пример реестра НАЗК, в котором можно было узнать не только то, в каком банке имеются счета конкретного человека, но даже остаток средств на этих счетах, что фактически является банковской тайной. Спикер считает, что для защиты от мошенничества не вся информация должна быть в открытом доступе.

Об уязвимых точках банковского сектора, используемых для мошенничества, рассказала Наталия Шульга, заместитель начальника второго отдела (противодействия преступлениям в банковской сфере) первого управления (оперативного реагирования) Департамента киберполиции Национальной полиции Украины.

Она сосредоточила внимание участников форума на вредоносном программном обеспечении (так называемых банковских троянах, или банкерах, с помощью которых происходит до 70% всех случаев завладения средствами), которое используют злоумышленники. По ее словам, банкеры – это специальные программы, разработанные для похищения персональных данных пользователей, в особенности паролей и логинов личных кабинетов интернет-банкинга. Кроме того, банкеры в состоянии непосредственно похищать денежные средства с банковских счетов. Наталия Шульга рассказала об алгоритмах действия вредоносных программ и путях их проникновения в компьютеры и мобильные устройства пользователей, а также дала практические советы по профилактике подобных преступлений.

Сергей Паперник, Chief Data Protection Officer АО «ПриватБанк», рассказал о защитных мерах в обработке персональных данных. Он напомнил определение персональных данных, указав, что их ключевая особенность – возможность идентификации личности. При этом спикер отметил, что не всякая информация о личности является персональными данными, к тому же разная информация может стать персональной в зависимости от обстоятельств. Он рассказал об отличиях информационной безопасности от защиты персональных данных, подчеркнув, что защита персональных данных – это защита права человека на приватность, гарантированного Конституцией Украины и правами человека.

Средства защиты персональных данных Сергей Паперник разделил на организационные и технические и предостерег от сбора и обработки лишних персональных данных.  Он детально рассказал о средствах технической защиты персональных данных, таких как шифрование и анонимизация, подчеркнув, что анонимные данные не являются персональными, а шифрование существенно замедляет работу компьютерных, в том числе банковских, систем.

Говоря о пробелах нормативно-правовой базы Украины в сфере ИБ в банковском секторе, Михаил Чайкин, Head of Information Security Management System АО «Укрэксимбанк», сосредоточил внимание присутствующих на проблеме законодательного определения терминов «информационная безопасность», «событие информационной безопасности», «инцидент информационной безопасности». Он подчеркнул необходимость организационного разделения структур банка, занимающихся обеспечением информационной и кибербезопасности, а также указал на отсутствие ответственности за нарушения, касающиеся информационной безопасности.

По мнению спикера, некоторая несогласованность нормативной базы и определения ключевых понятий мешает организовать защиту информационной безопасности на мировом уровне.

Михаил Чайкин рассказал о собственном опыте подготовки проекта закона на эту тему и сроках, которые потребуются для принятия подобного законодательного акта. По его мнению, необходима совместная позиция юридического и банковского сектора для урегулирования этих вопросов.

О банковской тайне в современных реалиях и соблюдении баланса между частным и публичным интересом говорила Катерина Дробязко, адвокат ЮК «АМБЕР», магистр права. Она напомнила об изменениях, внесенных в статью 62 Закона Украины «О банках и банковской деятельности», которая определяет порядок раскрытия банковской тайны. При этом спикер рассказала о процедуре получения доступа к банковской тайне по запросу органов досудебного расследования, подчеркнув, что никакой ответственности для работника банка за предоставление или непредоставление такой информации не предусмотрено.

В то же время, опираясь на требования статьи 86 УПК Украины, г-жа Дробязко указала, что доказательства, полученные органами досудебного следствия таким путем, будут считаться недопустимыми. Тем не менее правоохранительные органы продолжают попытки легализовать доказательства, полученные путем раскрытия банковской тайны, указывая в запросе не только статью 62 Закона Украины «О банках и банковской деятельности», но и статью 93 УК Украины, которая регулирует порядок сбора доказательств. При этом спикер обратила внимание на возможность открыть доступ к банковской тайне в порядке главы 15 УПК Украины путем получения постановления следственного судьи о временном доступе к вещам и документам подозреваемого.

Детерминанты ответственности за нарушения в банковской сфере стали темой доклада Сергея Пересунько, адвоката ЮК «АМБЕР», магистра права.

Он указал на высокую криминализацию отношений в банковской сфере, а также очертил круг причин, по которым может наступить ответственность сотрудников банка. В частности, это несогласованность нормативной базы, которая действует в банковской сфере и часто приводит к неправильной трактовке норм права. Причем зачастую даже компетентные органы, к которым банки обращаются за разъяснениями, не в состоянии правильно трактовать эти нормы права.

По мнению спикера, если нормы нормативных актов противоречат друг другу, банковское учреждение, которое применяет такие противоречивые нормы, не должно нести ответственность за это. Он рекомендовал обращать внимание на иерархию нормативных актов и к ней же апеллировать, защищая свою позицию перед правоохранительными органами.

Еще сложнее решить вопрос, когда та или иная банковская операция вообще не урегулирована законом и банк вынужден проводить ее на свой страх и риск. Правда, аргумент об отсутствии ответственности за действие в связи с отсутствием регулирования этого действия слабо воспринимается правоохранителями. Сергей Пересунько констатировал повышенный интерес правоохранительных органов к банковским учреждениям и призвал сотрудников банков координировать свою деятельность с профильными юристами, не ожидая нештатных ситуаций.

Отмечая наличие нерешенных проблем, связанных с безопасностью в банковской сфере, Рустам Колесник выразил надежду, что идеи, озвученные спикерами, найдут достойное законодательное воплощение.