CC BY
36Информационное право
КИБЕРБЕЗОПАСНОСТЬ ФИНАНСОВО-КРЕДИТНЫХ ОРГАНИЗАЦИЙ В УСЛОВИЯХ НОВЫХ ВЫЗОВОВ И УГРОЗ В ЦИФРОВОМ ПРОСТРАНСТВЕ
САВЕНКОВА Дарья Дмитриевна,
менеджер Департамента безопасности Сбербанка, Управление противодействия кибермошенничеству. E-mail: [email protected]
Краткая аннотация: Статья посвящена актуальным вопросам обеспечения кибербезо-пасности финансово-кредитных организаций от кибератак ответственности за правонарушения противодействия киберпреступности как проблеме глобального масштаба.
Abstract: The article is devoted to ensuring the security of financial institutions from cybercrimes in the context of the administration of criminal responsibility for their commission. It underlined the need to against cybercrime as a global issue.
Ключевые слова: кибербезопасность, вызовы и угрозы, цифровое пространство, финансовая безопасность, информационная безопасность, кибергигиена, противодействие преступности, вредоносное программное обеспечение, юридическая ответственность.
Keywords: criminal security, cybercrime, financial security, information security, combating crime, malicious software, legal responsibility.
Проблема информационной безопасности или кибербезопасности в условиях развития глобального информационного общества, цифрового пространства приобретает особую актуальность. На вопросы противодействия от киберугроз обращается особое внимание в Послании Федеральному Собранию от 1 декабря 2016 г. Президента Российской Федерации В.В. Путина, который указывает на то, что «в цифровых технологиях кроются риски и необходимо укреплять защиту от киберугроз, должна быть значительно повышена устойчивость всех элементов инфраструктуры, финансовой системы, государственного управления. Это вопрос национальной безопасности и технологической независимости России, в полном смысле этого слова - нашего будущего». В Доктрине информационной безопасности Российской Федерации, утвержденной Указом Президента Российской Федерации от 5 декабря 2016 г. № 646 не только перечень угроз, а также совокупность средств, способных обеспечить надежную защиту информационной безопасности государства. Кроме то-
го, также прямо указано, что общественные отношения в области обеспечения информационной безопасности как никогда нуждаются в правовом регулировании в связи с динамикой развития информационного общества, инсти-туализацией правовых институтов в области обеспечения информационной безопасности, являющейся важной составляющей национальной безопасности Российской Федерации.
26 октября 2017 г. на расширенном заседании Совета Безопасности Президентом Российской Федерации В.В. Путиным отмечено: «Мы должны четко представлять тенденции развития глобальной информационной сферы, прогнозировать потенциальные угрозы и риски. И главное - наметить дополнительные меры, которые позволят нам не просто своевременно выявлять угрозы, а активно реагировать на них».
6 июля 2018 г. на Международном конгрессе по кибербезопасности, Президент Российской Федерации В.В. Путин заявил о необходимости выработки единых правил игры и общих международных стандартов, которые
учитывая интересы всех государств, были бы «приемлимыми для всех» и напомнил о положительном примере взаимодействия - согласовании Россией и европейскими государствами единых правил защиты персональных данных.
На сегодняшний день противодействие кибератакам является проблемой мирового масштаба. Более того, кибератаки превратилась в организованный бизнес, и достаточно прибыльный, в основе которого лежит, как правило, использование вредоносного программного обеспечения. Вредоносные компьютерные программы все чаще пишутся с целью незаконного обогащения за счет их дальнейшей перепродажи, а также в целях незаконного получения конфиденциальной информации пользователей и последующего хищения принадлежащих им денежных средств.
В России ежемесячная аудитория Интернета по состоянию на октябрь 2016 - март 2017 г. достигла 87 млн. человек, что составляет 71% от всего населения страны. По итогам 2017 г. число интернет-пользователей во всем мире впервые превысило 4 миллиарда человек, а современными мобильными устройствами (смартфонами) владеют около 2/3 населения планеты. На начало 2018 г. количество ежемесячных пользователей различных социальных сетей составило 3 миллиарда человек. При этом около 90% пользователей заходили на эти интернет-площадки через смартфоны
Если говорить о финансово-кредитных учреждениях, можно сказать, что здесь наиболее распространено использование современных информационных технологий и сети Интернет, причем, как для удобства предоставления своим клиентам новых банковских продуктов и услуг, так и для быстроты осуществления денежных переводов, что не может не привлекать внимания злоумышленников. За 2017 г. бизнес потерял примерно 116 млрд. рублей из-за кибератак - убытки из-за кибер-преступников признала почти каждая пятая российская компания. Для злоумышленников кибератаки во многом привлекательны за счет того, что сегодня совершенно из любой точки земного шара злоумышленники могут осуще-
ствлять подготовку и совершение кибератак, поскольку теряет в стоимости компьютерная техника, а объекты таких преступных посягательств не обязательно должны находиться в непосредственной близости от преступников. Характерно и то, что для совершения компьютерных преступлений не требуется прикладывать особые усилия и затраты, ведь достаточно иметь компьютер, программное обеспечение и подключение к информационной сети. Глубокие технические познания также не обязательны - в сети Интернет можно найти большое количество специальных форумов, закрытых чатов в мессенджерах, в которых желающий может овладеть соответствующими познаниями и навыками, приобрести вредоносное программное обеспечение для последующего совершения правонарушений, похищенные номера кредитных карт, похищенные персональные и идентификационные данные пользователей, а также объединить усилия по проведению целенаправленных компьютерных атак на компьютерные системы различных объектов.
Открытость доступа к сети Интернет, и, как следствие, затруднительность в отслеживании злоумышленников, позволяет им совершать большинство компьютерных преступлений с использованием именно данной сети. Анонимность всемирной сети Интернет, уязвимость беспроводного доступа и использование прокси-серверов дают возможность существенно затруднить обнаружение злоумышленников - для совершения преступления может использоваться так называемая «цепочка серверов», о чем есть масса информации в открытом доступе в сети Интернет и этому навыку также можно научиться.
Как уже ранее было отмечено, компьютерные преступления (или киберпреступления) могут быть совершены абсолютно из любого местоположения, в частности, при помощи выхода в сеть Интернет через точки общего доступа (рестораны, кафе, общественный транспорт), ведь при помощи современных технологий возможно получить несанкционированный доступ к чужой беспроводной сети Wi-Fi. Более того, злоумышленнику не нужно выбирать место преступления исходя из местоположения
потенциальной жертвы, что больше присуще классическим видам преступлениям — для использования своих технических средств при совершении компьютерных преступлений он может выбрать любое удобное для себя место. Это еще одна отличительная черта, присущая компьютерным преступлениям - трансграничный характер.
Вышеперечисленные обстоятельства крайне затрудняют расследование компьютерных преступлений, которое требует максимально оперативного анализа и сохранения данных, которые ввиду своей уязвимости могут быть легко уничтожены злоумышленниками за считанные минуты.
Вместе с тем, за аналогичный период времени, Сбербанк называет основной угрозой кибербезопасности в банковской сфере не вирусы, а другой вид мошенничества — социальную инженерию (манипулирование поведением человека с использованием социальных и психологических навыков), на которую приходится 80% всех атак на клиентов. Сбербанк ежедневно фиксирует около 2 тыс. обращений клиентов, связанных с мошенничеством, а за год в черные списки банка попадает около 50 тыс. мошенников, пытавшихся обмануть частных клиентов, и еще несколько тысяч, атаковавших юридических лиц.
Актуальным остается вопрос и о территориальной юрисдикции, в случае совершения правонарушения на территории другого государства. Это определяет необходимость правовой оценки действий компьютерного злоумышленника как со стороны государства, на территории которого он использовал технические устройства при совершении противоправных действий, так и государства, которому или гражданам которого причинен ущерб. Необходимо признать, что сегодня в области международного сотрудничества по противодействию компьютерной преступности имеется целый ряд проблем. 11 января 2013 г. в Гааге (Нидерланды) в штаб-квартире Европола был открыт Европейский центр по борьбе с кибер-преступностью (ЕС3), который должен стать единым европейским центром по борьбе с ки-берпреступностью с самым современным оборудованием и использующим современные
технологии, а также имеющим сильную команду высококвалифицированных кадров.
Евросоюз ранее предлагали России подписать Конвенцию о преступности в сфере компьютерной информации 2001 г. (так называемая Будапештская конвенция о киберпре-ступности), которая вступила в силу 1 июля 2004 г.
В качестве альтернативы Будапештской конвенции Совета Европы о компьютерных преступлениях, Российской Федерацией подготовлен проект конвенции ООН «О сотрудничестве в сфере противодействия информационной преступности». Впервые документ был представлен иностранным партнерам на совещании руководителей спецслужб секретарем Совета безопасности Российской Федерации. Российский проект исключает возможность вмешательства спецслужб третьих стран в чужие компьютерные системы и отдельной статьей прописывает механизм защиты суверенитета. Очевидно, что перспективы данного проекта во многом будут зависеть от мнения США. Это подтверждает необходимость активного содействия по созданию системы международной информационной безопасности, развитию сотрудничества с партнерами на глобальных и региональных площадках, таких как ООН, БРИКС, Шанхайская организация сотрудничества, АТЭС, ОДКБ, СНГ и других, проведению межведомственных консультаций и переговоров, что позволит более эффективно бороться с современными угрозами.
В этой связи справедливо утверждение известного правоведа В.Ф. Яковлева о том, что право постоянно развивается и становится все более сложным и дифференцированным. Совершенствуется правовая ответственность, появляются новые ее варианты. Но для того, чтобы вопросы ответственности решались правильно и законодателем, и правоприменителем, следует исходить из того, что есть общее понятие ответственности как общеправовой категории. Однако ответственность в разных отраслях права отличается большим своеобразием [3]. Представляется, что данное утверждение применимо и к вопросам, связанным с юридической ответственностью за правонарушения в информационной сфере.
Следует подчеркнуть, что чем стремительнее развивается сфера информационных технологий, тем больше новых видов правонарушений изобретают злоумышленники, которые не перестают совершенствовать свои навыки и придумывать новые способы незаконного обогащения в данной сфере. При этом, государству необходимо наращивать темп проведения мероприятий, направленных на профилактику, предупреждение и борьбу с киберпреступностью, поскольку, как показывает правоприменительная практика, относительная длительность и бюрократический подход к развитию нормативно-правовой базы приводят к значительному отставанию таких мероприятий.
Как правило, успешные масштабные кибератаки возможно совершать в рамках действия организованного преступного сообщества, членам которого не обязательно быть знакомыми лично - они могут знать друг друга лишь по никнеймам, используемым в сети Интернет при подготовке и совершении кибера-так. Одновременно с этим, злоумышленники используют и традиционные методы совершения преступления, но, как правило, уже на его финальной стадии, а именно при обналичивании похищенных денежных средств.
Таким образом, рост компьютерных преступлений именно в финансово-кредитной сфере требует от сотрудников правоохранительной системы помимо не только неукоснительного соблюдения и выполнения своих непосредственных служебных обязанностей по расследованию преступлений, но также понимания банковских процессов и финансовых отношений.
Есть и другая проблема в данном направлении, связанная с программой обучения следственных и оперативных работников правоохранительной системы. К примеру, курс криминалистики нуждается в кардинальном обновлении, поскольку он уже устарел. Радикально должны быть переработаны и созданы новые курсы, изменены научные подходы к исследованию данных вопросов. Сбербанк осознает всю глобальность данной проблемы и первым в стране начал вести такую деятельность по направлению переподготовки
специалистов, их обучение киберграмотности, информационной безопасности и основам банковской системы. Представляется, что тесное сотрудничество финансово-кредитных учреждений с правоохранительными органами, а также ведущими вузами страны в рамках вышеуказанных направлений позволит эффективнее вести борьбу с киберпреступностью. [1].
Необходимо активное вовлечение и органов государственной власти в части касающейся внедрения и разработки новых учебных программ на всех уровнях образовательной системы, что будет способствовать формированию правового фундамента для дальнейших практических шагов в направлении обеспечения информационной безопасности.
До недавнего времени судьи, прокуроры и следователи руководствовались в своей профессиональной деятельности нормативно-правовыми документами, которые уже устарели и не дают ответов на все актуальные вопросы, что мешает представителям названных ветвей власти не только иметь правильное представление о киберпреступлениях и механизмах их совершения, но и общий подход к толкованию и правоприменению.
Кроме того, изменения, в которых, безусловно, нуждается российское законодательство в части противодействия киберпреступно-сти, должно приниматься в соответствии с действующими международными нормативно-пра-вовыми актами (Будапештская Конвенция по киберпреступлениям от 23 ноября 2001 г., и др.), поскольку эффективное ведение борьбы с киберпреступностью, которая, как правило, носит международный характер, немыслимо на территории одного государства без международного сотрудничества.
Одним из ключевых направлений обеспечения информационной безопасности является усиление государственно-частного партнерства и развитие соответствующих регионально-ориентированных программ с учетом экономической заинтересованности кредитных организаций в повышении уровня защищенности их информационных ресурсов. Представляется необходимым применение подходов, аналогичных тем, которые избраны в целях противодействия иным угрозам системного характе-
ра, например таким, как коррупция [2, с. 18].
Отдельно обращает внимание проблема недостаточного уровня киберграмотности населения. Большинство киберпреступлений совершается, в том числе, благодаря неосведомленности населения и клиентов кредитно-финансовых организаций, а также несоблюдения ими основных правил безопасности. В связи с этим, значительную пользу в предупреждении киберпреступности имеют информационно-просветительские мероприятия в отношении новых рисков и угроз в информационных и компьютерных системах. Сбербанк регулярно предоставляет своим клиентам рекомендации по соблюдению кибергигиены, такие, например, как скачивание приложения «Сбербанк Онлайн» только с официальных ресурсов. Важно соблюдать элементарные правила информационной безопасности, а именно: не пренебрегать антивирусом, создавать и использовать сложные пароли, не повторять их на всех используемых ресурсах, применять двухфакторную аутентификацию везде, где это возможно, использовать функции шифрования информации на жестких дисках, USB-носителях и применять шифрование для сохранения конфиденциальности переписки в интернете.
С 1 января 2018 г. вступил в силу ФЗ от 26 июля 2017 г. № 187 «О безопасности критической информационной инфраструктуры Российской Федерации». Принятие нового закона направлено в первую очередь на создание государственной системы обнаружения, предупреждения и ликвидации последствий атак на информационные ресурсы государства.
Таким образом, можно сформулировать отдельные направления взаимодействия государственных органов и финансово-кредитных учреждений по противодействию киберпреступности в части обеспечения информационной безопасности:
1) содействие по созданию системы международной информационной безопасно-
сти, развитию сотрудничества с партнерами на глобальных и региональных площадках, таких как ООН, БРИКС, Шанхайская организация сотрудничества, АТЭС, ОДКБ, СНГ и других, проведению межведомственных консультаций и переговоров, что позволит более эффективно бороться с современными угрозами;
2) обоюдное сотрудничество в совокупности с усовершенствованием нормативно-правовой базы в области информационного законодательства Российской Федерации как основа правового фундамента для дальнейших практических шагов в направлении обеспечения информационной безопасности, предупреждения и пресечения компьютерных преступлений;
3) образовательные курсы для граждан, в первую очередь, для социально незащищенных категорий граждан и пожилых людей в целях повышения осведомленности старшего поколения о финансовом рынке, банках, их продуктах, современных технологиях и возможностях их применения, а также о том, как научиться распознавать мошенников, финансовые пирамиды, правила кибергигиены;
4) обучение слушателей учебных заведений и переподготовка следователей в целях обучения и формирования квалифицированных специалистов для органов внутренних дел, противостоящих преступлениям в сфере высоких технологий;
5) продолжение научных исследований, направленных на изучение общих вопросов ответственности в области информационной безопасности, субъектов и объектов исследования. Также необходимо активное вовлечение органов государственной власти в части касающейся внедрения и разработки новых учебных программ на всех уровнях образовательной системы, что будет способствовать формированию правового фундамента для дальнейших практических шагов в направлении обеспечения информационной безопасности.
Библиография:
1. Гончар В.В. Совершенствование государственной политики по противодействию преступлениям в сфере информационных технологий // Вестник экономической безопасности. - 2017. - № 3. - С. 134.
2. Савенков А.Н. Противодействие киберпреступности в финансово-кредитной сфере как вектор обеспечения глобальной безопасности // Государство и право. - 2017. - № 10. - С. 18.
3. Яковлев В. Ф. О понятии правовой ответственности // Журнал российского права. - 2014. - № 1. - С. 5-7.
