Международная конференция «Территория финансовой безопасности 2021», которую организуют Федеральный фонд по защите прав вкладчиков и акционеров и Евразийская экономическая комиссия, второй год подряд проходила в дистанционном формате. В этом году в ней приняли участие более 800 экспертов из 11 стран мира. За два дня выступили 40 спикеров.
В роли модератора четвертой сессии «Цифровая и информационная безопасность потребителей финансовых услуг и инвесторов» выступил президент НАПКА, председатель совета СРО «МиР» Эльман Мехтиев.
Заместитель Директора Департамента информационной безопасности Банка России Андрей Выборнов сказал, что основной риск в сфере финансовой безопасности – это социальная инженерия. Эта тема сегодня для Банка России – «топовая», и она находится на контроле Председателя. Один из основных инструментов решения проблемы – повышение финансовой грамотности населения. Но когда речь идет о социальной инженерии, финансовая грамотность неразрывна с цифровой, киберграмотностью. Реализуются меры как оперативного предупреждения населения, так и стратегические программы, в частности, образовательные программы для детей старшего школьного возраста, что позволит им входить во взрослую жизнь более подготовленными и защищенными от методов социального манипулирования. В последнее время удалось в этом направлении достичь некоторых успехов, по крайней мере, статистика свидетельствует об определенном снижении доли преступлений, связанных с социальной инженерией.
Вторым направлением деятельности Банка России по решению проблемы социальной инженерии является совершенствование нормативно-правовой базы. Одной из важных задач сегодня стало создание условий, при которых банки будут заинтересованы в повышении качества антифрод-процедур. Регулятор в данный момент прорабатывает поправки в некоторые регламентирующие документы, в частности, в ФЗ «О национальной платежной системе». Готовятся изменения в регламентирующие документы, которые позволят участникам рынка более плотно работать с цепочками по выводу денежных средств при несанкционированных операциях.
Периодически совершенствуются документы по защите информации. В последнее время Банк России наделен полномочиями по надзору в сфере операционной безопасности, которые, в частности, предполагают необходимость обеспечения непрерывности IT-сервисов в условиях компьютерных атак или технических сбоев. В этом году Банк России примет документы в отношении операционной надежности в отношении кредитных и некредитных финансовых организаций. При разработке этих документов учитывается международный опыт по обеспечению киберустойчивости.
Существует серьезная проблема нехватки квалифицированных специалистов в сфере кибербезопасности. Банк России уделяет в этой связи серьезное внимание подготовке профстандартов для подготовки специалистов, которые должны соответствовать современным требованиям по обеспечению информационной безопасности и операционной устойчивости. Одновременно ведется работа с ведущими вузами в целях реализации профстандарта в образовательных программах. Кроме того, Банк России организовал специальный курс «Финансовая кибербезопасность» для представителей финансовых организаций, правоохранительных органов, преподавателей.
Андрей Выборнов рассказал о разнообразных просветительских материалах и ресурсах, созданных Банком России. В частности, в ходе конференции был продемонстрирован один из анимационных роликов, подготовленных для оповещения граждан о методах социальной инженерии.
Спикер также отметил, что одной из основных задач Банка России в сфере цифровизации остается внедрение методов удаленной идентификации, аутентификации, биометрии, а также повышения доверия к этим процедурам.
Заместитель Президента - Председателя Правления АО «БМ-Банк» Светлана Толкачева отметила необходимость системного подхода в финансовом и в цифровом обучении. Подготовка школьников предполагает обязательную работу не только с детьми и подростками, но также с их родителями и учителями.
Среди основных предпосылок увеличения мошенничества в финансовой сфере спикер назвала: увеличение общего числа операций, избыток противоречивой информации, переход к удаленной идентификации клиента, ускорение технологических процессов, разрыв между знанием финансовых инструментов и поведением граждан в цифровой среде.
Раскрытие киберпреступлений связано с серьезными сложностями. В-первых, сам интернет построен по принципу анонимности. Во-вторых, необходим высокий профессиональный уровень следствия.
Одна из основных задач цифрового обучения – добиться осознания потребителем понимания зоны собственной ответственности за сохранение своих персональных данных, за соблюдение правил пользования услугой. Необходимо, чтобы гражданин занимал проактивную позицию при пользовании финансовой услугой.
Конкретные мошеннические практики, как правило, очень быстро подстраиваются под рынок: все уходят в онлайн – мошенники уже там, люди начинают распознавать мошеннические звонки «из банков» - начинаются звонки от следователей, появляется тема замена паролей на Госуслугах, получение выплат и пр.
Одной из самых главных технологий, обеспечивающих безопасность клиента, является двухфакторная идентификация. Поэтому желательно распространить ее на все сферы цифровых коммуникаций, когда речь идет о персональных данных, в том числе в соцсетях.
Из полутора миллиона биометрических данных, сданных для удаленной идентификации, 40 тысяч было через некоторое время отозвано. С одной стороны, это совершенно нормальное явление – появляются сомнения, человек меняет решения, но с другой, это означает, что люди не очень четко осознают, что биометрия – это дополнительный механизм защиты. Никто не отменяет возможность защиты паролем, двухфакторной идентификации или каких-то специальных программ, например, Google-аутентификатор для телефона. Сочетание разных форм защиты должно обеспечить нам реальную безопасность в цифровой среде.
Мы постепенно движемся в сторону цифрового государства. В рейтинге ООН Россия находится на 36 месте, причем рост в основном произошел за счет внедренного в 2012 году портала Госуслуги. Следующий шаг – это цифровое правительство. Его смысл, чтобы получать государственные услуги можно было максимально просто и максимально быстро. Переход к Цифровому правительству неизбежен, его не надо бояться, но к нему надо людей готовить, в том числе предупреждать о возможности мошенничества. В настоящее время идет доработка и тестирование основных компонентов цифрового профиля гражданина, который, с одной стороны, содержит всю совокупность данных, которые имеются в государственных институтах о человеке, а также технические средства их обработки, защиты. Пока цифровой профиль эксплуатируется в экспериментальном режиме, однако в 2022 году он должен обрести реальный статус.
Наряду с техниками социально инженерии большую опасность продолжает представлять фишинг. По статистике Google, каждые 20 секунд создается один поддельный сайт.
Исполнительный директор Ассоциации операторов инвестиционных платформ Кирилл Косминский отметил, что мошенники постоянно придумывают новые легенды, основанные на текущих трендах. Соответственно информационная борьба с мошенничеством должна также вестись на упреждение новых угроз.
Кирилл Косминский предложил участникам конференции подумать над возможностью создания группы разработки мер по реагированию на финансовое мошенничество (аналог FATF). Эта группа должна разрабатывать рекомендации по противодействию мошенничеству. При этом необходимо добиваться того, чтобы рекомендации этой группы стали обязательными для исполнения ведомствами, организациями. В социальных сетях, в поисковиках присутствует большой объем рекламы откровенных мошенников. Многие проблемы в сфере безопасности можно решить, сев за одним виртуальным столом, в частности касающиеся конкретных кейсов.
Спикер согласился с замечанием Светланы Толкачевой о том, что граждане часто воспринимают любые утечки персональной информации, как вину банков, хотя очень часто это не так. Однако сами кредитные организации порой крайне медленно реагируют на действия мошенников, даже когда эта реакция не требует каких-либо дополнительных финансовых вложений. Например, предупреждения о мошеннических звонках от имени службы безопасности крупного государственного банка появилось в мобильном приложении самого банка, гораздо позже, чем оно было растиражировано в СМИ.
Некоторые формы грамотного поведения потребителей можно подкреплять финансово. Так, например, можно было бы стимулировать прохождение тестов на понимание правил финансовой безопасности.
Для развивающегося сектора инвестиционных платформ серьезной проблемой остается обилие мошеннических проектов, которые себя также позиционируют как инвестиционные или краудлендинговые платформы. Противодействовать недобросовестным практикам можно как путем информирования, предупреждения, повышения финансовой грамотности, так и с помощью «группы быстрого реагирования».
Модератор сессии Эльман Мехтиев, признавая важность формирования у потребителей активной позиции, отметил, что к этой активной позиций людей необходимо подталкивать. Подталкивать могут те институты, которым граждане передали персональные данные. Так, Минцифры и Ростелеком вполне могли бы разослать персональные напоминания всем пользователям портала Госуслуги, не подключившим сервис двойной аутентификации, смс-сообщение с предложением сделать это для собственной безопасности.
Президент АНО «Центр защиты прав вкладчиков и инвесторов» Артем Генкин рассказал об основных рисках криптоинвестиций, в которые вовлечено большое число обыкновенных розничных инвесторов. Кроме высокой волатильности, необходимо учитывать высокую нормативную неопределенность, серьезные проблемы кибербезопасности, информационная непрозачность, а также появление конкурентов в сфере криптоактивов – национальных банков ряда стран. Последняя проблема усугубляется тем, что регулятор, который намерен выпускать собственный криптоактив способен менять правила игры, ухудшая условия обращения для независимых криптовалют.
По данным Chainanalysis в 2019 году мошенники в сфере криптоактивов получили доход в 4,3 миллиарда долларов. В 2020 году потери инвесторов были немного меньше. Самым крупным мошенническим криптопроектом 2019 года стал PlusToken, инвесторы которого потеряли порядка 3 млрд долларов США. Маркетинг PlusToken строился на принципах MLM. Инвесторам обещалась высокая доходность в самом криптоактиве. Для привлечения широких слоев инвесторов была создана специальная платформа, позволявшая хранить криптомонеты, производить оперативный обмен криптоактивов на биткоины, обычные деньги. Всего к пользованию мошеннической платформой было привлечено более 3 миллионов участников.
По данным KMPG, за три года (2018-2020 гг) хакерами с криптосчетов было похищено более 10 миллиардов долларов.
Что касается проблемы анонимности, то криптоиндустрия в целом повторяет путь финансового рынка в целом. В большинстве развитых стран на институты криптоиндустрии распространяются нормы антиотмывочного законодательства. Временной лаг, пока криптоактивы оставались вне государственного контроля, по оценке Артема Генкина, был короче, чем в сфере электронных денег. С принятием в России ФЗ О цифровых активах в 2020 году отчетности и прозрачности в этой сфере стало значительно больше.
С лета 2020 года вступили в силу рекомендации FATF (Travel Rule), в соответствии с которыми провайдеров криптоактивов примерно 40 стран мира обязаны обмениваться информацией о пользователях при операциях на сумму, эквивалентной 1 тысячи долларов и выше.
Однако сегодня далеко не всегда ограничения оказываются результативными. По данным ChipperTrace, две трети крупнейших криптобирж не выполняют требований Know Your Clients. Лишь 30 бирж из 216 имеют лицензии.
Должны ли вопросы криптобезопасности быть составной частью финансовой грамотности? Во многом ответ на этот вопрос зависит от той стены, которая будет создана между частным инвестором и криптоактивами. По всей видимости, такая стена в рамках российского законодательства будет ставиться для неквалифицированных инвесторов, но частично эта сфера останется для граждан досягаемой. Поэтому, по мнению спикера, целесообразно включать криптобезопасность в курс финансовой грамотности.
Блогер Кира Юхтенко высказала мнение, что всегда останутся люди, которые будут выбирать наиболее рискованные и потенциально высокодоходные инструменты, в частности криптовалюту. Таким людям практически бесполезно рассказывать про достоинства облигаций. У них подобный рассказ вызовет недоумение: зачем облигации, если есть «крипта»? Финансовое просвещение может повлиять на реальное поведение только сомневающихся людей.
Сейчас мы переживаем вторую волну спроса к криптовалюте (первая была в 2017-18 гг). Много новых людей приходит в сферу криптоинвестиций, и далеко не все из них обладают базовыми знаниями в сфере финансов. Они не осознают необходимости создания финансовой подушки. Крипта стоит на самой последней инвестиционной ступеньке. Когда с помощью портфеля сбережений закрыты все основные потенциальные риски, можно часть средств вкладывать в такой высоко рискованный продукт как цифровой актив. Но многие люди стараются сразу заскочить на эту ступеньку и чувствуют себя невероятно гордыми. При этом далеко не все из них психологически готовы к вероятной глубокой просадке своих криптоинвестиций.
Особенно уязвимой в этом плане оказывается молодежь. Кира Юхтенко рассказала об эфире с двенадцатилетним трейдером, который успешно торгует криптовалютой. Нормально ли это? Вопрос. Очевидно, что у этого трейдера не создана подушка безопасности. Наверное, здесь надо максимально активно заниматься финансовом просвещением, чтобы базовые инвестиционные правила откладывались в «подкорке» учеников.