Кібербезпека в платіжних системах. Яких змін варто очікувати в законодавстві про переказ коштів?
27 вересня 2018 року Національний банк України розмістив на своєму сайті проект Постанови Правління Національного банку України «Про затвердження Положення про кіберзахист та інформаційну безпеку в платіжних системах та системах розрахунків».
На даний момент, НБУ розглядає пропозиції та зауваження до майбутнього нормативного акту, надані представниками ринку та всіма зацікавленими в ньому сторонами.
Однак, вже зараз можна говорити про те, чого необхідно чекати від майбутнього Положення.
Кого стосується?
Положення покликане встановити чіткі вимоги, необхідні для безпечного функціонування платіжних систем, і за задумом НБУ, будуть поширюватись на:
- платіжні організації платіжних систем та систем розрахунків створених резидентами України;
- учасників-резидентів платіжних систем та систем розрахунків, створених як резидентами, так і нерезидентами України;
- операторів послуг платіжної інфраструктури;
- платіжні організації міжнародних платіжних систем, створених нерезидентами, у частині їх діяльності на території України.
НБУ хоче створити умови для безпечної передачі коштів
НБУ стверджує, що Проект Положення розроблено з метою встановлення вимог до організаційних та технічних заходів, з метою забезпечення інформаційної безпеки та кіберзахисту суб’єктами платіжного ринку України.
Для всіх платіжних організацій платіжних систем, учасників платіжних систем та операторів послуг платіжної інфраструктури, важливо розуміти, що для них готує НБУ, серед вимог необхідно виділити наступні:
- розробити або доопрацювати вже розроблені внутрішні документи щодо інформаційної безпеки та кіберзахисту у сфері переказу коштів;
- визначити та запровадити посилені вимоги до парольної політики для привілейованих облікових записів;
- забезпечити контроль за цілісністю клієнтського ПЗ, що реалізоване у вигляді програмного модуля, шляхом перевірки значень хеш-функцій на нього;
- проводити постійний моніторинг та розслідування інцидентів безпеки інформації та кіберінцидентів;
- призначити особу чи підрозділ відповідальних за забезпечення інформаційної безпеки та кіберзахисту.
Це лише мала частина з новел зазначених у Проекті Положення НБУ, але безсумнівно їх ціль полягає в одному – посилити безпеку в платіжних системах та системах розрахунків. Реалізовано це буде шляхом введення жорсткіших вимог до учасників ринку платіжних систем.
BankID, нові можливості та нові ризики
Цікаво також те, що 5 листопада в Україну прийшла електронна система верифікації особи BankID, яка дозволяє ідентифікувати особу та отримати доступ до адміністративних та банківських послуг – такий собі онлайн-паспорт.
Доступ до величезної кількості адміністративних послуг українці отримують за умов складної верифікації: треба поділитися своїми паспортними даними, ідентифікаційним кодом, дати доступ до банківської карти та ряду іншої інформації що містить персональні дані.
Використання BankID багато в чому базується на принципах закладених у Законі України «Про електронні довірчі послуги», який вступив в силу 7 листопада, проте основним завданням нового закону є надання більш точної кваліфікації понять в рамках надання електронних послуг, а ситуація з забезпеченням захисту всіх даних та коштів які будуть передаватися за допомогою механізмів електронної комерції та електронних довірчих послуг поки залишається незмінною.
Таким чином, злам такої системи може бути справжньою катастрофою для українців верифікованих у BankID, тож жорсткі вимоги кіберзахисту у платіжних системах та системах розрахунку будуть як ніколи доречними.
Маленька революція в законодавстві, чи спроба не “пасти задніх” в сфері регулювання переказу коштів?
Говорячи про реформування системи вимог до кіберзахисту в платіжних системах, не можна не згадати про Проект Закону «Про внесення змін до деяких законодавчих актів України щодо регулювання переказу коштів» № 7270, який вже рік як чекає своєї долі у Верховній Раді і врешті-решт в кінці вересня був включений до порядку денного.
Поки ще, рано робити висновки, щодо результатів розгляду цього законопроекту, проте важливо зазначити, що він ставить досить високі вимоги для всіх платіжних систем при здійсненні їх діяльності.
Серед важливих змін можна виділити:
- кримінальну відповідальність у вигляді позбавлення волі з конфіскацією майна, за незаконні дії з електронними грошима;
- введення поняття «платіжний моніторинг» який визначається як обов’язкова діяльність постачальника послуг по контролю за електронними переказами з метою виявлення та запобігання помилковим та неналежним переказам;
- адміністративну відповідальність за порушення законодавства про платіжний моніторинг, яка тягне за собою відчутні штрафи;
- встановлення чіткого поділу меж відповідальності між клієнтом та платіжною установою у випадку втрати електронного платіжного засобу (платіжної карти, телефону з приєднаною картою, тощо);
- встановлення обов’язку емітента електронних коштів зберігати кошти у сумі, яка відповідає сумі випущених електронних грошей. Тобто банк чи інша установа, яка випускає електронні кошти, зобов’язана буде фізично зберігати кошти, в тому обсязі, в якому були випущені електронні гроші, та не матиме права здійснювати інші операції з ними.
Для України такі міри безпрецедентні, але в рамках світової практики законопроект чітко вписується в тенденції регулювання переказу коштів.
Проте, повернемося до Положення НБУ про кіберзахист та інформаційну безпеку (поки теж у статусі Проекту). Високі вимоги до кіберзахисту та перспектива серйозної відповідальності, в рамках Законопроекту Верховної Ради, розширить повноваження НБУ в сфері переказу коштів – тому і до вимог по кіберзахисту в платіжних системах потрібно буде ставитися вкрай серйозно.
У випадку прийняття Положення НБУ, всі платіжні організації які будуть неналежно забезпечувати достатній рівень безпеки в платіжних системах, (в тому числі, щодо документального оформлення технічних інструкцій, правил конфіденційності тощо) змушені будуть сплатити чималі штрафи та привести свою документацію в порядок.
Що робити, та коли зміни вступлять в силу?
Поки ми лише чекаємо, що нам піднесуть законодавці, проте очікування можна використати на користь та підготуватися до майбутніх змін. Точного моменту вступу в силу нових правил, якими регулюватиметься безпека в платіжних системах, поки немає, хоча в Проекті Положення НБУ і вказана дата до якої учасникам платіжних систем необхідно привести свою діяльність до вимог Положення – 1 липня 2019 року.
Тим не менше платіжним організаціям варто було б підготувати працівників до нових вимог безпеки, доопрацювати внутрішню документацію, розробити посадові інструкції, щоб коли прийде час не ризикувати опинитися за бортом нових реалій інформаційної безпеки.