Кибербезопасность в платежных системах. Каких изменений следует ожидать в законодательстве о переводе средств?
Национальный банк Украины 27 сентября 2018 разместил на своем сайте проект постановления Правления Национального банка Украины «Об утверждении Положения о киберзащита и информационной безопасности в платежных системах и системах расчетов».
На данный момент, НБУ рассматривает предложения и замечания к будущему нормативному акту, предоставленные представителями рынка и всеми заинтересованными в нем сторонами.
Однако, уже сейчас можно говорить о том, чего необходимо ждать от будущего Положения.
Кого касается?
Положение призвано установить четкие требования необходимые для безопасного функционирования платежных систем, и по замыслу НБУ, будет распространяться на:
— платежные организации платежных систем и систем расчетов созданных резидентами Украины;
— участников-резидентов платежных систем и систем расчетов, созданных как резидентами, так и нерезидентами Украины;
— операторов услуг платежной инфраструктуры;
— платежные организации международных платежных систем, созданных нерезидентами, в части их деятельности на территории Украины.
НБУ хочет создать условия для безопасной передачи средств
НБУ утверждает, что Проект Положения разработан с целью установления требований к внедряемым организационным и техническим мерам, с целью обеспечения информационной безопасности и киберзащиты субъектами платежного рынка Украины.
Для всех платежных организаций платежных систем, участников платежных систем и операторов услуг платежной инфраструктуры важно понимать, что для них готовит НБУ, среди требований необходимо выделить следующие:
— разработать или доработать уже разработанные внутренние документы по информационной безопасности и защите от киберугроз в сфере перевода средств;
— определить и ввести усиленные требования к парольной политике для привилегированных учетных записей;
— обеспечить контроль за целостностью клиентского ПО, которое реализовано в виде программного модуля, путем проверки значений хэш-функций на него;
— проводить постоянный мониторинг и расследование инцидентов безопасности информации и киберинцидентов;
— назначить лицо или подразделение ответственных за обеспечение информационной безопасности и киберзащиты.
Это лишь малая часть указанного в проекте Положения НБУ, но несомненно их цель заключается в одном — усилить безопасность в платежных системах и системах расчетов, и делать это путем введения более жестких требований к участникам рынка платежных систем.
BankID, новые возможности и новые риски
Интересно также то, что 5 ноября в Украину пришла электронная система верификации личности BankID, которая позволяет идентифицировать личность и получить доступ к административным и банковским услугам — некий онлайн-паспорт.
Благодаря нововведению украинцы получают доступ к огромному количеству административных услуг, но для верификации необходимо поделиться своими паспортными данными, идентификационным кодом, дать доступ к банковской карты и ряда другой информации, содержащей персональные данные.
Использование BankID во многом базируются на принципах заложенных в Законе Украины «Об электронных доверительных услугах», который вступил в силу 7 ноября, однако основной задачей нового закона является предоставление более точной квалификации понятий, в рамках оказания электронных услуг, а ситуация с обеспечением защиты всех данных и средств которые будут передаваться с помощью механизмов электронной коммерции и электронных доверительных услуг пока остается неизменной.
Таким образом, сбой такой системы может быть настоящей катастрофой для верифицированных в BankID, поэтому жесткие требования киберзащиты в платежных системах и системах расчета будут как никогда кстати.
Маленькая революция в законодательстве, или попытка не отставать в сфере регулирования перевода средств?
Говоря о реформировании системы требований к киберзащите в платежных системах, нельзя не упомянуть о Проекте Закона «О внесении изменений в некоторые законодательные акты Украины относительно регулирования перевода средств» № 7270, который уже год как ждет своей участи в Верховной Раде и в конце концов, в конце сентября был включен в повестку дня.
Пока еще рано делать выводы, о результатах рассмотрения этого законопроекта, однако важно отметить, что он ставит достаточно высокие требования для всех платежных систем, при осуществлении их деятельности, среди важных изменений можно выделить:
— уголовную ответственность в виде лишения свободы с конфискацией имущества за незаконные действия с электронными деньгами;
— введение понятия «платежный мониторинг», который определяется как обязательная деятельность поставщика услуг по контролю за электронными переводами с целью выявления и предотвращения ошибочных и ненадлежащих переводов;
— административную ответственность за нарушение законодательства о платежном мониторинге, которая влечет за собой ощутимые штрафы;
— установление четкого разделения границ ответственности между клиентом и платежной учреждением, в случае потери электронного платежного средства (платежной карты, телефона с присоединенной картой и т.д.);
— установление обязанности эмитента электронных средств хранить средства в сумме, соответствующей сумме выпущенных электронных денег, то есть банк или другое учреждение выпускающая электронные средства обязана будет физически хранить средства, в том объеме в котором были выпущены электронные деньги, и не будет иметь права осуществлять другие операции с ними.
Для Украины такие меры беспрецедентные, однако в рамках мировой практике законопроект четко вписывается в тенденции регулирования перевода средств.
Однако, вернемся к Положению НБУ об киберзащита и информационной безопасности (пока тоже в статусе проекта). Высокие требования к защите от киберугроз и перспектива серьезной ответственности, в рамках законопроекта Верховной Рады, расширит полномочия НБУ в сфере перевода средств, а потому и к требованиям по киберзащите в платежных системах нужно будет относиться крайне серьезно.
В случае принятия Положения НБУ, все платежные организации, которые будут ненадлежащим образом обеспечивать достаточный уровень безопасности в платежных системах, в том числе, по документальному оформлению технических инструкций, правил конфиденциальности и т.д., вынуждены будут заплатить немалые штрафы и привести свою документацию в порядок.
Что делать, и когда изменения вступят в силу?
Пока мы только ждем, что нам преподнесут законодатели, однако ожидания можно использовать на пользу и подготовиться к предстоящим изменениям. Точного момента вступления в силу новых правил, которыми будет регулироваться безопасность в платежных системах, пока нет, хотя в Проекте Положения НБУ и указана дата которой участникам платежных систем необходимо привести свою деятельность с требованиями Положения — 1 июля 2019 года.
Тем не менее платежным организациям следовало бы подготовить работников к новым требованиям безопасности, доработать внутреннюю документацию, разработать должностные инструкции, чтобы когда придет время не рисковать оказаться за бортом новых реалий информационной безопасности.
