Кибербезопасность в платежных системах. Каких изменений следует ожидать в законодательстве о переводе средств?

Национальный банк Украины 27 сентября 2018 разместил на своем сайте проект постановления Правления Национального банка Украины «Об утверждении Положения о киберзащита и информационной безопасности в платежных системах и системах расчетов».

На данный момент, НБУ рассматривает предложения и замечания к будущему нормативному акту, предоставленные представителями рынка и всеми заинтересованными в нем сторонами.

Однако, уже сейчас можно говорить о том, чего необходимо ждать от будущего Положения.

Кого касается?

Положение призвано установить четкие требования необходимые для безопасного функционирования платежных систем, и по замыслу НБУ, будет распространяться на:

— платежные организации платежных систем и систем расчетов созданных резидентами Украины;
— участников-резидентов платежных систем и систем расчетов, созданных как резидентами, так и нерезидентами Украины;
— операторов услуг платежной инфраструктуры;
— платежные организации международных платежных систем, созданных нерезидентами, в части их деятельности на территории Украины.

НБУ хочет создать условия для безопасной передачи средств

НБУ утверждает, что Проект Положения разработан с целью установления требований к внедряемым организационным и техническим мерам, с целью обеспечения информационной безопасности и киберзащиты субъектами платежного рынка Украины.

Для всех платежных организаций платежных систем, участников платежных систем и операторов услуг платежной инфраструктуры важно понимать, что для них готовит НБУ, среди требований необходимо выделить следующие:

— разработать или доработать уже разработанные внутренние документы по информационной безопасности и защите от киберугроз в сфере перевода средств;
— определить и ввести усиленные требования к парольной политике для привилегированных учетных записей;
— обеспечить контроль за целостностью клиентского ПО, которое реализовано в виде программного модуля, путем проверки значений хэш-функций на него;
— проводить постоянный мониторинг и расследование инцидентов безопасности информации и киберинцидентов;
— назначить лицо или подразделение ответственных за обеспечение информационной безопасности и киберзащиты.

Это лишь малая часть указанного в проекте Положения НБУ, но несомненно их цель заключается в одном — усилить безопасность в платежных системах и системах расчетов, и делать это путем введения более жестких требований к участникам рынка платежных систем.

BankID, новые возможности и новые риски

Интересно также то, что 5 ноября в Украину пришла электронная система верификации личности BankID, которая позволяет идентифицировать личность и получить доступ к административным и банковским услугам — некий онлайн-паспорт.

Благодаря нововведению украинцы получают доступ к огромному количеству административных услуг, но для верификации необходимо поделиться своими паспортными данными, идентификационным кодом, дать доступ к банковской карты и ряда другой информации, содержащей персональные данные.

Использование BankID во многом базируются на принципах заложенных в Законе Украины «Об электронных доверительных услугах», который вступил в силу 7 ноября, однако основной задачей нового закона является предоставление более точной квалификации понятий, в рамках оказания электронных услуг, а ситуация с обеспечением защиты всех данных и средств которые будут передаваться с помощью механизмов электронной коммерции и электронных доверительных услуг пока остается неизменной.

Таким образом,  сбой такой системы может быть настоящей катастрофой для верифицированных в BankID, поэтому жесткие требования киберзащиты в платежных системах и системах расчета будут как никогда кстати.

Маленькая революция в законодательстве, или попытка не отставать в сфере регулирования перевода средств?

Говоря о реформировании системы требований к киберзащите в платежных системах, нельзя не упомянуть о Проекте Закона «О внесении изменений в некоторые законодательные акты Украины относительно регулирования перевода средств» № 7270, который уже год как ждет своей участи в Верховной Раде и в конце концов, в конце сентября был включен в повестку дня.

Пока еще рано делать выводы, о результатах рассмотрения этого законопроекта, однако важно отметить, что он ставит достаточно высокие требования для всех платежных систем, при осуществлении их деятельности, среди важных изменений можно выделить:

— уголовную ответственность в виде лишения свободы с конфискацией имущества за незаконные действия с электронными деньгами;
— введение понятия «платежный мониторинг», который определяется как обязательная деятельность поставщика услуг по контролю за электронными переводами с целью выявления и предотвращения ошибочных и ненадлежащих переводов;
— административную ответственность за нарушение законодательства о платежном мониторинге, которая влечет за собой ощутимые штрафы;
— установление четкого разделения границ ответственности между клиентом и платежной учреждением, в случае потери электронного платежного средства (платежной карты, телефона с присоединенной картой и т.д.);

— установление обязанности эмитента электронных средств хранить средства в сумме, соответствующей сумме выпущенных электронных денег, то есть банк или другое учреждение выпускающая электронные средства обязана будет физически хранить средства, в том объеме в котором были выпущены электронные деньги, и не будет иметь права осуществлять другие операции с ними.

Для Украины такие меры беспрецедентные, однако в рамках мировой практике законопроект четко вписывается в тенденции регулирования перевода средств.

 

Однако, вернемся к Положению НБУ об киберзащита и информационной безопасности (пока тоже в статусе проекта). Высокие требования к защите от киберугроз и перспектива серьезной ответственности, в рамках законопроекта Верховной Рады, расширит полномочия НБУ в сфере перевода средств, а потому и к требованиям по киберзащите в платежных системах нужно будет относиться крайне серьезно.

В случае принятия Положения НБУ, все платежные организации, которые будут ненадлежащим образом обеспечивать достаточный уровень безопасности в платежных системах, в том числе, по документальному оформлению технических инструкций, правил конфиденциальности и т.д., вынуждены будут заплатить немалые штрафы и привести свою документацию в порядок.

Что делать, и когда изменения вступят в силу?

Пока мы только ждем, что нам преподнесут законодатели, однако ожидания можно использовать на пользу и подготовиться к предстоящим изменениям. Точного момента вступления в силу новых правил, которыми будет регулироваться безопасность в платежных системах, пока нет, хотя в Проекте Положения НБУ и указана дата которой участникам платежных систем необходимо привести свою деятельность с требованиями Положения — 1 июля 2019 года.

Тем не менее платежным организациям следовало бы подготовить работников к новым требованиям безопасности, доработать внутреннюю документацию, разработать должностные инструкции, чтобы когда придет время не рисковать оказаться за бортом новых реалий информационной безопасности.

Бесплатная первичная консультация по ІТ праву в твоем кейсе. Не медли ;)Твой вопрос ІТ юристам


Хочешь получать крутую инфу по IT-праву,
без спама и надоедливых акций?