Вторая сессия форума «Банковский сектор: эпоха перемен» была посвящена информационной безопасности банков.
Модератором дискуссии выступили Рустам Колесник, шеф-редактор газеты «Юридическая практика» и Семен Ханин, управляющий партнер ЮК «АМБЕР».
Как отметил Рустам Колесник, тема сессии интересна как банкам, так и их клиентам, поскольку в последнее время страну захлестнул вал мошенничеств в области цифровых технологий. Это не удивительно, поскольку сегодня 25% всех трансакций проходят онлайн, поэтому остро стоит вопрос информационной безопасности.
В ходе онлайн-включения Дмитрий Янишевский, начальник управления информационной безопасности АО «ОТП Банк» рассказал об «информационной» ответственности банка. Он отметил, что в первую очередь речь идет о надлежащем сохранении информации, составляющей банковскую тайну. И хотя все банки предпринимают комплекс мер по ее защите, тем не менее, можно говорить о наличии пласта проблем связанных с разглашением банковской тайны.
Он проанализировал реальный кейс мошенничества, совершаемого опытными психологами с целью завладения данными банковской карты. При этом клиент, раскрывший мошенникам данные своей карты, впоследствии обращается именно в банк с жалобой на разглашение банковской тайны.
Дмитрий Янишевский подчеркнул, что развитию этого способа мошенничества способствует чрезмерная открытость информации в сети интернет – сегодня без труда можно получить доступ к всевозможным реестрам и базам данных. В том числе источником информации для мошенников может стать и развиваемые государством онлайн-платформы. В таких платформах имеется достаточно данных, чтобы ознакомившись с ними, мошенники могли уверенно начинать общение с человеком и склонить его к раскрытию информации необходимой для перевода средств с его банковской карты. Он привел пример реестра НАЗК в котором можно было узнать не только в каком банке имеются счета конкретного человека, но даже остаток средств на этих счетах, что фактически является банковской тайной. Спикер считает, что для защиты от мошенничества, не вся информация должна быть в открытом доступе.
Об уязвимых точках, использующихся для мошенничества в банковском секторе, рассказала Наталия Шульга, заместитель начальника второго отдела (противодействия преступлениям в банковской сфере) первого управления (оперативного реагирования) Департамента кибеполиции Национальной полиции Украины.
Она сосредоточила внимание участников форума на вредоносном программном обеспечении (так называемые банковские трояны или банкеры, с помощью которых происходит до 70% всех случаев завладения средствами), которое используют злоумышленники. По ее словам банкеры – это специальные программы, разработанные для похищения персональных данных пользователей, в особенности паролей и логинов личных кабинетов интернет-банкинга. Кроме того, банкеры в состоянии непосредственно похищать денежные средства с банковских счетов. Наталия Шульга рассказала об алгоритмах действия вредоносных программ и путях их проникновения в компьютеры и мобильные устройства пользователей, а также дала практические советы по профилактике подобных преступлений.
Сергей Паперник, Chief Data Protection Officer АО «ПРИВАТБАНК» рассказал о защитных мерах в обработке персональных данных. Он напомнил определение персональных данных, указав на то, что их ключевой особенностью есть возможность идентификации личности. При этом спикер отметил, что не всякая информация о личности является персональными данными, к тому же разная информация может стать персональной в зависимости от обстоятельств. Он указал на отличие информационной безопасности от защиты персональных данных, подчеркнув, что защита персональных данных — это защита права человека на приватность, гарантированное Конституцией Украины и правами человека.
Говоря о средствах защиты персональных данных, он разделил их на организационные и технические, а также предостерег от собирания и обработки лишних персональных данных. Сергей Паперник детально рассказал о средствах технической защиты персональных данных, таких как шифрование и анонимизация, подчеркнув, что анонимные данные не являются персональными, а шифрование существенно замедляет работу компьютерных, в том числе банковских систем.
Говоря о пробелах нормативно-правовой базы Украины в сфере ИБ в банковском секторе, Михаил Чайкин, Head of Information Security Management System АО «Укрэксимбанк» сосредоточил внимание присутствующих на проблематике законодательного определения терминов «информационная безопасность», «событие информационной безопасности», «инцидент информационной безопасности». Он подчеркнул необходимость организационного разделения структур банка, занимающихся обеспечением информационной и кибер-безопасности, а также указал на отсутствие ответственности за нарушение информационной безопасности.
По мнению спикера, определенная несогласованность нормативной базы и определения ключевых понятий мешает организовать защиту информационной безопасности на мировом уровне.
Михаил Чайкин рассказал о собственном опыте подготовки проекта закона на эту тему и сроках, которые потребуются для принятия подобного законодательного акта. По его мнению, необходимы совместная позиция юридического и банковского сектора для урегулирования этих вопросов.
О банковской тайне в современных реалиях и соблюдении баланса между частным и публичным интересом говорила Катерина Дробязко, адвокат ЮК «АМБЕР», магистр права. Она напомнила об изменениях, внесенных в статью 62 Закона Украины «О банках и банковской деятельности», которая определяет порядок раскрытия банковской тайны. При этом спикер рассказала о процедуре получения доступа к банковской тайне по запросу органов досудебного следствия, подчеркнув, что никакой ответственности работника банка за предоставление или не предоставление такой информации не предусмотрено.
В то же время, опираясь на требования статьи 86 УПК Украины, спикер указала, что доказательства, полученные органами досудебного следствия таким путем, будут считаться недопустимыми. Тем не менее, правоохранительные органы продолжают попытки легализовать доказательства, полученные путем раскрытия банковской тайны, указывая в запросе не только статью 62 Закона Украины «О банках и банковской деятельности», но и статью 93 УК Украины, которая регулирует порядок сбора доказательств. При этом она указала на возможность получить доступ к банковской тайне в порядке главы 15 УПК Украины путем получения постановления следственного судьи о временном доступе к вещам и документам подозреваемого.
Детерминанты ответственности за нарушения в банковской сфере стали темой доклада Сергея Пересунько, адвоката ЮК «АМБЕР», магистра права.
Он указал на высокую криминализацию отношений в банковской сфере, а также очертил круг причин, по которым может наступить ответственность сотрудников банка. В частности, это несогласованность нормативной базы, которая действует в банковской сфере и часто приводит к неправильной трактовке норм права. Причем зачастую даже компетентные органы, к которым банки обращаются за разъяснениями, не в состоянии правильно трактовать эти нормы права.
По мнению спикера, если нормы одного нормативного акта противоречат нормам другого нормативного акта, банковское учреждение, которое применяет такую противоречивую норму, не должно нести ответственность за это. Он рекомендовал обращать внимание на иерархию нормативных актов и к ней же апеллировать, защищая свою позицию перед правоохранительными органами.
Еще сложнее решить вопрос, когда та или иная банковская операция вообще не урегулирована законом и банк вынужден предпринимать ее на свой страх и риск. Правда, аргумент об отсутствии ответственности за действие в связи с отсутствием регулирования этого действия слабо воспринимается правоохранительными органами. Сергей Пересунько констатировал повышенный интерес правоохранителей к банковским учреждениям и призвал их сотрудников банков координировать свою деятельность с профильными юристами не ожидая нештатных ситуаций.
Отмечая наличие нерешенных проблем связанных с безопасностью в банковской сфере Рустам Колесник выразил надежду, что идеи, озвученные спикерами найдут достойное законодательное воплощение.
