Сами с судами

Центробанк хочет ограничивать доступ к мошенническому контенту в Сети

ЦБ добивается права напрямую обращаться в судебные инстанции, если обнаружит ресурсы, которые способствуют доступу к IT-системам банков. Он также рассчитывает самостоятельно принимать решения о включении поддельных страниц в Единый реестр запрещенных сайтов. По словам экспертов RSpectr, эта инициатива направлена на борьбу со следствием, а не с причиной появления финансового фальсификата.

Сократить время реагирования

Принятие инициативы должно снизить масштабы использования сомнительных интернет-сайтов в сфере FinTech. К ним относится реклама финансовых пирамид, а также фишинговые ресурсы, которые заведомо выбирают сходные с добропорядочными кредитными организациями доменные имена и вводят пользователей в заблуждение.

Реализация законопроекта позволит существенно ускорить процедуру прекращения «доступа злоумышленников к вниманию и сбережениям граждан», пояснили RSpectr в ЦБ. Быстрая блокировка сайтов позволит значительно сократить финансовые потери. «По сути, за тот срок, который сейчас уходит на направление документов в ведомства для последующего ограничения доступа, мошенники успевают собрать максимум средств и зачастую “обвалить” пирамиду либо сделать ее за счет активного интернет-маркетинга значительно больше», – сказали в пресс-службе регулятора.

Пока Банк России в целях ограничения доступа пользователей к подозрительным ресурсам, как правило, обращается в Генпрокуратуру, как в случае с закрытием «Кэшбери» в конце 2018 года. 

Злоумышленники могут приспособиться

Законопроект о новых полномочиях уже одобрен Комитетом Госдумы по финансовому рынку, а также Комитетом по информационной политике, информационным технологиям и связи.

Доцент департамента правового регулирования экономической деятельности Финансового университета при правительстве РФ Александр Остроушко, отвечая на запрос RSpectr, указал на то, что полномочия Банка России закреплены одним федеральным НПА, а рассматриваемый документ предполагает внесение изменений в другой. «Факт, когда закон предусматривает полномочия, которые не заложены в базовом нормативном акте, показывает недостаточную проработанность выдвигаемых инициатив», – отметил эксперт.

Если запрашиваемые полномочия делегировать ЦБ, то они в большей мере будут направлены на борьбу со следствием – вредоносными сайтами, а не с причиной появления финансовых пирамид, которые по сути являются продуктом социальной инженерии. А. Остроушко прогнозирует, что 

срок жизни противоправных ресурсов и время доступа граждан к ним сократятся, но злоумышленники быстро продолжат свою деятельность внутри социальных сетей

Полностью ликвидировать финансовые пирамиды в Сети не получится, подтвердил RSpectr и начальник отдела консалтинга Центра информационной безопасности «Инфосистемы Джет» Павел Волчков. Он привел в пример опыт по борьбе с онлайн-казино, которые, несмотря на регулярные блокировки, работают на постоянно меняющихся «зеркалах».

По мнению А. Остроушко, стоит помнить, что борьба с мошенничеством – это прерогатива правоохранительных органов, и «основные усилия нужно направить на минимизацию условий, способствующих противоправным деяниям в Сети и реализацию принципа неотвратимости наказания для лиц, ее осуществляющих».

«Блокировка того или иного ресурса в интернете не влечет наказания для самих преступников и является полумерой. Остается открытым вопрос, каким образом ЦБ будет квалифицировать то или иное деяние как преступное или противоправное», – добавил представитель Финансового университета. Он считает, что полномочиями по блокированию информации, предлагаемыми в законопроекте № 605945-7, нужно наделить госорганы. Что не исключает их тесного сотрудничества с ЦБ.

Статистика разделегирования

Наделение ЦБ новыми полномочиями – логичный шаг, который укладывается в существующую стратегию борьбы с финансовым мошенничеством в интернете, считает первый заместитель генерального директора компании-регистратора доменов RU-CENTER Андрей Кузьмичев. Эксперт напомнил RSpectr, что в конце 2016 года ЦБ уже подписал соглашение с Координационным центром национального домена сети Интернет (КЦ).

КЦ стал прекращать делегирование доменных имен на основании обращений регулятора. Помимо зоны .RU аналогичный договор действовал и в зоне .SU (находится в управлении Фонда развития интернета). Стоит отметить, что сайт «Кэшбери» располагался в зоне .COM.

В последнем отчете Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России (FinCert) говорится, что за год (сентябрь 2017 – август 2018) КЦ разделегировал 1 668 доменов из 2 205 предложенных. 

«Действующая процедура предусматривает возможность предотвращения блокировки сайта при условии устранения на нем нарушений, – рассказал замглавы RU-CENTER. – Существует механизм компетентных организаций, по уведомлению от которых регистратор направляет предупреждение администратору домена. На это может уйти до трех суток, поэтому ЦБ логично выбрал прямой механизм блокировки через Роскомнадзор», – считает А. Кузьмичев.

Предусмотреть разблокировку

В проекте закона процедура блокировки подробно описывается. Финансовый регулятор будет обращаться в надзорный орган, который в течение одного рабочего дня должен принять меры для ограничения доступа сайту и внесения его в Единый реестр запрещенных ресурсов. Таким образом, 

блокировка, организованная до решения суда, будет использоваться как обеспечительная мера

В пресс-службе РКН уточнили, что на сегодняшний день прямого взаимодействия между ведомством и ЦБ не предусмотрено. Однако требования Банка России, разумеется, могут быть выполнены на основании вступившего в законную силу решения суда о признании информации запрещенной, объяснили RSpectr в ведомстве.

На вопрос, могут ли возникнуть технические сложности из-за большого потока данных, которые со вступлением закона в силу придется вносить в реестр, в РКН ответили, что проводят работы по исключению дублирующих записей из списка. Это уменьшает нагрузку на оборудование операторов связи.

А. Кузьмичев говорит, что не помнит о фактах признания ошибочными блокировок финансовых учреждений в зонах .RU или .SU. Тем не менее механизм возвращения доступа к легальным сайтам должен быть предусмотрен.

Чтобы избежать блокировки добросовестных ресурсов, нужно установить понятную и прозрачную процедуру принятия решения и ответственности за него

Может быть полезным составление репутационных баз сайтов на основе публикуемого контента, считает П. Волчков.

Как проверить ресурс?

Для сокращения числа фишинговых ресурсов и иных мошеннических сайтов блокировки недостаточно. Немаловажная роль должна отводиться повышению грамотности граждан, напоминает А. Остроушко. ЦБ уже публикует на своем сайте информацию об официальных интернет-ресурсах кредитных организаций. Необходимо, чтобы такие данные были доступны обо всех участниках финансового рынка. А научить пользователей получать такую сведения из проверенных источников и информировать их о рисках может социальная реклама, считает эксперт.

При малейших сомнениях стоит проверять сайт в реестре ЦБ, согласен А. Кузьмичев, но самое первое и простое, что нужно сделать рядовым пользователям, – посмотреть, есть ли у ресурса сертификат безопасности. Эта информация отображается в браузере рядом с адресом сайта, обычно в виде значка с замком.

Все страницы финансовых учреждений или интернет-магазинов, в которых проходит платеж, имеют сертификат безопасности

Если его нет, надо все тщательно проверить, прежде чем вводить свои данные.

Мошенники ориентируются на те тренды и инструменты, которые начинают получать широкое распространение, напомнил замглавы RU-CENTER. «Нигерийские» письма (с просьбой получателей о помощи в денежных операциях с обещанием процентов) появились, когда массы людей стали пользоваться электронной почтой. Сейчас такими посланиями мало кого обманешь – большинство пользователей уже понимает, что это мошенничество. Но в сфере FinTech уровень знаний потребителей все еще невысок, чем и злоупотребляют преступники. Активность интернет-мошенников растет: в январе 2019-го в сравнении с первым месяцем прошлого года она выросла в 2,5 раза.

Инициатива ЦБ может оказаться полезной, но пользователям все же следует заботиться о финансовой безопасности самостоятельно.

Изображение: freepik.com, lori.ru