Примером того, какие серьезные последствия может повлечь такая атака, служат события прошлого года, когда от вируса Petya, ставшего причиной выхода из строя компьютеров компаний в десятках стран мира и уничтожения ценных данных, пострадало много крупных украинских компаний, включая субъектов платежного рынка. Тогда НБУ даже принял решение о введении чрезвычайного режима работы в отдельных украинских банках. При этом регулятор отметил, что финансовые учреждения оказались крайне уязвимыми перед лицом киберугроз из-за чрезвычайно формального отношения к организации своей информационной защиты.
Очевидно, что подобные кибератаки могут поставить под угрозу безопасность совершения платежей и расчетов в платежных системах, которые можно отнести к критически важным в современном мире, и в итоге пострадают рядовые пользователи этих систем. И вот впервые требования по организации киберзащиты украинских банков предполагается сформулировать на уровне банковского регулятора.
В этом контексте был разработан и вынесен на публичное обсуждение проект Положения о киберзащите и информационной безопасности в платежных системах и системах расчетов. Указанный проект был разработан сообразно предписаниям Закона Украины «Об основных принципах обеспечения кибербезопасности Украины», в соответствии с которыми именно НБУ определяет порядок, требования и меры по обеспечению кибербезопасности и информационной безопасности в банковской системе Украины и для субъектов денежных переводов. Предлагаемые меры включают в себя защиту от несанкционированного доступа к электронной информации, превентивные защитные меры при использовании каналов передачи данных и сети, контроль доступа к информационным системам финансовых учреждений.
Действие нового Положения будет распространяться на субъектов платежного рынка, включая операторов услуг платежной инфраструктуры, платежные организации внутренних и международных платежных систем (кроме платежных систем НБУ). К указанным субъектам существенно повышаются требования по обеспечению безопасности платежных операций в киберпространстве. В частности, особое внимание ими должно уделяться логинам и паролям от учетных записей (в частности, касательно длины и сложности паролей, частоты их изменений), а также они должны применять многофакторную аутентификацию (когда пользователь должен предъявить более одного доказательства своей идентичности) для противодействия неавторизованным трансакциям в платежной системе. Субъекты платежного рынка должны защищать от несанкционированного доступа учетные данные и пароли доступа к серверному и сетевому оборудованию, а также размещать серверы, используемые для обработки и передачи электронных документов для денежных переводов, в специальных серверных помещениях на территории Украины.
Руководство субъектов платежного рынка должно назначать лицо или подразделение, ответственное за обеспечение информационной безопасности и киберзащиты, на которых, в частности, возлагается мониторинг и расследование инцидентов безопасности информации, а также уведомление платежной организации о любых попытках (удачных или неудачных) мошеннических действий в платежной системе.
Объектом махинаций со стороны мошенников может стать информация, которая используется при обработке транзакций. Поэтому субъект платежного рынка должен обеспечить, в частности, защиту информации, которой обменивается процессинговое учреждение и расчетный банк, создавать защищенный канал передачи данных с расчетным банком для защиты данных во время обмена электронными документами, а также проводить аутентификацию сотрудников процессингового учреждения по той же процедуре, которая применяется к сотрудникам банка. Помимо этого, указанный субъект должен настроить средства защиты сети таким образом, чтобы во время передачи данных были защищены от несанкционированного просмотра и изменения, по крайней мере, критические данные, к которым относятся электронные документы на перевод, логины и пароли, незашифрованные и незащищенные данные, считанные с электронного платежного средства. Субъект платежного рынка должен использовать электронную подпись для обеспечения целостности, достоверности и авторства электронных документов на перевод.
В целом, можно заключить, что принятие и реализация данного Положения поможет повысить защищенность финансовых учреждений от кибератак и хакерских угроз, усилить информационную безопасность в сфере денежных переводов, укрепить надежность платежных систем и систем расчетов, внедрить новейшие стандарты защиты информации от несанкционированного доступа.