О необходимости легализации законодательных новелл, обязывающих информировать правоохранительные органы и Банк России о фактах посягательства на сетевые ресурсы

Doctor of Law, Professor, Academician of the Petrovskaya Academy of Science and Arts, Colonel of Justice in Retirement

THE NEED FOR LEGALIZATION OF LEGISLATIVE NOVELS OBLIGING TO INFORM LAW ENFORCEMENT AGENCIES AND BANK OF RUSSIA ON THE FACTS OF ENCROACHMENT ON THE NETWORK RESOURCES

This article analyzes the range of iss es, related to the changes that need to be made to the Federal legislation in order to ens re the sec rity of network reso rces of b siness entities (financial instit tions) and to increase the responsibility of credit instit tions that have not provided the specified meas res of protection of monetary means and retail deposits and allowed their theft. Keywords: business entities, financial institutions, network resources, deposits, credit institutions, law enforcement agencies, information security

Посягательства на сетевые ресурсы юридических лиц (финансовых организаций) осуществляются главным образом посредством хакерских атак, недонесение о которых в правоохранительные органы увеличивает вероятность распространения вируса на ЭВМ других пользователей информационно-телекоммуникационной сети, лишая их возможности упреждающе разрабатывать соответствующие защитные программы. Однако описываемые посягательства могут быть и простыми компьютерными инцидентами, то есть любыми нарушениями штатного режима функционирования информационно-телекоммуникационной сети [13, с. 6], предопределяющими необходимость их перманентной обработки. А это значительно превышает ресурсы, имеющиеся в рас- поряжении российских компетентных государственных органов для этих целей.

Уровень агрессивности сетевой среды наглядно иллюстрируют статистические данные по итогам первого квартала 2017 г.: 26,67% пользователей продуктов «Лаборатории Касперского» подверглись риску заражения вредоносными программами через сеть Интернет (в абсолютных цифрах это несколько миллионов пользователей) [14].

Перечисленные обстоятельства настораживают, особенно, если учесть, что в последние годы в кредитно-финансовой отрасли российской экономики наблюдается устойчивая тенденция к умножению несанкционированных финансовых операций, совершаемых с использованием систем дистанционного

Как цитировать статью: Бажанов С.В. О необходимости легализации законодательных новелл, обязывающих информировать правоохранительные органы и Банк России о фактах посягательства на сетевые ресурсы. 2018. № 2(51). с. 17–21.

банковского обслуживания [10, с. 12-17]. По информации Банка России [15], в 2014 г. их было зафиксировано свыше 300 тыс. на сумму примерно 3,5 млрд. руб. При этом 1,58 млрд. руб. пришлось на транзакции, совершенные с использованием платежных карт, эмитированных кредитными организациями. На протяжении 2015–2016 гг. их количество постоянно увеличивалось.

В тоже время объем несанкционированных операций, совершенных с использованием платежных карт, эмитированных на территории Российской Федерации, в 2016 г. составил 1,08 млрд. руб., что меньше аналогичного показателя за 2015 г. на 6,1% [16].

При постепенном сокращении количества несанкционированных транзакций,совершаемых с использованием банкоматов и платежных терминалов, прослеживается их очевидный прирост в сети «Интернет», а также в сфере эксплуатации средств мобильной связи, вследствие чего защита сетевых ресурсов становится актуальной и для кредитно-финансовой отрасли российской экономики [11, с. 23-28].

С учётом данных обстоятельств Банк России подготовил поправки к Положению о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств [7], посредством которых установлены дополнительные обязательства для соответствующих полномочных субъектов.

Регулятором разработан и ряд стандартов по обеспечению информационной безопасности банковской системы [8], нарушение которых может влечь, в том числе уголовную ответственность (ст. 274 УК РФ).

Названные мероприятия реализованы в контексте Указа Президента Российской Федерации от 05.12.2016 №646, утвердившего Доктрину информационной безопасности Российской Федерации [6]. Разработана последняя в развитие положений Федерального закона от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации» [3], прошедшего 22 редакции, три из которых – после принятия упомянутой Доктрины.

Не оставлен без внимания и Указ Президента Российской Федерации от 15.01.2013 №31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации» [5].

Тем не менее, административная ответственность за нарушение правил (стандартов) обеспечения информационной безопасности, не повлекшее последствий, отмеченных в диспозиции ст. 274 УК РФ, либо создавшее угрозу их причинения, по состо- янию на сегодняшний день в российском правовом пространстве отсутствует. Можно сказать и больше, поскольку глава 13 КоАП РФ «Административные правонарушения в области связи и информации» не предусматривает ответственности юридических лиц (финансовых организаций) за непредставление в правоохранительные органы сведений о фактах посягательства на их сетевые ресурсы.

В свете изложенного, представляется назревшей потребность в законодательном урегулировании этого вопроса, то есть в дополнении главы 19 КоАП РФ статьей 19.7.14 следующего содержания:

«Статья 19.7.14. Непредставление или несвоевременное представление в правоохранительные органы сведений (информации) о фактах посягательства на сетевые ресурсы юридических лиц (финансовых организаций).

Непредставление или несвоевременное представление в правоохранительные органы сведений (информации) о фактах посягательств на сетевые ресурсы юридических лиц (финансовых организаций) влечет предупреждение или наложение административного штрафа: на должностных лиц – от пятисот рублей до тысячи рублей, а на юридических лиц – от пяти тысяч рублей до десяти тысяч рублей».

Продолжая обсуждение вопроса, вынесенного в заголовок настоящей статьи, следует заметить, что и Закон №149-ФЗ не в полной мере обеспечивает защиту сетевых ресурсов. В нём имеется статья 16 «Защита информации», в которой ничего не говорится об обязанности руководителей юридических лиц (финансовых организаций) информировать правоохранительные органы (Банк России) о фактах посягательства на их сетевые ресурсы. Констатируется лишь, что «... лица, права и законные интересы которых были нарушены в связи с разглашением информации ограниченного доступа или иным неправомерным использованием такой информации, вправе обратиться в установленном порядке за судебной защитой своих прав, в том числе с исками о возмещении убытков, компенсации морального вреда, защите чести, достоинства и деловой репутации...» (ч. 2 ст. 17).

В федеральном и международном законодательстве до сих пор не обозначены критерии определения источника посягательств на сетевые ресурсы, точное установление которого становится невозможным в виду разобщенности информации, получаемой правоохранительными органами от различных государственных организаций и частных компаний.

Следовательно, удостовериться в том, что посягательство на сетевые ресурсы является целенаправленным действием, а не случайным заражением неконтролируемой вредоносной компьютерной программой, в практической плоскости возможно далеко не всегда.

Именно поэтому в целях изменения ситуации с несанкционированными списаниями денежных средств со счетов клиентов кредитных организаций Банку России в масштабах национальной платежной системы следовало бы сформировать реально работающую программу остановки и возврата платежей, нормативно урегулировав такое понятие, как запрос отмены перевода. Подобные запросы должны быть стандартными и производиться в режиме реального времени, обрабатываясь всеми участниками рынка переводов.

В отдельной норме Федерального закона от 27.06.2011 №161-ФЗ «О национальной платежной системе» [4] было бы неплохо закрепить право оператора по переводу денежных средств, обслуживающего получателя и уже зачислившего на его счет денежные средства, при получении от оператора по переводу денежных средств, обслуживающего плательщика, уведомления блокировать денежные средства на счете получателя в пределах указанной в уведомлении суммы (при условии их достаточности на счете) [12, с. 64-71].

Во избежание умножения споров с физическими лицами при блокировании денежных средств желательно предусмотреть возможность их снятия только при личном обращении получателя в кредитную организацию и предоставлении документов, позволяющих его идентифицировать.

Ввиду необходимости повышения ответственности кредитных организаций, не обеспечивших предусмотренных мер защиты денежных средств и вкладов и допустивших их хищение, ч. 2 ст. 74 Федерального закона от 10.07.2002 №86-ФЗ «О Центральном банке Российской Федерации (Банке России)» [2] предпочтительнее изложить в следующей редакции:

«В случаях нарушения кредитной организацией федеральных законов, издаваемых в соответствии с ними нормативных актов и предписаний Банка России, непредставления информации, представления неполной или недостоверной информации о своей деятельности и аудиторского заключения по ней, необеспечения мер по защите денежных средств и вкладов и допущения их хищения , Банк России...» (далее по тексту).

Статью 19 Федерального закона от 02.12.1990 №395-1 «О банках и банковской деятельности» [1] следует дополнить аналогичной нормой, декларирующей меры Банка России, применяемые им в порядке надзора в случае нарушения кредитной организацией (банковской группой) федеральных законов и нормативных актов Банка России.

Имеющим перспективы видится также внутриведомственное нормативное правовое урегулирование обязанности руководителей финансовых органи- заций уведомлять Банк России о фактах посягательства на их сетевые ресурсы.

В Закон №395-1 подлежат обязательному включению дополнения о том, что при установлении вины кредитной организации, не обеспечившей предусмотренных мер защиты денежных средств (вкладов) клиента и допустившей их хищение, ущерб последнему возмещается в полном объеме за её счет.

Не лишним представляется дополнение ч. 11 ст. 9 Закона №161-ФЗ абзацем следующего содержания: «После получения оператором информации о переводе денежных средств без согласия клиента оператор обязан уведомить об этом правоохранительные органы».

Инструкция «О применении к кредитным организациям мер воздействия за нарушения пруденциальных норм деятельности», введенная в действие приказом Банка России от 31.03.1997 №02-139 [9], нуждается в поправках в части установления принудительных мер воздействия к кредитным организациям, не обеспечившим предусмотренных мер защиты денежных средств или создающим реальную угрозу интересам клиентов и (или) вкладчиков.

В условиях высокой скорости проведения расчетов, многообразия электронных средств платежа, значимого уровня технической оснащенности злоумышленников, крайне полезным видится создание в федеральном законодательстве, регламентирующем банковскую деятельность, правового механизма приостановления перевода денежных средств, что предполагает целесообразность:

• -    закрепления права, а в ряде случаев и обязанности оператора по переводу денежных средств на приостановление операции при выявлении признаков её совершения без согласия плательщика;

• -    установления обязанности клиента незамедлительно уведомлять оператора по переводу денежных средств о ставшем ему известным несанкционированном получении третьими лицами информации, достаточной для получения доступа к электронным средствам платежа;

• -    легализации полномочий Банка России по установлению для кредитных и некредитных финансовых организаций обязательных требований к обеспечению защиты информации при осуществлении банковской деятельности, а равно деятельности в сфере финансовых рынков.

Думается, что оперативная корректировка норм общего (гражданского) и специального(банков-ского) законодательства Российской Федерации в части вынесенных на обсуждение в данной публикации вопросов сможет стабилизировать правоотношения, субъектами которых выступают кредитные организации и их клиенты.