Вчера Group-IB выпустила инструкцию по реагированию на инциденты, связанные с системами дистанционного банковского обслуживания, созданную для обучения основам реагирования на случаи мошенничества в системах интернет-банкинга и нацелен на минимизацию рисков при подобных инцидентах.Мне посчастливилось быть рецензентом этого документа и поэтому я решил про него написать. Но не про сам документ, а про его область применения.
В Facebook началось активное обсуждение инструкции и практически все критические замечания скатываются к двум вещам - бизнес встанет и рекомендации слишком неконкретны и с инцидентами не позволяют бороться. Позволяю себе прокомментировать оба момента. Для начала, советую если не прослушать мой курс по управлению инцидентами (ближайшая дата - 23 ноября в Москве), то хотя бы посмотреть презентацию с этого курса. Вопросы реагирования на инциденты и сбора доказательств - это 5-я часть презентации. Но перед ней есть еще 4 части, которыми нельзя пренебрегать.
Возьмем жизненный цикл инцидента, как его Алексей Волков описал. То, о чем говорит инструкция Group-IB, - это 5-й или даже 6-й этап. Не первый, не второй и даже не 4-й. Тут поздно пить Боржоми и корить себя, что в компании не выстроена система защиты (а у многих клиентов банков - целевой аудитории инструкции - это так). Тут надо либо забить болт на возврат денег, либо идти в суд и правоохранительные органы. Но для этого надо знать, с чем идти. Инструкция и говорит про это.
Мне можно возразить, что многие вещи в инструкции не описаны. Во-первых, это не финальный пошаговый документ "взял и сделал". В введении написано, что его цель - повысить осведомленность. Во-вторых, в том же введении написано, что инструкция может выступать основой для разработки собственных документов. Очевидно, что в 37-ми страницах сложно рассказать все. Там только вопрос обесточивания (п.2 мероприятий) можно раскрыть на пару страниц. Ведь свособ обесточивания зависит от множества факторов. Например, есть у ПК ИБП или нет. А если есть, то мы говорим о ПК или лэптопе? А если лэптоп, то чей? У Lenovo, например, вытаскивание аккумуляторной батареи даже при наличии шнура питания приводит к мгновенному отключение лэптопа, а у Apple MacBook - нет. У него надо и батарею и шнур вынимать. А что делать с сетевым оборудованием? А с планшетником iPad? Кто-нибудь знает как аккумулятор у iPad вытащить? Вопросов немало. И так по многим пунктам.
Значит ли это, что документ плохой? Нет. Просто, чтобы расследовать инциденты, реагировать на них, необходимо иметь некоторую квалификацию. И получать ее надо до появления инцидентов, а не после и не во время.
Другой вопрос связан с остановкой бизнеса, которая происходит, если выполнить все требования по отключение, копированию и т.д. Надо понимать (в презентации это есть), что существует две стратегии управления инцидентами. Одна - найти причину и устранить ее, возвратив систему в предатакованное состояние как можно скорее. Это "айтишный" подход. А есть второй подход - найти преступника и покарать его. В первом ни о каком возврате денег и речи не идет (хотя иногда на семинарах мне рассказывают о том, что в банке создается "группа на выезд" из мальчиков-шкафов, которые выбивают деньги своими методами). Во втором на возврат денег есть надежда. При условии возбуждения дела и доведения его до конца, конечно. Но инструкций по тому, как прием заявления о возбуждении дела успешным на 100% не существует ;-)
Стоило ли все эти ограничения и неопределенности описать в документе? Непростой вопрос. Стоило ли раскрыть, что расследование инцидента - это только часть процесса управления инцидентами? Тоже непростой ;-) В преамбуле написано, что документ говорит только о реагировании и ни о чем больше. Видимо не все читают введение, сразу переходя к пошаговым рекомендациям. От этого и происходит недопонимание и критика. Но это не значит, что на нее не надо реагировать. Возможно кто-то возьмется и напишет инструкцию по тому, как создать CSIRT, как обрабатывать инциденты, как эскалировать их и приоритезировать... Не исключаю, что такие документы появятся. Свято место пусто не бывает, а требования 382-П и ПП-584 в части наличия методик выявления и реагирования на инциденты никто не отменит.
Сама инструкция может загружена отсюда...
В Facebook началось активное обсуждение инструкции и практически все критические замечания скатываются к двум вещам - бизнес встанет и рекомендации слишком неконкретны и с инцидентами не позволяют бороться. Позволяю себе прокомментировать оба момента. Для начала, советую если не прослушать мой курс по управлению инцидентами (ближайшая дата - 23 ноября в Москве), то хотя бы посмотреть презентацию с этого курса. Вопросы реагирования на инциденты и сбора доказательств - это 5-я часть презентации. Но перед ней есть еще 4 части, которыми нельзя пренебрегать.
Возьмем жизненный цикл инцидента, как его Алексей Волков описал. То, о чем говорит инструкция Group-IB, - это 5-й или даже 6-й этап. Не первый, не второй и даже не 4-й. Тут поздно пить Боржоми и корить себя, что в компании не выстроена система защиты (а у многих клиентов банков - целевой аудитории инструкции - это так). Тут надо либо забить болт на возврат денег, либо идти в суд и правоохранительные органы. Но для этого надо знать, с чем идти. Инструкция и говорит про это.
Мне можно возразить, что многие вещи в инструкции не описаны. Во-первых, это не финальный пошаговый документ "взял и сделал". В введении написано, что его цель - повысить осведомленность. Во-вторых, в том же введении написано, что инструкция может выступать основой для разработки собственных документов. Очевидно, что в 37-ми страницах сложно рассказать все. Там только вопрос обесточивания (п.2 мероприятий) можно раскрыть на пару страниц. Ведь свособ обесточивания зависит от множества факторов. Например, есть у ПК ИБП или нет. А если есть, то мы говорим о ПК или лэптопе? А если лэптоп, то чей? У Lenovo, например, вытаскивание аккумуляторной батареи даже при наличии шнура питания приводит к мгновенному отключение лэптопа, а у Apple MacBook - нет. У него надо и батарею и шнур вынимать. А что делать с сетевым оборудованием? А с планшетником iPad? Кто-нибудь знает как аккумулятор у iPad вытащить? Вопросов немало. И так по многим пунктам.
Значит ли это, что документ плохой? Нет. Просто, чтобы расследовать инциденты, реагировать на них, необходимо иметь некоторую квалификацию. И получать ее надо до появления инцидентов, а не после и не во время.
Другой вопрос связан с остановкой бизнеса, которая происходит, если выполнить все требования по отключение, копированию и т.д. Надо понимать (в презентации это есть), что существует две стратегии управления инцидентами. Одна - найти причину и устранить ее, возвратив систему в предатакованное состояние как можно скорее. Это "айтишный" подход. А есть второй подход - найти преступника и покарать его. В первом ни о каком возврате денег и речи не идет (хотя иногда на семинарах мне рассказывают о том, что в банке создается "группа на выезд" из мальчиков-шкафов, которые выбивают деньги своими методами). Во втором на возврат денег есть надежда. При условии возбуждения дела и доведения его до конца, конечно. Но инструкций по тому, как прием заявления о возбуждении дела успешным на 100% не существует ;-)
Стоило ли все эти ограничения и неопределенности описать в документе? Непростой вопрос. Стоило ли раскрыть, что расследование инцидента - это только часть процесса управления инцидентами? Тоже непростой ;-) В преамбуле написано, что документ говорит только о реагировании и ни о чем больше. Видимо не все читают введение, сразу переходя к пошаговым рекомендациям. От этого и происходит недопонимание и критика. Но это не значит, что на нее не надо реагировать. Возможно кто-то возьмется и напишет инструкцию по тому, как создать CSIRT, как обрабатывать инциденты, как эскалировать их и приоритезировать... Не исключаю, что такие документы появятся. Свято место пусто не бывает, а требования 382-П и ПП-584 в части наличия методик выявления и реагирования на инциденты никто не отменит.
Сама инструкция может загружена отсюда...
25 коммент.:
При всем увадении к парням - хороший пример "подготовки к прошедшей войне"
С вступлениемв силу ч. 15 статьи 9 я как клиент не заинтересован в возбуждении уголовного дела. Деньги мне банк и так возместит, а по уголовному делу я из потерпевшего могу невзначай и в обвиняемого превратиться. На фиг мне такое счастье?
Соответственно, в моих интересах не только не сохранять улики, но и максимально препятствовать возбуждению уголовного дела.
Имел в виду ч. 15 статьи 9 ФЗ-161
По этой статье еще бабка надвое сказала. Там сейчас идет активное бодание на тему изменения текст статьи и отказа от безусловного возврата и ограничения суммой до 3-х тысяч рублей
Нет, это подготовка и к будущей войне в том числе.
Для реализации положения по возмещению денежных средств, предусмотренного п. 15 ст. 9 ФЗ "О НПС", банку необходимо истребовать результаты независимой криминалистической экспертизы носителей информации клиента. В противном случае банку невозможно будет доказать, что "клиент нарушил порядок использования электронного средства платежа", т. е. при отсутствии результатов экспертизы налицо будет явное нарушение закона. А без чего невозможна экспертиза? Правильно, без правильного реагирования.
> банку необходимо истребовать результаты независимой криминалистической экспертизы криминалистической экспертизы носителей информации клиента
На каком основании?
> Там сейчас идет активное бодание
Еще бы оно не шло :) Нынешняя ситуация, когда банк в принципе не несет никакой ответственности по фроду в отношении клиентов-юриков, банки вполне устраивает :)
> На каком основании?
На том основании, что это единственный способ избежать злоупотребления правом клиента требовать компенсацию похищенных денежных средств (а также доказать, что клиент нарушил порядок использования ЭСП). Если клиент не хочет подтверждать таким образом добросовестность своих намерений, то возврат денег только через суд, согласно п. 2 ст. 10 ГК РФ (а тут уже обязательно назначение судебной экспертизы). Другой вариант разумных действий банка: подача заявления в правоохранительные органы с требованием проверить отсутствие в действиях клиента состава преступления, предусмотренного ст. 159 УК РФ (мошенничество в виде заведомо ложного заявления банку о хищении денежных средств), с компенсацией только после признания клиента потерпевшим или отказа от возбуждения в отношении него уголовного дела (тут обязательно назначение криминалистического исследования в соответствии с положениями ФЗ "Об ОРД", закона "О полиции" и ст. 144 УПК РФ).
> Если клиент не хочет подтверждать таким образом добросовестность своих намерений
Ему не нужно их подтверждать - в граданском праве действует презумпция добросовестности.
> обязательно назначение судебной экспертизы
Не надо кидаться словами, значение которых вам непонятно. Судебная экспертиза назначается судом в рамках судебного процесса. И для назначения экспертищзы нужны веские основания.
А ФЗ-161 требует безусловного возмещения списанных средств в досудебном порядке.
> проверить отсутствие в действиях клиента состава преступления
> тут обязательно назначение криминалистического
Вам самому не смешно? "Банку необходимо проверить, не мошенник ли клиент, поэтому рекомендуем клиенту сохранить свой комп в состоянии, пригодном для поиска доказательств виновности клиента".
Причем не исключаю, что у какого-нибудь банка могут найтись "дружественно настроенные" сотрудники органов внутренних дел, которые попытаются превратить клиента в подозреваемого. Именно поэтому я и написал, что в условиях ФЗ-161 клиент не заинтересован в сохранении каких-либо следов - от греха подальше.
> Ему не нужно их подтверждать - в граданском праве действует презумпция добросовестности.
Я вам об одном, вы мне о другом. Еще раз читайте ГК РФ и обсуждаемый ФЗ "О НПС" :)
> Не надо кидаться словами, значение которых вам непонятно. Судебная экспертиза назначается судом в рамках судебного процесса. И для назначения экспертищзы нужны веские основания.
Так ее и будет суд назначать, о чем я написал черным текстом на белом фоне. Или вы сначала комментируете, а только потом читаете комментируемый текст?
Веское основание – необходимость применения специальных знаний везде, где есть слово "электронный" (процессуальное требование). А уж тем более при установлении обстоятельств электронных платежей.
> Вам самому не смешно?
Нет, не смешно. ФЗ "О НПС" – далеко не единственный закон, действующий в России. И некоторые его положения (например, ч. 15 ст. 9) предполагают небезусловный возврат денежных средств (например, если клиент-"физик" нарушил правила использования ЭПС). Однако реализация такого небезусловоного возврата возможно только за счет установления причин списания денежных средств со счета (а куда здесь без криминалистического исследования?). А если вспомнить, что в России есть еще и другие законы, то становится понятно, что требование возместить похищенные деньги, указанное в ст. 9 ФЗ "О НПС", вовсе не безусловное и соблюдение всех прав участников отношений (банка и клиента) требует проведения криминалистического исследования. А с учетом российских реалий (банки не будут спешить с возвратом денег) описываемая мной ситуация будет реальной (и, кстати говоря, очень даже законной).
Более подробные объяснения могу дать в рамках платной консультации. Обращайтесь :D
> Так ее и будет суд назначать, о чем я написал
Экспертизу чего? Чтобы провести экспертизу чего-то, вы должны это чего-то добыть и суду предоставить. Никакой суд не примет у вас ходатайство "провести экспертизу неустановленного компьютера, с которого истец предположительно отправил платежное поручение, факт отправки которого он здесь отрицает".
> Более подробные объяснения могу дать в рамках платной консультации
Я не покупаю котов в мешках.
> Экспертизу чего?
Написано чего. В моем первом комментарии в этой теме. Читайте внимательно.
И простите за опечатки в предыдущем сообщении :)
Сами читайте внимательно :)
"...независимой криминалистической экспертизы носителей информации клиента..."
"Носитель информации" - это сферический конь в вакууме. Экспертизу чего именно вы собираетесь проводить и на какие вопросы вы ожидаете получить ответ эксперта?
Учитывая, что в этом противостоянии клиент является вашим противником и не намерен добровольно предоставлять вам какую-либо информацию.
> "Носитель информации" - это сферический конь в вакууме. Экспертизу чего именно вы собираетесь проводить и на какие вопросы вы ожидаете получить ответ эксперта?
Машинных носителей информации. Да-да, именно тех, с которых клиент работает с платежной системой. Можно компьютер бухгалтера даже целиком предоставить.
> Учитывая, что в этом противостоянии клиент является вашим противником и не намерен добровольно предоставлять вам какую-либо информацию.
Зачем банку информация с носителей клиента? Клиент не банку ее предоставляет, а суду, который затем направляет все на экспертизу. Если клиент решает уничтожить или сокрыть улики в таком случае, то в соответствии с Постановлением Пленума ВС "О судебной практике по делам о мошенничестве, присвоении и растрате", его действия имеют все признаки мошенничества. А это уже уголовное дело.
И я еще раз напоминаю, что хотя в ФЗ "О НПС" нет норм, существенно ограничивающих возможности клиента по злоупотреблению правом с целью мошенничества, соответствующие механизмы уже давно существуют в законодательстве. Да, банк все обязан возместить, но не немедленно, а после разбирательства. Закон не запрещает такое разбирательство в суде.
> и на какие вопросы вы ожидаете получить ответ эксперта?
Составление вопросов, выносимых на разрешение эксперту, требует редкого сочетания правовых, технических и практических знаний. Поэтому точную их формулировку я просто так запостить не могу :)
В общих словах, вопросы касаются обстоятельств, связанных с подписанием и передачей платежных поручений, с использованием вредоносных программ и неправомерного удаленного доступа.
> Машинных носителей информации. Да-да, именно тех,
> Зачем банку информация с носителей клиента?
Вы действительно не понимаете или прикидываетесь? Не "информация с носителей". Информацию о том, экспертизу какой именно машины проводить.
Вам в ходатайстве придется написать: "Прошу истребовать у истца ...". Что истребовать? "Компьютер, используемый для осуществления рассчетов"? У вас такое ходатайство не примут.
Лол, у меня нет слов :D
Вы, похоже, да и не в обиду будет сказано, не имеете никакого опыта в предметной области.
Во-первых, судебная экспертиза проводится не только по ходатайству одной из сторон, но и по инициативе самого суда. И при рассмотрении по существу любых дел, связанных с хищением электронных денежных средств, суд ОБЯЗАН назначить экспертизу (иначе суд не будет обладать исчерпывающим комплектом доказательств для вынесения решения).
Во-вторых, в ходатайстве достаточно указать задачу, которая должна быть решена проводимой экспертизой, а суд самостоятельно (с привлечением специалиста или без) составит перечень необходимых объектов, которые нужно исследовать.
И суд вправе истребовать у клиента все накопители, имевшие непосредственное отношение к работе в платежной системе. Ну или их копии. Также можно привлечь специалиста для создания выборочных копий данных, исследование которых не нарушит законные права тех или иных лиц в принципе. Какие проблемы? Никаких, а в случае отказа клиента предоставить такие объекты суд, в соответствии с действующим законодательством, вполне может считать доказанным факт злоупотребления правом. Ну а дальше идет уголовное дело по факту мошенничества с преюдицией. И, разумеется, банк вправе не удолветворять незаконное требование клиента возместить "похищенные" денежные средства.
Если вы не согласны с вышеизложенным, то это не значит, что моя позиция противоречит закону. И уж никак не значит, что клиент заинтересован затереть нулями все накопители после инцидента, чтобы банк точно вернул деньги. Вы не учли одного, когда начинали свою критику: банки, как и все организации, не хотят расставаться со своими деньгами так легко и будут пытаться пресечь любые попытки мошенничества со стороны их клиентов любыми законными средствами (к которым относятся обращение в суд или в полицию). С момента вступления в силу соответствующих положений ФЗ "О НПС" клиенты будут заинтересованы в сохранении доказательств.
На этом халявные консультации завершаются :)
Аминь.
Хочется вам верить, что клиент будет заинтересован в хранении доказательств, которые будут использованы против него - верьте на здоровье. Кто я такой, чтобы вас разубеждать? :)
Какие доказательства против клиента? Хе-хе.
Если у клиента действительно украли деньги, то все доказательства играют на его стороне (и я не вижу ни одной законной причины отказать клиенту в возмещении похищенных денежных средств согласно ФЗ "О НПС"). Справедливые вопросы возникают только тогда, когда таких доказательств нет (или их не предоставляют). И по действующему УК тут вполне справедливо можно стать подозреваемым (обвиняемым) в уголовном деле (читайте разъяснения Верховного Суда).
Так что прекращайте чушь постить ;)
Разумеется, в своих рассуждениях я допускаю, что клиент-"физик" не нарушил правила использования ЭПС (а на юридических лиц такое требование в полной мере не распространяется).
Давайте пойдем логическим путем. Есть всего 3 сценария. Первый - банк возвращает деньги сразу, не взирая на доказательства. Он заложил это в свои риски и не парится. При небольших суммах вполне нормальный подход.
Второй - банк не хочет возвращать и обращается в суд, истребуя (или суд истребует) доказательства. Клиент-жертва их предоставляет. Тут все зависит от доказательств и состязательности сторон.
Третий - банк не хочет возвращать и обращается в суд, истребуя (или суд истребует) доказательства. Клиент-жертва их НЕ предоставляет. Что делает суд? Как минимум, принимает решение в пользу банка. Я просто не вижу оснований для безусловного решения в пользу клиента.
Алексей, я именно об этом и говорю. В нашей стране первый вариант будет, но не сейчас. Поэтому добросовестный клиент заинтересован в сохранении доказательств. А без доказательств клиент кроме риска отказа банка от возмещения украденных денег несет еще и риск стать жертвой уголовного преследования по ст. 159 УК РФ (деньги-то украли, а значит все основания для возбуждения УД есть).
К тому же мне не дает покоя следующий вопрос: попадает ли инсайд под использование ЭСП без согласия клиента? Любой из трех ответов на этот вопрос (да / нет / в зависимости от формального наличия права, доверенности) приводит к необходимости делать криминалистическое исследование.
Коллеги Алексей выдвинул 3 варианта.
Давайте прикинем что упадет на стол судье в двух последних случаях:
Слчай1:
- справка из банка что он выполнял все условия договора, выполнил легитимную заявку клиента, ничего не нарушил.
- справку от клиента, что он выполнял условия договора, заявку никакую не посылал.
- банк выкладывает доказательство того, что заявка была подписана легитимным конфиденциальным ключем клиента.
Решение суда - клиент идет лесом...
Вариант 2 - это тоже самое, плюс экспертное заключение:
вариант 1 - никаких взломов не было в системе
вариант 2 - система была взломана
Вариант 1 - решение суда ?
Вариант 2 - решение суда ?
По сути мне нравится (ч. 15 статьи 9 ФЗ-161)
В любом случае клиент в проигрышном варианте.
И собранные по Инструкции материалы дают результатом:
- взлома не было
- взлом был
Эти результаты не дают вывода! Они требуют дальнейшего расследования в части поиска откуда кто и как. При том, что копии ключа у банка нет - опять же все шишки на сторону клиента...
Женя, эксперт не делает выводов. Еще раз обрати на это внимание. Эксперт собирает следы/артефакты/доказательства. А решение по ним принимает судья.
Я уже научился... :)
Пишу "Эти результаты не дают вывода!"
Отправить комментарий