CC BY
28Закон и право. 2024. № 8. С. 68-73. Law and legislation. 2024;(8):68-73.
Научная статья УДК 342
https://doi.org/10.24412/2073-3313-2024-8-68-73 NIION: 1997-0063-8/24-408
EDN: https://elibrary.ru/MVSUQU MOSURED: 77/27-001-2024-8-608
Киберпреступления в кредитно-финансовой сфере
Магомед Хизриевич Зайнулабидов1, Олег Викторович Исаев2, Ольга Владимировна Толстых3
1 3 Воронежский институт МВД России, Воронеж, Россия
2 Воронежский государственный технический университет, Воронеж, Россия
Аннотация. Статья подчеркивает важность обучения клиентов и сотрудников банков и других финансовых институтов, чтобы они могли распознавать киберугрозы и принимать меры для защиты данных.
Ключевые слова: киберпреступления, киберугроза, фишинг, конфиденциальная информация, кредитно-финансовая организация, Интернет.
Для цитирования: Зайнулабидов М.Х., Исаев О.В., Толстых О.В. Киберпреступления в кредитно-финансовой сфере // Закон и право. 2024. № 8. С. 68—73. https://doi.org/10.24412/2073-3313-2024-8-68-73 ББ№ https://elibrary.ru/MVSUQU
Original article
Cybercrimes in the credit and financial sphere
Magomed Kh. Zainulabidov1, Oleg V. Isaev2, Olga V. Tolstykh3
1 3 Voronezh Institute of the Ministry of Internal Affairs of Russia, Voronezh, Russia
2 Voronezh State Technical University, Voronezh, Russia
Abstract. The article highlights the importance of training customers and employees of banks and other financial institutions so that they can recognize cyber threats and take measures to protect data.
Keywords: cybercrime, cyber threat, phishing, confidential information, credit and financial organization, Internet.
For citation: Zainulabidov M.Kh., Isaev O.V., Tolstykh O.V. Cybercrimes in the credit and financial sphere // Law and legislation. 2024;(8):68—73. (In Russ.). https://doi.org/10.24412/2073-3313-2024-8-68-73 EDN: https:// elibrary.ru/MVSUQU
Неотъемлемое присутствие во всех сферах жизни технологий можно рассматривать с двух сторон, первая —положительная, ведь использование новых технологий — это прежде всего развитие страны. Однако вместе с этим развиваются средства и механизмы преступлений, это касается негативной стороны.
Главной составляющей киберпреступлений является компьютерная техника и иные технические устройства, без которых осуществление данного вида преступлений не представлялось бы возможным.
Человек использует гаджеты без преувеличения во всех сферах жизни, начиная с отдыха,
© Зайнулабидов М.Х., Исаев О.В., Толстых О.В. М., 2024.
ЗАКОН И ПРАВО • 08-2024
личной жизни и заканчивая работой. Количество киберпреступлений возрастает с ростом пользователей телекоммуникационных сетей [6].
Чем сложнее создают устройства, обширные базы данных, тем сложнее способ совершения преступлений, причем прогресс настолько быстро и скачкообразно развивается, что законодательство и тем более правоохранительные органы не успевают своевременно реагировать.
Киберпреступления становятся все более распространенными в сфере финансовых услуг.
Кредитно-финансовая сфера — одна из основных целей киберпреступников. Злоумышленники могут использовать различные методы, например, рЫ8Ып§-атаки, компрометацию систем электронной подписи и т.д. Основной целью таких атак является получение персональной и финансовой информации клиента и дальнейшее несанкционированное использование этих данных.
В современном мире киберпреступления в кредитно-финансовой сфере стали лидером среди других видов преступности. Каждый день банки и финансовые учреждения сталкиваются с угрозами со стороны хакеров и киберпреступни-ков, которые направлены на получение доступа к личной информации клиентов и нарушение систем безопасности. В такой ситуации необходимы меры по защите от кибератак с целью обезопасить компании и клиентов.
Киберпреступления в кредитно-финансовой сфере — это совокупность преступлений, которые совершаются в киберпространстве с использованием информационных технологий и глобальных сетей и посягают на финансово-экономические отношения. Главной особенностью киберпреступлений, совершаемых в кредитно-финансовой сфере, является причинение ущерба организациям в значительных и крупных размерах.
Один из наиболее распространенных способов атак в кредитно-финансовой сфере — это рЫ8Ып§. Фишинговые атаки обычно отправляются пользователю в виде электронной почты, в которой злоумышленник притворяется представителем крупной компании и запрашивает конфиденциальную информацию о пользователе (номер кредитной карты, пароль и т.д.). Такие электронные сообщения могут быть очень легко подделаны, что заставляет пользователей думать, что это настоящее электронное сообщение от компании.
Другой распространенный метод кибератак в кредитно-финансовой сфере — это компрометация систем электронной подписи или аутен-
тификации клиента. Атакующие могут использовать взломанное устройство или программное обеспечение для получения доступа к системе электронной подписи и обхода системы аутентификации. Это может позволить атакующему получить доступ к банковскому аккаунту клиента и совершать несанкционированные операции без его разрешения.
Для полного и всестороннего изучения проблем борьбы с киберпреступлениями в кредитно-финансовой сфере целесообразно обратиться к статистике и наглядно проследить тенденции киберпреступлений в сравнении с каждым следующим годом на примере 2022-го и 2023 годов [7].
Обзор отчетности об инцидентах информационной безопасности при переводе денежных средств за III квартал 2023 г.
Операции без согласия клиентов (ОБС) представляют общую картину: среднее значение за предшествующие четыре квартала (с III квартала 2022 г. по II квартал 2023 г. включительно) — количество ОБС (ед.) составляет 234 762; объем ОБС (тыс. руб.) составляет 4 048 623,48; доля социальной инженерии (проц.) составляет 50,0.
Доля возмещенных (возвращенных) средств (от объема) составляет 3,9%. Количество предотвращенных ОБС (ед.) составляет 0, так же, как и объем предотвращенных ОБС (тыс. руб.).
Что касается ситуации на момент обзора за III квартал 2022 г., прослеживается следующее состояние:
Операции без согласия клиентов (ОБС) — количество ОБС (ед.) составляет 229 757; объем ОБС (тыс. руб.) составляет 3 973 456,54; доля социальной инженерии (в проц.) составляет 54,1; доля возмещенных (возвращенных) средств (от объема) составляет 3,4%.
Отмечается, что все показатели за 2023 г. не в значительной мере, но все же возрастают, однако есть и положительная сторона, как видно, доля возмещенных (возвращенных) средств (от объема) в процентах за 2023 г. больше, чем за 2022 г.
Далее рассмотрим основные типы компьютерных атак на 2022 г.: выявлено (ед.), динамика (проц.):
■ фишинговые атаки — 3230; атаки с использованием методов социальной инженерии — 13 360; атаки с использованием вредоносного программного обеспечение (ВПО) — 132;
LAW & LEGISLATION • 08-2024
■ мошеннические телефонные номера: с использованием номеров 8 800 — 573; городские телефонные номера — 103 878; мобильные телефонные номера — 176 355;
■ мошеннические интернет-ресурсы: направлено на блокировку (ед.), динамика (проц.): безлицензионная деятельность — 232; фишинг — 590; финансовые пирамиды — 118.
Сопоставляя с 2022 г. в 2023 г. Банк России в своей статистике выделил:
■ использование методов социальной инженерии — 16 428; фишинговые атаки — 2155; атаки с использованием ВПО — 144; атаки типа «отказ в обслуживании» (DDoS) — 126;
■ мошеннические телефонные номера: выявлено (ед.), динамика (проц.): с использованием номеров 8 800 — 1165; городские телефонные номера — 44 388; мобильные телефонные номера — 185 090. За отчетный период Банк России инициировал 141 755 запросов операторам связи для принятия мер реагирования в отношении номеров телефонов, используемых в противоправных целях;
■ мошеннические интернет-ресурсы: направлено на блокировку (ед.), динамика (проц.): безлицензионная деятельность — 1559; фишинг — 3582; финансовые пирамиды — 1425.
Исходя из анализа представленных статистических данных можно сделать выводы о том, что в 2023 г. проявление фишинговых атак на порядок снизилось, но появились атаки типа «отказ в обслуживании», которых в 2022 г. Банк России не внес в статистические данные. Мошенничество при помощи телефонных номеров показывает, что в 2023 г. снизилось лишь использование городских телефонных номеров, в остальном прослеживается только рост использования данного вида атак.
Что можно выделить в аспекте интернет-ресурсов: 2023 г. показывает тенденцию к значительному росту всех рассматриваемых видов мошеннических действий через Интернет.
Действия Банка России, предпринятые в 2022 г.: направил в адрес регистраторов доменных имен запросы на проведение проверочных мероприятий и снятие с делегирования 940 доменных имен сети Интернет, с использованием которых осуществлялась противоправная деятельность.
Также Банк России направил информацию о 2992 доменах сети Интернет в Генеральную прокуратуру Российской Федерации для проведения проверочных мероприятий и последующего ограничения доступа в соответствии со ст. 15.3 Федерального закона «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г. № 149-ФЗ.
Относительно 2023 г. деятельность Банка России прослеживается в следующем: Банк России направил в адрес регистраторов доменных имен запросы на проверочные мероприятия и снятие с делегирования в отношении 642 доменных имен сети Интернет, с использованием которых осуществлялась противоправная деятельность. Кроме того, Банк России направил в Генеральную прокуратуру Российской Федерации информацию о 7819 доменах сети Интернет для проведения проверочных мероприятий и последующего ограничения доступа к ним в соответствии со ст. 15.3 Федерального закона «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г. № 149-ФЗ.
Статистические данные по состоянию на 1 квартал 2024 г. [7]
Операции без согласия клиентов (ОБС), общая картина: количество ОБС (ед.) составляет 294 414; объем ОБС (тыс. руб.) — 4 263 315,94; доля возмещенных (возвращенных) средств (от объема) 7,7%; количество предотвращенных ОБС (ед.) — 13 860 221; объем предотвращенных ОБС (тыс. руб.) — 2 049 801 523,35.
Инциденты информационной безопасности при переводе денежных средств физических лиц (количество ОБС, ед.): карты — 237 207; счета (дистанционное банковское обслуживание, переводы) — 13 717; СБП — 41 458; электронные кошельки: — 1651; без открытия счета (денежные переводы путем внесения наличных в банкомат) — 81.
Доля возмещенных (возвращенных) средств (проц.): карты — 8,4; счета (дистанционное банковское обслуживание, переводы) — 16,2; СБП — 1,5; электронные кошельки — 0,0; без открытия счета (денежные переводы путем внесения наличных в банкомат) — 0,0.
Оценив количество украденных денежных средств и долю возмещения ущерба, определяемую в процентах, можно утверждать, что во всех случаях применения разных способов хранения денежных средств доля возмещения ничтожна мала, а в некоторых случаях и вовсе равняется
ЗАКОН И ПРАВО • 08-2024
нулю. Это свидетельствует прежде всего о том, что действия лиц, занимающихся расследованием киберпреступлений в кредитно-финансовой сфере, малоэффективны.
Акцентируем внимание на основных типах компьютерных атак: выявлено (ед.), динамика (проц.):
■ использование методов социальной инженерии — 29 477 (+14,84%);
■ фишинговые атаки — 959 (-29,64%);
■ атаки с использованием ВПО — 42 (-52,27%);
■ атаки типа «отказ в обслуживании» (ББоБ) — 108 (+2,86%);
■ иные атаки — 70 (+9,38%).
Динамика, указанная в процентах, прямо
показывает понижение или увеличение использования конкретных компьютерных атак по сравнению с предшествующими периодом, т.е. за 2023 г.
Далее обратимся к статистике использования мошеннических телефонных номеров (выявлено (ед.), динамика (проц.)):
■ с использованием номеров 8 800 — 629 (-47,41%);
■ городские телефонные номера — 2910 (-80,46%);
■ мобильные телефонные номера — 45 087 (-64,73%).
В данном случае динамика использования сотовой связи значительно понижается, однако не стоит забывать, что приведенная статистика является актуальной лишь на 1 квартал 2024 г.
В целом киберпреступления в кредитно-финансовой сфере являются серьезной проблемой для пользователей и финансовых учреждений, и финансовые институты должны продолжать вкладывать ресурсы в разработку новых методов защиты своих систем от киберугроз.
Правительство играет важную роль в борьбе с киберпреступлениями в кредитно-финансовой сфере. Его задача — разработать и проводить эффективную политику, направленную на предотвращение и борьбу с такими преступлениями.
Основные меры, которые принимает Правительство в этой сфере:
■ создание законодательного основания для пресечения киберпреступлений в кредитном секторе и назначение ответственных органов за их расследование и пресечение;
■ разработка нормативных документов и рекомендаций в области кибербезопасности для участников кредитно-финансовой
сферы, которые должны будут следовать нормам и правилам, регулирующим защиту персональных данных и другой финансовой информации;
■ содействие в создании схем и структур, направленных на обмен информацией между участниками рынка о выявлении потенциальных угроз и инцидентов, связанных с кибербезопасностью;
■ поддержка научных исследований и развития технологий, направленных на улучшение кибербезопасности и более эффективную борьбу с киберпреступлениями;
■ развитие культуры безопасности и осведомленности в области кибербезопаснос-ти среди населения, бизнес-сообщества и государственных служащих.
В целях борьбы с киберпреступлениями в кредитно-финансовой сфере были приняты следующие законодательные меры [1 — 5]:
1. Закон «Об информации, информационных технологиях и о защите информации»: этот Закон регулирует использование информационных технологий и определяет основные правила защиты информации, в том числе финансовой. Он также определяет ответственность за нарушение правил обработки и хранения информации.
2. Закон «О национальной платежной системе»: данный Закон устанавливает правила работы с платежными системами и регулирует деятельность всех участников национальной платежной системы в интересах защиты финансовых интересов клиентов и предотвращения мошенничества.
3. Закон «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»: данный Закон регулирует деятельность финансовых институтов и определяет правила, которым они должны следовать при работе с клиентами и проведении финансовых операций. Этот Закон также относится к киберпреступлениям, которые могут быть использованы для легализации доходов, полученных преступным путем.
4. Закон «О защите персональных данных»: данный Закон определяет правила обработки персональных данных, включая финансовые, и защиты их от неправомерного использования, в том числе со стороны киберпреступников.
5. Закон «О кредитных историях»: этот Закон устанавливает правила работы кредитных бюро и участников кредитного рынка в интересах за-
ЬДМ & ЬЕ^БЬДТЮМ • 08-2024
щиты персональных данных клиентов и предотвращения мошенничества.
В целом Правительство должно обеспечивать координацию действий всех заинтересованных сторон в борьбе с киберпреступлениями в кредитно-финансовой сфере, чтобы обеспечить защиту от киберугроз и соответствующий уровень кибербезопасности.
В кредитно-финансовых организациях ответственными за защиту от кибератак являются специалисты по информационной безопасности. Обычно они занимаются мониторингом безопасности компьютерных систем и сетей, разработкой политик безопасности, установкой и настройкой программных и аппаратных средств защиты, обеспечением обучения сотрудников правильному использованию информационных технологий. Кроме того, они должны проактив-но искать уязвимости и потенциальные угрозы для безопасности и разрабатывать планы действий для быстрого реагирования на имеющиеся угрозы.
К сожалению, как и любые прогнозы и статистики в области кибербезопасности, нельзя дать точных прогнозов на годы вперед. Тем не менее можно отметить несколько актуальных трендов в области кибератак на кредитно-финансовые организации в РФ:
■ увеличение количества и сложности кибератак. Хакеры используют все более скрытные и инновационные методы, чтобы украсть данные и деньги из банковских систем;
■ рост угроз со стороны киберпреступников, использующих различные методы атаки, такие, как фишинг, мошенничество, вредоносные программы и др.;
■ недостаточная реакция со стороны кредитных организаций на угрозы кибербезопас-ности, связанная с недостаточной проак-тивностью при защите и обороне системы;
■ рост количества и масштаба кибератак на финансовые организации;
■ рост уязвимостей, связанных с использованием новых технологий, таких, как цифровые валюты и мобильные платежи.
Исходя из вышеизложенного можно сделать вывод о том, что банковская сфера является привлекательной для киберпреступников, так как хранит огромные объемы конфиденциальной информации и денежные средства. Кредитно-финансовые учреждения не могут игнорировать возможность кибератак. Они должны использо-
вать все доступные средства, чтобы защитить свои системы и данные. В итоге предотвращение кибератак в банковской сфере — это комплексная задача.
Важно помнить, что киберугрозы постоянно эволюционируют, поэтому банкам необходимо быть готовыми к постоянным изменениям и улучшениям своей стратегии безопасности. Правильно выбранные средства безопасности обеспечат защиту от атак и безопасность целостности данных клиентов.
Стоит понимать, что полностью нейтрализовать киберпреступность в финансово-кредитной сфере не представляется возможным, поскольку сейчас большинство банковских операций, а, следовательно, и основная масса денежного потока переходит в безналичный оборот.
Список источников
1. Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ // https:// www.consultant.ru
2. Федеральный закон «О национальной платежной системе» от 27.06.2011 № 161-ФЗ // https://www.consultant.ru
3. Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ // https://www. consultant.ru
4. Федеральный закон «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» от 07.08.2001 № 115-ФЗ // https:// www.consultant.ru
5. Федеральный закон «О кредитных историях» от 30.12.2004 № 218-ФЗ // https://www. consultant.ru
6. Толстых О.В., Бойко А. О., Ерошенко O.A. Аспекты раскрытия преступлений, посягающих на кибербезопасность: зарубежный опыт, перспективы совершенствования // Закон и право. 2023. № 11. С. 126—131. https://doi.org/10.24412/ 2073-3313-2023-11-126-131. EDN: https:// elibrary.ru/KTGJXI
7. https://cbr.ru
References
1. Federal Law «On Information, Information Technologies and Information Protection» dated 27.07.2006 № 149-FZ // https://www.consultant.ru
2. Federal Law «On the National Payment System» dated 06.27.2011 № 161-FZ // https:// www.consultant.ru
ЗАКОН И ПРАВО • 08-2024
3. Federal Law «On Personal Data» dated 27.07.2006 № 152-FZ // https://www.consultant.ru
4. Federal Law «On Countering the Legalization (Laundering) of Proceeds from Crime and the Financing of Terrorism» dated 07.08.2001 № 115-FZ // https:// www.consultant.ru
5. Federal Law «On Credit Histories» dated 30.12.2004 № 218-FZ // https://www.consultant.ru
6. Tolstykh O.V., Boyko A.O., Yaroshenko O.A. Aspects of disclosure of reputations encroaching on cybersecurity: foreign experience, prospects for development // Law and Law and legislation. 2023. № 11. Pp. 126-131. https://doi.org/10.24412/2073-3313-2023-11-126-131. EDN: https://elibrary.ru/ KTGJXI
7. https://cbr.ru
Информация об авторах
Зайнулабидов М.Х. — слушатель юридического факультета
Исаев О.В. — кандидат технических наук, доцент кафедры систем информационной безопасности Толстых О.В. — кандидат технических наук, доцент кафедры радиотехнических систем и комплексов охранного мониторинга
Вклад авторов: авторы сделали эквивалентный вклад в подготовку публикации. Авторы заявляют об отсутствии конфликта интересов.
Статья поступила в редакцию 09.06.2024; одобрена после рецензирования 08.07.2024; принята к публикации 14.07.2024.
Information about the authors
Zainulabidov M.Kh. — listener of the faculty of law
Isaev O.V. — candidate of technical sciences, associate professor of the department of information security systems
Tolstykh O.V. — candidate of technical sciences, associate professor of the department of radio engineering systems and security monitoring complexes
Contribution of the authors: the authors contributed equally to this article. The authors declare no conflicts of interests.
The article was submitted 09.06.2024; approved after reviewing 08.07.2024; accepted for publication 14.07.2024.
ИЗДАТЕЛЬСТВО «ЮНИТИ-ДАНА» ПРЕДСТАВЛЯЕТ
АКТУАЛЬНЫЕ ПРОБЛЕМЫ ТЕОРИИ ГОСУДАРСТВА 11 ПРАВА
Актуальные проблемы теории государства и права. 4-е изд., перераб. и доп. Учеб.пособие. Гриф МУМЦ " Профессиональный учебник". Гриф НИИ образования и науки / Под ред. А.И. Клименко, М.М. Рассолова; под общ. ред. В.П. Малахова, В.В. Оксамытного.
ISBN 978-5-238-03605-2
Исследуются проблемы предмета и методов теории государства и права, новые теоретические аспекты происхождения права и государства, проблемы государственной власти в условиях глобализации, признаки, типология, строение и функции современного государства. Рассматриваются сущность и парадигмы права, новые подходы к формам, правотворчеству и систематизации нормативно-правовых актов, а также вопросы теории правоотношений, реализации, толкования норм права и ответственности в демократическом обществе.
Для студентов, аспирантов, преподавателей юридических вузов и факультетов, всех интересующихся проблемами развития государства и права.
LAW & LEGISLATION • 08-2024
