Прецедент для Мокрого

ИА «Центр-Инфо»

«Сбойные» платежи

ООО «АСВД» занимается ремонтом вагонов, компания пользовалась услугами ВТБ. С исковым заявлением к ВТБ АСВД обратилось в начале августа 2011 г. Фирма потребовала взыскать с банка возмещение ущерба в размере 4,2 млн р. Истец полагал, что ущерб возник в результате ненадлежащего исполнения ВТБ договора о предоставлении услуги «Дистанционное банковское обслуживание» №ДБО-0086 от 28 сентября 2010 г. Сумму ущерба рассчитали путем сложения трех платежных поручений, проведенных банком 20 апреля 2011 г.

Поручение №180 было на сумму 998 тыс. р., поручение №181 — на 300 тыс. р., поручение №182 — на 2,9 млн р. Формирование и отправление этих поручений в адрес ВТБ произошло от имени АСВД в момент, когда компьютер фирмы с установленной на нем системой «Банк-Клиент» дал сбой и не работал. Банк не стал задерживать проведение платежей.

Пропажа вскрылась при получении истцом выписки о движении денежных средств по своему счету. У АСВД возникло подозрение, что пропажа денег стала следствием несанкционированного удаленного доступа в систему дистанционного банковского обслуживания (ДБО) «Банк-Клиент». Эту услугу ВТБ поставил для АСВД в рамках договора.

11 октября суд привлек к участию в деле на стороне ответчика третьих лиц — москвича Сергея Валяева, жительницу г. Арзамаса Елену Устимову и прописанного в Самарской обл. Игоря Смолина. Вышеуказанные платежные поручения были направлены от имени АСВД в их адрес. Назначением самого большого платежа, к примеру, являлся странный «возврат средств по договору беспроцентного займа». По мнению специалистов в области финансового мониторинга, при таком наименовании платежа его следует отнести к разряду подозрительных и обязательно подтвердить проведение у клиента. Этого операционисты ВТБ, судя по всему, не сделали.

Упорный клиент

2 марта представитель АСВД в суде пояснил, что физическим лицам фирма не проводит никаких платежей в принципе. Как правило, организации действительно стараются рассчитываться за выполненные работы или оказанные услуги только с юридическими лицами. Дело в том, что о подозрительных платежных поручениях на сумму свыше 600 тыс. р. в адрес физлиц, а тем более живущих в других регионах, банки уведомляют Росфинмониторинг.

Соответственно, если доказать, что подобные поручения проводились не по инициативе клиента с целью обналичить денежные средства или получить иную выгоду, то можно полагать, что деньги все же могли стать добычей мошенников.

Взгляды на действие банков при возникновении подобных прецедентов разнятся. Якобы отдельные кредитные организации до последнего времени нехотя, но соглашались с доводами клиентов относительно хищений со счетов по описанной схеме и возмещали ущерб в досудебном порядке во избежание репутационных рисков. Однако большее распространение получили категоричные отказы от претензий клиентов по факту хищения, тем более что последним нечего было возразить.

По всей видимости, в ВТБ решили пойти по пути судебных разбирательств и возложить всю ответственность за недостаточную безопасность расчетов на АСВД.

Результатом стало первое в судебной практике региона разбирательство претензий клиента к надежности ДБО.

Каждая из сторон пыталась доказать, что в наступлении ущерба для истца виновна другая сторона. 11 октября банк и клиент заявили разные по содержанию ходатайства о назначении судебной компьютерно- технической экспертизы в отношении ПЭВМ, используемого АСВД.

Так, ВТБ попросил поставить перед экспертами вопросы, ответ на которые мог позволить уличить АСВД в использовании нелицензионного программного обеспечения (ПО), в частности, антивирусных пакетов. В этом случае банк мог отказать в возмещении ущерба, сославшись на воздействие вредоносных программ на не защищенную должным образом информацию, содержащуюся в ПЭВМ. Известно, что некоторые вирусы серии «Троян» способны организовать мошенникам удаленный доступ к компьютеру клиента с последующим формированием поддельных платежных поручений и направлением их в банк. В ходатайстве ВТБ удивило то, что банк хотел обратиться за разъяснениями к не совсем профильному в поставленных вопросах учреждению  — Центру независимой экспертизы на автомобильном транспорте.

АСВД в своем ходатайстве расширило круг вопросов к экспертам и попросило ответить на них специалистов ФГБОУ ВПО «Самарский государственный университет» Владислава Галянина и Юрия Алейнова. В основном истца интересовало, обеспечивает ли программное средство «Банк-Клиент» требуемый уровень информационной безопасности в части обеспечения конфиденциальности обработки информации при проведении банковских операций с электронной передачей данных. В итоге именно Галянину и Алейнову суд поручил в трехмесячный срок провести экспертизу и представить заключение на обозрение сторон.

Попались на недостатках

Прозвучавшие 2 марта в суде выводы экспертов заставили усомниться прежде всего в надежности системы «Банк-Клиент», за которую отвечает ВТБ. Выяснилось, что на исследуемой ПЭВМ была установлена лицензионная антивирусная программа, обновленная за 9 дней до совершения хищения средств со счета, — 11 апреля 2011 г. Т. е. предъявить АСВД упрек в несоблюдении элементарных требований безопасности оказалось сложно.

В то же время эксперты указали, что в исследуемой конфигурации «Банк-Клиент» существует серьезный недостаток. Он связан с тем, что закрытые ключи электронной цифровой подписи (ЭЦП) хранятся на носителях (флэш-картах) без дополнительных функций обеспечения безопасности ключевой информации (см. справку). По этой причине злоумышленники имели возможность получить доступ к секретным ключам ЭЦП и таким образом подписать фиктивные платежные поручения. Также эксперты отметили, что у АСВД отсутствовала возможность предотвратить исполнение банком таких поручений.

В результате, учтя мнение экспертов, а также доводы АСВД о том, что ВТБ не согласовал с клиентом проведение подозрительных платежей, суд принял решение взыскать с банка возмещение ущерба. Скорее всего, ВТБ подаст апелляционную жалобу. Однако независимо от решения вышестоящих инстанций напрашивается вывод, что система ДБО, предоставляемая ВТБ клиентам на договорной основе, слабо защищена от несанкционированного проникновения посторонних лиц. Эти лица, в частности, могут направить в банк от имени клиентов платежные поручения с требованием перевести средства на счета третьих фирм либо физических лиц, а по факту — похитить их.

Вряд ли такая возможность понравится клиентам ВТБ и устроит центральное руководство банка.

Судя по всему, управляющему самарским филиалом ВТБ Александру Мокрому придется не только активнее информировать клиентов о способах защиты от несанкционированного доступа в систему ДБО, но и принять меры к повышению информационной безопасности самой системы.

Еще одной задачей, которую Мокрый вскоре может поставить перед своими сотрудниками, является уведомление клиентов о каждой совершенной по их счетам операции на существенную сумму. Это трудоемкий способ, но, тем не менее, он практикуется ведущими банками в качестве дополнительной меры повышения уровня безопасности ДБО.

Промежуточный успех АСВД наверняка станет сигналом и для других самарских компаний, средства которых могли быть похищены с банковских счетов.

Справка:

Существует рекомендованная Банком России группа стандартов в области безопасности организации системы ДБО. Несоответствия программного обеспечения «Банк-Клиент» требованиям договора не выявлено, однако в исследуемой конфигурации «Банк-Клиент» существует недостаток, связанный с тем, что закрытые ключи ЭЦП хранятся на носителях флэш-картах без дополнительных функций обеспечения безопасности ключевой информации. Это приводит к тому, что во время работы легитимного пользователя системы ДБО происходит копирование секретной ключевой информации в оперативную память ПЭВМ для генерации электронной подписи. Если в операционной среде ПЭВМ присутствует вредоносное ПО, способное контролировать состояние оперативной памяти и получать доступ к файловой системе, становится возможным несанкционированный доступ к секретной ключевой информации. В настоящее время существует реализация защищенного хранения ключевой информации, предотвращающая копирование секретных ключей USB-токена со встроенной возможностью генерации ЭЦП, в т. ч. сертифицированная ФСБ. Использование подобного устройства позволяет сильно уменьшить риск завладения секретной ключевой информацией злоумышленниками и является широко применяемой практикой защиты секретных ключей ЭЦП. В рассматриваемом случае злоумышленники имели возможность получить доступ к секретным ключам ЭЦП и таким образом подписать фиктивные платежные поручения. Кроме того, рядом банков в качестве дополнительной меры повышения уровня безопасности практикуется уведомление клиента о каждой совершенной с его средствами операции тем или иным способом. Данная мера позволяет клиенту своевременно реагировать на действия с его денежными средствами. В рассматриваемом случае у клиента отсутствовала возможность предотвратить исполнение банком нелегитимных платежных поручений.

(Из заключения экспертов В. Галянина и Ю. Алейнова)

Комментарии

Лилия САИФУЛОВА, представитель ООО «АСВД»

- Поставить в упрек то, что мы не обеспечили сохранность нашего рабочего места, в данном случае невозможно, поскольку у нас стояло лицензионное антивирусное программное обеспечение, которое было обновлено буквально за неделю до инцидента. Банк должен был обеспечить защиту остатка денежных средств на счете клиента и отвечать за исполнение платежных поручений, выданных неуполномоченными лицами. В данном случае банк мог удостовериться, что платежные поручения не исходили от клиента. Поэтому вина в причинении убытков клиенту банка имеется.

Светлана ГРИГОРЬЕВА, начальник отдела юридического сопровождения филиала ОАО «Банк ВТБ» в г. Самаре

- ОАО «Банк ВТБ», являясь добросовестным партнером, надлежащим образом исполняет свои обязательства по всем договорам, заключенным с клиентами. Банк уделяет пристальное внимание надежности системы дистанционного банковского обслуживания.