К исх. А-02/1А-424, НПС-02/1-89
от 20.07.2012
Утверждены
Рабочей группой Ассоциации российских банков
и НП «Национальный платежный совет»
по предотвращению мошенничества в платежных системах
(Протокол № 1 от 19 июля 2012 г.)
МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ
о порядке действий в случае выявления хищения денежных средств в системах дистанционного банковского обслуживания, использующих электронные устройства клиента
Настоящие рекомендации разработаны Рабочей группой Ассоциации российских банков и НП «Национальный платежный совет» по предотвращению мошенничества в платежных системах (далее – Рабочая группа) с учетом Письма Бюро специальных технических мероприятий Министерства внутренних дел Российской Федерации (далее – БСТМ МВД России) от 17 января 2012 г. № 10/257 с целью разъяснения порядка действий в случае выявления хищения денежных средств в системах дистанционного банковского обслуживания1 (далее – ДБО), использующих электронные устройства (далее – ЭУ): персональный компьютер, ноутбук, планшетный компьютер и т.п. в качестве удаленного рабочего места для целей дистанционного управления денежными средствами клиента.
В целях оперативной организации эффективного взаимодействия и принятия процессуальных решений по фактам совершения хищения денежных средств в системах ДБО (далее – факт хищения денежных средств), а также исполнения требований Положения Банка России от 09.06.2012 № 382-П и Указания Банка России от 09.06.2012 № 2831–У, кредитным организациям и операторам платежных систем (далее совместно – банки) рекомендуется:
– соблюдать нижеизложенный порядок сбора и хранения необходимой доказательной базы по фактам хищений денежных средств;
– соблюдать нижеизложенный порядок действий по предотвращению хищений денежных средству, по расследованию совершенных хищений денежных средств и возврату похищенных денежных средств;
– соблюдать нижеизложенный порядок информирования и взаимодействия с правоохранительными органами;
– размещать и регулярно обновлять контактную информацию для оперативной связи с сотрудниками, ответственными за расследование фактов хищения денежных средств и противодействие мошенничеству в системах ДБО, на специальном закрытом разделе сайта Некоммерческого партнерства «Национальный платежный совет» (www.platsovetrf.ru);
– информировать своих клиентов о возможных рисках использования ДБО и рекомендованных мерах по их минимизации, которые должны осуществляться на постоянной основе;
– уведомлять клиентов о рекомендованном порядке действий в случае выявления хищения денежных средств.
Клиенту (пострадавшему) – юридическому лицу необходимо:
В случае выявления хищения денежных средств в системе ДБО немедленно прекратить любые действия с ЭУ, подключенным к системе ДБО, обесточить его (принудительно отключить электропитание в обход штатной процедуры завершения работы, извлечь аккумуляторную батарею из ноутбука и т.п.) и отключить от информационных сетей (если было подключение, например, по Ethernet, USB, Wi-Fi и др.) или перевести в режим гибернации.
При наличии технической возможности отозвать перевод с использованием иного ЭУ, после чего заблокировать систему ДБО.
При отсутствии технической возможности отозвать перевод по системе ДБО немедленно обратиться в банк плательщика по телефону с заявлением о приостановке исполнения платежа и возврате средств.
Произвести фотосъёмку рабочего места и его расположения в помещении. Обеспечить сохранность (целостность) ЭУ как возможного средства совершения преступления, поместив его в место с ограниченным доступом, обеспечив при этом защиту от вскрытия (стикеры, наклейки, пластилин, мастичная печать, пломбы и т.п.) и по возможности зафиксировать средства контроля целостности фотографированием со всех ракурсов. Если позволяют размеры ЭУ, следует поместить его в непрозрачный пакет (мешок) и опечатать горловину. При необходимости ведения хозяйственной деятельности – задействовать другое ЭУ.
Обратиться в банк плательщика с письменным заявлением об отзыве платежа, возврате средств и блокировании доступа к системе ДБО (Приложение № 1 к настоящим Рекомендациям), а также о компрометации ключей и необходимости смены пароля (закрытого ключа). Копия заявления должна быть направлена в банк плательщика незамедлительно по факсу или по электронной почте (скан-копия). Оригинал заявления должен быть доставлен в банк плательщика течение одного дня.
Проинформировать все банки, с которыми клиент имеет договорные отношения, предусматривающие использование ДБО, о факте хищения денежных средств и обратиться с просьбой о внеплановой замене ключевой информации.
В течение одного дня обратиться в банк получателя или к оператору соответствующей платежной системы с письменным заявлением о приостановлении платежа и возврате денежных средств (Приложение № 2 к настоящим Рекомендациям).
Предпринять меры для обеспечения сохранности и неизменности записей с внутренних и внешних камер систем видео-наблюдения, журналов систем контроля доступа, средств обеспечения и разграничения доступа в сеть Интернет (при наличии таковых) за максимальный период времени, как до, так и после даты совершения хищения денежных средств.
Провести сбор записей с межсетевых экранов, серверов баз данных и иных компонент клиентского приложения системы ДБО, систем авторизации пользователей (AD, NDS и т.д.), ЭУ, используемых для управления денежными средствами через систему ДБО банка, устройств, которые могут использоваться для удалённого управления указанными ЭУ.
В течение одного дня обратиться с письменным заявлением к своему Интернет-провайдеру (Приложение № 3 к настоящим Рекомендациям) для получения в электронной форме журналов соединений с Интернет с электронного устройства клиента или из его ЛВС как минимум за три месяца, предшествовавшие факту хищения денежных средств.
Не предпринимать никаких действий для самостоятельного или с привлечением сторонних ИТ-специалистов поиска и удаления компьютерных вирусов, восстановления работоспособности ЭУ, не отправлять ЭУ в сервисные службы ИТ для восстановления работоспособности.
Зафиксировать в протокольной форме значимые действия и события, в том числе действия с ЭУ, подключенным к системе ДБО, предшествовавшие факту хищения денежных средств, подготовить объяснения клиента (работников клиента) об использовании ЭУ в целях, отличных от осуществления операций в системе ДБО, посещаемых сайтах, о странностях при работе ЭУ, перебоях или отказах ЭУ, обращениях в ИТ-службы, в банк плательщика, о сторонних лицах, побывавших в месте расположения ЭУ и т.д.
Все действия, указанные в пп.1.1, 1.4, 1.8, 1.9, 1.12 настоящего раздела, производить коллегиально, протоколировать и документировать, в т.ч. с использованием фотосъёмки.
В течение одного дня обратиться с заявлением в правоохранительные органы о возбуждении уголовного дела по факту хищения денежных средств (Приложение № 4 к настоящим Рекомендациям).
Оперативно обратиться в суд с исковым заявлением в отношении получателя денежных средств (указав все известные реквизиты получателя) о взыскании неосновательно полученного обогащения и процентов за пользование денежными средствами (глава 60 ГК РФ), а также с ходатайством о принятии судом мер по обеспечению иска в виде ареста денежных средств на счете получателя в сумме неосновательно полученного обогащения. К исковому заявлению необходимо приложить копию заявления о возбуждении уголовного дела либо копию талона КУСП, содержащую отметку правоохранительного органа о его приеме.
Копии вышеуказанных документов по перечню, установленному банком плательщика, направить в банк плательщика с приложением Справки по факту инцидента информационной безопасности в системе ДБО (Приложение № 5 к настоящим Рекомендациям), а также подтверждающих документов (Приложение № 6 к настоящим Рекомендациям)2.
Клиенту (пострадавшему) – физическому лицу необходимо:
В случае выявления хищения денежных средств в системе ДБО немедленно прекратить любые действия с ЭУ, подключенным к системе ДБО, обесточить его (принудительно отключить электропитание в обход штатной процедуры завершения работы, извлечь аккумуляторную батарею из ноутбука и т.п.) и отключить от информационных сетей (если было подключение, например, по USB, Wi-Fi и др.) или перевести в режим гибернации.
При наличии технической возможности отозвать перевод с использованием иного ЭУ, после чего заблокировать систему ДБО.
При отсутствии технической возможности отозвать перевод по системе ДБО немедленно обратиться в банк плательщика по телефону с заявлением о приостановке исполнения платежа и возврате средств.
Обеспечить сохранность (целостность) ЭУ как возможного средства совершения преступления, поместив его в место с ограниченным доступом, обеспечив при этом защиту от вскрытия (стикеры, наклейки, пластилин и т.п.) и по возможности зафиксировать средства контроля целостности фотографированием со всех ракурсов. Если позволяют размеры ЭУ, следует поместить его в непрозрачный пакет (мешок) и опечатать горловину.
Обратиться в банк плательщика с письменным заявлением об отзыве платежа, возврате средств и блокировании доступа к системе ДБО (Приложение № 1 к настоящим Рекомендациям), а также о компрометации ключей и необходимости смены пароля (закрытого ключа). Копия заявления должна быть направлена в банк плательщика незамедлительно по факсу или по электронной почте (скан-копия). Оригинал заявления должен быть доставлен в банк плательщика течение одного дня.
Проинформировать все банки, с которыми клиент имеет договорные отношения, предусматривающие использование ДБО, о факте хищения денежных средств и обратиться с просьбой о внеплановой замене ключевой информации.
В течение одного дня обратиться с письменным заявлением к своему Интернет-провайдеру (Приложение № 3 к настоящим Рекомендациям) для получения в электронной форме журналов соединений с Интернет с электронного устройства клиента или из его ЛВС как минимум за три месяца, предшествовавшие факту хищения денежных средств.
Не предпринимать никаких действий для самостоятельного или с привлечением сторонних ИТ-специалистов поиска и удаления компьютерных вирусов, восстановления работоспособности ЭУ, не отправлять ЭУ в сервисные службы ИТ для восстановления работоспособности.
Подготовить объяснения о значимых действиях и событиях, в том числе действия с ЭУ, подключенным к системе ДБО, предшествовавших факту хищения денежных средств об использовании ЭУ в целях, отличных от осуществления операций в системе ДБО, посещаемых сайтах, о странностях при работе ЭУ, перебоях или отказах ЭУ, обращениях в ИТ-службы, в банк плательщика, о сторонних лицах, побывавших в месте расположения ЭУ и т.д.
В течение одного дня обратиться с заявлением в правоохранительные органы о возбуждении уголовного дела по факту хищения денежных средств (Приложение № 4 к настоящим Рекомендациям).
Оперативно обратиться в суд с исковым заявлением в отношении получателя денежных средств (указав все известные реквизиты получателя) о взыскании неосновательно полученного обогащения и процентов за пользование денежными средствами (глава 60 ГК РФ), а также с ходатайством о принятии судом мер по обеспечению иска в виде ареста денежных средств на счете получателя в сумме неосновательно полученного обогащения. К исковому заявлению необходимо приложить копию заявления о возбуждении уголовного дела либо копию талона КУСП, содержащую отметку правоохранительного органа о его приеме.
Копии документов по перечню, установленному банком плательщика, направить в банк плательщика с приложением Справки по факту инцидента информационной безопасности в системе ДБО (приложение № 5 к настоящим Рекомендациям).
Банку плательщика необходимо:
При получении телефонного обращения плательщика о приостановке исполнения платежа немедленно подтвердить обращение плательщика обратным звонком по номеру, указанному в предоставленных плательщиком документах на бумажном носителе. При наличии возможности использовать дополнительные каналы для подтверждения обращения (SMS-уведомление, сообщение по электронной почте).
При подтверждении обращения незамедлительно принять меры к приостановке дальнейшей обработки платежа.
В случае завершения обработки платежа незамедлительно в любой доступной форме направить в службу безопасности банка получателя информацию о факте хищения денежных средств с просьбой о приостановке обработки платежа и возврате средств, используя данные, указанные в закрытом разделе сайта Национального платежного совета (www.platsovetrf.ru).
Оперативно направить с использованием сервисов расчетной системы Банка России или по системе SWIFT в банк получателя сообщение с просьбой о приостановлении платежа и возврате средств (Приложение № 7 к настоящим Рекомендациям).
С целью обеспечения сохранности доказательств исключить доставку в банк и/или техническое обслуживание ЭУ клиента, консультации, проверки ЭУ клиента, а равно совершение сотрудниками банка иных действий, которые могут привести к нарушению сохранности доказательств.
Оперативно направить письмо в банк получателя или к оператору платежной системы по факту хищения денежных средств (Приложение № 8 к настоящим Рекомендациям) с просьбой о прекращении обработки платежа, блокировке ДБО и платежных карт клиента – получателя, применении к получателю платежа мер контроля в рамках системы ПОД/ФТ3 и возврате средств, а также истребовать у плательщика подтверждение о подаче плательщиком заявления в правоохранительные органы и получить его копию в течение не более 2 рабочих дней со дня получения обращения плательщика в банк о факте хищения денежных средств.
Подготовить документы, указанные в приложениях № 11 (в отношении юридического лица) и/или № 12 (в отношении физического лица) к настоящим Рекомендациям.
Осуществить силами подразделения информационной безопасности банка, иных уполномоченных сотрудников либо с привлечением организаций, предоставляющих квалифицированные услуги по расследованию инцидентов информационной безопасности, по меньшей мере, следующие действия:
Провести мероприятия, определённые договорными отношениями с клиентом, в отношении проверки легитимности электронной подписи оспоренного платёжного документа. При необходимости – провести мероприятия по факту компрометации ключей электронной подписи.
Получить от ответственных сотрудников банка, обслуживающих системы ДБО, администраторов сети, систем криптографической защиты и т.д. экспертные заключения в рамках их компетенции по корректности ЭП в составе платежного документа, ее целостности и авторства.
Провести анализ собранной информации с целью выявления источника осуществления хищения денежных средств и возможной причастности сотрудников банка. Результаты проверки оформить документально.
При необходимости – провести технические мероприятия, направленные на предотвращение сокрытия следов, уничтожения информации и т.д., для чего задействовать используемые в банке средства и методы защиты информации.
Обеспечить хранение собранной информации в неизменном виде для передачи правоохранительным органам по запросу.
При необходимости провести, документально зафиксировав полученные результаты, следующие проверочные мероприятия в целях формирования необходимой доказательной базы по факту хищения денежных средств:
Найти оспоренный Клиентом платежный документ в базе данных системы ДБО банка и в базе данных АБС банка.
Если платежный документ не найден в базе данных ДБО банка, но имеется в базе данных АБС банка:
По журналам систем ДБО и АБС установить присутствовал ли платежный документ в системе ДБО ранее.
В свойствах платежного документа установить его авторство, дату, время и способ его создания.
Получить объяснения от своих работников, уполномоченных на оформление и проверку платежных документов, администраторов ДБО и АБС банка, администраторов безопасности ДБО и АБС банка.
Провести сбор записей с межсетевых экранов, систем обнаружения вторжений и антивирусной защиты, серверов баз данных, систем авторизации пользователей (AD, NDS и т.д.), рабочих станций сотрудников, штатно допущенных к управлению системами ДБО банка, и средств удалённого управления указанными рабочими станциями.
Получить записи систем видео-наблюдения, управления доступом в помещения и т.д.
Оценить возможность продолжения эксплуатации системы ДБО Банка.
Если платежный документ найден в базе данных ДБО банка, проверить подлинность оспариваемого платежного документа.4
Если подлинность платежного документа не установлена:
Получить объяснения от работников банка, уполномоченных на оформление и проверку платежных документов, поступивших по системе ДБО, администраторов ДБО и АБС банка, администраторов безопасности ДБО и АБС банка (другого уполномоченного лица).
По журналам систем ДБО установить, была ли подлинность платежного документа утрачена в процессе эксплуатации системы ДБО, а также оценить возможность продолжения эксплуатации системы ДБО банка.
Если подлинность электронного документа установлена:
Реализовать неотложные действия при компрометации закрытого ключа плательщика в соответствии с внутренним порядком банка.
Получить от уполномоченного работника банка журналы работы системы ДБО и проанализировать их на предмет наличия записей, содержащих признаки несанкционированного доступа посторонних лиц.
Сохранить на съемном носителе журналы работы плательщика в системе ДБО.
Провести мероприятия, направленные на обеспечение целостности носителя.
Провести анализ информации с целью выявления возможной причастности к хищению денежных средств сотрудников банка. Результаты проверки оформить документально. При необходимости провести технические мероприятия, направленные на предотвращение сокрытия следов хищения.
Получить от плательщика Справку по факту инцидента информационной безопасности в системе ДБО (Приложение № 5 к настоящим Рекомендациям).
На основании собранной информации оформить и передать в правоохранительный орган, осуществляющий расследование по факту хищения денежных средств, объяснение по факту хищения денежных средств (Приложение № 9 к настоящим Рекомендациям). В случае отказа клиента от обращения в правоохранительные органы оформить обращение по факту хищения денежных средств в региональное подразделение МВД от имени банка по форме, приведенной в Приложении № 9 к настоящим Рекомендациям.
Обратиться в БСТМ МВД России либо его региональное отделение с заявлением об оказании содействия в расследовании факта хищения денежных средств с подробным описанием обстоятельств его совершения (Приложение № 10 к настоящим Рекомендациям) и по запросу БСТМ МВД России направить документы, указанные в приложениях № 11 (в отношении юридического лица) и/или № 12 (в отношении физического лица) к настоящим Рекомендациям.
В случае хищения денежных средств плательщика, по счетам которого зафиксированы поступления средств бюджета любого уровня, также направить информационное письмо на имя руководителя ФСБ России о факте хищения денежных средств с подробным описанием обстоятельств его совершения (Приложение № 13 к настоящим Рекомендациям) и по запросу ФСБ России направить документы, указанные в Приложении № 9 (в отношении юридического лица) и/или Приложении № 10 (в отношении физического лица) к настоящим Рекомендациям.
Направить в банк получателя полученную от плательщика копию заявления в правоохранительный орган по факту хищения денежных средств и номер КУСП.
При наличии в банке электронного документа с подлинной электронной подписью и при оспаривании подлинности электронной подписи в составе электронного документа, подтверждающего поручение плательщика банку выполнить оспоренный перевод, направить плательщику письмо о готовности участия в работе экспертной комиссии с целью проверки подлинности электронной подписи (Приложение № 14 к настоящим Рекомендациям).
Банку получателя необходимо:
В рамках действующего законодательства Российской Федерации оказывать любое возможное содействие банку плательщика и плательщику в целях предотвращения хищения денежных средств, а при невозможности его предотвращения – в целях максимально оперативного расследования факта хищения денежных средств и возврата неосновательно полученных сумм, в том числе в части направления банку плательщика и плательщику имеющейся информации о получателе платежа на основании статьи 19 Конституции Российской Федерации, пункта 1.7 статьи 6 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», статей 6 и 131 ГПК РФ, а также статьи 7 Федерального конституционного закона от 31.12.1996 №1-ФКЗ «О судебной системе Российской Федерации» для предъявления иска к получателю о возврате неосновательного обогащения в соответствии с главой 60 ГК РФ.
На основании полученной от банка плательщика информации зачислить указанную в сообщении сумму на счет 47416 «Суммы, поступившие на корреспондентские счета до выяснения» и осуществить мероприятия в порядке, предусмотренном Положением Банка России «О Правилах ведения бухгалтерского учета в кредитных организациях, расположенных на территории Российской Федерации».
Получив информацию о поступлении несанкционированного платежа произвести сбор (обновление) информации о своем клиенте – получателе денежных средств (предполагаемом дроппере5).
Связаться с получателем по телефону и назначить ему встречу в офисе банка. Если связаться с получателем по указанным им реквизитам невозможно, осуществляется поиск получателя (выезд по его месту жительства и/или месту работы). При встрече с получателем у него необходимо выяснить, открывал ли он счет, должны ли ему поступить денежные средства.
Если получатель утверждает, что он не ожидает поступления денежных средств от плательщика, оспаривающего платеж, следует предложить ему осуществить возврат денег плательщику и при необходимости закрыть счет.
Если получатель утверждает, что он потерял, передал или продал электронное средство платежа, следует предложить получателю проехать в банк, осуществить возврат денег плательщику и закрыть счет.
Если получатель утверждает, что поступившие денежные средства предназначены ему, что у него есть договорные отношения с плательщиком, то следует получить от получателя подтверждение наличия таких отношений (договор и иные доказательства). Такие подтверждения должны быть проверены на подлинность (в том числе соответствие подписей с карточкой образцов плательщика, для чего необходимо запросить ее у банка плательщика).
Всю полученную информацию и копии документов необходимо передать в правоохранительный орган по месту регистрации банка плательщика с указанием данных о принятии заявления о возбуждении уголовного дела.
Если получатель настаивает на получении наличных денежных средств, необходимо предложить ему прийти в конкретный офис банка в установленное время, предварительно уведомив об этом местное отделение полиции, в присутствии сотрудников полиции проверить подлинность предъявленного получателем документа, удостоверяющего личность, и получить объяснения по факту хищения денежных средств.
В случае, если похищенные денежные средства были сняты со счетов, открытых в банке получателя, необходимо подготовить технический носитель информации, содержащий записи видеокамер банкомата и других видеокамер, имеющих отношение к хищению денежных средств (до процессуального изъятия оригинала технического носителя информации следует обеспечить сохранность записи видеокамер банкомата и других видеокамер).
Подготовить и по запросу банка плательщика, правоохранительного органа, в который подано заявление по факту хищения денежных средств, БСТМ МВД России и/или ФСБ России направить в отношении получателя похищенных денежных средств документы, указанные в Приложении № 11 (в отношении юридического лица) и/или в Приложении № 12 (в отношении физического лица) к настоящим Рекомендациям.
В случае, если похищенные денежные средства со счетов, открытых в банке получателя, были переведены на счет (счета) в ином банке (иных банках), банку получателя необходимо, в свою очередь, выполнить рекомендации, указанные в Разделе 3 настоящих Рекомендаций, в том числе незамедлительно направить в этот банк (банки) информацию о факте хищения денежных средств и копии материалов, полученных от банка плательщика. В таком случае в своем обращении в БСТМ МВД России необходимо указать ссылку на первоначальное обращение банка плательщика.
Одновременно с мероприятиями по возврату похищенных средств необходимо провести полный анализ движений по всем счетам дроппера (включая уже выявленный счет):
При наличии других поступлений денежных средств на счета дроппера необходимо повести проверку законности осуществленных переводов денежных средств, запросив соответствующую информацию у банков соответствующих плательщиков. В случае подтверждения незаконного характера переводов денежных средств необходимо провести совместно с банками выявленных пострадавших плательщиков мероприятия, предусмотренные разделами 3 и 4 настоящих Рекомендаций.
При выявлении связей дропера с другими дроперами необходимо провести проверку движений денежных средств по счетам этих дроперов и провести мероприятия по выявлению и блокированию их счетов, а также возврату похищенных денежных средств в соответствии с разделами 3 и 4 настоящих Рекомендаций.
Приложения:
Форма заявления плательщика в банк плательщика об отзыве платежа, возврате денежных средств и блокировании доступа к системе ДБО.
Форма заявления плательщика в банк получателя или к оператору платежной системы о приостановлении платежа и возврате денежных средств.
Форма письма интернет провайдеру о предоставлении журналов соединений (логов).
Форма заявления плательщика (потерпевшего) в правоохранительные органы о возбуждении уголовного дела по факту хищения денежных средств.
Форма справки по факту инцидента информационной безопасности в системе ДБО.
Примерный перечень документов, которые могут быть истребованы у плательщика в случае выявления хищения денежных средств.
Форма сообщения в банк получателя по системе SWIFT о приостановлении платежа и возврате денежных средств.
Форма письма банка плательщика в банк получателя или к оператору платежной системы по факту хищения денежных средств.
Форма объяснения банка плательщика по факту хищения денежных средств.
Форма заявления банка плательщика в МВД России об оказании содействия в расследовании факта хищения денежных средств.
Перечень документов в отношении потерпевшего юридического лица и (или) юридического лица, на счет которого неправомерно зачислены денежные средства.
Перечень документов в отношении потерпевшего физического лица и (или) физического лица, на счет которого неправомерно зачислены денежные средства.
Образец информационного письма банка плательщика в ФСБ России о факте хищения денежных средств.
Форма письма о создании экспертной комиссии по проверке подлинности электронной подписи.
Приложение № 1
|
