Информационная безопасность банков является одной из наиболее интересных задач по обеспечению практической безопасности. Крупные денежные средства, которыми обладают банки, повсеместное распространение online-технологий и Интернет-платежей делают банки желанной добычей для плохих парней с темной стороны. А раз есть проблемы, то должны быть и решения.

Вашему вниманию представляются результаты исследования на тему обеспечения информационной безопасности одного из самых уязвимых мест банка — процесса осуществления безналичных платежей.

Исследование получилось довольно обширным, поэтому публиковаться будет по частям. И начнем мы с первой части, которая расскажет о том, что такое безналичные платежи с экономической точки зрения.

Термины, определения, допущения и условности
Цель исследования — систематизировать знания, решения и опыт по обеспечению информационной безопасности банковских безналичных переводов денежных средств.

Источники информации:

  • открытые материалы с сайта Банка России,
  • правовые информационно-справочные системы,
  • материалы и публикации в СМИ,
  • отчеты компаний, специализирующихся в области обеспечения безопасности,
  • собственный опыт и личное общение с коллегами.

Допущения:
За основу взята типовая схема организационно-технического взаимодействия кредитных организаций и Банка России, принятая в Московском регионе.

При рассмотрении экономических основ вопросы, связанные со взиманием комиссий, с ведением бухгалтерского учета, будут опущены.

Термины:
В исследовании будут использованы термины и определения в том смысле, в котором они используются в действующем законодательстве РФ.

Синонимы:
Банк = кредитная организация.
Безналичный платеж = перевод денежных средств.
Платежи = расчеты.

Расчеты наличными vs. безналичные расчеты


Исторически первыми видами платежей были расчеты наличными. Покупатель передавал продавцу денежные знаки, а взамен получал товар или услугу.


Рис.1

Проанализируем плюсы и минусы этой формы расчетов с точки зрения покупателя и продавца, а так же с точки зрения экономики государства в целом.
Анализ наличных расчетов с точки зрения продавца и покупателя
Плюсы Минусы
Предоставляет покупателю и продавцу максимальную свободу и независимость от третьих лиц. Главное, чтобы денежные знаки были хорошо защищены от подделки, и их было достаточное количество Значительное неудобство, а и иногда и невозможность совершения покупок без личного контакта участников расчетов. Обеспечение безопасности хранения наличных денежных средств.

Анализ наличных расчетов с точки зрения государства
Плюсы Минусы
Исторически сложившаяся форма расчетов, к которой привыкло население. При наличных расчетах деньги «оседают» у продавцов и перестают «работать», до тех пор пока продавец не сделает на них какую-либо покупку.
Государство несет инфраструктурные затраты на производство денежных знаков, их логистику и утилизацию.
Наличные расчеты практически не подконтрольны для фискальных органов (налоговой инспекции) и создают условия для развития теневой экономики и ухода от уплаты налогов.

Таким образом, видно, что расчеты наличными для государства — это зло, которое оно бы с удовольствием запретило, если бы это не вызвало резкого протеста населения. А раз полностью запретить нельзя, то применяют ограничительные меры.

В России, в частотности, законодательно (ГК РФ ст. 861, Указание Банка России 3073-У от 07.10.2013) установлено, что только граждане и только в личных целях могут пользоваться наличными без ограничений, остальным же (ИП, ЮЛ, ...) применение наличности строго лимитировано.

Безналичные платежи, в отличии от расчетов наличными, подразумевают присутствие между продавцом и покупателем третьей доверенной стороны — посредника, который по поручению сторон осуществляет между ними расчеты.

Криптовалюты, такие как Bitcoin, Ethereum и другие, позволяют осуществлять платежи без посредников (не считая майнеров), но пока статус данных систем законодательно не определен, и их описание выходит за рамки данной статьи. Здесь же мы будем рассматривать только «классические» безналичные платежи, где в качестве третьей доверенной стороны выступают кредитные организации (банки).

Банковские счета и деньги в безналичной форме


Для совершения безналичных платежей используются деньги в безналичной форме. Рассмотрим механизмы конвертации денег из наличной в безналичную форму и обратно.

Все начинается с того, что клиент, будь то физическое лицо, юридическое лицо или индивидуальный предприниматель вступает с кредитной организацией, у которой есть лицензия Банка России на осуществление банковской деятельности, в договорные отношения.

Клиент передает в банк наличные денежные средства, банк принимает их и отражает на банковском счете, специально заведенном для учета расчетов с клиентом. Если клиент кладет деньги в банк, то остаток на этом счете увеличивается, если забирает, то уменьшается.

После того, как клиент положил наличные в банк, они превращаются в безналичные деньги, которые, если сильно упростить, даже не деньги, а обязательства банка сделать для клиента определенные услуги, к которым можно отнести выдачу наличных денег клиенту, перевод денежных средств и так далее.

Кроме поступления и снятия наличных, банковский счет клиента может увеличиваться и уменьшаться за счет поступления безналичных переводов от третьих лиц и совершения переводов в адрес третьих лиц соответственно. Важно отметить, что безналичные деньги — это не обязательства всей банковской системы, а обязательства именно того банка, где открыт соответствующий банковский счет. Это осознание приходит особенно ярко если банк, обслуживающий данный счет, разоряется. Тогда деньги (остаток на счете) вроде бы есть, а воспользоваться ими невозможно.

Банковские счета бывают разными. Клиенты — физические лица — открывают в банке текущие или специальные карточные счета. Клиенты — юридические лица — открывают в банках расчетные счета. Банки для осуществления расчетов открывают в других банка корреспондентские счета. Не вдаваясь в подробности, функционирование всех этих счетов выглядит примерно одинаково: увеличение остатка на счете приводит к увеличению обязательств банка, в котором он открыт, и наоборот, уменьшение остатка уменьшает обязательства банка. Для простоты в дальнейшем будем рассматривать только работу по расчетным и корреспондентским счетам.

На данном этапе банк для нас будет состоять из двух основных частей:

  1. реестра банковских счетов, содержащего значения остатков на счетах клиентов;
  2. денежных средств банка, состоящие из денег всех клиентов и собственных средств бака.


Рис.2

Одним из основных источников доходов банков является кредитование. Банк передает деньги во временное пользование клиенту, а тот их возвращает с процентами. Для обеспечения подобного вида бизнеса банку нужны деньги, которые он будет давать в кредит. И тут как раз вступают в игру деньги клиентов, хранящиеся на счетах в безналичном виде.

Основная идея в том, что в банке никогда не лежат все деньги клиентов. Вместо этого банк ведет статистический учет деятельности клиентов и «очень точно догадывается», сколько денег им может понадобиться для текущих расчетов. Остальные же деньги пускаются банком на кредитование.

Механизмы осуществления платежей


Рассмотрим, как производится безналичный платеж между плательщиком и получателем (далее их будем называть — клиенты), обслуживающихся в одном и том же банке.

Транзакция 1.
Клиент А совершает перевод в адрес Клиента Б. Для его исполнения Банк уменьшает на сумму перевода остаток денежных средств на расчетном счету Клиента А и увеличивает на ту же сумму остаток на счету Клиента Б. Общее количество денег в банке не изменяется.

При расчете наличными платежи всегда бывают одного вида: плательщик по своей воле передает получателю требуемую сумму денег. При использовании безналичных платежей схемы расчетов могут быть разными:

  1. плательщик может по своей воле приказать банку совершить платеж в адрес получателя за счет средств на своем банковском счете – расчеты по платежным поручениям;
  2. получатель может затребовать у банка, в котором открыт счет плательщика, совершить платеж в свой адрес при наличии соответствующей договоренности с плательщиком или в случаях, обговоренных в законодательстве. При этом платеж может быть совершен с акцепта плательщика – расчет по платежным требованиям, или в безакцептном порядке – расчет по инкассовым поручениям;
  3. плательщик и получатель могут договориться о том, что банк совершит платеж в адрес получателя при условии предъявления в банк последним заранее оговоренных документов, подтверждающих факт совершения сделки – расчет по аккредитивам;
  4. и другие формы, с которыми можно ознакомиться в п.1.1 Положения Банка России от 19.06.2012 N 383-П «О правилах осуществления перевода денежных средств».

Наиболее распространенной формой расчетов является расчет по платежным поручениям.

Вне зависимости от использованных форм расчетов Банк отчитывается перед клиентом за все совершенные по его счету операции путем предоставления специального документа – выписки по счету.

Платежное поручение и выписка по счету являются основными юридически значимыми документами, используемыми клиентом и банком для целей бухгалтерского учета и разбирательств конфликтных ситуаций в суде.

Важно отметить, что если клиенту на расчетный счет поступил платеж, и он был отражен в выписке по счету, то банк не имеет право вернуть платеж отправителю, даже если он был совершен по ошибке или злонамеренно. Возврат платежа возможен только по договоренности с получателем или по решению суда. Максимум, что может сделать банк, – это, руководствуясь законодательством о противодействии легализации доходов, полученных преступным путем, заблокировать денежные средства на счете получателя.

Примечание
Гражданский Кодекс РФ (ГК РФ Статья 1102. Обязанность возвратить неосновательное обогащение) предписывает получателю вернуть денежные средства отправителю, если те были отправлены не обосновано или по ошибке.


Прямые корреспондентские отношения


Ранее мы рассмотрели, как происходит перевод между клиентами, обслуживающимися в одном банке. Теперь усложним задачу и рассмотрим, как производятся расчеты между клиентами, обслуживающимися в двух разных банках.

Для проведения межбанковских расчетов банки должны установить между собой корреспондентские отношения. Суть этих отношений в том, что один банк, на схеме ниже (Рис. 3) это Банк 2, становится клиентом Банка 1 и открывает в нем специальный банковский счет, называемый корреспондентским счетом. После открытия корр. счета Банк 2 вносит на него определенную сумму денег, эдакий денежный буфер, в размере которого клиенты Банка 2 смогут отправлять платежи клиентам Банка 1.


Рис.3

Чтобы понять, как это работает, рассмотрим пример. Пусть Банк 2 разместил на корр. счете в Банке 1, скажем, 1 миллион рублей.

Транзакция 2.
Клиент В, обслуживаемый в Банке 2, хочет отправить Клиенту А, обслуживаемому в Банке 1, например, 500 тысяч рублей. Для этого он формирует и передает в Банк 2 платежное поручение, в котором в качестве получателя указывает Клиента А, а в качестве сумм платежа указывает 500 тысяч рублей. Банк 2, получив распоряжение Клиента В, видит, что получателем платежа является Клиент А, обслуживаемый Банком 1. Тогда Банк 2 передает в Банк 1 распоряжение списать со своего корр. счета 500 тысяч рублей и зачислить их на расчетный счет Клиента А, а после этого Банк 2 уменьшает остаток на расчетном счете Клиента В на 500 тысяч рублей.

Транзакция 3.
Теперь рассмотрим пример, при котором Клиент Б пересылает Клиенту В 2 миллиона рублей. Для этого Клиент Б передает в Банк 1 соответствующее платежное поручение. Банк 1 списывает с расчетного счета Клиента Б 2 миллиона рублей и зачисляет их на корр. счет Банка 2, после чего передает в Банк 2 платежное распоряжение от Клиента Б, получив которое, Банк 2 увеличивает остаток на расчетном счете Клиента В на 2 миллиона рублей.
После транзакций 2 и 3 на корр. счете Банка 2 будет 2,5 миллиона рублей.

Транзакция 4.
Что будет, если Клиент В отправит Клиенту А 3 миллиона рублей? Будет все тоже самое, как и при рассмотрении транзакций 2 и 3, за исключением того, что платеж не будет исполнен, пока Банк 2 не увеличит остаток на корр. счете на недостающие 500 тысяч рублей.


Платежная система Банка России


Механизм осуществления платежей между двумя банками, который мы только что рассмотрели, прост, но имеет существенный недостаток в части масштабируемости. При большом количестве банков установка и поддержание корреспондентских отношений каждого банка с каждым сложно реализуема. Поэтому основным инструментом осуществления межбанковских переводов денежных средств в Российской Федерации является платежная система Банка России.


Рис.4

Основная идея этой платежной системы заключается в том, что Банк России выступает в роли единой точки, к которой подключены все банки, и через которую проходят платежи от одного банка к другому.

Каждая кредитная организация при своей регистрации и получении лицензии на осуществление банковской деятельности открывает в Банке России корреспондентский счет.

Для того чтобы иметь возможность отличать один банк от другого, им присваиваются банковские идентификационные коды (БИК). Банк России регулярно обновляет и публикует на своем сайте справочник БИКов. Зная БИК, по этому справочнику можно определить и номер корр. счета банка, открытом в Банке России. Совокупность БИК и номера расчетного счета уникальным образом идентифицирует расчетный счет клиента в рамках всей платежной системы Российской Федерации.

Рассмотрим, как с помощью платежной системы Банка России будет осуществляться межбанковский платеж. За основу возьмем взаимодействие клиентов и банков, проиллюстрированное на Рис.4.

Транзакция 5.
Клиент Г совершает платеж в адрес Клиента В. Для этого он отправляет в свой банк (Банк 3), платежное поручение, в котором в качестве получателя платежа он указывает Клиента В.
Банк 3, получив от Клиента Г платежное поручение, видит, что получатель платежа (Клиент В) не является его клиентом, и пересылает платежное поручение в Банк России.
Банк России уменьшает на сумму платежа остаток на корр. счете Банка 3 и увеличивает на ту же сумму остаток на корр. счете Банка 2 (банк-получатель). После этого Банк России пересылает платежное поручение в Банк 2 и отправляет Банку 3 уведомление о совершении платежа, который в свою очередь уменьшает остаток на расчетном счете Клиента Г.
Банк 2, получив уведомление от Банка России, увеличивает остаток на расчетном счете Клиента В. Оба банка — Банк 2 и Банк 3 — отражают движение денежных средств по расчетным счетам в выписках и предоставляют их клиентам.

В случае наличия нескольких вариантов движения денежных средств, как, например, между Клиентом Б и Клиентом В на Рис. 4, банк-отправитель самостоятельно принимает решение о маршрутизации платежа: с использованием прямых корр. отношений или через платежную систему Банка России — в зависимости от параметров платежа, его себестоимости и других условий.

Переводы денежных средств в платежной системе Банка России осуществляются:

  1. в режиме реального времени с использованием сервиса банковских электронных срочных платежей (БЭСП);
  2. в дискретном режиме с применением механизмов внутрирегиональных электронных расчетов (ВЭР) или межрегиональных электронных расчетов (МЭР).

В режиме реального времени обработка платежей похожа на использование такси. Платеж поступает в Банк России и тут же обрабатывается. В дискретном режиме обработка платежей схожа с перевозкой пассажиров рейсовым автобусом. Платежи сначала накапливаются, а затем все кучей обрабатываются. В течении операционного дня Банк России выполняет несколько подобных рейсов.

График рейсов, принятых в Московском регионе, опубликован на сайте Банка России и состоит из пяти рейсов:
Номер рейса Период приема электронных документов Период обработки электронных документов Время выдачи результатов обработки
Первый рейс 10:00 – 11:00 11:00 – 12:00 с 12:00
Второй рейс 11:15 – 14:00 14:00 – 15:00 с 15:00
Третий рейс 14:15 – 16:00 16:00 – 17:00 с 17:00
Четвертый рейс 16:16 – 18:00 18:00 – 20:00 с 20:00
Окончательный рейс 19:00 – 21L00 21:00 – 22:00 с 22:00

Тарифы Банка России на проведение платежей через БЭСП выше, нежели в дискретном режиме.

Переводы за счет собственных средств банков


До этого мы обсуждали, как банки исполняют платежи клиентов. Теперь рассмотрим, как банк осуществляет собственные платежи, например, покупая бумагу, оплачивая электроэнергию, услуги связи и т.д.

По большому счету все делается точно также, как и в случае с платежами клиентов, только платит банк не с расчетного счета, а с одного из своих корреспондентских счетов. Это обстоятельство часто вводит неопытных контрагентов банка в ступор, и они навязчивым образом требуют у банка номер его расчетного счета, в том время как у банков обычно не бывает расчетных счетов. В остальном все то же самое: формируется платежное поручение, затем оно передается в банк, где открыт корр. счет, тот банк его исполняет и отвечает выпиской по счету.

Заключение


В данной части мы познакомились с основными принципами и механизмами, связанными с осуществлением безналичных переводов денежных средств в Российской Федерации. В следующей части мы рассмотрим IT-инфраструктуру банка, используемую для осуществления переводов, и особенно ту часть, которая отвечает за осуществление корреспондентских отношений с Банком России.

Комментарии (14)


  1. VolCh
    26.12.2017 06:26

    Пост полезный, но ещё полезней был бы с примерами транзакций кредитования, как с непосредственным зачислением кредитных средств на счёт клиента, так и расчётами клиента с контрагентами в пределах кредитной линии, с участием и без участия ЦБ.


    1. imbasoft Автор
      26.12.2017 09:32

      Описание безналичных расчетов приведенное в посте максимально упрощено. Для того, чтобы дать полное описание того, как есть на самом деле, пришлось бы несколько Положений Банка России сюда впихнуть, что было бы крайне сложным для восприятия.

      Основная цель этой части дать базовые понятия, чтобы было понятно дальнейшее описание функционирования безналичных платежей, информационной инфраструктуры, угроз и атак с ними связанных.


      1. VolCh
        26.12.2017 11:15

        Ну один из векторов атаки — выдача несанкционированных кредитов или несанционированное превышение кредитных лимитов.


        На самом деле хороший лекбез по денежной системе России, причём не только для айтишников, но без хотя бы нескольких абзацев про учёт кредитов не полный :(


        1. LODIII
          26.12.2017 20:31

          ну вот так если прямо сказать то глупый такой вектор,
          кредиты, депозиты, касса -одни из самых контролируемых метаобъектов в
          ИТ системах банков, их ежедневно, ежечасно мониторят все кому не лень и несанкционированное кредитование выявляется очень быстро — в банке первых дыух сотен — за час, ну макс в теч опердня если там не совсем бардак.
          В то время как есть очень много потаенных уголков АБС куда только раз в год главбух заглядывает


          1. imbasoft Автор
            26.12.2017 20:40

            Следите за следующими публикациями, в них будет рассказано, как с помощью этого «глупого» вектора из «мегазащищенных» объектов уходят сотни миллионов рублей.

            Если было бы все так хорошо, то Банк России не стал бы выпускать 552-П, но об этом в следующих сериях.


            1. LODIII
              26.12.2017 21:19

              обязательно посмотрим за след публикациями, только если еще не поздно сразу в них и расскажите где при этом уходе миллионов рублей были сотрудники БЭКа по кредитам, отдела межбанка(если конечно их руководство не принудило пропустить платежи — а такое бывает к сожалению) и те кто подает ежедневно нормативы в ЦБ(если банк конечно на ежедневном моиниторинге)


  1. imbasoft Автор
    26.12.2017 11:24

    Согласен с вами на 100%, но угрозы связанные с кредитованием, все таки это отдельная песня. Если будут желающие можно расписать и о них, но текущая наша цель — безопасность платежей в общем случае и АРМ КБР в частности.


  1. LODIII
    26.12.2017 20:11

    хороша теория, да вот только практики маловато
    вот рассмотрим Ваш пример
    «Важно отметить, что если клиенту на расчетный счет поступил платеж, и он был отражен в выписке по счету, то банк не имеет право вернуть платеж отправителю, даже если он был совершен по ошибке или злонамеренно. „
    бумажные выписки в большинстве банков отменили лет 5-10 назад, щас все электронно, то есть никак. Если межбанковский обмен то все гораздо сложнее, но поверьте при внутрибанковских транзакциях платежи крутятся только так туды-сюды при ошибках системы, операцонисток итп, только “смски свистят».


  1. imbasoft Автор
    26.12.2017 20:36

    Выписка — юридически значимый документ, который может быть представлен, как в бумажном, так и электронном виде. Бумажные выписки ЦБ не отменял, а разрешил предоставлять должным образом заверенные (ЭП или АСП) выписки в виде электронных документов.

    Если у клиента на руках есть выписка в виде электронного документа заверенного усиленной электронной подписью (банк не сможет изменить содержащуюся в ней инфу, в отличии от выписки в виде заверенной АСП), и в котором указано что ему на счет поступил платеж, то банк «откатить» платеж может только по согласованию с клиентом. В противном случае любой суд встанет на сторону клиента. Хотя конечно есть нюанс связанный с ошибочными платежами и требованиями ГК РФ по возврату «необоснованного обогащения».

    При «межбанке», в какой-то мере даже проще, если банк-отправитель быстро очухался то платеж может быть завешен на «не выясненные» и с минимальными издержками возвращен отправителю.

    А то, что банки гоняют платежи «туды-сюды», так и некоторые из них и вклады только в тетрадку записывали. Это вовсе не говорит о том, что они действуют в рамках правового поля.


    1. LODIII
      26.12.2017 21:01

      И все таки как банковский программист практик( с более чем 15 летним опытом работы в нескольких банках) вынужден с Вами не согласиться.
      Банк считает себя всегда правым, это прописано во всей его учетной политике и внутренних документах по общению с клиентами.
      И только если конечно клиент юридически подкован, то да -через суд/ЦБ/прессу он получает свои денежки назад, но таких единицы.
      Спецом повспоминал про времена бумажных выписок — их тогда печатали на таких огромных принтерах по ночам и потом резали и подшивали в папочки клиентам к утру в офисах.
      И то в те времена — в пределах банковского дня(выписка напечатается только ночью) банк может с платежом делать что угодно.
      Когда напечатается выписка и ляжет в папку клиента — то тоже можно было делать все что угодно -только дополнительная проблема перепечатать нужную выписку на этом принтере и попросить операционистку поменять.
      Единственно когда это не разрешалось -когда балансы уже отправлены в ЦБ (обычно на 2-3 день, но для некоторых случаев и с ЦБ можно договориться).
      А клиенту объясняется просто — тех ошибка, исправили, вот Вам новая выписка, спите спокойно. Юрики не особо любят судиться/жаловаться, с физиками сложнее.
      И это я говорю про клиентоориентированный банк, про сбер вообще молчу.
      Ну а с отменой бумаги все стало еще проще. Не каждое предприятие выписку каждый день заказывает.
      И добавлю что проблема исправления выписки это в основном проблема замены проводки на проводку. А ежели не поленится и сделать исправительную то вообще никаких вопросов с балансом и ЦБ -но обычно влом и правят исходники

      И не путайте с тетрадкой — это хайп, а мы говорим про обычное деловое общение между контрагентами.


      1. LODIII
        26.12.2017 21:09

        То есть средний банк боится только ЦБ и ВИПов, бенефициаров.
        Банк из первой 10-ки боится только ЦБ, из первой 3-ки никого.
        суд иногда помогает.

        Банки кстати не первые на этом соревновании.
        Все копируется у большой тройки операторов сотовой.
        Сейчас все договора РКО, кредитов с юриками составлены так что
        клиент всегда неправ.


      1. imbasoft Автор
        26.12.2017 22:19

        В целом мы говорим об одном и том же. То что вы называете «деловым общением с клиентом», я в статье называю «договоренностью» или «согласием клиента на возврат платежа».


  1. LeqWiser
    27.12.2017 09:26

    Спасибо! Пост интересный, много нового узнал; жду продолжения.
    Надеюсь, будут рассмотрены аспекты безопасности внутри банка, сетевая ИБ и тд.


    1. imbasoft Автор
      27.12.2017 09:26

      Да, именно это и будет.