.: Навигация :.
Обо всем
Камеральная проверка
Выездной контроль
Прибыль
НДС
НДФЛ и изменения с 2014 года
ЕНВД и новые изменения
УСН
Налоговая выгода
Судебные споры
Новости налогообложения
Трансфертное ценообразование
Налоговику
Бухгалтеру
Nanalog.ru » Финансы и Банки » Клиент-Банк взломали. Как защититься?

Клиент-Банк взломали. Как защититься?



ПОСЛЕ ВЗЛОМА СИСТЕМЫ "КЛИЕНТ - БАНК"

(С кого взыскивать ущерб от хищения денег
и можно ли защититься от взлома)

Если в вашей компании установлена система "Клиент - Банк", то это, конечно, очень удобно - почти моментальные платежи, не нужно ездить в банк каждый день, мгновенное получение информации о прошедших платежах и т.д. Но у прогресса есть своя цена. Вы наверняка уже наслышаны о попытках взлома этих систем и похищения средств со счетов клиентов банков.

Как это происходит

Вы проводите сеанс платежей через вашу программу и со спокойной душой идете домой. А затем по выписке банка узнаете, что... перечислили внушительную сумму "левой" компании или вовсе неизвестному физлицу.
Причем в вашем банке, например, банки Казани уверяют, что это был ваш платеж - совершенно добровольный и соответствующий всем правилам банка. Чтобы этого не произошло, нужно принимать хотя бы элементарные меры предосторожности, а еще лучше - целый комплекс мер по защите вашей системы. Ну а как ликвидировать последствия ЧП, которое предотвратить не удалось?

К сведению
О том, какие меры предосторожности надо соблюдать для защиты системы "Клиент - Банк", читайте: журнал "Главная книга", 2013, N 3, с. 10.

Что делать при ЧП

В случае ЧП - подвисания, перезагрузки компьютера при работе системы "Клиент - Банк", отказа в доступе, удаления программы - рекомендации почти всех банков одинаковы:
- извлеките носитель ключа цифровой подписи и выйдите из сети (отключите интернет-соединение). Затем лучше и вовсе выключить компьютер (обесточить его при зависании). Дело в том, что злоумышленники часто после "удачной охоты" разрушают файловую систему, и доказать что-либо вам будет проблематично. Не пытайтесь пока заново загружать компьютер, проверять его на вирусы и тем более "лечить" - не исключено, что банк и/или правоохранительные органы запросят его для технической экспертизы. Кстати, в банк на экспертизу лучше отдавать копию (скопированный "образ") диска вашего компьютера, а не сам компьютер - для безопасности ваших же доказательств;
- сообщите о проблеме в службу поддержки банка. Возможно, это простое зависание компьютера и вам ничего не угрожает. И далее действуйте согласно инструкции банка. Причем телефонный разговор со службой поддержки банка лучше записать - банки и сами пишут все разговоры с клиентами, но записи в случае ЧП иногда "теряются";
- в любом случае запросите у банка данные о последних отправленных от вашего имени платежах. Некоторые банки предоставляют услугу запроса этой информации по телефону с помощью кодовых слов, так что, возможно, вам и ехать в банк не придется;
- при выявлении не санкционированного вами платежа немедленно подайте в банк заявление о приостановке приема электронных платежек по вашему счету, о возможной компрометации цифровой подписи и опротестовании (отзыве) несанкционированного платежа. В этом же заявлении потребуйте от банка вернуть неправомерно списанные с вашего счета средства, если он уже их списал. Даже если банк позволяет заявлять о таких ЧП по телефону или в электронном виде, такое заявление необходимо продублировать в бумажном виде. Причем требуйте, чтобы сотрудник банка расписался на еще двух экземплярах заявления, один из которых останется у вас, а другой вы затем приложите к заявлению в полицию. Одновременно затребуйте бумажную выписку по счету.
Быстрое обращение в банк приостановит проведение платежа (если он еще не проведен - банк может это делать и на следующий операционный день, если платежка поступила в конце дня ) или повысит шансы вернуть деньги из банка получателя.

Примечание
Некоторые банки позволяют опротестовывать платеж аж в течение 10 дней с момента его совершения. Это еще не гарантирует возврат средств - банк будет пытаться получить их в рамках взаимоотношений с банком получателя. Но если вы, имея столь вольготные условия, до банка так и не доберетесь в этот срок, требовать возмещения ущерба от своего банка будет почти бессмысленно .

При хищении средств сразу решите, кто лучше разбирается в ситуации и будет участвовать в работе специально создаваемой банками в таких случаях технической комиссии, если банк пригласит в ее состав и ваших представителей. Ими могут быть, например, ваш системный администратор, руководитель и т.д. Они должны попытаться доказать, что вы предприняли все требуемые банком меры по защите от взлома и к хищению средств привели, в частности, действия/бездействие банка.

Примечание
Если вам срочно нужен доступ к "Клиент - Банку", то систему придется установить на другом компьютере. Плюс потребуется сменить ключ ЭЦП и пароли доступа к программе. Все это может занять примерно неделю.

--------------------------------
Пункт 4.9 Временного положения, утв. Банком России 10.02.1998 N 17-П.
См., например, Постановления ФАС ЗСО от 22.10.2010 N А45-13807/2009; 9 ААС от 23.04.2010 N 09АП-5892/2010-ГК.

Если деньги уже "ушли" - кричим "Караул!"

Если банк уже успел списать деньги с вашего счета и они ушли в банк получателя, то практически единственная возможность вернуть ваши деньги - это взыскать их с самого банка. Для этого вам придется:
- подать в полицию заявление, в котором нужно описать произошедшее, и приложить к нему копии уже имеющихся у вас на руках документов (выписка банка, заявление в банк и т.д.). Заявление можно подать в орган полиции (в отдел или сразу в управление внутренних дел) по вашему местонахождению. Шансов найти злоумышленников немного, а владельцем счета наверняка окажется компания-"однодневка" или не подозревающий об этом гражданин . Но для вас важен сам факт регистрации заявления и возбуждения уголовного дела - без этого вам будет сложно списать в бухгалтерском и налоговом учете (касается только "общережимных" налогоплательщиков) на расходы сумму ущерба;
- получить от банка акт и подписать его по итогам работы технической комиссии. В этом акте банк, скорее всего, признает отправленное вами платежное поручение подлинным, а себя невиновным в спорной ситуации. А затем может предложить подписать решение (протокол урегулирования разногласий), в котором ваши претензии на возмещение списанных сумм признаются необоснованными. Такое решение подписывать не нужно. Обычно договором с банком предусмотрено, что без таких претензионных, досудебных процедур стороны не вправе обращаться в суд. С экземплярами заявления в банк, актом и выпиской по счету вы уже можете обращаться в суд с иском к банку.
А вот подавать иск к компании или гражданину - получателю средств по спорной платежке о возврате неосновательного обогащения особого смысла нет. Скорее всего, это "промежуточное звено" и никаких денег у него нет. Если полиция установит конечных получателей средств, то в рамках рассмотрения уголовного дела у вас (или у банка, если он возместит вам ущерб) будет возможность заявить иск о возмещении похищенного. А если преступников не найдут, то у вас и так будут основания списать похищенное на расходы.
Еще раз обратим ваше внимание: шансы взыскать деньги с банка есть.
--------------------------------
См., например, Определение Мосгорсуда от 02.03.2011 N 33-5683.

В каких случаях спор с банком имеет смысл

В большинстве случаев банки отказывают в возмещении убытков из-за несанкционированно списанных со счетов компаний средств. Компании заявляют, что убытки возникли по причине ненадлежащего исполнения банками своих обязательств . А банки, в свою очередь, считают такие списания как раз санкционированными и обвиняют самих клиентов в несоблюдении мер безопасности при работе с программой "Клиент - Банк". Все эти меры, в том числе дополнительные возможности защиты, прописаны в договоре и в инструкциях по эксплуатации системы "Клиент - Банк".
В итоге если платежка подписана вашей цифровой подписью и вы не соблюдали меры безопасности, то и обращение в суд ничего не даст - таких споров было уже предостаточно и почти во всех случаях суд встал на сторону банка .

Примечание
Возражения банка обычно таковы:
- платежка была подписана вашей ЭЦП и до проведения платежа о компрометации этой ЭЦП вы банку не сообщали. Банк обязан исполнить такую платежку в срок не позднее следующего дня после ее получения (если другой срок не указан в договоре) ;
- контролировать круг получателей ваших платежей вы банк не просили. Если вы "решили" перечислить некоему физлицу в другой город месячную зарплату в 2 млн руб., он исполнит платежку и будет прав . Это же касается и "алиментов" директора на 800 тыс. руб. - его личная жизнь банк не интересует ;
- если платежка поступила в банк не с вашего компьютера, а вы с банком адреса отправки платежек не оговаривали, то тоже сами виноваты - банк их фильтровать не уполномочен ;
- услугу дополнительной авторизации в виде одноразовых SMS-паролей вы не подключали.

И получается, что шансы взыскать ущерб с банка есть только при выполнении его требований по работе с "Клиент - Банком", быстром выявлении хищения и обращении в банк с протестом . Если вы сможете доказать, что:
- соблюдали все требования банка, в том числе и технические, после сообщения в банк о сбое строго руководствовались инструкциями специалистов банка;
- банк, наоборот, не выполнил свои обязанности по договору (например, не приостановил проведение платежа после сообщения о сбое), то суд вполне может принять вашу сторону. Ну или банк сам признает свою вину .
Кстати, дополнительные меры защиты не только помогут в споре с банком, но и снизят собственно риск хищения.
--------------------------------
Часть 1 ст. 393 ГК РФ.
См., например, Постановления ФАС МО от 23.04.2012 N А40-36540/11; 9 ААС от 21.12.2011 N 09АП-32833/2011-ГК; 10 ААС от 15.06.2012 N А41-41819/11.
Пункт 4.9 Временного положения, утв. Банком России 10.02.1998 N 17-П.
Постановление ФАС МО от 13.11.2012 N А40-18115/12-133-166.
Постановление 9 ААС от 27.07.2011 N 09АП-17167/2011.
Постановления ФАС ЗСО от 22.10.2010 N А45-13807/2009; ФАС МО от 03.08.2011 N КГ-А40/8007-11; 9 ААС от 27.07.2011 N 09АП-17167/2011, от 31.08.2011 N 09АП-20846/2011.
См., например, Постановление 10 ААС от 08.10.2012 N А41-19798/12.
См., например, Постановление ФАС МО от 17.02.2012 N А40-5666/11-29-45.

Строим из счета "крепость"

Банки обычно прописывают в договоре технические требования и рекомендации по работе с "Клиент - Банком", а дополнительные - так называемые авторизационные - опции предлагают в качестве платной услуги.

Из авторитетных источников
Любезный Виктор Владимирович, ведущий разработчик программных продуктов компании "Бухсофт.ру"
"Помимо уже упомянутых мер по защите системы "Клиент - Банк" (ограничение трафика "компьютер - сеть", выделение его в отдельную подсеть, установка только лицензионных программ, регулярное обновление антивируса, покупка и строгий режим хранения защищенного носителя цифровой подписи), есть еще ряд хороших способов, снижающих риск хищения.
Во-первых, имеет смысл ограничить взаимодействие компьютера с внешней средой - попросите системного администратора отключить на нем все ненужные для работы системы и "Клиент - Банка" настройки, плагины, приложения и оборудование (например, Bluetooth или Wi-Fi, если подключение к Интернету идет не через них). Это позволит уменьшить возможности проникновения на компьютер через ошибки в программах или драйверах оборудования. Беспроводное оборудование в этом случае несколько менее безопасно, чем проводное: злоумышленник может находиться в радиусе действия беспроводной сети (например, Wi-Fi), но за территорией организации, и при плохой защите незаметно получить доступ к сети предприятия и найти в ней для себя много интересного, а также построить атаки, например, на компьютер с "Клиент - Банком" изнутри сети.
Во-вторых, не стоит пренебрегать дополнительными мерами авторизации, предлагаемыми вашим банком. Это не только согласование допустимых адресов, с которых могут приходить ваши платежки, но и SMS-авторизация платежей. Поскольку согласовывать каждый платеж утомительно, некоторые банки предлагают такую дополнительную авторизацию только для подозрительных платежей. Например, платежей свыше определенной суммы или в адрес новых контрагентов, которых банк не нашел в вашей "платежной истории".

Причем после подключения дополнительных авторизационных опций тоже нужно проявлять осторожность. Например, при подключении услуги подтверждения операций одноразовым SMS-паролем банки рекомендуют:
- каждый раз контролировать реквизиты платежки в сообщении - а вдруг она была "скорректирована" перед отправкой в банк;
- выделить для сообщений отдельный мобильный телефон, с которого другими сервисами не пользоваться;
- при утрате телефона или ошибке в подключении SIM-карты немедленно заблокировать номер, заменить карту и обратиться за переподключением услуги в банк.
Ну и наконец, после отправки платежек всегда нужно дожидаться получения электронной выписки банка и тщательно ее проверять. При проблемах с формированием выписки банка стоит начать нервничать.
И еще напомним о двух требованиях банков, о которых часто забывают.
Во-первых, не забудьте определить приказом по организации круг сотрудников, допущенных к компьютеру с "Клиент - Банком", и установите режим хранения и использования носителя ЭЦП.
А во-вторых, еще раз внимательно перечитайте договор с банком - иногда банки прямо прописывают в нем обязанность держать такие компьютеры в охраняемом, опечатываемом (!) помещении с доступом только строго оговоренным сотрудникам. Если это ваш случай, а требование банка вы не выполнили, наверняка последует отказ в возмещении убытков, в том числе и в суде .
--------------------------------
См., например, Постановление 13 ААС от 22.05.2012 N А21-5419/2011.

"Утешительный" расход

Если спор с банком завершился безрезультатно, а виновных лиц полиция так и не нашла, то вам остается лишь списать сумму ущерба:
- на прочие расходы в бухгалтерском учете. Списанную с расчетного счета сумму, которая была учтена у вас на счете 76 (удобнее открыть специальный субсчет "Невыясненные платежи"), вы относите в дебет счета 91 "Прочие доходы и расходы";
- на внереализационные расходы в налоговом учете.
Причем списать ущерб в налоговом учете на расходы вы сможете только в периоде принятия постановления о приостановлении предварительного следствия в связи с неустановлением лица, подлежащего привлечению в качестве обвиняемого, - требуйте заверенную следователем или дознавателем копию этого документа . Ведь компания в такой ситуации - потерпевший, а потерпевшие имеют право на получение копий подобных процессуальных документов .
Возможен и другой вариант. В полицию вы не обращались и пытались взыскать перечисленные средства в виде неосновательного обогащения с их получателя. И суд даже принял решение в вашу пользу, только вот попытки приставов найти получателя денег окончились ничем и в итоге вам вернули исполнительный документ. Тогда вы можете попробовать учесть невозвращенную сумму как безнадежный долг . Минфин ранее высказывался против квалификации в качестве безнадежных тех долгов, которые возникли не в связи с реализацией. Но теперь не против, например, признания безнадежными и отнесения на расходы долгов и по займам, и по невозвращенным подотчетным суммам . Налоговики, впрочем, все равно могут поставить под сомнение обоснованность такого расхода.
Ну а если вы вообще ничего не делали для возврата денег, то оснований учитывать в расходах перечисленные "неизвестному контрагенту" суммы точно нет, даже после истечения срока давности.

* * *

Случаи несанкционированного списания средств со счетов компаний стали настолько типичными, что банки, возможно, уже скоро начнут продвигать услугу по страхованию от такого рода хищений. Для граждан - держателей банковских карт такие страховки уже давно существуют. Им они обходятся в 1 - 2% от страховой суммы в год.


.: Курс валюты :.
    26/09 27/09
    информер курса валют
    USD
    57,5660  57,5186
    EUR
    68,5553  68,0215
    БВК
    76,5749  76,1100
.: Опрос на сайте :.

    Да, плачу самый минимум
    Да, немного укрываю
    Нет, я честно плачу налоги