18 февраля, 2013, BIS Journal №1(8)/2013

«Безнал» более безопасен


Белов Владимир

Руководитель управления по выявлению, предотвращению и расследованию банковского мошенничества (ЗАО КБ «Ситибанк»)

Медведев Павел

Начальник отдела операционного контроля и информационной безопасности (ЗАО КБ «Ситибанк»)

Затраты ресурсов на обеспечение безопасности платёжных операций окупаются для банков ростом доли безналичных платежей

Действующая нормативно-правовая база, даже при необходимости совершенствования ряда требований, открывает богатые возможности для выстраивания банками эффективной системы безопасных электронных платежей. Чтобы защитить каналы дистанционного банковского обслуживания (ДБО), специалисты по информационной безопасности Ситибанка реализуют комплекс мер. Основные направления – использование технических средств защиты информации и обстоятельное информирование клиента об общих принципах работы дистанционных сервисов и правилах безопасного выполнения каждой операции.


ЗАПАЗДЫВАЮЩАЯ МОДЕРНИЗАЦИЯ

Поддержка регулятивного характера – модернизация законов с учётом новейших тенденций развития мошеннических схем и инструментов – часто запаздывает. Обычно обновления законодательства производятся не так быстро, как изменения в частном банковском секторе. Проблема кибермошенничества известна давно, обсуждается на разных уровнях в течение многих лет, однако лишь в ноябре 2012 года в Уголовном кодексе РФ появились статьи 159.6 и 159.3, предусматривающие ответственность за преступление в сферы IT-технологий. Одними техническими средствами банки не смогут искоренить кибермошенничество. Мошенники должны понимать, что их ждет суровое неотвратимое наказание за их преступления.

В 2012 году российское банковское сообщество было встревожено предстоящим вступлением в силу ст. 9 федерального закона ФЗ-161 «О национальной платёжной системе», в соответствии с которой банк должен сначала возместить клиенту похищенные средства, а уже затем проводить расследование. Вступление в силу этой статьи закона было отложено вначале на 2013, а потом и на 2014 год. Банкам дали время подготовиться и отладить отношения с клиентами.

Эта норма пришла, как известно, с Запада. Стандарты, нормам которых следует Ситибанк, являются международными. Поэтому к моменту публикации данного закона большинство пунктов, которые в нем прописаны, у нас уже были внедрены и отработаны. В частности, онлайн-информирование клиентов о транзакциях, возможность через интернет-банк посмотреть все выписки, также работа круглосуточной службы поддержки держателей банковских карт.

По нашей оценке, федеральный закон «О национальной платёжной системе» в большей степени направлен на легитимацию – придание юридической силы электронным деньгам, в том числе интернет-кошелькам и мобильным платежам. В законе меньше норм, касающихся банковских карт как платёжных инструментов, и в этой части закон требует доработки.

ПРОБЕЛЫ В ЗАКОНОДАТЕЛЬСТВЕ

Сейчас все банки идут навстречу пожеланиям клиентов, позволяя переводить деньги с банковских карт на счета «электронных кошельков». То есть, если денежные средства по поручению клиента отправляются с банковского счета на электронный кошелек, в том числе не персонализированный, банк обязан его отправить, а оператор электронных денег – принять.

Однако существенная разница заключается в том, что карта привязана  к паспорту, а кошелек – не всегда, в зависимости от величины денежных оборотов. Пока нет должного уровня аутентификации в системах интернет-платежей, сохраняются риски. Мошенникам удобно использовать такие каналы для вывода и легализации денег.

Есть ещё пробелы – в регулировании мобильных платежей. Как мы все знаем, SIM-карту можно купить на рынке, не используя паспорт. Поэтому необходимо внедрять определенные ограничения сумм и количества платежей, чтобы минимизировать сопутствующие риски. Мобильный телефон – не тот инструмент, чтобы переводить большие суммы.

Обычно преступники действуют таким образом: одна группа крадёт данные, другая взламывает систему и переводит деньги, а третья обналичивает. Мошенники пытаются скрыть след, переводя деньги из одного банка в другой по длинной цепочке, используя электронные кошельки и другие финансовые инструменты. Банки объединяются, обмениваются информацией и обсуждают, как с этим бороться. Но по закону банк не имеет права остановить такой перевод, даже если его просит об этом другой банк.

Юридически это невозможно. Чтобы блокировать перевод средств, банк сначала должен обратиться в правоохранительные органы, которые проведут соответствующее расследование и докажут факт мошенничества, и уже после наложат арест, либо заморозят счёт. Эта проблема в России пока не решается.

ВСЕМИРНЫЙ ОПЫТ

Решать проблемы обеспечения информационной безопасности помогает всемирный опыт. Ситибанк – дочерняя компания крупнейшей финансовой корпорации Citigroup, штаб-квартира которой расположена в Нью-Йорке. Citigroup Inc. обслуживает около 200 млн клиентских счетов и ведёт деятельность более чем в 160 странах. Сотрудники, отвечающие за информационную безопасность, поддерживают тесные контакты с зарубежными коллегами. Осведомлённость о ситуации в сфере информационной безопасности в других странах, включая и инциденты, и средства защиты информации, позволяет эффективно решать поставленные задачи.

На первых позициях по количеству и объёмам хищений электронных денег находятся Великобритания и страны Юго-Восточной Азии, где ежегодные потери исчисляются миллионами долларов США. Пока что в России финансовые потери клиентов банков от электронных преступлений значительно ниже, чем в странах, где электронные платежи развивались дольше и больше распространены. Но по мере распространения у нас финансовых IT-сервисов можно ждать и роста уровня кибермошенничества – информационных атак на клиентов, пользующихся дистанционным банковским обслуживанием.

Опыт использования интернет-банка у Ситибанка богатый и сравнительно долгий. Мы были одним из первых банков, которые начали предоставлять системы интернет-банка как для корпоративных клиентов, так и для физических лиц. Наши системы интернет-банка выиграли десятки различных наград. Этот интернет-банкинг основан на глобальной платформе, что позволяет использовать эффективные инструменты противодействия кибермошенничеству, хорошо зарекомендовавшие себя по всему миру. В то же время предусмотрена адаптация к требованиям каждого конкретного направления.

Благодаря тому, что мы используем международный опыт и методики Ситибанка, нам удается сводить потери на российском рынке к минимуму. Руководство Ситибанка в полной мере осознает актуальность проблемы кибермошенничества и постоянно работает над совершенствованием своих систем, которые используются для проведения платежей. Эффективные системы предотвращения мошенничества анализируют клиентские операции и выявляют подозрительные транзакции. Если в банке не уверены, что операция производится от имени клиента – что она нетипична для него, мы обязательно связываемся с клиентом в режиме онлайн и запрашиваем дополнительное подтверждение легитимности транзакции.

ETHICAL HACKING

Так как мошенники всё время обновляют свой арсенал, банк тоже постоянно совершенствует и технические, и организационно-процедурные средства защиты. Это непрекращающаяся гонка, в которой трудно рассчитывать на победный конец, но мы в полной мере осознаем, что останавливаться на достигнутых успехах нельзя. Необходимо постоянно анализировать текущую ситуацию и внедрять всё новые и новые меры предотвращения мошенничества.

Частью такой работы является постоянный анализ готовности наших систем защиты. На протяжении 10 лет все ИБ-модули перед внедрением тщательно анализируются. Производится так называемый ethical hacking («этичный взлом») – попытки взлома, поиск уязвимостей в системе. Он проводится либо силами специалистов Ситибанка, либо с помощью внешних аудиторов, приглашенных компаний.

На рынке представлены несколько компаний, специализирующихся на IT-аудите и консалтинге, в том числе в сфере информационной безопасности, и они предоставляют сервис по выявлению уязвимостей. Как минимум раз в год наши интернет-системы проходят такую проверку. Также ethical hacking проводится после внесения каких-либо изменений в систему. Это дорогостоящая процедура, однако она позволяет получить гарантию, что все известные на данный момент уязвимости закрыты и исправлены.

По нашему мнению, на данный момент коллеги из российских банков должным образом оценивают уровень угрозы и уделяют большое внимание безопасности проведения платежей. Для предотвращения мошенничества многие банки модернизируют свои системы, внедряют современные механизмы, которые позволяют сделать их более устойчивыми. Кроме того, перед нами стоит общая задача – повышать осведомлённость клиентов банков, чтобы они знали о всех мерах безопасности, которые необходимо предпринимать, пользуясь безналичными платежами и иными платёжными средствами.

ПРОСВЕЩЕНИЕ КЛИЕНТОВ

В интернет-банкинге, по оценкам специалистов, 99% атак производятся на клиентские компьютеры. Банки научились защищать свои сервера, и мошенники ищут наиболее простые пути: атакуют не банки, а клиентов. Поэтому сейчас самое важное на рынке – увеличить осведомленность клиентов банков о том, что такое платёжные инструменты, как правильно и безопасно ими пользоваться. На данный момент в отделениях Ситибанка лежат буклеты, а на сайте размещены разделы, посвящённые информационной безопасности, в которых описываются основные методы безопасного использования интернет- банка и банковских карт. Сотрудники Ситибанка дают клиентам простые и понятные рекомендации.

На наш взгляд, такое информирование необходимо. Клиент играет очень важную роль в защите денежных средств. Одними только техническими средствами защитить клиента сложно, и, может быть, даже невозможно. Технически банки могут накладывать такие ограничения, как отказ допуска зараженного вирусом компьютера клиента в систему интернет-банка. Так, в банке ведётся мониторинг подключений к корпоративной сети и технологической защищенности компьютера сотрудника. Доступ запрещается при обнаружении несоответствия контрольным параметрам.

Однако подобный отказ в обслуживании клиента будет идти вразрез с юридическими нормами. Мы считаем, что не можем отслеживать, стоит ли антивирус на компьютере клиента – пользователя интернет-банка, потому что не имеем права проникать в чужую частную жизнь. И не все клиенты согласятся, чтобы банк анализировал их данные на персональном компьютере.

Клиентам мы можем лишь давать рекомендации, постоянно напоминать правила информационной безопасности. В конечном счете, каждый клиент сам определяет, какую степень риска он готов на себя взять. Мы советуем регулярно обновлять антивирусную базу, а также все программы, в частности – утилиты, закрывающие бреши, через которые можно украсть клиентские данные и совершить незаконный платеж.

Также обращаем внимание, что при пользовании интернет-банком необходимо убедиться в наличии символа замка в правом нижнем углу web-стра- ницы (или справа от адресной строки в браузере версиях IE 7 и выше). Этот символ указывает на то, что клиент использует подлинный сайт банка, который работает в защищенном режиме, и все данные, передаваемые через web-сайт, будут защищены в процессе передачи. Кроме того, в последних версиях интернет-обозревателей адресная строка системы интернет-банка подсвечивается зеленым цветом, символизируя доверенный сайт.

ЗАЩИЩЁННЫЕ КАРТЫ

Банки заметно страдают от атак на банкоматы, на которые злоумышленники устанавливают скимминговые устройства, позволяющие незаконно копировать данные с магнитных полос банковских карт, потом изготавливая «клоны». Одним из способов более надёжно защитить банковские карты является использование банковских карт с технологией EMV (Europay, MasterCard и VISA – международный стандарт операций по банковским картам с чипом).

По мере замены карт с магнитной полосой на карты с чипами количество скимминговых атак будет уменьшаться. Использование таких карт повышает уровень безопасности платежей, поэтому европейские банки массово переходят на них. Американский рынок пока обходится без карт с чипами: огромные объёмы операций позволяют финансовым организациям покрывать издержки, связанные с мошенничеством.

Российский рынок готов к массовому переходу на карты с чипами. И чем больше банков перейдут на них, тем более широко эквайринговая сеть будет поддерживать операции с ними. Ситибанк в этой сфере – в первых рядах, все новые карты выпускаются уже не только с магнитной полосой, но и с чипом. Международные платёжные системы также стимулируют этот процесс перераспределением рисков и ответственности между банками-эмитентами и банками-эквайерами.

Кроме того, в 2012 году Ситибанк внедрил технологию бесконтактных платежей PayPass, которая позволяет клиентам оплачивать покупки в торговых точках, не прокатывая карту, а просто прикладывая ее к терминалу. Этот метод высоко безопасен, компрометация карты крайне затруднена.

УДОБНАЯ БЕЗОПАСНОСТЬ

Как всё-таки убедить клиентов соблюдать правила защиты информации? Как решить вечную дилемму между удобством и безопасностью? Банку, как всегда, необходимо учитывать потребности клиентов. Тем более, что технологии позволяют найти компромисс и предоставить клиенту и лучший сервис, и должную защищённость.

Мы считаем, что заставлять клиента носить с собой скретч-карту с паролями неправильно. Если человек, собираясь в командировку, забудет её дома и не сможет оплатить гостиницу или совершить какой-то регулярный платёж, используя интернет-банк, это будет для него крайне неудобно. Мы – клиент-ориентированный банк, поэтому не стремимся привязать клиента к конкретному персональному компьютеру. Нами используется двухфакторный метод аутентификации с использованием постоянного пароля и одноразовых паролей, которые передаются SMS-сообщениями на мобильный телефон. Благодаря этому клиент может пользоваться нашими услугами в любой точке земного шара.

Скретч-картой человек пользуется только в тот момент, когда нужно провести платеж, а мобильный телефон у подавляющего большинства клиентов всегда при себе. Если даже телефон потерян или украден, его владелец сразу же заметит это. Поэтому SMS-сообщения с одноразовыми паролями гораздо удобнее. При помощи мобильного телефона верифицируются покупки посредством карт в интернете, операции через интернет-банк.

При покупке на интернет-сайте платёж проходит только после получения одноразового пароля на мобильный телефон (по технологии 3D Secure MasterCard и Verified by Visa). Если клиент не подтверждает код, операция не производится. Тот же метод верификации действует и для денежных переводов посредством интернет-банка. Эти простые по своей сути технологии, основанные на использовании динамических паролей, дают и банку, и клиенту очень высокую гарантию против мошенничества.

Получение SMS-сообщений с одноразовыми паролями бесплатно для клиентов и является панацеей почти для всех проблемных случаев, кроме подмены SIM-карты. Но если из-за неосторожности клиента злоумышленник одновременно завладел и его мобильным телефоном, и информацией об интернет-банкинге, включая пароль, кражу денег сложно предотвратить. Самое главное, чтобы клиент в таких случаях выходил на связь и как можно быстрее блокировал SIM-карту, а поменяв контактный номер мобильного телефона – оперативно обновлял эту информацию в банке. Это одно из правил безопасности, о котором мы осведомляем наших клиентов.

TRANSACTION MONITORING

Как уже упоминалось выше, в Ситибанке внедрена автоматизированная высокоинтеллектуальная система, которая круглосуточно анализирует все транзакции клиентов по заранее установленным параметрам и выявляет подозрительные транзакции. Это эффективное средство противодействия кибермошенничествам.

Практика показывает, что мошенники стараются оплачивать с помощью украденных пластиковых карт ликвидные товары в сомнительных торговых точках в определённых странах. Предположим, банк видит: с карточки клиента производится покупка десяти iPad в интернет-магазине, известном всему миру плохой репутацией. Или с карты были сняты деньги в Москве, а через 5 минут последовала новая попытка снять деньги, но уже в Бангкоке.

В таких случаях есть смысл провести проверку легитимности операции. Для этого можно связаться с банком- эквайером. Когда клиент опротестовывает покупку, совершённую за рубежом, арбитром выступают международные платёжные системы, действуют определённые правила. У торговой точки должны быть в наличии документы, подтверждающие физическое присутствие клиента на её территории. А интернет-магазин должен представить документ, подтверждающий доставку товара. Если такого доказательства нет, оспариваемая транзакция аннулируется.

Мы крайне редко прибегаем к остановке транзакций. Опять же потому, что Ситибанк является клиент-ориентированной кредитно-финансовой организацией. Если банк остановит нужный клиенту платёж, последствия могут быть самыми негативными. Поэтому система выстроена таким образом, чтобы иметь возможность отклонять только потенциально мошеннические операции, процент которых довольно низок. Поэтому поступает много отзывов благодарных клиентов о круглосуточном эффективном мониторинге транзакций.

Банк всегда должен иметь актуальный номер мобильного телефона клиента для проверки любых подозрительных событий, подтверждения легитимности операций. Клиенты с устаревшей контактной информацией оказываются в зоне повышенного риска. Если мы обнаруживаем, что до клиента не доходят SMS-сообщения, то пытаемся связаться с ним по резервным каналам – по запасным телефонным номерам или по электронной почте. Если это не удаётся, то делаем в CRM-системе управления взаимоотношениями с клиентами специальные пометки на случай, если он сам обратится в банк. Когда связь с клиентом удаётся тем или иным способом восстановить, мы просим его сообщить актуальные контактные номера мобильных телефонов.

ПРОЦЕДУРА ОПРОТЕСТОВАНИЯ

Во многих российских банках опасаются, что с момента вступления в силу ст. 9 федерального закона «О национальной платёжной системе» клиенты завалят их жалобами, будут стараться обмануть, опротестовывать собственные операции и заявлять о мнимых убытках. Международная практика такова: если факт мошенничества подтверждён, денежные средства возмещаются банком клиенту. Разнятся только процедуры опротестования и возврата средств.

По нашему опыту, такие процедуры – в большой степени вопрос организации операционной деятельности банка, скорости и умения работать с жалобами клиента. Мы отладили эту работу и, как только поступает жалоба, сразу же начинаем анализировать ситуацию. Если факт мошенничества подтверждается, мы возмещаем денежные средства клиенту.

Не стоит называть эту процедуру громким словом «расследование». На самом деле это ни больше ни меньше как комплексный анализ поведения клиента. Выяснить и доказать, что произошло на самом деле, легко. Если банк предъявит видео или фотографию, на котором видно, что клиент сам снял деньги, или чеки из магазина с его подписью, опротестовать свою операцию клиенту не удастся.

Иногда, с согласия клиента, в самых нетипичных случаях сотрудники банка анализируют его персональный компьютер на предмет наличия вредоносного программного обеспечения, которое позволяет красть персональную информацию клиента и данные, подтверждающие право управления банковским счётом.

На основе анализа последовательности событий, фактов, видеоматериалов и других собранных данных принимается решение, подтвердить или нет факт мошенничества. Если у клиента действительно украли деньги – банк должен возместить потери и принять меры для предотвращения подобных краж в дальнейшем.

В Ситибанке обеспечен высокий уровень безопасности всех каналов дистанционного банковского обслуживания. Комплексная стратегия безопасности действует и для интернет-банка, и для банковских карт, и для мобильного банкинга. Банки должны доносить до своих клиентов, что при правильном подходе все эти платёжные средства не только более удобны, но и безопаснее, чем наличные деньги. Пример – Ситибанк, клиенты которого не выстраиваются в очереди к банкоматам за наличными, а доля безналичных электронных платежей растёт.

 

Смотрите также

Щедрость по разуму

24 декабря, 2012

Учить или не учить?

4 декабря, 2012

Very nice = muito bem*

21 сентября, 2012
Подпишись на новости!
Подписаться