30 апреля, 2013, BIS Journal №2(9)/2013

Не уповать на панацею


Окулесский Василий

руководитель Департамента, кандидат технических наук (ООО «ЦИБИТ»)

Место промышленных антифрод-систем в обеспечении информационной безопасности банковских сервисов

Cовременный интернет-банкинг занимает особое место в ряду видов дистанционного банковского обслуживания. Интернет-банкинг широко распространён, лидирует по объёмам транзакций и хорошо известен всем специалистам по информационной безопасности кредитно-финансовых организаций. Статистику хищений в интернет-банкинге ведут разные организации. Проработаны его уязвимости, равно как и способы защиты от технических сбоев, а также механизмы противодействия злоумышленникам. Что нового привносит появление промышленных антифрод-систем?

IT-СЕРВИС НОМЕР ОДИН

Для сравнения, по пластиковым картам, банкоматам и платёжным POS-терминалам, мобильному банкингу и электронной коммерции на сегодняшний день нет ни сводных данных хищений и мошенничеств, ни их классификации. Для этих видов дистанционных банковских сервисов нет развёрнутых мер безопасности: для платёжных систем существует только краткий перечень правил, для банкоматов – рекомендации Банка России и МВД России, для мобильных платежей – ограничение переводов небольшими суммами.

Напомним, что интернет-банкинг – уже достаточно старая технология, 20-летие которой скоро можно будет отмечать. Автору этой статьи довелось лично соприкоснуться с разработкой интернет-банкинга ещё в 1995 году. В настоящее время интернет-банкинг включает целый спектр финансовых услуг, в том числе:

  • рублевые переводы внутри банка и между банками;
  • валютные межбанковские переводы;
  • переводы между своими счетами/картами, в том числе с конвертацией из одной валюты в другую;
  • возврат переводов;
  • создание шаблонов и расписаний платежей и переводов;
  • адресные платежи (за жилищно-коммунальные услуги, пополнение счёта мобильного телефона, оплата коммерческого телевидения, услуг интернет-провайдеров и др.);
  • просмотр информации о начислениях по жилищно-коммунальным услугам, выставленным ГУ ИС;
  • управление банковской картой (блокировка, разблокировка, подача заявления об утере или краже карты);
  • просмотр информации и получение выписки по всем открытым в Банке счетам/вкладам/картам;
  • получение информации о задолженности по кредитам.

Эти услуги высоко востребованы клиентами банков, одни больше, другие меньше. Но в целом интернет-банкинг можно смело назвать банковским IT-сервисом номер один. Поэтому вопросы его информационной безопасности наиболее проработаны в сравнении с другими видами ДБО.

СОПУТСТВУЮЩИЕ УГРОЗЫ

Всё имеет обратную сторону: если собрать специалистов по информационной безопасности из 10 банков и завести разговор об уровнях безопасности ДБО, неминуемо вспыхнет долгий горячий спор о многих деталях. Начиная с разных пониманий адекватного уровня безопасности и определения, что и как надо защищать.

Дело осложняется неизбежными технологическими ошибками в программном обеспечении интернет-банкинга. Среди миллионов строк программных кодов неизбежно окажется хотя бы десяток брешей, через которые программное обеспечение можно взломать, модифицировать в нужном злоумышленникам направлении. Полноценной системы профессионального тестирования программного обеспечения пока нет, и поэтому первыми технологические бреши будут обнаруживать зачастую хакеры.

Буквально с момента появления этот сервис был обременён угрозой мошенничеств. Наверное, как и любой новый высокотехнологичный банковский продукт: его возможностями стараются пользоваться не только банки и их клиенты, но и злоумышленники. Развитие информационно-коммуникационных технологий многократно увеличивает количество возможностей банковских сервисов, и одновременно открывает новые возможности для преступников.

Каждый новый удобный высокотехнологичный сервис тут же используют мошенники, встраивают в свою преступную деятельность, ущерб от которой благодаря этому может возрасти на порядки. Сочетать использование интернет-банкинга и банковских пластиковых карт, бесспорно, очень удобно. Но преступники использовали такую возможность, чтобы переводить на карточные счета практически любые суммы денег, украденные в интернет-банкинге, а потом снимать их наличными в банкоматах. Возник своего рода синергетический эффект, в результате которого объёмы мошеннических операций незамедлительно выросли в десятки раз.

НЕ ПУГАТЬ, НО ПРОСВЕЩАТЬ

Одна из самых больших проблем – отсутствие у клиента интернет-банкинга понимания, что его личная безопасность в интернете – предмет его собственной заботы, и ему самому необходимо бдительно относиться к своим персональным данным, личной информации. Смешно видеть кошелёк в заднем кармане брюк или брошенные на самом видном месте ключи от сейфа, и тем не менее очень многие люди не отдают себе отчёта в том, что доступ мошенников к их персональным данным может привести к хищению ключевой информации, позволяющей распоряжаться деньгами на счетах.

Кража персональных и ключевых данных – исходная точка, далее они могут использоваться мошенниками в разнообразных схемах хищений: в работе фишинговых сайтов, для перехвата управления персональными компьютерами. Куда более богатые возможности открывает преступникам кража личной информации не простых рядовых граждан, а инсайдеров – разработчиков программного обеспечения банковских систем, включая дистанционные сервисы, сотрудников и клиентов банков, телекоммуникационных компаний.

Одной из главных уязвимостей интернет-банкинга является недостаточная информированность клиента, отсутствие у него понимания необходимости соблюдать меры безопасности. Доводилось видеть нераспечатанные коробки с антивирусом возле компьютеров, с которых клиенты, ставшие жертвами мошенников, пользовались ДБО. Дело и в том, что образы хакеров мистифицированы. Средства массовой информации, смакуя, сколько украдено, изображают их чуть ли не всемогущими. Телепередач, которые показывают правдиво хакеров, хотя бы наших российских, – раз, два и обчёлся, аналогичные фильмы или книги мне неизвестны.

Было бы полезно просто и доходчиво сообщать массовой аудитории, к которой принадлежит большинство клиентов, пользующихся интернет- банкингом, как конкретно совершаются хищения. Об инструментах и приёмах мошенников, как они используют интернет, рассказывать о вирусах, бот-сетях, хищениях паролей и ключевой информации.

Не лишними будут многократные напоминания о средствах защиты, в частности, как важно использовать лицензионное программное обеспечение, вовремя устанавливать на него обновления, закрывающие выявленные уязвимости. Менять придётся многое, и привычки обычного российского пользователя, и ценовую политику производителей лицензионного программного обеспечения.

КАЖДОМУ КЛИЕНТУ СВОЯ ЗАЩИТА

Нельзя сосредоточиваться только на улучшении средств защиты информации и мерах информационной безопасности, забывая, что есть разные типы клиентов, каждый со своими особенностями и потребностями. Иначе можно почти абсолютно защитить платежи через интернет-банкинг, но клиенту создать слишком сложные, неприемлемые условия использования сервиса.

Бабушка-пенсионерка может пользоваться интернет-банкингом исключительно для оплаты жилищно-коммунальных услуг и для перевода средств на карту внука. Современный продвинутый студент – для покупки товаров в интернет-магазинах. Также различны, по количеству, объёмам и частоте платежей, режимы использования интернет-банкинга индивидуальными предпринимателями, малыми, средними и крупными компаниями. Каждому типу клиентов нужен свой уровень безопасности.

Прибавим сложную динамику систем безопасности, даже созданных на высоком профессиональном уровне. Дела у клиента могут идти в гору, и количество и объёмы платежей резко увеличиваться. А могут, наоборот, ухудшиться, также возможны и банкротства, и слияния, и поглощения. Каждое из этих изменений требует перестройки системы обеспечения информационной безопасности интернет-банкинга, изменения перечня предпринимаемых защитных мер.

Обеспечить единый уровень защиты клиентов на их рабочих местах, с которых они пользуются интернет-банкингом, нельзя. Но можно сформировать условия, компенсирующие различные уровни безопасности на рабочих местах клиентов. Решить эту задачу можно на уровне самого банка, например, можно для разных типов клиентов сформировать профили, учитывающие их пользовательские особенности. И уже на их основе анализировать поступающие от них платёжные поручения, выявлять возможные отклонения от стандартных параметров, разрабатывать процедуры дополнительных проверок, позволяющих выявлять и предотвращать мошеннические операции.

Профиль клиента – это набор типичных характеристик уже произведённых им транзакций, на соответствие которым можно проверять поступающие от него новые платежи. Типовые клиентские профили можно объединять в группы, для каждой группы определять типовые операции, а их, в свою очередь, разделить по направлениям. На основе этой классификации можно рассчитать уровни рисков для типовых платёжных операций разных групп и типов клиентов.

При выявлении отличия параметров поступающих платёжных поручений от контрольных значений у банка должны быть заготовлены различные сценарии реагирования. В любом случае реакция банка должна быть незамедлительной. Анализ причин инцидента может показать необходимость внесения изменений в порядок выявления нестандартных платежей. Всё это может самостоятельно, «вручную» сделать подразделение информационной безопасности банка.

СЛИШКОМ ДОРОГОЕ УДОВОЛЬСТВИЕ

Существует вариант приобретения автоматизированных аналитических систем выявления мошеннических платежей. Внедрение банками антифрод-систем, которые защищают и банк, и клиентов, – с одной стороны, веление времени, с другой – мода. Поступающие предложения компаний – вендоров таких систем звучат заманчиво: будут надёжно защищены от мошенников и банк, и клиенты, общий уровень безопасности повысится, у мошенников опустятся руки, и количество попыток хищений пойдёт на убыль. Расходы на информационную защиту снизятся, конкурентоспособность банка возрастёт, а все лавры достанутся службе безопасности, статус которой повысится...

СХЕМА: Пример работы ARCSIGHT FRAUDVIEW

Было бы очень большой иллюзией думать, что промышленная антифрод-система, сама собой распознающая подавляющее большинство мошеннических операций, является панацеей от всех бед. Коллеги из разных банков ещё несколько лет назад провели сравнительный анализ нескольких промышленных антифрод-систем, в то время представленных на рынке. Такой же анализ мы повторно провели в прошедшем 2012 году, обнаружили ещё пару новых подходов.

Вывод сделали такой: промышленные антифрод-системы в основном приемлемы для банков, у которых более, чем 1 млн клиентов. Если клиентов меньше, то покупка, внедрение и эксплуатация таких автоматизированных аналитических систем практически никогда не окупятся. Допустим, банк небольшой, у него 50 000 клиентов в банке, а лицензия предполагает не менее 500 001 рабочего места клиентов. Нужны ли такие запасы мощности, стоит ли за них платить?

Кроме финансовых затрат на приобретение системы, потребуется решение очень большого количества вопросов – идеологических, организационных, технических, обучения и других. Чтобы антифрод-система работала эффективно, под неё придётся перестраивать бизнес-процессы дистанционного обслуживания, вносить изменения в действующие автоматизированные банковские системы, в том числе дистанционного обслуживания. Возможно, вендоры считают, что такие перемены для банка – дело лёгкое и простое, но на самом деле это не так. Основная проблема – интеграции собственных, уже действующих механизмов анализа мошеннических операций.

Подводим итог: финансовые траты на лицензии антифрод-системы составляют только треть всех расходов банка. Две трети затрат – напрямую не финансовые, но это усилия собственных специалистов по интеграции антифрод-системы с автоматизированными системами банка, включая дистанционное обслуживание. Если посчитать все затраты банка, то в переводе на финансовый эквивалент получается втрое больше, чем сама цена антифрод-системы.

КОГДА АВТОМАТИЗАЦИЯ ОПРАВДАНА

Есть простые и достаточно действенные методы: контроль IP-адресов, с которых клиент заходит в систему интернет-банкинга, позволяет сразу же отсекать значительное число мошеннических операций. Следующий метод – контроль параметров устройств, посредством которых клиент пользуется интернет-банкингом. Не только MAC-адресов, типа операционной системы и наличия последних обновлений, что юридически требует согласия клиента. Возможен идентифицирующий устройство в целом комплексный параметр, изменение которого является сигналом к дополнительной проверке. Ещё один метод – контроль пороговых значений сумм платежей для каждого клиента.

На основе перечисленных параметров составляются уровни риска, позволяющие предварительно оценить легитимность платежа. Таким образом, в каждом банке так или иначе настраивают свои автоматизированные информационные дистанционные сервисы. Эта работа позволяет выявлять до 80% попыток фрода – мошеннических платежей. Многое можно сделать своими руками, без промышленных антифрод-систем.

Речи нет о том, что антифрод-системы – излишества, дорогая роскошь. Просто принимать решение, приобретать их или нет, нужно сознательно, хорошо взвесив все доводы за и против. Промышленные антифрод-системы оправдывают себя только при очень больших объёмах электронных платежей, больше 10 000 в день. Их «ручная» проверка – очень тяжёлая работа, которая ложится на плечи сотрудников и операционных подразделений банка, и службы информационной безопасности.

Когда антифрод-система выявляет большой перечень подозрительных платёжных поручений, остаётся большая работа по их проверке. В том числе посредством телефонных звонков клиентам, от имени которых они поступили. В этом человека-сотрудника ничто не заменит, и тем более не имеет смысла тратить его усилия на предварительный анализ, посильный только автоматизированной антифрод-системы. Вывод таков: промышленные антифрод-системы – удовольствие недешёвое, но они незаменимы для крупных банков, помогая обеспечивать высокий уровень информационной безопасности.

В настоящее время ОАО «Банк Москвы», входящий в Группу ВТБ, обслуживает более 100 000 юридических лиц и 9 млн клиентов – физических лиц; особый акцент делается на инновационных, высокотехнологичных продуктах и сервисах. Высокая надёжность банка подтверждена международными рейтинговыми агентствами. Накопленный его сотрудниками опыт обеспечения безопасности дистанционных сервисов, в первую очередь интернет-банкинга, может быть полезен коллегам, работающим в других банках.

 

Смотрите также

Щедрость по разуму

24 декабря, 2012

Учить или не учить?

4 декабря, 2012
Подпишись на новости!
Подписаться