BIS Journal №3(38)/2020

12 августа, 2020

Записали в злоумышленники

Мнение эксперта и клиента в одном лице.

Платёжные карты, эмитированные российскими банками, хакеры не любят. А за что их любить? Средний остаток по картсчетам меньше, чем у карт стран Евросоюза, ведь россияне – люди небогатые. От этого и дампы памяти скомпрометированных российских карт, которые продают на различного рода малинах, дешевле европейских.

Но есть и другие причины. Известно, что российские карты в большей степени защищены. Нынче все российские банки эмитируют карты на чипах. По этой причине всё, что связано со скиммингом, в России практически отсутствует. Что касается транзакций CNP (CardNotPresent) – без присутствия карт, то и здесь в России перешли на визовскую технологию подтверждения интернет-платежей 3-D Secure – тоже практика, не всегда присутствующая в европейской части мира, а в Америке её вообще нет.

 

ДАННЫЕ ФИНЦЕРТА

Вот и выходит, что уровень мошеннических транзакций в Европе и Америке существенно выше, чем у нас. Это наглядно подтверждают данные свежего отчёта ФинЦЕРТ  ЦБ за 2019 год. ФинЦЕРТ указывает, что доля объёма операций без согласия клиентов (то есть мошеннических) в общем объёме операций составляет 0,0023% при целевом показателе Центробанка в 0,005%. 0,005% - это половина «базового пункта», если за базовый пункт принять 0,01%. Напомним, в Европе уровень фрода в банкоматах составляет три-пять б.п., а в торгово-сервисных предприятиях он ещё выше. Все эти цифры радуют глаз, но это  всё в среднем – в общем огромном объёме транзакций.    

Ситуация становится не столь радужной, когда начинаем разбираться с системами ДБО и вообще с CNP-транзакциями.

В этом же отчёте ФинЦЕРТ отмечает, что основную долю операций без согласия клиентов физических лиц, увы, составляют CNP-транзакции. В общем числе фрод-операций их доля 65% (по объёму похищенного - 52%), на втором месте с 28% по числу и 39% по объёму идут хищения в системах ДБО физических лиц. Остатки -  7% по числу и 9% по объёму - приходятся на мошенничества с банкоматами и терминалами.  Самое печальное в том, что при общем объёме похищенного в системах ДБО в 2,2 млрд руб. клиентам вернулся только каждый 14-й рубль. Всё остальное осело в карманах злоумышленников.

 

ДВА ДНЯ: МНОГО ИЛИ МАЛО?

Конечно, это неприятно, и, конечно, банки знают об этом. Конечно, много раз специалисты ИБ в банках, видя подозрительные транзакции, стремились эти подозрительные транзакции задерживать, что называется, «до выяснения». Тема много раз обсуждалась в сообществе, банковские ассоциации много раз писали письма регулятору, но вот, наконец, свершилось – принят нормативный документ (ст.8, 161-ФЗ в новой редакции), в соответствии с которым банк имеет право задерживать «подозрительные» платежи на срок до двух дней. Зачем? Ясно зачем – затем, чтобы подробнее разобраться с платежом, возможно, связаться с клиентом, со счёта которого эти деньги уходят.

Два дня – это большой срок, но на практике оказалось, что и его чаще всего недостаточно. В эти два дня часто бывает невозможно «достучаться» до клиента. Безопасник во многих банках, как правило, один, подозрительных транзакций несколько десятков в день, и дозвониться до каждого клиента просто нереально. То ли клиент в отпуске, то ли по другим причинам исчез, но его рабочий телефон молчит.

Как было раньше? Раньше платежи «молчунов» просто автоматически проводились, деньги уходили. Но теперь, сказав «а», приходится получить в ответ «б» – теперь все задержки сразу попадают на карандаш в ФинЦЕРТ, который следит за ситуацией аккуратно – собирает информацию, сколько платежей и каких пролежали эти два дня. И если платёж был задержан, а по нему ничего вразумительного банк не сообщил, то этот платёж сразу попадёт в разряд мошеннических - без какого-либо дальнейшего разбора.

Рабочая схема выстроена простая: получателю платежа (к примеру, банку Икс) приходит сообщение, что платёж банка-отправителя платежа (банка Игрек) потенциально мошеннический, потому что он проведён без согласия клиента. Как банк Икс, так и банк Игрек должны внести согласно указанию ЦБ сведения об участниках транзакции – как об отправителе платежа, так и его получателе – в свои фрод-базы.   

Что происходит при такой схеме? Например, получатель платежа – нормальный средний клиент, и отправитель, до которого не дозвонились, тоже нормальный клиент. Но они оба сразу подпадают под подозрение ФинЦЕРТа. Оба банка - Икс и Игрек – должны поставить на контроль обоих клиентов за создание потенциальной мошеннической схемы. Незаметная скромная галочка в рабочем отчёте банка отправителя, пометившего подозрительную операцию по новым правилам, превращается в жирный крест мошеннической транзакции, поставленный в отчёте ФинЦЕРТ.

А дальше всё – процесс пошёл. В отношении банка идут наказания и оргвыводы, связанные с тем, что банк не соблюдает требований нормативов, имеет излишние объёмы фрода и так далее. Таких наказаний в арсенале регулятора много.

 

КТО ВИНОВАТ И ЧТО ДЕЛАТЬ?

Ситуация складывается неприятная. Кто виноват и что делать?

Конечно, виноваты во всём банки - они просили и получили желанную задержку. Но теперь, увы, не знают, что с этим делать.

Некоторые эксперты предлагают: хорошо, если бы времени на задержку дали ещё больше, но при этом разделить всех клиентов по категориям. Например, старому клиенту, которого «хорошо знаю», присвоить определённый уровень (код) и маркировать как надёжного. Если он всё время платил нормально, но по какой-то причине в данный момент отсутствует, то, естественно, считать его мошенником не нужно.

Но появляются нюансы, говорят уже другие эксперты. Если клиент - это большая компания, у неё каждый день возникают новые клиенты. Новые клиенты создают новые риски -  они неизвестны для этого платежа, стало быть, риски этого платежа неизвестного клиента достаточно высоки. Поэтому от «свежего» клиента требуется, чтобы он хотя бы один раз подтвердил, что он не мошенник. Если же он всё же не успевает по каким-то причинам сделать это первое подтверждение, то действительно придётся записывать его в мошенники по сложившейся схеме. В результате получается, что мошенников значительно больше, чем на самом деле. Ну и фрод-транзакций, соответственно тоже.  

 

НЕКОТОРЫЕ РАЗНОГЛАСИЯ

Банки приводят цифры своей статистики по фроду – они, конечно, более благоприятные, чем данные ФинЦЕРТа. Так, за год на каждых 200 клиентов приходится один мошеннический платёж – таково среднее мнение служб ИБ. Такой же статистики они ожидают от ЦБ. По факту же в отчёте ФинЦЕРТ цифры мошенничества получаются значительно выше. А раз так, значит, банки постоянно обманывают ЦБ и что-то скрывают.

Как поступить с этой деликатной ситуацией, пока никто до конца не знает. Но смягчить жёсткие меры безопасности от ЦБ хочется всем.

 

ВОЗМОЖНЫЙ ПУТЬ

Тема ИБ постоянно волнует не только банкиров. Один из возможных путей появился, когда мы обсуждали в Общественной палате вопросы безопасности ПО и ответственности за его небезопасность. Речь шла о любом ПО - и в системе органов госуправления, и на объектах критической инфраструктуры. По мнению многих экспертов, основная проблема не в активности и изворотливости хакеров, а в ошибках и уязвимостях, допущенных самими разработчиками ПО.

Продавать продукты научились, но тестировать не привыкли, говорили многие. Это понятно - тестировать дорого, да и за исправление ошибок банк заплатит ещё раз. Пришли к тому, что надо менять нынешнюю систему ответственности банка за фрод. Сегодня как? Банк отвечает своими средствами за фрод и поэтому всякий раз обвиняет клиента в нарушении его обязанностей – это пропустил, за тем недоглядел. Правильнее же, чтобы система ответственности была другая: банк отвечает только в том случае, если выстроенная система ИБ не подтверждена третьей стороной, которая обеспечивает безопасность платежей. То есть, если я – система безопасности – не подтверждена, виноват банк, а если подтверждена, то извольте вам лайабилити шифт – перенос ответственности. Должна действовать схема: сертифицировался банк – ответственность на клиенте, не сертифицировался – на банке.  Таков современный риск-ориентированный подход в управлении событиями ИБ.

Принять этот подход или нет в будущем – прерогатива ЦБ. Будем надеяться, что именно так дальше и будет. Тогда банкам не придётся тратить на ИБ средства, несоизмеримые с потенциальными потерями. Ну а мы, банковские клиенты, будем чувствовать себя спокойнее и увереннее.  Всегда приятно, когда злоумышленников становится меньше. И вдвойне приятно, когда тебя самого в эти злоумышленники не записывают.

Смотрите также