2 сентября, 2013, BIS Journal №3(10)/2013

Непременная безопасность


Птицын Юрий

вице-президент (АКБ «Московский Индустриальный банк» (ОАО))

Внедрение новых высокотехнологичных банковских сервисов немыслимо без их надёжной защиты

Защита банковской информации всегда будет являться остроактуальной темой, требующей повышенного внимания. Бурный рост на рынке банковских карт предполагает работу по совершенствованию не только процессов выпуска и обслуживания карт, но и взаимодействия с платёжными системами и каналами доступа к карточным счетам.

 

РАССЧИТЫВАТЬ НА СВОИ СИЛЫ

В настоящее время, несмотря на то, что уровень развития дистанционного банковского обслуживания пока не очень высок, оно очень привлекательно для кибермошенников. Злоумышленники стараются идти в ногу с развитием высокотехнологичных финансовых услуг и опережать совершенствование средств информационной защиты. Когда преступникам не под силу преодолеть техническую защиту, они делают своей мишенью людей – сотрудников и клиентов банков. Поскольку создать полностью автоматизированные системы, в том числе такие, которые бы обеспечивали информационную безопасность банков, невозможно.

Человеческие недостатки, потенциально ведущие к инцидентам информационной безопасности, можно условно разделить на два типа. Первый – злой умысел, чисто корыстные интересы извлечь личную выгоду за чужой счёт. Второй тип – непреднамеренные, но обусловленные недостаточным вниманием к информационной безопасности: отсутствие компетенций – нужных знаний и навыков, невыполнение правил, забывчивость, ошибки и т.п. Злонамеренный умысел может быть и внешним, у киберкриминалитета, и внутренним, – у недобросовестных сотрудников кредитных организаций. Наиболее опасно, в том числе для крупных банков с государственным участием, как свидетельствует опыт, – смычка внешних и внутренних злоумышленников.

Пример тому – недавнее разоблачение преступной группы с участием сотрудников одного из региональных отделений «Сбербанка России», ущерб от действий которой исчисляется десятками миллионов рублей. Бывшие и действующие сотрудники банка, используя профессиональные связи, получали данные паспортов и счетов держателей зарплатных карт, оформляли на них дубликаты – поддельные банковские карточки. Тем самым получили доступ к распоряжению чужими денежными средствами, которые выводились на карточные счета и снимались наличными в банкоматах.

Опыт взаимодействия с правоохранительными органами, в том числе «Московского Индустриального банка», не всегда всецело позитивен. Хотя информационный «след» незаконных списаний средств с банковских счетов всегда присутствует, расследование подобных дел требует особых криминологических навыков, в особенности в юридически значимой фиксации доказательств. Следователи порой очень неохотно берутся за такие дела, и, как известно, безнаказанность ещё больше развращает преступников. Поэтому банкам твёрдо рассчитывать можно только на самих себя, на собственные службы и системы информационной безопасности.

НА ЗАКОН НАДЕЙСЯ, ДА САМ НЕ ПЛОШАЙ

Федеральные законы предоставляют банкам достаточно возможностей для конструктивных инициатив, только нужно их знать и уметь ими пользоваться. Возьмём федеральный закон 161-ФЗ «О национальной платёжной системе», принятие которого упорядочивает отношения в сфере электронных денег наряду с обычным денежным оборотом, устанавливает единые правила для всех видов платежей и денежных переводов во всех секторах рынка. В частности, электронные платежи, в том числе с мобильных устройств, признаны формой безналичного расчета.

Банковское сообщество волнует 9-я статья этого закона: их обязали возмещать клиенту средства, потерянные в результате несанкционированных электронных платежей. Если только нет доказательств, что инцидент произошёл по вине самого клиента, из-за нарушения правил пользования дистанционным обслуживанием. Банки опасаются вала мошенничеств нового типа – заявлений от недобросовестных клиентов о якобы не санкционированных ими транзакциях, например, по банковским картам, за которыми стоит стремление вернуть деньги, потраченные на собственные нужды.

На самом деле, это требование не является принципиально новым. И раньше банки были обязаны возвращать клиентам неправомерно списанные с их счетов средства, включая украденные мошенниками. Пострадавшему клиенту российского банка было достаточно проявить юридическую грамотность и потратить собственное время и средства на хороших адвокатов, обратившись в суд. Часто банки не дожидались решения суда, а возвращали деньги, опасаясь репутационных рисков. Вступление в силу ст. 9 облегчает процедуру возврата средств, что соответствует принятому в международной практике принципу ориентации на клиента.

Чтобы дополнительно подстраховать кредитные организации, Ассоциация российских банков предлагает внести изменения в закон ФЗ-161 «О национальной платёжной системе», – требование получения повторного согласия клиента на транзакцию. Например, при снятии наличных граждане будут подтверждать транзакцию не только в банкомате, но и дополнительно, SMS-сообщением. Мера, конечно, эффективная, но снижает удобство дистанционных банковских сервисов.

Также Ассоциация российских банков и НП «Национальный платёжный совет» разработали «Методические рекомендации о порядке действий в случае выявления хищений денежных средств в системах дистанционного банковского обслуживания (ДБО), использующих электронные устройства клиента». В них предлагается порядок взаимодействия кредитных организаций и правоохранительных органов в случае криминальных инцидентов в сфере электронных платежей.

Ставится вопрос о взаимодействии банка, со счёта которого произошло незаконное списание средств, с банком получателя о создании правового механизма блокирования переведённой суммы и приостановки дальнейших операций. Внедрение общих подходов к противодействию хищениям, создание возможностей взаимодействия, в т.ч. информационного, между участниками рынка, правоохранительными органами требует времени и ресурсов. До тех пор банкам приходится действовать по обстановке – самостоятельно совершенствовать технические и организационные методы противодействия мошенникам.

СТАВКА НА СЕРВИСЫ-ИННОВАЦИИ

Руководство ОАО «Московский Индустриальный банк» считает приоритетом развитие инновационных решений, которые позволяют достигать конкурентных преимуществ – расширять бизнес и увеличивать клиентскую базу. Разрабатываются собственные технологии, процессинг, расширяющаяся терминальная сеть. Параллельно выстраивается служба информационной и технической поддержки, сотрудники которой обучаются по программам международных платёжных систем. Обеспечение информационной безопасности – один из ключевых вопросов, включая сертификацию технологических новшеств.

Информационные системы банка успешно прошли аудит соответствия PCI DSS v.2.0 – международному стандарту информационной безопасности платёжных систем Visa и MasterCard. Комплексную проверку информационной безопасности платёжных карт и клиентских данных провёл независимый QSA-аудитор – ЗАО «Энвижн Груп». Сертификат, подтверждающий высшую степень защиты данных при операциях с платёжными картами, мы получаем не первый год. Гарантированная безопасность электронных платежей и средств пользователей банковских платёжных карт повышает уровень их доверия и к нашему банку, и к рынку дистанционного банковского обслуживания в целом.

Мы не останавливаемся на достигнутом, двигаемся дальше. Очередной шаг, вслед за Европой, – выпуск банковских карт с чипами, то есть встроенными микропроцессорами. Это новый уровень не только безопасности, но и технического срока службы банковских карт – чип как носитель информации не только лучше защищён, но и более долговечен, чем магнитная полоса.

Следующий новый дистанционный банковский сервис, который также нуждается в надёжной защите – электронная коммерция. А именно платежи за разные товары и услуги через интернет, в том числе при помощи банковской карты, её данных. Всё больше предприятий предоставляют покупателям возможность оплатить жилищно-коммунальные услуги, телефонию, интернет. Перечисление денег при покупке через интернет осуществляется после ввода покупателем кода CVV2/CVC2, размещённого на его банковской карте. Удобства сопровождаются рисками мошенничества.

Минимизировать эти риски может банк, с которым предприятие заключает договор на обслуживание интернет-эквайеринга, тем самым автоматически принимая защитные механизмы международных платёжных систем MasterCard SecureCode и Verified by Visa. Так, в ОАО «Московский индустриальный банк» внедрена технология безопасных платежей 3-D Secure. Это средство дополнительной защиты операций и данных держателей банковских карт при совершении покупок в сети интернет.

Механизм работает так: при совершении первой покупки клиент перенаправляется на защищенную интернет-страницу официального сайта ОАО «Московский индустриальный банк», где ему предлагается ввести свои персональные данные и назначить пароль для проведения операций. Проверка персональных данных и генерация интернет-пароля осуществляются на защищенной странице банка, что гарантирует отсутствие доступа третьих лиц к этой информации.

Назначенный пароль в дальнейшем может быть использован для подтверждения операций в интернет-магазинах, поддерживающих технологию 3-D Secure. Поскольку описанная технология включает предварительную проверку участников сделки, ответственным за отказ от проведенной операции со стороны покупателя становится банк-эмитент. Тем самым и интернет-магазины оказываются защищёнными – от необоснованных отказов потребителей от покупки.

ЗАЩИТА КАК ПРОГРАММНАЯ, ТАК И ФИЗИЧЕСКАЯ

Дистанционное банковское обслуживание клиентов – юридических лиц осуществляется ОАО «Московский индустриальный банк» при помощи программно-технического комплекса (ПТК) «Интернет-Банк». Это современный, удобный и практичный сервис, позволяющий корпоративным клиентам использовать широкий сектор банковских услуг, не приходя в отделения банка, тем самым существенно сокращая расходы на расчётно-кассовое обслуживание.

Кроме широко распространённых сервисов, банк предлагает клиентам ряд дополнительных продуктов. Так, клиенты-организации могут посредством модуля «Зарплата» перечислять на карточные счета заработную плату и другие выплаты своим сотрудникам, передавать в банк данные для выпуска их банковских карт. Для крупных компаний есть удобная возможность по единому реестру распределённого зарплатного проекта перечислять деньги сотрудникам, работающим в регионах, где есть представительства ОАО «Московский индустриальный банк».

В 2012 году для повышения защищённости клиентов был проведён комплекс мероприятий, в частности внедрена технология использования ключевых носителей eToken ГОСТ. Безопасность работы со всеми сервисами ПТК «Интернет-Банк» обеспечивается многоуровневой аутентификацией клиента. Кроме привычного логина и пароля, каждому выдается уникальный защищенный носитель – eToken ГОСТ.

Носитель eToken ГОСТ – персональное устройство формирования квалифицированной электронной подписи, которое обеспечивает гарантированную безопасность операций пользователей. Это техническое средство соответствует всем необходимым требованиям российских нормативно-правовых документов: Ф3-63 «Об электронной подписи», «Специальным требованиям и рекомендациям по технической защите конфиденциальной информации» ФСТЭК России, СТО БР ИББС-1.0-2010, обладает сертификатом соответствия ФСБ России СФ/124-1671.

С виду eToken ГОСТ выглядит как обычная флешка, но это только внешнее сходство. На деле это очень надёжное и высокотехнологичное устройство. Подключаясь к ПТК «Интернет-Банк», клиент генерирует секретные ключи электронной подписи и запрос, отвечая на который удостоверяющий центр выпускает именной сертификат проверки ключа электронной подписи (СКПЭП), после чего ключ записывается на eToken ГОСТ.

Хранящиеся на устройстве данные защищены от несанкционированного использования как программно, так и физически. eToken ГОСТ устроен так, что записанный на нём секретный ключ пользователя банковского сервиса нельзя скопировать. Даже если устройство украдут и разберут на детали, получить доступ к хранящейся на нём информации невозможно. Оно защищено от несанкционированного использования PIN-кодом, который устанавливается владельцем носителя. Счётчик-ограничитель накладывает блокировку после нескольких неверных попыток ввода PIN-кода злоумышленником.

БЕСКОНТАКТНОЕ БУДУЩЕЕ

Выпуск банковских карт MasterCard PayPass, работающих по бесконтактной технологии, ОАО «Московский индустриальный банк» начал первым из банков в России. Ранее мы одними из первых сертифицировали эквайеринг по технологии PayPass, моментальные переводы Visa (VMT Fast Fund). Инновационная технология моментальных бесконтактных платежей Tap&Go (в переводе с английского – «прикоснись и готово»), завоевавшая высокую популярность в Европе, позволяет быстро, безопасно и просто совершать мелкие покупки.

Для проведения платежа держателю карты MasterCard PayPass достаточно лишь прикоснуться картой к контактной площадке терминала, оплата происходит мгновенно. Если сумма покупки превышает 1000 рублей, держателя попросят ввести PIN-код, но сам платеж при этом также совершается бесконтактно.

С использованием технологии бесконтактных платежей PayPass реализован проект выпуска кампусных пластиковых карт Master Card Mass (Gold). Кампусные карты – электронный «пропуск» студентов, аспирантов и преподавателей к информационным, сервисным и платёжным услугам образовательного учреждения. Первые кампусные карты были выпущены для Финансового университета при Правительстве РФ, далее – ещё для нескольких образовательных учреждений Москвы, а также других городов, где есть отделения ОАО «Московский индустриальный банк».

Московский Индустриальный банк заключил соглашение о сотрудничестве с компанией «Спутник – ISIC». Это российская лицензированная организация Международной Ассоциации ISIC (International Student Identity Card – международное удостоверение студента), которая разрабатывает и продвигает в учебных заведениях России совместные кампусные проекты. Компания «Спутник – ISIC» участвует в выполнении международной программы поддержки студентов предоставлением в 120 странах мира привилегий, льгот и скидок на проживание, развлечения, товары в магазинах, посещение музеев, путешествия, питание.

Сотрудничество банка и компании «Спутник – ISIC» позволяет кампусным картам вдобавок к основным задачам также выполнять функции международного студенческого удостоверения. Использование такой кампусной карты, удобного многофункционального средства, будет приобщать молодых людей к использованию современных банковских продуктов и технологий.

БАНКИНГ-«ДУПЛЕКС»

Мобильный банкинг – одно из модных новшеств, которое уже несколько лет продвигается банками на рынке розничных дистанционных финансовых услуг. Неправильно считать его дополнительной опцией интернет-банкинга. В ОАО «Московский индустриальный банк» к созданию нового сервиса подошли со всей ответственностью, начиная с этапа проектирования. С самого начала было решено, что функциональные возможности мобильного банкинга не должны уступать аналогичному интернет-сервису.

В техническое задание вошли следующие требования: доступность сервиса на большинстве современных мобильных телефонов, простой и удобный интерфейс, сведение к минимуму дополнительных расходов на сотовую связь (SMS-сообщения, GPRS). Была поставлена задача унифицировать средства идентификации, чтобы не загружать память клиента дополнительным комплектом идентификаторов и паролей для входа в мобильный банк. Непросто было найти баланс удобства и безопасности стандартных финансовых операций. Путём, например, проведения операций с небольшими суммами без подтверждения динамическим паролем.

У внешних разработчиков не нашлось мобильного приложения, которое бы отвечало всем перечисленным требованиям и могло полностью интегрироваться в существующую в банке систему «Телебанк». Пришлось делать разработку мобильного банкинга собственными силами, и результат оказался удачным: среди подобных разработок он занял лидирующее место в рейтинге агентства Markswebb Rank & Report. Наша разработка продвигалась специалистами компании «Compass Plus» вместе с их аналогичным продуктом, созданным на её основе, и была внедрена во многих российских и зарубежных банках.

В ОАО «Московский индустриальный банк» разработанные нами приложения «Мобильный банк» для платформ iOS, Android и Java полностью интегрированы в систему дистанционного банковского обслуживания «Телебанк». Что очень удобно для клиента, поскольку большинство операций одинаково возможно проводить в обоих видах банкинга.

Интернет– и мобильный банкинг – своеобразный «дуплекс», параллельные равноправные инструменты доступа к средствам на своих банковских счетах, управления ими, а также другими смежными сервисами. Для обоих видов банкинга действителен единый PIN-код, совершить почти любую операцию можно как в одном, так и в другом – создать шаблон платежа или провести оплату, оформить или блокировать виртуальную банковскую карту, отслеживать совершённые операции.

«Двойной» сервис – мобильный и интернет-банкинг – сопровождается мерами информационной безопасности. Сама возможность использования обоих сервисов предоставляется клиенту после его идентификации в подразделении банка, куда он лично подаёт заявление о присоединении к Правилам дистанционного финансово-сервисного обслуживания. Вход в системы мобильного и интернет-банка совершается через ввод PIN-кода, который клиенты получают в конверте вместе с банковской картой.

Также для подтверждения операций можно использовать пароли, сформированные с помощью криптокалькулятора – виртуального устройства на официальном сайте банка. Его использование повышает уровень безопасности платежей и является обязательным, когда клиент дистанционно работает со средствами на своём банковском счёте, находясь за границей.

Каждый инцидент, связанный с несанкционированным списанием средств, тщательно расследуется службой безопасности банка исходя из «презумпции невиновности клиента». Среди мер защиты банком своих клиентов и их интересов – обстоятельное информирование, в том числе в корпоративном издании, о возможных способах мошенничеств и о рекомендуемых правилах информационной защиты транзакций.

 

Смотрите также

Подпишись на новости!
Подписаться