AntiFraud в системе ДБО для юридических лиц
В современных системах дистанционного банковского обслуживания (ДБО) применяется все больше различных средств защиты от мошенников, что обусловлено, в первую очередь, появлением новых видов атак.
Наиболее распространенными атаками на клиента являются:
- хищение логина и пароля для входа в систему;
- атака на одноразовые пароли, в том числе SMS пароли;
- хищение ключей электронной подпии (ЭП) с незащищенных носителей (дискет, флэш-носителей, жестких дисков);
- хищение ключей ЭП из оперативной памяти;
- несанкционированный доступ к компьютеру и криптографическим возможностям носителя ключевой информации (удаленное управление, удаленное подключение, прямое использование компьютера при действующем сеансе и отсутствии пользователя);
- подмена электронного документа при передаче его на подпись в носитель ключевой информации.
Для обеспечения максимально возможного уровня защиты в системе ДБО, позволяющей противостоять всем известным на сегодняшний день атакам на клиента и выполнения всех требований законодательных актов необходимо:
- самостоятельное изготовление клиентом своих ключей ЭП;
- использование транспортных ключей ЭП и сертификатов (при создании ключа ЭП запрос подписывается транспортным ключом ЭП, записанным банком на носитель ключевой информации);
- подпись ключом ЭП логина и пароля при входе в систему ДБО;
- использование аппаратных СКЗИ с неизвлекаемым ключом ЭП (сертифицированные ФСБ и ФСТЭК), например eToken ГОСТ;
- шифрование канала с использованием ГОСТ;
- использование усиленной квалифицированной электронной подписи;
- информирование клиента о каждой операции, например с помощью SMS;
- использование считывателей с возможностью визуального контроля подписываемого документа, например SafeTouch;
- использование внешней Antifraud-системы по отношению к системе ДБО (AntiFraud — это система обнаружения мошеннических действий в системах дистанционного банковского обслуживания).
Хотя все вышеперечисленное не отменяет соблюдения клиентом элементарных требований по безопасности: применение антивирусов, использование лицензионного ПО, безопасное хранение носителей ключевой информации и т.д.
Однако, в данной статье рассмотрим более подробно описание AntiFraud-системы для юридических лиц применительно к российским условиям.
Зачем использовать AntiFraud-систему? Думаю, многие задают такой вопрос, особенно, если в системе ДБО и так применяются дополнительные средства защиты. Ответ прост, так как AntiFraud-система расположена на стороне банка, она является конечным «звеном» в «цепочке» средств защиты, причем воздействовать на систему мошеннику достаточно проблематично. Поэтому, в случаях не срабатывания других средств защиты, AntiFraud-система оставляет шанс клиенту сохранить деньги. Самым простым примером является несанкционированный доступ при оставлении клиентом своего рабочего места в действующем сеансе системы ДБО с прогруженными ключами ЭП, в нарушение правил безопасности.
На отечественном рынке сейчас представлено немного AntiFraud-систем, «промышленные» в основном зарубежные, хотя встречаются и «кустарные» (самописные под какой-либо банк). Наш рынок только начинает осваивать этот сегмент и в связи с вступлением с 01.01.2014 г. ст.9 Федерального закона от 27.06.2011 г. №161 «О национальной платежной системе» будет активно развиваться, как для юридических лиц, так и для физических (но это тема для отдельной статьи).
Современная AntiFraud-система должна обладать следующими характеристиками:
- открытая архитектура (не черный ящик), позволяющая оперативно менять любые параметры анализа, правила, алгоритмы, количество начисляемых баллов и т.д. без привлечения сторонних организаций. Также такая система позволяет администрировать средство защиты информации (AntiFraud-систему) силами своих специалистов по информационной безопасности (что полностью соответствует требованиям п.2.14.5 Положения ЦБ №382-П и пп.7.8.7, 7.9.4, 8.12.1 Стандарта Банка России СТО БР ИББС-1.0-2010);
- удобный пользовательский интерфейс, в том числе графический, как для администраторов, так и для операторов (корректировка правил, разнообразные отчеты, статистика и т.д.);
- построена на основе скоринговой модели, позволяющей достаточно тонко настроить большое количество правил с выдачей итогового результата отнесения электронного документа к категории «подозрительных», что в свою очередь уменьшает количество подозрительных операций, отправленных на ручную обработку;
- поддержка работы с черными и белыми списками с возможностью работы сразу по нескольким полям (номер счета получателя, ИНН, наименование получателя и т.д.);
- самообучаемость. Обычно создается профиль клиента, который позволяет анализировать новые платежные поручения клиента на основании совершенных ранее и система сама при необходимости меняет определенные параметры, что значительно уменьшает количество ложных срабатываний системы;
- интеграция с любыми системами ДБО (в том числе собственной разработки);
- низкий процент ложных срабатываний (не более 3%). Система должна позволять специалистам банка, ответственным за обработку, физически успевать обрабатывать «подозрительные» электронные документы (проанализировать и связаться с клиентом);
- наличие среды тестирования (например, при написании новых правил в существующей системе данных);
- работа в режиме реального времени (высокая скорость обработки событий). Для своевременного выявления и предотвращения попыток мошенничества необходимо моментально оповещать ответственных лиц о подозрительных электронных документах до момента обработки электронных документов;
- возможность автоматической рассылки уведомлений в соответствующие структурные подразделения о подозрительных электронных документах с результатами фрод-анализа;
- успешный опыт внедрения в нескольких российских банках;
- стоимость. При оценке возможного бюджета на внедрение AntiFraud-системы необходимо учитывать риски.
Работа AntiFraud-системы заключается в анализе событий, поступающих в систему, которые несут в себе информацию о платеже юридического лица с детализацией. Каждое событие должно обрабатываться по определенным правилам.
Анализ событий должен проходить, как минимум, по следующим правилам:
- различие по видам платежей (физическому лицу, юридическому лицу, в адрес государственных органов и т.д.), определяется по счету получателя;
- проверка наименования получателя, счета получателя, ИНН по черным и белым спискам;
- проверка по профилю клиента (осуществлялся ли платеж с данного ip-адреса, в адрес данного получателя, платеж самому себе, выявление аномального времени осуществления платежа и сумм, превышение нормированного значения суммы и количества платежей за определенный период времени и т.д.);
- назначение платежа (на наличие определенных словосочетаний, которые по статистике используются в мошеннических платежных поручениях);
- нижний порог суммы платежа (отдельного для физических и для юридических лиц), для уменьшения количества ложных срабатываний (мелкие платежи);
- банк получатель (новый банк, платеж осуществлен в свой банк и т.д.);
- платежи в адрес операторов сотовой связи;
- регион банка получателя (платеж в своем регионе или в чужой);
- «общие» счета банка получателя для зачисления физическим лицам.
В заключение необходимо отметить, что система ДБО является услугой и предоставляется клиенту банком, а значит именно банк, в первую очередь, должен приложить все усилия, чтобы сделать свою систему максимально безопасной. И AntiFraud-система, конечно, поможет достичь этой цели.