15 ноября, 2013

AntiFraud в системе ДБО для юридических лиц


Макоско Андрей

Начальник отдела Департамента безопасности и защиты информации (АКБ «Московский Индустриальный банк» (ОАО))

Расширение перечня средств защиты нейтрализует новые виды атак

В современных системах дистанционного банковского обслуживания (ДБО) применяется все больше различных средств защиты от мошенников, что обусловлено, в первую очередь, появлением новых видов атак.

Наиболее распространенными атаками на клиента являются:

  • хищение логина и пароля для входа в систему;
  • атака на одноразовые пароли, в том числе SMS пароли;
  • хищение ключей электронной подпии (ЭП) с незащищенных носителей (дискет, флэш-носителей, жестких дисков);
  • хищение ключей ЭП из оперативной памяти;
  • несанкционированный доступ к компьютеру и криптографическим возможностям носителя ключевой информации (удаленное управление, удаленное подключение, прямое использование компьютера при действующем сеансе и отсутствии пользователя);
  • подмена электронного документа при передаче его на подпись в носитель ключевой информации.

 

Для обеспечения максимально возможного уровня защиты в системе ДБО, позволяющей противостоять всем известным на сегодняшний день атакам на клиента и выполнения всех требований законодательных актов необходимо:

  • самостоятельное изготовление клиентом своих ключей ЭП;
  • использование транспортных ключей ЭП и сертификатов (при создании ключа ЭП запрос подписывается транспортным ключом ЭП, записанным банком на носитель ключевой информации);
  • подпись ключом ЭП логина и пароля при входе в систему ДБО;
  • использование аппаратных СКЗИ с неизвлекаемым ключом ЭП (сертифицированные ФСБ и ФСТЭК), например eToken ГОСТ;
  • шифрование канала с использованием ГОСТ;
  • использование усиленной квалифицированной электронной подписи;
  • информирование клиента о каждой операции, например с помощью SMS;
  • использование считывателей с возможностью визуального контроля подписываемого документа, например SafeTouch;
  • использование внешней Antifraud-системы по отношению к системе ДБО (AntiFraud — это система обнаружения мошеннических действий в системах дистанционного банковского обслуживания).

Хотя все вышеперечисленное не отменяет соблюдения клиентом элементарных требований по безопасности: применение антивирусов, использование лицензионного ПО, безопасное хранение носителей ключевой информации и т.д.

Однако, в данной статье рассмотрим более подробно описание AntiFraud-системы для юридических лиц применительно к российским условиям.

Зачем использовать AntiFraud-систему? Думаю, многие задают такой вопрос, особенно, если в системе ДБО и так применяются дополнительные средства защиты. Ответ прост, так как AntiFraud-система расположена на стороне банка, она является конечным «звеном» в «цепочке» средств защиты, причем воздействовать на систему мошеннику достаточно проблематично. Поэтому, в случаях не срабатывания других средств защиты, AntiFraud-система оставляет шанс клиенту сохранить деньги. Самым простым примером является несанкционированный доступ при оставлении клиентом своего рабочего места в действующем сеансе системы ДБО с прогруженными ключами ЭП, в нарушение правил безопасности.

На отечественном рынке сейчас представлено немного AntiFraud-систем, «промышленные» в основном зарубежные, хотя встречаются и «кустарные» (самописные под какой-либо банк). Наш рынок только начинает осваивать этот сегмент и в связи с вступлением с 01.01.2014 г. ст.9 Федерального закона от 27.06.2011 г. №161 «О национальной платежной системе» будет активно развиваться, как для юридических лиц, так и для физических (но это тема для отдельной статьи).

Современная AntiFraud-система должна обладать следующими характеристиками:

  • открытая архитектура (не черный ящик), позволяющая оперативно менять любые параметры анализа, правила, алгоритмы, количество начисляемых баллов и т.д. без привлечения сторонних организаций. Также такая система позволяет администрировать средство защиты информации (AntiFraud-систему) силами своих специалистов по информационной безопасности (что полностью соответствует требованиям п.2.14.5 Положения ЦБ №382-П и пп.7.8.7, 7.9.4, 8.12.1 Стандарта Банка России СТО БР ИББС-1.0-2010);
  • удобный пользовательский интерфейс, в том числе графический, как для администраторов, так и для операторов (корректировка правил, разнообразные отчеты, статистика и т.д.);
  • построена на основе скоринговой модели, позволяющей достаточно тонко настроить большое количество правил с выдачей итогового результата отнесения электронного документа к категории «подозрительных», что в свою очередь уменьшает количество подозрительных операций, отправленных на ручную обработку;
  • поддержка работы с черными и белыми списками с возможностью работы сразу по нескольким полям (номер счета получателя, ИНН, наименование получателя и т.д.);
  • самообучаемость. Обычно создается профиль клиента, который позволяет анализировать новые платежные поручения клиента на основании совершенных ранее и система сама при необходимости меняет определенные параметры, что значительно уменьшает количество ложных срабатываний системы;
  • интеграция с любыми системами ДБО (в том числе собственной разработки);
  • низкий процент ложных срабатываний (не более 3%). Система должна позволять специалистам банка, ответственным за обработку, физически успевать обрабатывать «подозрительные» электронные документы (проанализировать и связаться с клиентом);
  • наличие среды тестирования (например, при написании новых правил в существующей системе данных);
  • работа в режиме реального времени (высокая скорость обработки событий). Для своевременного выявления и предотвращения попыток мошенничества необходимо моментально оповещать ответственных лиц о подозрительных электронных документах до момента обработки электронных документов;
  • возможность автоматической рассылки уведомлений в соответствующие структурные подразделения о подозрительных электронных документах с результатами фрод-анализа;
  • успешный опыт внедрения в нескольких российских банках;
  • стоимость. При оценке возможного бюджета на внедрение AntiFraud-системы необходимо учитывать риски.

Работа AntiFraud-системы заключается в анализе событий, поступающих в систему, которые несут в себе информацию о платеже юридического лица с детализацией. Каждое событие должно обрабатываться по определенным правилам.

Анализ событий должен проходить, как минимум, по следующим правилам:

  • различие по видам платежей (физическому лицу, юридическому лицу, в адрес государственных органов и т.д.), определяется по счету получателя;
  • проверка наименования получателя, счета получателя, ИНН по черным и белым спискам;
  • проверка по профилю клиента (осуществлялся ли платеж с данного ip-адреса, в адрес данного получателя, платеж самому себе, выявление аномального времени осуществления платежа и сумм, превышение нормированного значения суммы и количества платежей за определенный период времени и т.д.);
  • назначение платежа (на наличие определенных словосочетаний, которые по статистике используются в мошеннических платежных поручениях);
  • нижний порог суммы платежа (отдельного для физических и для юридических лиц), для уменьшения количества ложных срабатываний (мелкие платежи);
  • банк получатель (новый банк, платеж осуществлен в свой банк и т.д.);
  • платежи в адрес операторов сотовой связи;
  • регион банка получателя (платеж в своем регионе или в чужой);
  • «общие» счета банка получателя для зачисления физическим лицам.

В заключение необходимо отметить, что система ДБО является услугой и предоставляется клиенту банком, а значит именно банк, в первую очередь, должен приложить все усилия, чтобы сделать свою систему максимально безопасной. И AntiFraud-система, конечно, поможет достичь этой цели.

 

 

Смотрите также

Подпишись на новости!
Подписаться