5 ноября, 2014, BIS Journal №4(15)/2014

Управление рисками финансовых организаций при дистанционном обслуживании клиентов


Крутов Сергей

кандидат технических наук, доцент (Центр исследования безопасности информационных технологий ООО «ЦИБИТ»)

Тушканова Ольга

заместитель начальника управления инженерно-технических экспертиз (Экспертно-криминалистический центр МВД России)

Дистанционное обслуживание клиентов финансовых организаций в России имеет ярко выраженную специфику

Сложность защиты от мошенничества определяется невозможностью полного контроля всей среды прохождения финансовых транзакций дистанционного банковского обслуживания (ДБО). Авторы статьи показывают, что только комплекс мероприятий на всех технологических участках позволяет минимизировать риски финансовых организаций при использовании ДБО.

 

ПРИЧИНЫ РАЗВИТИЯ ДБОИ СОПУТСТВУЮЩИЕ РИСКИ

Начнем с перечисления основных причин развития ДБО:

  1. Розничный бизнес является стратегическим направлением развития банка.
  2. Востребовано сокращение операционных затрат, особенно в розничном бизнесе.
  3. Высокотехнологичные системы ДБО являются имиджевой составляющей банка.

Любая система ДБО характеризуется большим количеством банковских рисков в силу наличия неконтролируемой банком технологической среды и конечных пользователей (клиентов). Перечислим банковские риски, связанные с использованием систем ДБО:

  1. Операционный риск.
  2. Правовой риск.
  3. Стратегический риск.
  4. Риск потери деловой репутации.
  5. Риск ликвидности.

Поскольку банки в своей деятельности используют, как правило, несколько систем ДБО, необходимо учитывать взаимное влияние банковских рисков, сопутствующих каждой системе ДБО и интегрируемым с системами ДБО различным банковским системам (технологическая безопасность). Следовательно, управление банковскими рисками необходимо строить таким образом, чтобы оно охватывало всю конкретную технологическую цепочку. Существует множество критериев эффективного управления банковскими рисками при использовании систем ДБО, однако, самым эффективным является превентивное управление. Особенно важным при превентивном управлении являются развитие систем мониторинга систем ДБО и упреждающее повышение производительности вычислительных систем.

Отдельно отметим возможные банковские риски в случае заключения банком договора с банковским платежным агентом. В соответствии с Федеральным законом от 27 июня 2011 года № 161-ФЗ «О национальной платежной системе», банковский платежный агент – юридическое лицо, не являющееся кредитной организацией, или индивидуальный предприниматель, которые привлекаются кредитной организацией в целях осуществления отдельных банковских операций. С одной стороны, развитие сети банковских платежных агентов – экономически оправданный путь замещения нерентабельных филиалов банка, с другой стороны – возникает необходимость для кредитной организации осуществлять контроль за деятельностью банковского платежного агента.

Ситуация осложняется возможностью привлечения банковским платежным агентом банковского платежного субагента. Банковский платежный субагент – юридическое лицо, не являющееся кредитной организацией, или индивидуальный предприниматель, которые привлекаются банковским платежным агентом в целях осуществления отдельных банковских операций (ФЗ-161). В соответствии с этим законом, банковский платежный агент осуществляет свою деятельность от имени кредитной организации.

Таким образом, создание полноценной системы контроля сети банковских платежных агентов является очень важной задачей, с учетом того, что менталитет небанковских организаций существенно отличается от менталитета банков, особенно с точки зрения четкости выполнения нормативных актов Банка России и прозрачности деятельности.

РОССИЙСКАЯ СПЕЦИФИКА

Для эффективного управления банковскими рисками при использовании ДБО особенно важно учитывать российскую специфику. Состоит она из нескольких факторов. На первое место следует поставить низкую техническую подготовку конечного пользователя (клиента), зачастую граничащую с полной технической безграмотностью. Объяснения этому можно найти и в исторических фактах – слова «компьютер» и «компьютерная грамотность» впервые прозвучали только во второй половине 80-х годов прошлого века, и в современных условиях, когда к интенсивному развитию информационных технологий не готово большинство населения, особенно старшего возраста. Этот фактор также тормозит развитие программных средств ДБО.

Важным фактором российской специфики является правовой нигилизм и халатность клиентов. Следовательно, для минимизации рисков банкам необходимо уделять особое внимание гражданско-правовым договорам с учетом существующей судебной практики.

Еще один немаловажный фактор российской специфики – это проблема однозначной идентификации физического лица, которая требуется в соответствии с законодательством. Федеральный закон от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» определяет понятие идентификации как совокупность мероприятий по установлению определенных настоящим Федеральным законом сведений о клиентах, их представителях, выгодоприобретателях, бенефициарных владельцах, по подтверждению достоверности этих сведений с использованием оригиналов документов и (или) надлежащим образом заверенных копий.

Для физического лица существует понятие упрощенной идентификации физического лица – установление фамилии, имени и отчества (если иное не вытекает из закона или национального обычая), реквизитов документа, удостоверяющего личность клиента (Положение Банка России от 19.08.2004 № 262-П «Об идентификации кредитными организациями клиентов и выгодоприобретателей в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»).

В настоящее время существует множество механизмов реализации процедур идентификации и аутентификации. На первое место по функциональности и защищенности следует поставить смарт-карты. В качестве разновидности смарт-карт в банках широко распространены электронные ключи e-Token. Также для банковской деятельности характерна аутентификация через SMS. Все большее распространение получает многофакторная аутентификация.

ОСНОВНЫЕ ВИДЫ МОШЕННИЧЕСТВА

Рассмотрим основные виды мошенничества в системах ДБО. Все виды мошенничества направлены на получение/дублирование секретной информации (ее носителя), с помощью которой клиент проходит процедуры идентификации, аутентификации и авторизации. Отличия  –  только в способах получения/дублирования данной секретной информации (ее носителя).

В силу исторических причин, наибольшее распространение в системах ДБО в качестве носителя секретной информации получили пластиковые карты, и именно к этому виду носителей применяется наибольшее количество видов мошенничества, которые отрабатывались десятилетиями. Перечислить их всех в рамках данной статьи невозможно, рассмотрим только некоторые, следующие из факторов российской специфики. Например, по причине халатности и правового нигилизма клиенты разглашают PIN-код или путем его записи непосредственно на карточку, или путем так называемого «дружественного мошенничества» – разглашения PIN-кода членам семьи, близким друзьям, коллегам по работе. Еще пример – когда из-за фактора технической неграмотности клиенты впадают в панику при получении SMS-сообщения «Ваша банковская карта заблокирована» со всеми вытекающими для них последствиями.

Как уже отмечалось выше, для борьбы с такими несложными видами мошенничества хорошо подходит гражданско-правовой договор, где должен быть явно указан основной принцип безопасности платежной системы: «PIN-код известен только держателю карты, и все операции, подтвержденные PIN-кодом, считаются выполненными непосредственно держателем карты».

Еще одним фактором российской специфики является формирование рынка платежных карт практически только за счет зарплатных проектов (более 80%), поэтому существует огромный перекос в сторону дебетовых карт, которые клиентами используются в основном для периодического снятия зарплаты в банкомате. Кроме того, в России банкоматы широко используются еще и в качестве платежных терминалов. Учитывая эти факторы, банкам необходимо прилагать наибольшие усилия в направлении противодействия использования мошенниками банкоматов в качестве технических средств получения/дублирования секретной информации (ее носителя).

На компьютерную неграмотность клиентов накладывается хорошая проработанность и согласованность преступного бизнеса. Относительная простота и стабильность технологии ДБО в области платежных пластиковых карт, а также постоянное удешевление элементной базы, появление простых технологий литья и 3D-печати привели к тому, что размер денежных вложений для вхождения в преступный «карточный бизнес» постоянно снижается, а размеры и скорость отдачи увеличиваются.

Наибольшей популярностью у преступников пользуются скиммеры (внешние накладки на банкомат, его клавиатуру и картоприемник и т.п.) Такие приспособления камуфлируются как под конкретные модели банкоматов, так и под антискимминговые устройства. Достаточно часто в преступной практике встречаются скиммеры для антискиммеров – различные вкладки и накладки для установки на антискиммеры.

Большое внимание кардеры уделяют преодолению систем активного противодействия скиммингу. В настоящее время защита, использующая джиттеры, генераторы радиоэлектронных помех, уже теряет свою актуальность, поскольку средства их преодоления не только разработаны, но и широко используются.

СРЕДСТВА ЗАЩИТЫ

На текущий момент средства защиты для банкоматов широко представлены на рынке. К ним относятся, прежде всего, системы активного и пассивного противодействия скиммингу, системы охранных сигнализаций банкоматов. При этом выбор средств защиты должен, прежде всего, определяться глубоким изучением вопроса, проведением тестирования таких устройств, а не базироваться на их рекламе.

Практика показывает высокую эффективность систем видеонаблюдения, интегрированных в программное обеспечение банкоматов. Они позволяют:

  • записывать титры на видеозаписи, в частности, номер карты и наименование операции;
  • записывать полную клиентскую сессию без прерываний;
  • производить поиск в архиве по номеру карты;
  • производить совместную запись по командам программного обеспечения банкоматов и детектора движения;
  • отправлять сообщения о любом событии в систему мониторинга банка.

Также можно рекомендовать банкам вводить ограничения на суммы, снимаемые в банкомате клиентами по зарплатным проектам, в зависимости от месторасположения банкомата. Известны примеры, когда банки на пластиковых карточках по зарплатным проектам наносятинформацию только на чип, не используя магнитную полосу, что существенно снижает риск мошенничества.

Что касается мошенничества с использованием программных систем ДБО (интернет-банк, мобильный банк), то количество случаев существенно ниже, чем с пластиковыми картами, но объемы похищенных средств более значительны.

Перечислим наиболее критические уязвимости программных систем ДБО:

  • недостатки механизмов идентификации;
  • недостатки механизмов аутентификации;
  • недостатки механизмов авторизации;
  • избыточная функциональность, приводящая к недокументированным возможностям;
  • возможность внедрения внешних сущностей XML;
  • возможность внедрения операторов SQL;
  • уязвимости на уровне кода web-приложений;
  • недостатки конфигурации;
  • использование устаревших версий программного обеспечения.

Уязвимы практически все звенья цепочки человек-компьютер-банк. Пре-ступники используют разнообразные средства, начиная от методов социальной инженерии (в отношении как  клиентов, так и сотрудников кредитной организации – при непосредственном общении и в интернете) и заканчивая использованием вредоносного программного обеспечения. Чаще всего данные методы применяются комплексно.

В настоящее время специалисты выделяют несколько технических способов получения возможности управления чужим банковским счетом с использованием вредоносного программного обеспечения. Преступниками используются троянские программы на компьютере и мобильном телефоне пользователя ДБО, фишинговые сайты, перевыпускаются SIM-карты, компрометируется сеть кредитной организации. Разнообразен и арсенал обналичивания украденных денежных средств. Преступники используют счета организаций и граждан, пополняют лицевые счета абонентов сотовой связи, используют различные виды электронных денег и т.д.

Можно с уверенностью говорить о том, что в настоящее время не существует таких технологий в ДБО, которые не могут быть преодолены.

ПРОТИВОДЕЙСТВИЕ ЗЛОУМЫШЛЕННИКАМ

Для борьбы с данными видами мошенничества можно рекомендовать банкам обеспечивать своих клиентов сведениями о правилах сетевой безопасности и использования программного обеспечения на компьютерах, предназначенных для ведения финансово-хозяйственной деятельности и ДБО. Кроме того, на уровне гражданско-правового договора следует требовать от клиентов установки на компьютеры систем мониторинга, которые фиксируют состояние антивирусной базы, обновления программного обеспечения и операционной системы, время проведения операций в системах ДБО и т.п., а также обеспечивать клиентов сведениями о правилах использования программного обеспечения.

Особняком среди способов компрометации платежных пластиковых карт стоит использование поддельных банкоматов. Как правило, на таких устройствах размещаются логотипы несуществующих банков, они имитируют типовой процесс обслуживания держателя платежной карты (устройства показывают заставки, приглашающие держателя выбрать язык общения, вставить карту и ввести PIN-код, выбрать операцию, после чего экран с сообщением о соединении с сервером сменяется сообщением об отсутствии такого соединения). Однако вместо связи с банком поддельный банкомат отправляет злоумышленникам по электронной почте письмо с перехваченными данными. Использование таких устройств не оставляет никаких следов у кредитных организаций.

Для выявления мошеннических действий в системах ДБО эффективной является интеллектуальная оценка банковских транзакций в ре- альном времени, которая становится возможной, если анализировать весь объем операций с помощью систем класса Fraud Management System (FMS). Анализ того, является ли банковская транзакция мошеннической, проводится по предустановленным правилам, а также путем проверки соответствия логики действий клиента его профилю, который составляется заранее на основе исторических данных. По итогам такой оценки система FMS позволяет предотвращать мошеннические атаки в соответствии с принятыми в банке процедурами реагирования на инциденты. Хорошей характеристикой FMS-систем является возможность настраиваемого самообучения, т.е. автоматическая настройка параметров объектов FMS-системы (стратегий, моделей, схем, правил, сценариев и т.д.) с учетом получаемых данных.

ОРГАНИЗАЦИОННЫЕ МЕТОДЫ ЗАЩИТЫ

Важно отметить эффективность организационных методов защиты, о которых часто забывают в погоне за новейшими техническими средствами защиты. Необходимо организовать грамотное реагирование на сообщения держателей платежных карт о неправомерных списаниях денежных средств, вести правильный учет и анализ этих сообщений. В раздел организационных методов защиты также входит организация защиты от собственных сотрудников, которая становится все более актуальной.

Согласно статистике, на 10 инцидентов в области информационной безопасности только 1 приходится на внешнего «хакера», ещё 1 – на озлобленного, обиженного сотрудника и остальные 8 – на нерадивых, безответственных и плохо обученных сотрудников предприятия. В этой связи банкам необходимо особое внимание уделять обучению и переподготовке персонала в области информационных технологий.

Также рекомендуем банкам назначать на должности по направлению информационной безопасности сотрудников, имеющих специализированное образование. Авторы статьи не разделяют общепринятое мнение о кадровом «голоде» в этой области, поскольку уже на протяжении 20 лет ведущие ВУЗы страны готовят специалистов по информационной безопасности в соответствии с федеральными государственными образовательными стандартами. К тому же, сегодняшний уровень развития программно-аппаратных средств защиты информации достаточно высок, чтобы можно было построить и поддерживать эффективную систему защиты в банке весьма небольшим количеством сотрудников в области информационной безопасности. Гораздо более важно не их количество, а их квалификация.

Более подробно с материалами, изложенными в статье, вы можете ознакомиться на курсах повышения квалификации и профессиональной подготовки в Центре исследования безопасности информационных технологий (ЦИБИТ).

 

 

Смотрите также

Подпишись на новости!
Подписаться