31 октября, 2012, BIS Journal №4(7)/2012

Безопасность как часть банковского продукта


Белялова Светлана

Начальник управления контроля за операционными рисками, CISSP, CISA, CISM, MBCI (ЗАО «Райффайзенбанк»)

Основная нагрузка обеспечения безопасности безналичных платежей лежит не на законодателе или клиенте, а на банке

Технологии дистанционного банковского обслуживания пришли к нам из-за рубежа, а вместе с ними и проблема кибермошенничества. Но если уровень использования дистанционных банковских услуг в России пока ещё довольно низкий в сравнении со многими другими странами, то уровень атак на безналичные платежи уже почти такой же. Более того: российские хакеры, разрабатывающие вредоносное программное обеспечение, входят в международные преступные группировки, которые совершают хищения по всему миру. Главная преграда росту количества и масштаба киберпреступлений в сфере электронных платежей – повышение банками уровня информационной безопасности.

ЗАКОН ПРИНЯТ, НО НУЖНА ДОРАБОТКА

В странах, лидирующих в развитии дистанционных банковских услуг, уровень защиты от электронного мошенничества выше, чем в России. Там по мере роста информационных угроз развивалось законодательство и создавались специализированные структуры для противодействия высокотехнологичному криминалитету.

В США, например, закон жёстко стоит на стороне клиента, принят целый комплекс юридических актов, реализующих этот принцип. Спецслужбы США проводят операции против кибермошенников даже за пределами страны. Государство заботится, чтобы клиент чувствовал себя защищённым, и тот, в свою очередь, знает, что его защитит не только банк, но и государство.

Нельзя согласиться с мнением, что в России на государственном уровне недооценивается опасность электронного мошенничества. Напротив, направления и темпы развития законодательства свидетельствуют, что представители законодательной и исполнительной властей правильно понимают уровень и тенденции нарастания киберугроз. Просматривается стремление использовать лучшие мировые наработки и практики, защищать интересы клиентов банков, в особенности – физических лиц.

К сожалению, разрыв между законотворческой работой, нормативно-правовой базой в целом и реальной банковской практикой пока велик. Простое копирование положительного зарубежного опыта не учитывает «национальные особенности», в частности, отсутствие ряда смежных институтов, уровень предоставления банковских сервисов и менталитет населения. В России каждому банку для защиты электронных платежей многое приходится продумывать и делать самостоятельно: организовывать внутренние процессы, внедрять в бизнес-процессы компонент борьбы с мошенничеством, выстраивать взаимодействие с другими банками.

Однако в результате длительной законотворческой работы порой принимаются законы, нормы которых не столько способствуют повышению информационной безопасности банков, сколько создают для них ещё большие проблемы. Пример – федеральный закон от 27 июня 2011 года №161-ФЗ. Некоторые нормы этого закона вызывают у банков большую обеспокоенность, над исправлением недочётов формулировок и устранением пробелов сейчас работают инициативные группы.

В какой-то степени банки в состоянии временно выправить ситуацию, приняв внутренние рекомендации по применению вступающих в силу спорных норм, но разработать их непросто. Представляется продуктивным впредь привлекать к законотворческой работе больше специалистов-практиков, чтобы предотвратить принятие законов с недостаточно проработанными нормами.

К БАЛАНСУ ИНТЕРЕСОВ

В законе «О национальной платежной системе» государство встало на защиту клиентов, что, несомненно, окажет очень существенное влияние на рынок. Правда, какое именно, сразу сказать трудно, поскольку закон сложен для восприятия и, с точки зрения банков, содержит много спорных моментов. К тому же трудно заранее угадать, как именно, согласно подзаконным актам, будут реализовываться те или иные нормы закона.

Закон о НПС повторяет установку развитой зарубежной практики – защищать клиента, дать понять, что банк на его стороне. Такая клиенториентированность – шаг вперед, проблема лишь в том, что, по оценкам банков, в законе допущен слишком сильный перевес в пользу клиента. Ему предоставлено право отказаться от уже совершённой платёжной операции. А интересы банка, к сожалению, в данном законе должным образом не учитываются и не защищаются.

Кражи безналичных средств можно разделить на 2 группы: мошенничество высокотехнологичное – кража данных, выполнение операций от имени ничего не подозревающего пользователя, и обычное, «обывательское». Закон пока оставляет открытыми возможности злоупотребления со стороны не только профессиональных хакеров, но и людей, желающих безосновательно обогатиться за счёт банка.

У клиентов может возникать соблазн отказаться от собственных совершёных транзакций и получить от банка назад уже потраченные деньги. Потому что благодаря закону о НПС клиенты получают возможность интерпретировать любую ситуацию в своих интересах, а финансовые организации будут обязаны компенсировать все заявленные клиентами убытки, связанные с отказом от совершенной операции. Баланс интересов клиента и банка в данном случае не соблюдается.

Та работа, которая ведётся Ассоциацией российских банков и Некоммерческим партнёрством «Национальный платёжный совет», направлена на выравнивание баланса интересов. Иначе получается игра в одни ворота, что на практике не даст того результата, которого добивались те, кто разрабатывал и принимал этот закон. Да, клиенты будут защищены, и даже сверх меры, но банковская система может понести финансовые убытки непредсказуемого размера, и остро встанет вопрос об эффективности всей национальной платёжной системы. И это явно не то следствие, которое хотелось бы видеть результатом вступления в силу новых законов.

Закон о НПС оперирует понятием нарушения: банк не обязан возвращать деньги, потерянные клиентом из-за не соблюдения правил пользования дистанционным обслуживанием. Однако факт нарушения правил клиентом придётся доказывать именно банку, который не может вести расследования за своими пределами, в частности, проводить мероприятия, связанные с разбором инцидента, «на территории» клиента.

Банки этим не занимались и заниматься не будут, поскольку проведение расследований для кредитных организаций не является профильным видом деятельности. У них нет ни ресурсов, ни соответствующих полномочий проводить расследование «на территории» клиента. Это профессиональный сервис, который полноценно может быть реализован только специализированными структурами, а не внутренними силами банков.

Для банковского сообщества необходима реализация механизмов, которые давно и успешно функционируют в мировой практике стран, успешно развивающих направление электронной коммерции при поддержке государственных структур, реализующих методы борьбы с киберпреступностью.

Банкам придётся пересматривать договоры с клиентами, приводить их в соответствие с новым законом. Каждому банку надо будет решать, что клиенту разрешать делать и в каком объеме, что является нарушением, а что нет, потому что никаких нормативных документов и рекомендаций на этот счёт пока не существует.

ПРАВО НА БЛОКИРОВКУ

Далее, в законе о НПС нет определений порядка превентивной работы по противодействию высокотехнологичному мошенничеству, которая по- прежнему остаётся делом самих банков. Получается, что каждому банку придётся и дальше работать в этом направлении на основании собственного опыта и представлений о наиболее эффективных методах защиты платёжной системы.

Итак, банку приходится не допускать убытков, ни собственных, ни клиента. Если у клиента банка украли деньги – это проблемы банка, его репутационные риски. Как могут банки выходить из этой непростой ситуации? Определенным подспорьем является межбанковский обмен опытом организационной и технической подготовки противодействия хищениям.

Создание единых методов борьбы с киберпреступностью для банковского сообщества поможет поставить заслон мошенникам, предотвратить применение преступниками типовых схем и минимизировать последствия попыток хищений. Пока преждевременно говорить о наличии общего подхода к выявлению и предотвращению электронного мошенничества в платёжных системах, либо легитимной системы взаимодействия банков на данном этапе нет. Несмотря на тот факт, что некоторые механизмы такого взаимодействия созданы и работают, тем не менее, каждому банку приходится противодействовать преступникам, в основном, самостоятельно.

Как известно, преступление лучше всего предотвратить, и среди важнейших мер обеспечения сохранности средств на счетах клиентов – превентивные. Но положения закона о НПС ограничивает возможности банка предотвращать хищения путём блокировки подозрительных платежных операций.

Коллективный опыт банков и правоохранительных органов свидетельствует: преступные группировки действуют слаженно и быстро, взаимодействие их участников отработано. Одни собирают краденые данные клиентов банков, другие анализируют, каким образом украсть, третьи крадут, списывая средства с чужих счетов, четвертые обналичивают в банкоматах. Таков неполный перечень действий злоумышленников в платежных системах.

В действиях преступников есть свои закономерности. Их атаки, как правило, сфокусированы на больших группах клиентов, выделенных по определённым признакам. Такие информационные атаки банк может выявить достаточно легко, определив с большой вероятностью мошеннические платежи.

Однако закон о НПС запрещает блокировку платежей без прямого указания клиента. Какие тогда остаются возможности у банка приостановить платёж, явно уходящий на счета мошенников? Учитывая, что после того, как средства будут переведены, их вернуть практически невозможно. В настоящее время вся работа банковской системы построена на том, что все операции с деньгами на электронном счёте клиента происходят по его воле, если он авторизовался установленным способом. Если клиент требует вернуть платёж, отказываясь, что сам его совершал, банк может инициировать процедуры возврата.

Но банк-получатель платежа обязан спросить, на каком основании он должен вернуть деньги. Нужно либо решение суда, либо волеизъявление клиента. Но к моменту обращения клиента, не говоря уже о решении суда, будет поздно: времени, чтобы обналичить деньги, у мошенников будет с избытком. Банк-получатель не может по закону отказать клиенту-получателю платежа в выдаче средств, которые пришли на его счет.

Закон о НПС запрещает банкам блокировать подозрительные переводы средств. Клиент оказывается перед фактом, что его деньги кем-то переведены в другой банк и обналичены, а банк клиента обязывается компенсировать украденное. Механизм блокировки и возврата сомнительных платежей – действенный способ противодействия хищениям, который успешно работает во всем мире и снижает количество преступлений. Раз закон о НПС не предусматривает для банков такого права, нужно как можно скорее создавать нормативно-правовые основания приостановки подозрительных платежей.

КОНТРОЛЬ НЕ ДОЛЖЕН БЫТЬ ИЗБЫТОЧНЫМ

В настоящее время хакерам уже не нужно взламывать информационную защиту банковских серверов. Мошенники атакуют самое слабое звено – клиента, занимаются сбором данных (harvesting), которые анализируют, определяя, к какой системе ДБО они относятся, и потом от имени клиента производят платежи в свою пользу.

Рядовой пользователь интернета всегда рискует посетить ресурс, заражённый вредоносным программным обеспечением. Существуют коды, которые автоматически переносят на страницы-ловушки и собирают данные клиента, в том числе позволяющие распоряжаться деньгами на банковском счёте. Разнообразное malware работает так, что клиент не видит, не знает и не может определить, что его идентификационные данные уже украдены.

Мошенники крадут данные клиента, которые позволяют распоряжаться средствами на счёте. Получается, что именно на банки, а не на клиента ложится задача обеспечить защиту этих данных, предотвратить их кражу и использование. Прежде такая задача обеспечивать информационную безопасность клиентских мест перед банками никогда не стояла.

Чтобы выполнить эту новую задачу, нужно понимать исходную ситуацию. В России клиенты только начинают широко пользоваться ДБО и пока не владеют полной информацией ни о существующих угрозах, ни и о том, как им противостоять. Рассказывать россиянам только об информационных угрозах значило бы отпугнуть от современных банковских сервисов. Такие сведения должны быть уравновешены доходчивым информированием о правилах информационной безопасности электронных платежей.

Положительным примером является лучшая зарубежная практика: люди могут чувствовать себя защищенными, зная об уровне киберугроз. Потому что знают, что делать, если обнаружили пропажу средств. Среди клиентов ДБО – совершенно разные люди, от новичков до продвинутых пользователей. Есть те, кто понимают, что такое информационная безопасность, и в состоянии самостоятельно обеспечить её на достаточном уровне. Но есть и такие, кто не умеют и не хотят об этом заботиться, предпочитая, чтобы всё за них сделал банк.

Рассмотрим проблему на примере антивирусного программного обеспечения. Банки теоретически могут сами устанавливать антивирусы на персональный компьютер клиента или включить такое требование в договоры банковского обслуживания. Но этого мало, поскольку антивирусное программное обеспечение – лишь часть информационной безопасности. Да и с этим вопросом много проблем: если банки начнут требовать поставить антивирус, то, как минимум, придется уточнить, от какого разработчика и какую версию.

В таком случае банку придётся контролировать всех клиентов на предмет наличия актуальной версии антивируса, либо не допускать к обслуживанию с незащищенного рабочего места. Такие технические средства есть, но они накладывают существенные ограничения на электронное устройство клиента, в частности могут отклонить запрос клиента на доступ в систему ДБО и совершение операций. В таких случаях возможны претензии со стороны клиентов к уровню банковского сервиса.

Ещё один вопрос, захотят ли клиенты, чтобы их дополнительно контролировали. Ведь для обеспечения безопасной среды может потребоваться мониторинг многих параметров: какие сайты человек посещает со своего компьютера, какое программное обеспечение установлено, от кого получает электронные письма. Люди могут воспринять такой контроль как вмешательство в свою жизнь. Вряд ли хоть один банк пойдёт по такому пути. Отсутствие описанного контроля может оказаться предпочтительным для клиентов, и банки, где его не будет, получат конкурентное преимущество.

Но даже такой полный контроль, в силу изменчивости вредоносного программного обеспечения и появления новых форм атак, не сможет гарантировать 100% безопасности клиентских данных и ДБО. Более того, если банк выставил подобные требования, клиент их соблюдал, но его безналичные средства всё равно оказались похищены, это лишь усиливает аргументы клиента в пользу получения компенсации.

НЕ ПУГАТЬ, НО ИНФОРМИРОВАТЬ

Зарубежный опыт также показывает, что среду, в которой работает клиент, контролировать невозможно, поэтому банки обеспечивают безопасность электронных платежей другим путем. По мнению специалистов банковской группы «Райффайзен», правильное направление противодействия электронному мошенничеству в системах ДБО – transaction monitoring, мониторинг и анализ параметров транзакций. В том числе технических параметров, которые позволяют оценить наличие или отсутствие антивируса, тип используемого браузера, IP- адрес, с которого осуществляется операция, а также финансовые параметры транзакции – тип, назначение, сумму и получателя платежа.

Второй важнейший момент – возможность клиента участвовать в проведении транзакции. Необходимо вовремя уведомить клиента, довести до него информацию, что заявка на операцию сформирована, проведена, чтобы он смог вовремя реагировать. Банку не следует экономить средства на такое оповещение, поскольку важно, чтобы клиент участвовал в принятии решения на нескольких этапах осуществления платежа. Лучше лишний раз переспросить клиента, если у банка есть сомнения, что с данной транзакцией что-то не так.

В сентябре 2012 года Райффайзенбанк запустил новую систему подтверждения активных операций в интернет-банке – Raiffeisen CONNECT. Теперь клиенты Райффайзенбанка смогут подтверждать операции при помощи одноразовых паролей.

В системе Raiffeisen CONNECT доступны 2 способа получения одноразовых паролей для подтверждения активных операций. Пароли можно получить SMS-сообщением на зарегистрированный клиентом номер телефона или с помощью имеющейся у клиента платёжной карты с чипом и кардридера – специального устройства, приобретаемого в отделении банка.

Таким образом, процесс стал гораздо удобнее: если раньше клиенту было необходимо генерировать уникальные цифровые ключи для проведения транзакций, то сейчас достаточно получить на мобильный телефон код подтверждения, уникальный для каждой транзакции, или создать его с помощью кардридера и имеющейся у клиента чиповой банковской карты.

Следует также отметить несколько факторов, из которых складывается безопасность системы ДБО, – защищённость серверной части, надёжность схемы аутентификации и авторизации транзакций, информирование клиентов об операциях по их счетам, оперативное и эффективное реагирование на сообщения клиентов о возможном несанкционированном доступе.

Большинство транзакций в интернет-банкинге связано с карточными счетами. Развитие мошенничества в перспективе не ограничивается тем или иным каналом дистанционного банковского обслуживания, одинаково уязвимы банковские карты, банкоматы, интернет-банкинг и мобильный банкинг. Если атака идёт на банковский счёт клиента, распоряжение средствами на котором доступно по разным каналам, то неважно, какой именно канал атакован.

Интенсивным информационным атакам все каналы ДБО подвергаются одинаково, но для разных каналов применяются разные схемы мошенничества. Если мошеннику не удастся добиться успеха при помощи одной схемы, он попробует другую, атакуя разные каналы. Поэтому, планируя мероприятия обеспечения информационной безопасности, сотрудники банка должны помнить: повышая защищённость одного канала, можно получить усиление атак на другой.

СТРАХОВАТЬ И ПРОСВЕЩАТЬ

Требуется единый подход к обеспечению безопасности всех сервисов ДБО – уже работающих и тех, что будут запущены. Клиент не должен стоять перед выбором, какой из каналов ДБО более безопасен. Сегодня ему удобно платить через банкомат, завтра – с персонального компьютера дома, послезавтра – в другой стране, с ноутбука.

Отдельные меры вроде обязательной установки антивирусного программного обеспечения на компьютере клиента результата не дадут. Банковский счёт клиента должен быть доступен хозяину через любой канал, а банк обязан обеспечить комплексную защиту от хищений. Поэтому банки интегрируют в системы дистанционного банковского обслуживания компоненты обеспечения безопасности, защиты данных, предотвращения несанкционированных операций.

Сделать сервисы ДБО более привлекательными для клиентов могло бы страхование банками информационных рисков. На российском рынке пока нет готовых продуктов по этому направлению, все они находятся в стадии разработки. Этот вид страхования нужно адаптировать к российской действительности, по возможности взяв за основу опыт крупных зарубежных страховщиков. Некоторые страховые компании выражают заинтересованность в его разработке и продвижении. Такое страхование может быть интересно для банков как средство оптимизации затрат на возмещение убытков, а также как средство переноса рисков.

Исходя из конфигурации законодательства, именно банки проявят интерес к страхованию информационных рисков. Зачем клиенту их страховать, если по закону о НПС банк и так обязан компенсировать его потери от хищений? В свою очередь банк, чтобы страховать информационные риски, должен оценить, насколько страховая премия будет адекватной возможным убыткам.

Для страхования информационных рисков предстоит разработать определение страхового случая, процедуры и формат доказательства его наступления. Конкретные определения страхового случая могут различаться в разных банках и страховых компаниях. Но суть останется одной: возможность компенсировать убытки от несанкционированных операций за счет страхового продукта. Наиболее проблемным моментом продолжает оставаться сбор доказательств по инциденту и оценка наличия факта нарушения клиентом требований к использованию платёжного средства.

Безусловно, развитие рынка страховых услуг в данном направлении является перспективным, и для ряда организаций представляет собой одну из наиболее действенных мер переноса рисков.

В массе своей наши сограждане пока не очень хорошо представляют себе, что такое ДБО вообще, все его преимущества и существующие угрозы. Не так много клиентов понимают отличия функциональности разных каналов банковского обслуживания, плюсы и минусы каждого. Общий уровень компьютерной грамотности пока оставляет желать лучшего, массовая миграция в сферу электронных платежей только начинается.

Большинство клиентов плохо представляет угрозы, связанные с переходом от традиционных банковских услуг к электронным. Отсюда либо беспечность, которая может обернуться потерей денег, либо преувеличенные страхи, способные заставить вообще отказаться от банковских IT-сервисов.

В настоящее время преимущественно банки информируют клиентов о правилах безопасности платежей, совершаемых с использованием современных технологий через сеть интернет. У банков это получается в разной степени успешно, поскольку информирование клиентов о средствах и методах обеспечения безопасности является приоритетным направлением только для ряда организаций финансового сектора.

Представляется, что обучение людей правилам информационной безопасности как при работе в сети интернет в целом, так и при проведении электронных платежей в частности, а также более предметное

ознакомление клиентов с функционалом и особенностями проведения электронных платежей является одной из наиболее приоритетных задач банков. Результатами такой работы будут являться как продвижение новых финансовых услуг на рынке, так и повышение уровня доверия клиентов к переходу на новые технологии безопасности платежей.

Обеспечение безопасности должно сопровождать все банковские сервисы, в том числе новые, присутствовать на всех уровнях. Это конкурентное преимущество, часть сервиса, дело банка, которое нельзя перекладывать на клиента.

 

Смотрите также

Very nice = muito bem*

21 сентября, 2012
Подпишись на новости!
Подписаться