Заместитель директора Центра информационной безопасности компании «Инфосистемы Джет» Евгений АКИМОВ изложил в интервью НБЖ свою точку зрения на проблемы при использовании каналов ДБО, на методы минимизации рисков и предотвращения угроз при ДБО, акцентировав внимание на работе систем фрод-мониторинга.
НБЖ: Сервисы дистанционного банковского обслуживания существуют достаточно давно, но внимание экспертов к проблеме безопасности каналов ДБО обострилось лишь в последние годы. С чем, на ваш взгляд, связана эта ситуация?
Е. АКИМОВ: Базовые механизмы защиты сервисов ДБО (на уровне криптографии, усиленной процедуры аутентификации и т.д.) реализованы довольно давно. Тем не менее рост объема мошенничества в системах ДБО составляет, по оценкам экспертов, 2-4 раза в год, а в абсолютном выражении это миллионы долларов.
Однако не все клиенты, использующие сервис ДБО, должным образом контролируют уровень защищенности среды доступа к каналам ДБО, что влияет на эффективность применения традиционных механизмов защиты. Это заставляет финансово-кредитные организации самостоятельно реализовывать дополнительные меры контроля. Многие банки вплотную рассматривают возможность использования систем фрод-мониторинга, позволяющих эффективно реализовывать такую защиту на основе анализа бизнес-логики событий.
НБЖ: Поделитесь вашей точкой зрения, как меняется ситуация на рынке ДБО? Чем отличаются ДБО вчера и ДБО сегодня?
Е. АКИМОВ: Буквально 5-7 лет назад термин «системы дистанционного банковского обслуживания» прочно ассоциировался с инструментом обслуживания среднего и крупного бизнеса. Сегодня системы ДБО для физических лиц стали неотъемлемой частью услуг любого банка, строящего бизнес с частными клиентами. Это связано с несколькими факторами. Во-первых, с развитием высокоскоростных сервисов оплаты услуг, которые больше не требуют от клиента посещений филиала банка или офиса организации. Во-вторых, с конкурентной борьбой между банками и платежными системами виртуальных денег, которые первыми заняли сегмент на рынке осуществления операций через каналы массового обслуживания. Наконец, со снижением себестоимости осуществления таких операций для банков, по некоторым оценкам, на 25-35%.
НБЖ: Какие наиболее актуальные проблемы и угрозы вы бы выделили на сегодняшний день?
Е. АКИМОВ: Они исходят непосредственно из сущности самих систем, характера таких операции и сервисов, в них используемых. В первую очередь, это проблемы идентификации и аутентификации клиентов. Если ранее перевод денежных средств из банка осуществлялся только с предъявлением документов, удостоверяющих личность, или их аналогов, то теперь для идентификации клиента при удаленном обслуживании необходимы принципиально другие средства. С другой стороны, сервисы, обеспечивающие удобство управления счетом для клиента, являются привлекательными и для мошенников. Развитие технологий ДБО, к сожалению, создало не только удобный сервис для клиентов, но и среду по перемещению средств, полученных мошенническим путем с минимальным риском для мошенников обнаружить себя.
Одной из важнейших проблем в этой отрасли является то, что в отличие от тех же карточных операций, совершаемых в рамках МПС, для операций ДБО нет органа, контролирующего требования к осуществлению таких операций. Мы сейчас наблюдаем становление норм и правил, регламентирующих совершение операций через ДБО, в рамках Закона «О национальной платежной системе».
С одной стороны, конкурентная борьба за скорость обслуживания клиентов побуждает банковский бизнес к снижению контрольных функций за проведением рядовых операций.
С другой - любые инциденты в сфере ДБО, информация о которых вышла за пределы организации, несут огромные репутационные убытки в виде недоверия клиентов к предоставляемым сервисам или в виде оттока клиентов. Поэтому в реалиях конкурентной борьбы на перенасыщенном рынке услуг банковского обслуживания защищенность таких систем выходит на первый план. Одним из актуальных направлений нашей работы является построение систем противодействия угрозам при совершении операций через каналы ДБО.
НБЖ: Расскажите о методах минимизации рисков и предотвращения угроз.
Е. АКИМОВ: Сервис ДБО высокотехнологичен и использует самые передовые технологии, в которых традиционно применяются криптографические методы для решения задач обеспечения конфиденциальности и целостности совершаемых операций, а также их аутентичности по отношению к владельцу счета.
Таким образом, классический способ защиты связан с внедрением новых технологических процедур, повышающих уровень защищенности каждого из этих параметров. Однако, как показывает практика, этих методов недостаточно. Сейчас темпы роста количества попыток неправомерных действий со стороны третьих лиц, в том числе успешных, в разы опережают темпы роста самой отрасли ДБО. В этом нет ничего удивительного, такую тенденцию можно проследить при развитии любой технологии, при использовании которой осуществляются хранение, передача и обработка ресурсов, представляющих материальные ценности. Главное - вовремя идентифицировать эти тенденции и заранее принять меры противодействия.
С нашей точки зрения, дополнительным рубежом защиты является анализ логики финансовых операций, т.е. контроль бизнес-логики, для анализа которой криптография неприменима. Давайте посмотрим с математической точки зрения. Любые системы фрод-мониторинга - решение задачи оптимального управления, это максимизация параметров выявления атак и минимизация параметров ложных срабатываний. На уровне математической модели и сделанных допущений определяется степень риска, который готова понести организация. Добавим к этому технологические возможности организации по обработке ложных срабатываний. Исходя из этого строятся коридоры допущения.
Любая совокупность данных об операциях клиента, данных о способе, месте совершения операции (т.е. точки доступа в систему ДБО) и адресате платежа является уникальной характеристикой клиента, и в общем виде набор этих параметров характеризует поведенческую модель. Используя статистические методы анализа, а также проводя постоянный мониторинг случав совершения неправомерных операций, можно выстраивать системы, обеспечивающие предотвращение мошеннических действий. Более того, применяя обширный математический аппарат, можно осуществлять прогнозирование нежелательных событий.
НБЖ: Что представляет собой система фрод-мониторинга?
Е. АКИМОВ: Система фрод-мониторинга - это универсальный комплекс, анализирующий большой поток финансовых операций со всеми их специфическими атрибутами. Эта та область, где математические методы моделирования и прогнозирования занимают свою нишу и действительно начинают эффективно использоваться.
После получения исторических данных система способна выстроить профиль любого пользователя, она накапливает заранее заданные статистические показатели клиента и готовит модель его поведения. Совершение каждой новой операции сравнивается с моделью по ряду признаков, критериям, шаблонам (как доверенным, так и высокорисковым). На основании анализа этих шаблонов поведенческой модели клиента и дополнительных параметров система способна сигнализировать о нарушении количественных параметров и контрольных процедур. Превентивный характер анализа, используемый в системах фрод-мониторинга, позволяет не просто выявлять реализуемые атаки, но и, исходя из анализа процессов на стороне клиента, выявлять готовящиеся хищения.
Таким образом, целью создания системы фрод-мониторинга является реализация механизмов выявления мошенничества еще на стадиях его подготовки и минимизации ущерба в случае атаки.
НБЖ: В чем заключается специфика построения данных систем?
Е. АКИМОВ: Можно строить системы, исходя из первичной задачи, а можно с прицелом на будущее. Но при этом методологический подход к построению архитектуры, к созданию набора правил, предотвращающих мошенничество, имеет первостепенное значение. Так закладывается база для успешности системы. Система фрод-мониторинга - это инструмент, способный эффективно решать поставленные задачи: выявлять отклонения от эталонных или шаблонных значений, составлять профили пользователя и контролировать корректность совершаемых операций на области допустимых отклонений. Но наиболее важным аспектом успешного применения контрольных процедур является процесс интеграции в существующие программные комплексы кредитно-финансовых организаций. Здесь необходимо соблюдать ряд требований:
- нужно реализовать возможности использования всего объема данных, имеющихся в системах при совершении операций через каналы ДБО, при этом обязательно минимальное влияние на ход работы исходных систем;
- разработка механизмов реагирования на нарушения контрольных процедур должна проходить еще до этапа завершения операции.
Тем самым отклоняется текущая мошенническая операция, предотвращаются последующие подобные операции и применяются процедуры по выявлению таких инцидентов в прошлом.
При этом важно учитывать, что мошеннические схемы постоянно изменяются и совершенствуются, что диктует основное требование к таким системам и их интеграции: гибкость, возможность расширения области применения системы фрод-мониторинга.
Я бы выделил наиболее актуальные направления - каналы мониторинга банковских операций, т.е. операций по пластиковым картам; противодействие внутреннему фроду; системы фрод-мониторинга для совершения операций электронной коммерции, область мониторинга банков-эквайеров, занимающихся эквайрингом в сети Интернет, и крупных организаций, предоставляющих услуги на пространствах Интернета.
Мошенничество давно вышло за пределы одного канала обслуживания клиентов, оно стало развиваться, переходить из одной области в другую. Построение эффективной системы минимизации рисков для банка заключается в том, чтобы выстроить комплексную защиту.
Начать дискуссию