Банки

Банкам дали время на построение системы защиты от киберкраж

По мере распространения в нашей стране ДБО растут риски кибермошен-ничества. Предотвращение их, в соответствии с Законом «О национальной платежной системе» и общей логикой развития рынка, ложится на банки.

По мере распространения в нашей стране ДБО растут риски кибермошенничества. Предотвращение их, в соответствии с Законом «О национальной платежной системе» и общей логикой развития рынка, ложится на банки.

В декабре 2012 года депутаты перенесли вступление в силу нескольких частей 9-й статьи 161-ФЗ «О национальной платежной системе» на год, до 1 января 2014 года. Законодатели объяснили это отсутствием возможности уведомления основного объема клиентов о каждой операции (как это предписывает закон) и высоким риском стагнации процессов развития индустрии безналичных платежей. За этот год банкам необходимо наладить процедуры уведомления клиентов и информационную безопасность в сфере проведения безналичных платежей.

Какие ИТ-методы помогут банкам уменьшить потери от киберкраж? Начальник управления платежных систем Московского филиала Смоленского банка Надежда Левина называет в числе эффективных методов следующие: уведомление клиентов о каждой операции, мониторинг профиля клиентов, fraud detection, программы, моделирующие покупательское поведение клиентов, программное обеспечение, позволяющее обезопасить операции с использованием карт. Все это в совокупности является достаточно эффективным способом предотвращения возможных противоправных действии со стороны мошенников, резюмирует специалист.

ИТ-директор Нордеа Банка Аркадий Затуловский рассказывает, что для решения обозначенных задач эффективно сочетание нескольких методов. Первый - использование чиповых карт, при этом PIN-код должен быть введен клиентом, и если он введен, то ответственность за результат операции несет держатель карты. Этот метод сегодня широко применяется российскими банками. Второй метод - уведомление клиентов о проведенных платежах. Это требование закона несет в себе возможное увеличение издержек банка. Сегодня оно также широко используется, но в основном для платежей физлиц.

Кроме того, идет внедрение систем anti-fraud. Это очень важная тема для банков не только в связи с принятием законодательных новшеств, но и потому что быстрыми темпами растет киберпреступность. К сожалению, рынок таких систем пока не сформировался должным образом, нет достаточного опыта эксплуатации anti-fraud систем. «Я думаю, что нынешние решения, основанные на обработке статистики и создании бизнес-правил, скоро умрут, так как необходимы более интеллектуальные системы, способные самостоятельно модифицироваться, настраиваться и вырабатывать правила «на лету». Банки активно присматриваются сейчас к таким решениям», - рассказывает Аркадий Затуловский (Нордеа Банк).

Еще одно направление развития -усиление защиты систем дистанционного банковского обслуживания: перевод ключей ЭЦП на e-token, защита от перехвата пароля, дополнительное подтверждение клиентом крупного платежа. Многие банки думают о внедрении систем, которые мониторят среду компьютера клиента. Если она недостаточно безопасная (не обновляются антивирусы, не установлены патчи Windows), банки не дают проводить платежи. С другой стороны, такие инструменты несут в себе серьезные правовые риски. «Главная проблема - исключительно безответственное отношение большинства клиентов к своей безопасности. Все известные случаи - это воровство денег у потребителей, а не у банков. Кредитные организации не смогут односторонне защитить себя и клиентов», -говорит Аркадий Затуловский.

Защита платежей на стороне клиента - действительно большая проблема, причем не только техническая, но и идеологическая. Опыт развитых рынков показывает, что банки не берутся контролировать компьютер, на котором работает их клиент, это выходит за рамки отношений поставщика услуги и потребителя. По сути, сканирование чужого компьютера - это вмешательство в частную жизнь клиента, нарушение его личного пространства.

Более того, представим себе, что кредитные организации применят такое требование ко всем клиентам. В этом случае банкам придется контролировать выполнение этого требования, то есть им придется наладить систему мониторинга всех устройств, с которых клиенты заходят в интернет-банк. Это неизбежно повлечет за собой рост издержек на стороне банка. Еще одним следствием такого подхода стали бы ситуации, при которых клиенты не смогли бы получать доступ к своему электронному счету. Предположим, что клиент направляет запрос на вход в интернет-банк с зараженного вирусом компьютера и система его блокирует. Ничего не подозревающий пользователь явно воспримет такую ситуацию в штыки: банк не дает доступа к управлению собственными средствами клиента. Что в таком случае потребитель скажет и подумает о банке, ясно. Такой подход, мягко говоря, не является кли-ентоориентированным.

Кроме того, нужно учитывать, что постоянно появляются новые типы и виды вирусов. Идет постоянная «борьба снаряда и брони», причем антивирусное программное обеспечение всегда развивается в догоняющем режиме. Из-за этого на рынке нет таких антивирусов, которые обеспечивают защиту от всех типов вредоносного кода.

Конечно, очень правильно учить клиентов азам компьютерной безопасности и интернет-гигиены, но все же надежды на то, что все правила будут соблюдены и что их выполнение на 100% поможет сохранить безналичные средства граждан, мало. Так что данный путь является лишь вспомогательным.

Основным способом обеспечения защиты безналичных платежей во всем мире признан transaction monitoring, анализ параметров безналичных транзакций. Интеллектуальные системы отслеживают,   являются   ли   платежи типовыми для данного клиента, фиксируют IP-адрес, с которого осуществляется операция. Эксперты рекомендуют выставлять верхние лимиты по размеру транзакций, контролировать количество транзакций с одного счета и нетиповую активность. Кроме того, необходимо блокировать транзакции с IP-адресов, которые уже были «засвечены» мошенниками. Если клиент в течение очень небольшого промежутка времени снимает деньги в банкомате в Москве, а затем покупает планшеты в Гонконге, то это, весьма вероятно, признак компрометации его карты и/или идентификационных данных, и банк должен такие случаи отлавливать.

Еще один важнейший момент -участие клиента в проведении транзакции. Банкам не следует экономить на информировании пользователей о том, что в систему введена заявка на операцию или уже проведена платежная операция. Лучше еще раз переспросить клиента, получить подтверждение транзакции, например, в виде одноразового пароля по SMS. А крупную нетиповую операцию следует подтверждать дважды.

Уже сейчас многие российские банки подключают SMS-информирование в обязательном порядке. Например, в Смоленском банке наряду с постоянным контролем высокотехнологичного обеспечения информационной безопасности осуществляется бесплатное SMS-информирование обо всех платежных операциях, совершаемых клиентом. В сообщении указываются время и место совершения платежа или снятия наличных, сумма платежа или снятия, а также остаток средств на счете.

И регуляторы, и западные банки, и даже пойманные мошенники в один голос говорят, что это самый эффективный способ предотвращения кибер-краж. Мобильный телефон является ценным личным предметом для каждого, и его пропажу человек обнаруживает быстро. Такой метод оповещения клиентов является панацеей почти для всех случаев, кроме утери мобильного телефона и/или подмены SIM-карты пользователя. Поэтому важно, чтобы банки отслеживали актуальность контактных данных, в первую очередь, номеров мобильных телефонов своих клиентов.

МНЕНИЕ ЭКСПЕРТА

Андрей ФЕДОРЕЦ, генеральный директор 000 «АйДиСистемс»

Для определения мошенничества разрабатываются и применяются серьезные информационные системы. Они накапливают историю событий, моделируют поведение клиентов. Но они обладают огромным недостатком - они закрыты внутри банка, так как все их индивидуальные свойства есть ноу-хау каждого банка в отдельности.

А надо ли каждому банку тратить огромные средства на исследования поведенческой модели? Можно ли представить ситуацию, когда облачные технологии придут на помощь банкам по оценке предполагаемых клиентов/рисков? Что, кроме БКИ, может помочь банкам в деле более качественной оценки предполагаемых клиентов? Органы исполнительной власти, их территориальные подразделения, муниципальные органы могут быть полезными для банков, потому что они обрабатывают огромное количество информации как об имеющихся, так и о потенциальных клиентах банков. Система межведомственного электронного взаимодействия (СМЭВ) уже применяется для доступа банков к «гособлаку». Сегодня доступны, например, сервисы по проверке действительности/недействительности паспортов или сведений о регистрации. Если посмотреть на технологический портал СМЭВ, то там опубликовано более 300 разнообразных сервисов, многие из которых имеют область видимости «общедоступный», а значит, могут использоваться банками.

Подключение к СМЭВ дает возможность взаимодействовать с госорганами как минимум в режиме получения общедоступных сведений, которые крайне полезны для проведения оценки предполагаемых клиентов. Для этого недостаточно просто подключиться к СМЭВ. Необходимо обеспечить обмен с различными системами автоматизации деятельности госорганов. Самым простым решением может быть использование единого информационного шлюза банка «ЮБанк-СМЭВ», который позволит взаимодействовать разнообразным учетным системам финансово-кредитной организации с различными форматами госорганов. Только от массовости внедрения подобных шлюзов в банках зависит качество сервисов «гособлака» для использования в деятельности по исполнению различных законодательных инициатив, например 1Б1-ФЗ.

Начать дискуссию