Противодействие мошенничеству в системах ДБО

Иван Янсон
Заместитель руководителя
службы информационной безопасности
ОАО “Промсвязьбанк"

– Иван Андреевич, как Вы можете оценить состояние ДБО в России? Насколько частыми бывают атаки и зависит ли количество инцидентов от осведомленности в области информационной безопасности клиентов?
– Если рассматривать банковское сообщество в целом, то можно говорить о том, что попытки мошеннических списаний являются частым явлением. Большинство банков уже давно знакомы с этой проблемой и в той или иной степени уже проработали вопрос защиты от таких списаний. Есть статистика Центрального банка о двукратном росте числа инцидентов в 2013 г. по сравнению с 2012 г. Количество инцидентов, конечно, зависит и от осведомленности и грамотности клиентов, так как уровень защищенности клиента напрямую зависит от его знаний в области ИБ. Однако говорить, что число инцидентов зависит только от грамотности клиентов, будет некорректно. Число инцидентов зависит от ряда величин – от защищенности системы ДБО, от числа активно действующих преступных групп, от роста количества клиентов. Грамотность клиента в данном случае является лишь подпараметром, влияющим на степень защищенности системы ДБО.

Требования по защите систем ДБО были изложены Центральным Банком РФ в письме № 146-Т от 5 августа 2013 г. "О рекомендациях по повышению уровня безопасности при предоставлении розничных платежных услуг с использованием информационно-телекоммуникационной сети Интернет". Указанное письмо обобщает накопленный банковским сообществом опыт противодействия мошенничеству в ДБО и характерно тем, что данные в нем рекомендации касаются в первую очередь банка, а не клиента. Именно банк должен оценить риски, понять, какой нарушитель ему противостоит, какие векторы атак он выбирает, то есть построить модель угроз и модель нарушителей, оценить совокупность применяемых организационных и технических средств защиты, оценить наличие уязвимостей применяемых программных и аппаратных средств и технологий, а затем на основе этой информации выбрать перечень мер защиты, которые позволяют снизить уровень риска до приемлемого, внести соответствующие изменения в состав применяемых мер защиты. Если же указанные изменения не могут быть внесены по техническим или экономическим причинам, то рекомендуется внедрять компенсационные меры защиты. Авторы письма говорят и о необходимости проведения регулярной работы по повышению грамотности и осведомленности клиентов, в том числе и в части мер, которые способствуют повышению уровня безопасности работы в ДБО. Как минимум следует разработать для клиентов правила по обеспечению безопасности при работе с системой ДБО и включить их в договор. Наличие таких правил в составе договора позволяет не только защитить, предупредить и обучить клиента, но и в случае нарушения клиентом правил безопасности защититься банку в правовом поле.

Не сталкивавшимся с проблемой мошенничеств в ДБО кредитным организациям можно рекомендовать запланировать проведение мероприятий по защите ДБО в соответствии с упомянутыми рекомендациями ЦБ. В случае, если после оценки рисков будет выявлен неприемлемый уровень риска, придется подумать о внедрении организационных и технических мер защиты. Понятно, что мгновенно уровень защищенности поднять не получится, поэтому на начальном этапе, до внедрения адекватных технических средств защиты, таких как использование многофакторной аутентификации и авторизации, стоит подумать о реализации определенных быстрых мероприятий. Некоторые из таких быстрых мер могут быть связаны и с определенными ограничениями. Обилие функционала интернет-банкинга является удобным и понятным не только для клиентов, но и для мошенников. Следует выделить наиболее рисковые операции, чаще всего использующиеся в силу их удобства мошенниками, и рассмотреть вопрос о введении для них тех или иных ограничений. Например, целесообразно ввести лимиты на платежи в адрес электронных платежных систем, на определенные операции с депозитами. Письмо ЦБ рекомендует использовать различные лимиты операций (в зависимости от разных факторов) и внести информацию об установлении лимитов в договор.

– Сегодня существуют различные средства защиты, которые должны быть установлены со стороны клиента в том или ином сочетании. Это и лицензированное ПО, хорошая антивирусная защита, антиспам, межсетевое экранирование, сетевая идентификация (если связь идет через Web-интерфейс), защита самой системы ДБО, контроль доступа с использованием различных продуктов (USB-ключей, смарт-карт, одноразовых паролей, ЭП и др.). Насколько эффективны эти средства защиты? Каких средств защиты достаточно? Возможно, половина перечисленного – это маркетинговый ход?
– Я думаю, что здесь нет особых маркетинговых ходов. Единственное, что стоит отметить, это то, что далеко не все, что удобно и доступно для юридического лица, будет удобно и доступно для физического лица. Некоторые средства защиты могут быть просто банально дороги для физического лица, другие же могут не удовлетворять клиента в силу вносимых ими неудобств в использование системы ДБО. Возьмем, например, класс устройств защиты, на которых на отдельном экране отображается переданное на подпись платежное поручение. Как правило, это достаточно хорошие с точки зрения достигаемого уровня безопасности средства защиты, они позволяют после проверки реквизитов платежа прямо на самом устройстве подтвердить или отбраковать его. Но для розничного клиента это, с одной стороны, дорогое удовольствие, с другой – очень громоздкое (физлицу неудобно будет носить с собой это дополнительное устройство, у него не будет возможности работать с ДБО с планшета и т.п.). Поэтому в случае физлиц предлагать для защиты клиента надо не весь возможный перечень средств защиты, а наиболее гибкие и удобные технологии, например решения с генерацией разовых паролей, в частности решения, в которых такие одноразовые пароли доставляются клиенту через SMS-сообщения, в этом случае их часто называют SMS-кодами. Клиент может воспользоваться таким способом аутентификации/авторизации на любом устройстве, так как не возникает никаких проблем с совместимостью и, как правило, SMS-коды являются бесплатными для клиента. Такой подход зафиксирован и в обсуждавшемся нами письме ЦБ 146-Т – при перечислении технических средств аутентификации и авторизации авторами сделан упор на наиболее приемлемые для клиента решения с использованием одноразовых паролей/кодов. Однако более удобные средства защиты не всегда обеспечивают максимальный уровень защиты. Вариант с SMS-кодами уязвим из-за того, что, во-первых, сам телефон тоже может быть атакован злоумышленниками (например, заражен вредоносным ПО, которое может пересылать одноразовые пароли мошенникам), а во-вторых, атакам подвержен и его владелец – очень часто атакующие используют социальную инженерию.

Поэтому при внедрении средств защиты важно понимать, какие есть у используемых технологий защиты недостатки, какие побочные риски возникают. Такие риски должны быть либо осознанно приняты (если, конечно, это допустимо для бизнеса), либо также, в свою очередь, обработаны.

Одним из механизмов обработки и анализа рисков является использование мониторинга подозрительных платежей. Письмо 146-Т явно говорит о необходимости применения этого механизма. Механизмы мониторинга, как и иные обсуждавшиеся механизмы защиты, прошли определенную эволюцию. Вначале использовались достаточно простые алгоритмы и средства, как правило, собственного производства. Сейчас же можно говорить о том, что под такими средствами обычно подразумеваются промышленные антифрод-системы. Есть уже определенная тенденция по внедрению таких систем в крупнейших банках. Антифрод-системы снижают нагрузку на сам банк, позволяют сузить список платежей, которые подпадают под категорию подозрительных, уменьшают затраты на проверку платежей (например, затраты на звонки клиенту для подтверждения платежа), обладают средствами самообучения и интеллектуального анализа, средствами адаптивной аутентификации, в конечном итоге в автоматическом режиме по большинству платежей принимают решение о разрешении или запрете платежа.

Кстати, после внедрения адекватных средств аутентификации и авторизации и эффективных средств мониторинга можно и нужно пересмотреть и большей частью отменить введенные в начале ограничения на некоторые операции. В итоге клиент не будет испытывать ограничений, а согласитесь, что главное в интернет-банкинге – это его удобство и функциональность.

– С каждым годом появляются все новые системы и средства защиты, клиенты становятся более грамотными. Тем не менее, снижается ли количество инцидентов или же каждый год они находятся на одном и том же уровне?
– Как мы говорили выше, согласно статистике ЦБ, пока что количество инцидентов увеличивается. Внедрение новых средств защиты и повышение грамотности клиентов, безусловно, должно влиять положительно на статистику. Но, кроме этих параметров, на число инцидентов влияет и активность преступного сообщества и общая динамика увеличения числа активных пользователей ДБО. Так как в последнее время были зафиксированы определенные успехи правоохранительных органов в борьбе с мошенниками, то можно предположить, что рост числа инцидентов связан с более активным использованием систем ДБО. Клиенты – юридические лица уже достаточно давно подавляющее большинство платежей осуществляют через системы ДБО, сейчас же все активнее и активнее используют интернет-банкинг и физические лица, активно растет клиентская база, увеличивается и удельное число платежей на одного клиента.

– С 1 января 2014 г. вступили в силу поправки к 161-ФЗ "О национальной платежной системе", регулирующему процедуры проведения электронных платежей. В новом варианте ст. 9 данного закона содержатся положения, направленные на защиту прав клиентов. Банк теперь обязан возместить деньги физическому лицу по заявлению о фроде вне зависимости от завершения расследования, если не докажет нарушения правил безопасности клиентом. Клиент обязан уведомить кредитную организацию о фродовой транзакции не позже дня, следующего за днем получения оповещения об операции. Если же такого оповещения клиент не получил, банк обязан возместить его потери вне зависимости от того, по чьей вине случилось мошенничество. Как "Промсвязьбанк" адаптировался к этим поправкам?
– Хороший вопрос. В банковском сообществе сначала было очень много опасений на этот счет. Предполагалось, что в дополнение к уже ставшим классическими, мошенничествам, осуществляемым посредством заражения компьютеров клиентов в сети Интернет, появится новая категория мошенничеств, основанных на отказе недобросовестных клиентов от ими же совершенных платежей. Вопрос очень бурно обсуждался на конференциях, в различных профессиональных форумах. Однако пока никакого вала оспаривания платежей нет. Мошенники, по-прежнему продолжают заражать компьютеры клиентов своими специализированными банковскими троянами, перехватывают аутентификационные и авторизационые данные клиентов, совершают свои мошеннические платежи и не используют для этого возможностей статьи 9 закона 161-ФЗ.

Если же говорить о способе информирования клиента о совершенных операциях, то многие банки пошли по пути уведомления клиента об операциях в личных кабинетах интернет-банкинга и посредством направления уведомлений о расходных операциях, совершенных с использованием ЭСП, на адрес электронной почты. Такой путь был выбран и нашим банком. Информация об этом доводилась до клиентов в интернет-банкинге, на сайте банка, а также с помощью банкоматов банка.

– В России запущен неотвратимый процесс создания национальной платежной системы в связи с последними политическими событиями. Какие новые угрозы могут появиться в ДБО?
– Создание отдельной внутренней платежной системы связано с введением ограничений зарубежных платежных систем Visa и MasterCard в связи с политическими событиями последнего времени. На мой взгляд, некорректно называть ее "национальной платежной системой", так как согласно закону 161-ФЗ национальная платежная система понимается как совокупность субъектов всех действующих в РФ платежных систем. Пока банки стараются организовывать прямое взаимодействие между собой для того, чтобы не зависеть от упомянутых международных платежных систем.

– Как минимизировать риски при атаке как банку, так и клиенту?
– Как мы уже говорили выше, банку необходимо заранее заботиться о защите: необходимо создать модель нарушителя, модель угроз, оценить уязвимости, оценить эффективность средств защиты, провести анализ рисков, далее внедрить те или иные изменения в состав средств и мер защиты, чтобы достичь приемлемого уровня риска. Если в момент атаки средства защиты еще не в полной мере внедрены, то могут понадобиться и определенные ограничения рисковых операций, также обязательно будет необходим мониторинг подозрительных платежей.

Кстати, если говорить о быстром реагировании на атаку, то на рынке появился достаточно перспективный новый внешний сервис для банков – поиск скомпрометированных компьютеров клиентов. Понятно, что этот сервис не даст стопроцентного результата, но потенциально он может оказаться достаточно эффективным, позволит защитить большую (или по крайней мере, значительную) часть скомпрометированных клиентов и может снять остроту атаки, позволит выделить время на внедрение более эффективных средств аутентификации, авторизации, перспективных средств мониторинга. Но лучше, конечно, все делать заблаговременно!