AntiFraud в системе ДБО для юридических лиц

В современных системах дистанционного банковского обслуживания (ДБО) применяется всё больше различных средств защиты от мошенников, что обусловлено, в первую очередь, появлением новых видов атак.

Наиболее распространёнными атаками на клиента являются:

• хищение логина и пароля для входа в систему;
• атака на одноразовые пароли, в том числе SMS пароли;
• хищение ключей электронной подписи (ЭП) с незащищённых носителей (дискет, флэш-носителей, жёстких дисков);
• хищение ключей ЭП из оперативной памяти;
• несанкционированный доступ к компьютеру и криптографическим возможностям носителя ключевой информации (удалённое управление, удалённое подключение, прямое использование компьютера при действующем сеансе и отсутствии пользователя);
• подмена электронного документа при передаче его на подпись в носитель ключевой информации.

Для обеспечения максимально возможного уровня защиты в системе ДБО, позволяющей противостоять всем известным на сегодняшний день атакам на клиента и выполнения всех требований законодательных актов необходимо:

• самостоятельное изготовление клиентом своих ключей ЭП;
• использование транспортных ключей ЭП и сертификатов (при создании ключа ЭП запрос подписывается транспортным ключом ЭП, записанным банком на носитель ключевой информации);
• подпись ключом ЭП логина и пароля при входе в систему ДБО;
• использование аппаратных СКЗИ с неизвлекаемым ключом ЭП (сертифицированные ФСБ и ФСТЭК), например eToken ГОСТ;
• шифрование канала с использованием ГОСТ;
• использование усиленной квалифицированной электронной подписи;
• информирование клиента о каждой операции, например с помощью SMS;
• использование считывателей с возможностью визуального контроля подписываемого документа, например SafeTouch;
• использование внешней Antifraud-системы по отношению к системе ДБО (AntiFraud — это система обнаружения мошеннических действий в системах дистанционного банковского обслуживания).

Хотя все вышеперечисленное не отменяет соблюдения клиентом элементарных требований по безопасности: применение антивирусов, использование лицензионного ПО, безопасное хранение носителей ключевой информации и т.д.

Однако, в данной статье рассмотрим более подробно описание AntiFraud-системы для юридических лиц применительно к российским условиям.

Зачем использовать AntiFraud-систему? Думаю, многие задают такой вопрос, особенно, если в системе ДБО и так применяются дополнительные средства защиты. Ответ прост, так как AntiFraud-система расположена на стороне банка, она является конечным "звеном" в "цепочке" средств защиты, причём воздействовать на систему мошеннику достаточно проблематично. Поэтому, в случаях не срабатывания других средств защиты, AntiFraud-система оставляет шанс клиенту сохранить деньги. Самым простым примером является несанкционированный доступ при оставлении клиентом своего рабочего места в действующем сеансе системы ДБО с прогруженными ключами ЭП, в нарушение правил безопасности.

На отечественном рынке сейчас представлено немного AntiFraud-систем, "промышленные" в основном зарубежные, хотя встречаются и "кустарные" (самописные под какой-либо банк). Наш рынок только начинает осваивать этот сегмент и в связи с вступлением с 01.01.2014 г. ст.9 Федерального закона от 27.06.2011 г. №161 "О национальной платёжной системе" будет активно развиваться, как для юридических лиц, так и для физических (но это тема для отдельной статьи).

Современная AntiFraud-система должна обладать следующими характеристиками:

• открытая архитектура (не чёрный ящик), позволяющая оперативно менять любые параметры анализа, правила, алгоритмы, количество начисляемых баллов и т.д. без привлечения сторонних организаций. Также такая система позволяет администрировать средство защиты информации (AntiFraud-систему) силами своих специалистов по информационной безопасности (что полностью соответствует требованиям п.2.14.5 Положения ЦБ №382-П и пп.7.8.7, 7.9.4, 8.12.1 Стандарта Банка России СТО БР ИББС-1.0-2010);
• удобный пользовательский интерфейс, в том числе графический, как для администраторов, так и для операторов (корректировка правил, разнообразные отчёты, статистика и т.д.);
• построена на основе скоринговой модели, позволяющей достаточно тонко настроить большое количество правил с выдачей итогового результата отнесения электронного документа к категории "подозрительных", что в свою очередь уменьшает количество подозрительных операций, отправленных на ручную обработку;
• поддержка работы с чёрными и белыми списками с возможностью работы сразу по нескольким полям (номер счета получателя, ИНН, наименование получателя и т.д.);
• самообучаемость. Обычно создается профиль клиента, который позволяет анализировать новые платёжные поручения клиента на основании совершенных ранее и система сама при необходимости меняет определенные параметры, что значительно уменьшает количество ложных срабатываний системы;
• интеграция с любыми системами ДБО (в том числе собственной разработки);
• низкий процент ложных срабатываний (не более 3%). Система должна позволять специалистам банка, ответственным за обработку, физически успевать обрабатывать "подозрительные" электронные документы (проанализировать и связаться с клиентом);
• наличие среды тестирования (например, при написании новых правил в существующей системе данных);
• работа в режиме реального времени (высокая скорость обработки событий). Для своевременного выявления и предотвращения попыток мошенничества необходимо моментально оповещать ответственных лиц о подозрительных электронных документах до момента обработки электронных документов;
• возможность автоматической рассылки уведомлений в соответствующие структурные подразделения о подозрительных электронных документах с результатами фрод-анализа;
• успешный опыт внедрения в нескольких российских банках;
• стоимость. При оценке возможного бюджета на внедрение AntiFraud-системы необходимо учитывать риски.

Работа AntiFraud-системы заключается в анализе событий, поступающих в систему, которые несут в себе информацию о платеже юридического лица с детализацией. Каждое событие должно обрабатываться по определенным правилам.

Анализ событий должен проходить, как минимум, по следующим правилам:

• различие по видам платежей (физическому лицу, юридическому лицу, в адрес государственных органов и т.д.), определяется по счёту получателя;
• проверка наименования получателя, счёта получателя, ИНН по чёрным и белым спискам;
• проверка по профилю клиента (осуществлялся ли платёж с данного ip-адреса, в адрес данного получателя, платёж самому себе, выявление аномального времени осуществления платежа и сумм, превышение нормированного значения суммы и количества платежей за определённый период времени и т.д.);
• назначение платежа (на наличие определённых словосочетаний, которые по статистике используются в мошеннических платёжных поручениях);
• нижний порог суммы платежа (отдельного для физических и для юридических лиц), для уменьшения количества ложных срабатываний (мелкие платежи);
• банк получатель (новый банк, платёж осуществлен в свой банк и т.д.);
• платежи в адрес операторов сотовой связи;
• регион банка получателя (платёж в своем регионе или в чужой);
• "общие" счета банка получателя для зачисления физическим лицам.

В заключение необходимо отметить, что система ДБО является услугой и предоставляется клиенту банком, а значит именно банк, в первую очередь, должен приложить все усилия, чтобы сделать свою систему максимально безопасной. И AntiFraud-система, конечно, поможет достичь этой цели.