AntiFraud в системе ДБО для юридических лиц
Статья Макоско Андрея, начальника отдела Департамента безопасности и защиты информации АКБ "Московский Индустриальный банк", об AntiFraud в системе ДБО для юридических лиц банка в контексте использования eToken ГОСТ от компании "Аладдин Р.Д."
В современных системах дистанционного банковского обслуживания (ДБО) применяется всё больше различных средств защиты от мошенников, что обусловлено, в первую очередь, появлением новых видов атак.
Наиболее распространёнными атаками на клиента являются:
- хищение логина и пароля для входа в систему;
- атака на одноразовые пароли, в том числе SMS пароли;
- хищение ключей электронной подписи (ЭП) с незащищённых носителей (дискет, флэш-носителей, жёстких дисков);
- хищение ключей ЭП из оперативной памяти;
- несанкционированный доступ к компьютеру и криптографическим возможностям носителя ключевой информации (удалённое управление, удалённое подключение, прямое использование компьютера при действующем сеансе и отсутствии пользователя);
- подмена электронного документа при передаче его на подпись в носитель ключевой информации.
Для обеспечения максимально возможного уровня защиты в системе ДБО, позволяющей противостоять всем известным на сегодняшний день атакам на клиента и выполнения всех требований законодательных актов необходимо:
- самостоятельное изготовление клиентом своих ключей ЭП;
- использование транспортных ключей ЭП и сертификатов (при создании ключа ЭП запрос подписывается транспортным ключом ЭП, записанным банком на носитель ключевой информации);
- подпись ключом ЭП логина и пароля при входе в систему ДБО;
- использование аппаратных СКЗИ с неизвлекаемым ключом ЭП (сертифицированные ФСБ и ФСТЭК), например eToken ГОСТ;
- шифрование канала с использованием ГОСТ;
- использование усиленной квалифицированной электронной подписи;
- информирование клиента о каждой операции, например с помощью SMS;
- использование считывателей с возможностью визуального контроля подписываемого документа, например SafeTouch;
- использование внешней Antifraud-системы по отношению к системе ДБО (AntiFraud — это система обнаружения мошеннических действий в системах дистанционного банковского обслуживания).
Хотя все вышеперечисленное не отменяет соблюдения клиентом элементарных требований по безопасности: применение антивирусов, использование лицензионного ПО, безопасное хранение носителей ключевой информации и т.д.
Однако, в данной статье рассмотрим более подробно описание AntiFraud-системы для юридических лиц применительно к российским условиям.
Зачем использовать AntiFraud-систему? Думаю, многие задают такой вопрос, особенно, если в системе ДБО и так применяются дополнительные средства защиты. Ответ прост, так как AntiFraud-система расположена на стороне банка, она является конечным "звеном" в "цепочке" средств защиты, причём воздействовать на систему мошеннику достаточно проблематично. Поэтому, в случаях не срабатывания других средств защиты, AntiFraud-система оставляет шанс клиенту сохранить деньги. Самым простым примером является несанкционированный доступ при оставлении клиентом своего рабочего места в действующем сеансе системы ДБО с прогруженными ключами ЭП, в нарушение правил безопасности.
На отечественном рынке сейчас представлено немного AntiFraud-систем, "промышленные" в основном зарубежные, хотя встречаются и "кустарные" (самописные под какой-либо банк). Наш рынок только начинает осваивать этот сегмент и в связи с вступлением с 01.01.2014 г. ст.9 Федерального закона от 27.06.2011 г. №161 "О национальной платёжной системе" будет активно развиваться, как для юридических лиц, так и для физических (но это тема для отдельной статьи).
Современная AntiFraud-система должна обладать следующими характеристиками:
- открытая архитектура (не чёрный ящик), позволяющая оперативно менять любые параметры анализа, правила, алгоритмы, количество начисляемых баллов и т.д. без привлечения сторонних организаций. Также такая система позволяет администрировать средство защиты информации (AntiFraud-систему) силами своих специалистов по информационной безопасности (что полностью соответствует требованиям п.2.14.5 Положения ЦБ №382-П и пп.7.8.7, 7.9.4, 8.12.1 Стандарта Банка России СТО БР ИББС-1.0-2010);
- удобный пользовательский интерфейс, в том числе графический, как для администраторов, так и для операторов (корректировка правил, разнообразные отчёты, статистика и т.д.);
- построена на основе скоринговой модели, позволяющей достаточно тонко настроить большое количество правил с выдачей итогового результата отнесения электронного документа к категории "подозрительных", что в свою очередь уменьшает количество подозрительных операций, отправленных на ручную обработку;
- поддержка работы с чёрными и белыми списками с возможностью работы сразу по нескольким полям (номер счета получателя, ИНН, наименование получателя и т.д.);
- самообучаемость. Обычно создается профиль клиента, который позволяет анализировать новые платёжные поручения клиента на основании совершенных ранее и система сама при необходимости меняет определенные параметры, что значительно уменьшает количество ложных срабатываний системы;
- интеграция с любыми системами ДБО (в том числе собственной разработки);
- низкий процент ложных срабатываний (не более 3%). Система должна позволять специалистам банка, ответственным за обработку, физически успевать обрабатывать "подозрительные" электронные документы (проанализировать и связаться с клиентом);
- наличие среды тестирования (например, при написании новых правил в существующей системе данных);
- работа в режиме реального времени (высокая скорость обработки событий). Для своевременного выявления и предотвращения попыток мошенничества необходимо моментально оповещать ответственных лиц о подозрительных электронных документах до момента обработки электронных документов;
- возможность автоматической рассылки уведомлений в соответствующие структурные подразделения о подозрительных электронных документах с результатами фрод-анализа;
- успешный опыт внедрения в нескольких российских банках;
- стоимость. При оценке возможного бюджета на внедрение AntiFraud-системы необходимо учитывать риски.
Работа AntiFraud-системы заключается в анализе событий, поступающих в систему, которые несут в себе информацию о платеже юридического лица с детализацией. Каждое событие должно обрабатываться по определенным правилам.
Анализ событий должен проходить, как минимум, по следующим правилам:
- различие по видам платежей (физическому лицу, юридическому лицу, в адрес государственных органов и т.д.), определяется по счёту получателя;
- проверка наименования получателя, счёта получателя, ИНН по чёрным и белым спискам;
- проверка по профилю клиента (осуществлялся ли платёж с данного ip-адреса, в адрес данного получателя, платёж самому себе, выявление аномального времени осуществления платежа и сумм, превышение нормированного значения суммы и количества платежей за определённый период времени и т.д.);
- назначение платежа (на наличие определённых словосочетаний, которые по статистике используются в мошеннических платёжных поручениях);
- нижний порог суммы платежа (отдельного для физических и для юридических лиц), для уменьшения количества ложных срабатываний (мелкие платежи);
- банк получатель (новый банк, платёж осуществлен в свой банк и т.д.);
- платежи в адрес операторов сотовой связи;
- регион банка получателя (платёж в своем регионе или в чужой);
- "общие" счета банка получателя для зачисления физическим лицам.
В заключение необходимо отметить, что система ДБО является услугой и предоставляется клиенту банком, а значит именно банк, в первую очередь, должен приложить все усилия, чтобы сделать свою систему максимально безопасной. И AntiFraud-система, конечно, поможет достичь этой цели.