15.11.2013

AntiFraud в системе ДБО для юридических лиц

BIS Journal (Информационная безопасность банков), № 5 (12), ноябрь, 2013 <br>
Статья Макоско Андрея, начальника отдела Департамента безопасности и защиты информации АКБ "Московский Индустриальный банк", об AntiFraud в системе ДБО для юридических лиц банка в контексте использования eToken ГОСТ от компании "Аладдин Р.Д."

В современных системах дистанционного банковского обслуживания (ДБО) применяется всё больше различных средств защиты от мошенников, что обусловлено, в первую очередь, появлением новых видов атак.

Наиболее распространёнными атаками на клиента являются:

  • хищение логина и пароля для входа в систему;
  • атака на одноразовые пароли, в том числе SMS пароли;
  • хищение ключей электронной подписи (ЭП) с незащищённых носителей (дискет, флэш-носителей, жёстких дисков);
  • хищение ключей ЭП из оперативной памяти;
  • несанкционированный доступ к компьютеру и криптографическим возможностям носителя ключевой информации (удалённое управление, удалённое подключение, прямое использование компьютера при действующем сеансе и отсутствии пользователя);
  • подмена электронного документа при передаче его на подпись в носитель ключевой информации.


Для обеспечения максимально возможного уровня защиты в системе ДБО, позволяющей противостоять всем известным на сегодняшний день атакам на клиента и выполнения всех требований законодательных актов необходимо:

  • самостоятельное изготовление клиентом своих ключей ЭП;
  • использование транспортных ключей ЭП и сертификатов (при создании ключа ЭП запрос подписывается транспортным ключом ЭП, записанным банком на носитель ключевой информации);
  • подпись ключом ЭП логина и пароля при входе в систему ДБО;
  • использование аппаратных СКЗИ с неизвлекаемым ключом ЭП (сертифицированные ФСБ и ФСТЭК), например eToken ГОСТ;
  • шифрование канала с использованием ГОСТ;
  • использование усиленной квалифицированной электронной подписи;
  • информирование клиента о каждой операции, например с помощью SMS;
  • использование считывателей с возможностью визуального контроля подписываемого документа, например SafeTouch;
  • использование внешней Antifraud-системы по отношению к системе ДБО (AntiFraud — это система обнаружения мошеннических действий в системах дистанционного банковского обслуживания).

Хотя все вышеперечисленное не отменяет соблюдения клиентом элементарных требований по безопасности: применение антивирусов, использование лицензионного ПО, безопасное хранение носителей ключевой информации и т.д.

Однако, в данной статье рассмотрим более подробно описание AntiFraud-системы для юридических лиц применительно к российским условиям.

Зачем использовать AntiFraud-систему? Думаю, многие задают такой вопрос, особенно, если в системе ДБО и так применяются дополнительные средства защиты. Ответ прост, так как AntiFraud-система расположена на стороне банка, она является конечным "звеном" в "цепочке" средств защиты, причём воздействовать на систему мошеннику достаточно проблематично. Поэтому, в случаях не срабатывания других средств защиты, AntiFraud-система оставляет шанс клиенту сохранить деньги. Самым простым примером является несанкционированный доступ при оставлении клиентом своего рабочего места в действующем сеансе системы ДБО с прогруженными ключами ЭП, в нарушение правил безопасности.

На отечественном рынке сейчас представлено немного AntiFraud-систем, "промышленные" в основном зарубежные, хотя встречаются и "кустарные" (самописные под какой-либо банк). Наш рынок только начинает осваивать этот сегмент и в связи с вступлением с 01.01.2014 г. ст.9 Федерального закона от 27.06.2011 г. №161 "О национальной платёжной системе" будет активно развиваться, как для юридических лиц, так и для физических (но это тема для отдельной статьи).

Современная AntiFraud-система должна обладать следующими характеристиками:

  • открытая архитектура (не чёрный ящик), позволяющая оперативно менять любые параметры анализа, правила, алгоритмы, количество начисляемых баллов и т.д. без привлечения сторонних организаций. Также такая система позволяет администрировать средство защиты информации (AntiFraud-систему) силами своих специалистов по информационной безопасности (что полностью соответствует требованиям п.2.14.5 Положения ЦБ №382-П и пп.7.8.7, 7.9.4, 8.12.1 Стандарта Банка России СТО БР ИББС-1.0-2010);
  • удобный пользовательский интерфейс, в том числе графический, как для администраторов, так и для операторов (корректировка правил, разнообразные отчёты, статистика и т.д.);
  • построена на основе скоринговой модели, позволяющей достаточно тонко настроить большое количество правил с выдачей итогового результата отнесения электронного документа к категории "подозрительных", что в свою очередь уменьшает количество подозрительных операций, отправленных на ручную обработку;
  • поддержка работы с чёрными и белыми списками с возможностью работы сразу по нескольким полям (номер счета получателя, ИНН, наименование получателя и т.д.);
  • самообучаемость. Обычно создается профиль клиента, который позволяет анализировать новые платёжные поручения клиента на основании совершенных ранее и система сама при необходимости меняет определенные параметры, что значительно уменьшает количество ложных срабатываний системы;
  • интеграция с любыми системами ДБО (в том числе собственной разработки);
  • низкий процент ложных срабатываний (не более 3%). Система должна позволять специалистам банка, ответственным за обработку, физически успевать обрабатывать "подозрительные" электронные документы (проанализировать и связаться с клиентом);
  • наличие среды тестирования (например, при написании новых правил в существующей системе данных);
  • работа в режиме реального времени (высокая скорость обработки событий). Для своевременного выявления и предотвращения попыток мошенничества необходимо моментально оповещать ответственных лиц о подозрительных электронных документах до момента обработки электронных документов;
  • возможность автоматической рассылки уведомлений в соответствующие структурные подразделения о подозрительных электронных документах с результатами фрод-анализа;
  • успешный опыт внедрения в нескольких российских банках;
  • стоимость. При оценке возможного бюджета на внедрение AntiFraud-системы необходимо учитывать риски.

Работа AntiFraud-системы заключается в анализе событий, поступающих в систему, которые несут в себе информацию о платеже юридического лица с детализацией. Каждое событие должно обрабатываться по определенным правилам.

Анализ событий должен проходить, как минимум, по следующим правилам:

  • различие по видам платежей (физическому лицу, юридическому лицу, в адрес государственных органов и т.д.), определяется по счёту получателя;
  • проверка наименования получателя, счёта получателя, ИНН по чёрным и белым спискам;
  • проверка по профилю клиента (осуществлялся ли платёж с данного ip-адреса, в адрес данного получателя, платёж самому себе, выявление аномального времени осуществления платежа и сумм, превышение нормированного значения суммы и количества платежей за определённый период времени и т.д.);
  • назначение платежа (на наличие определённых словосочетаний, которые по статистике используются в мошеннических платёжных поручениях);
  • нижний порог суммы платежа (отдельного для физических и для юридических лиц), для уменьшения количества ложных срабатываний (мелкие платежи);
  • банк получатель (новый банк, платёж осуществлен в свой банк и т.д.);
  • платежи в адрес операторов сотовой связи;
  • регион банка получателя (платёж в своем регионе или в чужой);
  • "общие" счета банка получателя для зачисления физическим лицам.

В заключение необходимо отметить, что система ДБО является услугой и предоставляется клиенту банком, а значит именно банк, в первую очередь, должен приложить все усилия, чтобы сделать свою систему максимально безопасной. И AntiFraud-система, конечно, поможет достичь этой цели.