11.12.2013

ИТ в финансовом секторе: борьба с фродом

PC Week, № 35 (855), декабрь, 2013<br>
Экспертное мнение Николая Афанасьева, менеджера по развитию продукта компании "Аладдин Р.Д."

Под фродом в кредитно-финансовом секторе понимают мошеннические действия с целью кражи тех или иных финансовых активов, управление которыми осуществляется с помощью информационных систем.

Согласно общемировым исследованиям, проведённым в 2012 г. международной организацией Association of Certified Fraud Examiners, которая объединяет профессионалов в борьбе с фродом, потери от действий мошенников за тот год достигали 5% от общей годовой выручки каждой пострадавшей от них структуры. В абсолютных цифрах общие потери от фрода в мире в 2012 г. превысили 3,5 трлн. долл., при этом около 20% инцидентов, связанных с данным видом мошенничества, приводили к потерям более 1 млн. долл. Аналитики регистрируют рост всех этих показателей.

Свежие данные о фроде в банковской среде нашей страны за третий квартал 2013 г. (дополнительная статистика будет публиковаться ЦБ РФ по мере её сбора и обработки) представил Банк России на состоявшейся в конце ноября в Москве международной конференции AntiFraud Russia'2013. За указанный период несанкционированные операции составили 0,003% от общего количества операций, которые были совершены с использованием платёжных карт, эмитированных российскими банками. Денежные суммы, проведённые по этим несанкционированным операциям, составили 0,007% от общеквартальной суммы денег, перемещённых за это время с использованием платёжных карт.

Причины актуализации борьбы с фродом в финансовых учреждениях

Эти, казалось бы незначительные в относительном измерении величины, в измерении абсолютном составляют столь большие похищенные суммы, что банки не могут более мириться с их потерями и с каждым годом активизируют борьбу с фродом.

По мере того, как ИКТ всё шире и глубже проникают в кредитно-финансовый бизнес (по признанию наших экспертов уровень развития технологий, внедряемых российскими банками, в полной мере соответствует международным стандартам), они одновременно открывают там всё больше новых возможностей и для преступной деятельности. Как подчёркивает эксперт из Центра компетенций информационной безопасности компании "АйТи" Дмитрий Казмирчук, современные ИКТ обеспечивают преступникам анонимность, доступность и разнообразие методов кражи денежных средств с банковских счетов. Эти же факторы привлекает в ряды киберпреступников всё больше людей (особенно молодых, не успевших определиться социально), профессионализм и изощрённость методов которых неуклонно растут.

Согласно наблюдениям руководителя отдела расследования компьютерных инцидентов "Лаборатории Касперского" Руслана Стоянова, проблема защиты от фрода в кредитно-финасовой области стала особенно актуальной в России за последние лет пять. Тому он находит несколько причин.

Во-первых, он связывает это с распространением дистанционного банковского обслуживания (ДБО) как в среде юридических, так и среди физических лиц. Для российских банков ДБО является инструментом повышения эффективности и конкурентоспособности. Устойчивый рост, который в последние годы показывает отечественный рынок ДБО, обусловлен проникновением Интернета в регионы, повышением доверия со стороны рядовых граждан к платёжным системам в целом и онлайн-банкингу в частности, повышением доступности онлайновых платежей.

Во-вторых, как это ни печально, киберинструменты для организации банковского фрода становятся всё доступнее. Сегодня, как отмечает Руслан Стоянов, в России практически любой может организовать небольшой преступный бизнес, причём цена вхождения в этот бизнес невысока (примерно 10 тыс. долл.), а технологии вхождения и ведения несложны (к счастью, благодаря усилиям банковского сообщества, силовых структур и ИБ-профессионалов нашей страны он становится всё опаснее).

Реальные возможности злоумышленников сегодня, согласно оценкам Руслана Стоянова, по эффективности значительно превосходят ответные шаги финансовых организаций. Преступники играют на опережение и находят всё новые и новые уязвимости в бизнес-процессах банков. Банки, конечно, стараются переломить ситуацию — используют новые меры и средства защиты, которых, однако, по его мнению, явно недостаточно.

В результате, считает руководитель группы противодействия мошенничеству компании "Инфосистемы Джет" Алексей Сизов, наряду с актуализацией проблемы борьбы с фродом усложняется её решение.

Поскольку ущербы от мошенничества, по оценкам Алексея Сизова, сравнялись с затратами на внедрение и поддержку масштабных решений по борьбе с ним, для банков становится очевидной выгода применения таких решений: налицо возврат инвестиций, вкладываемых в средства защиты от фрода, причём, как утверждают практики, за весьма короткое для таких сложных и масштабных решений время (исчисляемое несколькими месяцами).

Менеджер по развитию бизнеса компании "Информзащита" Елизавета Спасенных отмечает, что не только увеличение потерь от фрода стимулирует банки бороться с ним — к этому их побуждает также необходимость выполнять требования государственных и отраслевых регуляторов.

Среди наиболее значимых регулятивных требований Елизавета Спасенных называет девятую статью закона 161-ФЗ "О национальной платёжной системе", которая определяет ответственность операторов платёжных систем за возврат денежных средств в случае не санкционированных клиентом финансовых транзакций; пункт 2.10 второй главы положения ЦБ РФ 382-П от 9 июня 2012 г., в соответствии с которым банки должны обеспечить защиту и выявление фальсифицированных электронных сообщений при использовании электронных средств платежа; закон 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путём, и финансированию терроризма"; требования международных платёжных систем Visa и MasterCard в области безопасности и контроля за мошенничеством.

Специфика фрода в финансовых учреждениях

Злоумышленники используют для фрода специализированные банковские троянские программы, удалённое управление компьютером клиента, подложные сайты (в том числе и сайты ДБО), скимминговые устройства на банкоматах, кражу реквизитов банковских карт и изготовление по ним пластиковых дубликатов... Нередкими стали случаи, когда мошеннические операции разворачиваются по сценарию многоступенчатых долговременных целевых атак (APT) с привлечением группы злоумышленников, каждый их которых специализируется на выполнении своей части общей задачи, с использованием целого набора технологий, включая DDoS-атаки, которые чаще всего играют вспомогательную роль "дымовой завесы", под прикрытием которой производится главный этап атаки.

К актуальным видам фрода в системах ДБО менеджер по развитию продуктов компании "Аладдин Р.Д." Николай Афанасьев относит подделку платёжных поручений, оформляемых клиентами — юридическими лицами, и навязывание подделок банку для исполнения. Как правило, системы ДБО для юридических лиц используют электронную подпись (ЭП) для обеспечения целостности платёжных поручений, проверки авторства, обеспечения неотказуемости автора платёжного поручения, а также для придания юридической значимости проводимым операциям.

Николай Афанасьев обращает внимание на то, что работа пользователей в системах ДБО производится из недоверенной среды, т. е. с использованием компьютеров, на которые могут проникнуть вредоносные программы или которые могут попасть под удалённое управление злоумышленниками.

Программные реализации электронной подписи в недоверенной среде Николай Афанасьев считает уязвимыми, так как вредоносные программы могут перехватывать ключи электронной подписи в оперативной памяти компьютера клиента, а также PIN-коды USB-токенов (и их аналогов) при наборе PIN-кодов пользователем на клавиатуре рабочего компьютера. Они могут подменять документы, подписываемые на токенах, при этом пользователь на экране своего компьютера будет видеть подлинный документ и думать, что подписывает именно его.

Из тенденций последнего времени эксперты отмечают применение троянов для смартфонов и планшетов, что особенно опасно ввиду использования этих устройств для передачи клиентам одноразовых паролей при осуществлении банковских операций.

Популярным в арсенале мошенников и опасным для клиентов банков сегодня стал фарминг — скрытое перенаправление жертвы на подложный сайт, повторяющий по дизайну подлинный, — с помощью которого киберпреступники выманивают клиентские реквизиты доступа к системам веб-банкинга.

Для фальсификации платёжных реквизитов при выполнении санкционированных платёжных операций преступники применяют вредоносные программы, которые внедряют в интернет-браузер жертвы. В этом случае реквизиты подменяются в момент проведения банковской операции совершенно незаметно для пользователя. К таким же последствиям приводит перехват платёжного поручения в канале передачи данных. При этом платёжное поручение модифицируется злоумышленниками по их желанию и отправляется на сервер банка как легитимное.

Не теряет актуальности и фишинг — получение от клиента банка обманным путём его банковских данных: паролей ДБО, данных платёжных карт, разовых SMS-паролей... Большой ущерб причиняет банкам злонамеренный инсайд — самостоятельное мошенничество сотрудников внутри банка или участие в преступной группировке, действующей снаружи.

Как отмечают наши эксперты, клиенты банков проявляют большую беспечность при использовании инструментов, предназначенных для проведения банковских транзакций. Тем не менее, однажды получив печальный опыт, они научаются быть осторожными. Однако на их место приходят другие, неопытные пользователи платёжных систем. К тому же злоумышленники все свои технологии развивают с таким расчётом, чтобы с их помощью можно было обходить или пробивать средства противодействия фроду.

Средства борьбы с фродом в финансовых учреждениях

Поскольку специализированные системы для борьбы с фродом сложны и недёшевы, прежде чем перейти к их внедрению и эксплуатации, руководитель отдела информационной безопасности системного интегратора IBS Platformix Джабраил Матиев рекомендует выстроить базовую защиту, представление о которой у специалистов по информационной безопасности к настоящему времени уже сложилось. Специализированные системы антифрода регистрируют аномалии в поведении сотрудников при их работе с корпоративными информационными системами, помогая анализировать потоки транзакций и на основе собранной информации выявлять мошеннические действия как внутри периметра защиты, так и снаружи.

Алексей Сизов разделяет средства защиты от фрода на две группы. Первая нацелена на обеспечение безопасности сетевых каналов обслуживания клиентов. Эти средства сложны и используют такие технологии, которые банки зачастую не могут реализовать собственными силами. При этом банкам трудно бывает заменить их компенсационными мерами. Вторая группа помогает решить задачу противодействия внутреннему мошенничеству. Средства этой группы автоматизируют контроль внутреннего фрода, в том числе в отношении привилегированных сотрудников — высшего руководства компании, администраторов корпоративных ИТ-систем и др.

Подчёркивая важное значение безопасного использования электронной подписи в работе систем ДБО, Николай Афанасьев рекомендует как наиболее защищённые при работе с ЭП в недоверенной среде использовать решения, объединяющие ряд ключевых технологий, среди которых он называет аппаратную реализацию ЭП с неизвлекаемым ключом, визуализацию и подтверждение подписываемых данных на доверенном терминале, технологию "подписываю то, что на самом деле вижу" (SWYX), аутентификацию клиентского терминала на банковском сервере ДБО, проверку сервером ДБО действительности намерений пользователя подписать присланный на исполнение документ, безопасный ввод PIN-кода клиентом на рабочем месте и защиту от перехвата управления.

Подобные решения могут быть интегрированы с системами антифрод-мониторинга, располагаемыми на стороне банка. Такая интеграция позволяет реализовать безопасные, гибкие и удобные сценарии выполнения операций группового подписания платёжных поручений, а также значительно снизить нагрузку на сотрудников банка, отвечающих за блокировку подозрительных платежей.

Руслан Стоянов напоминает, что самым слабым звеном в систем защиты остается человек, и поэтому технические средства защиты следует сочетать с организационными мерами. Необходимо разрабатывать политики безопасности, которые включают правила поведения персонала при работе с информационными системами; следует наладить на регулярной основе обучение персонала правилам информационной безопасности в рамках исполняемых бизнес-ролей. Финансовый работник, полагает Руслан Стоянов, должен чётко понимать, что интернет-серфинг, использование социальных сетей и чтение личной почты не должны осуществляться с того компьютера, который используется для управления банковским счётом компании. Компьютер с установленной на нем системой ДБО должен быть оснащён комплексом средств защиты рабочего места и использоваться только для банковских проводок.

К эффективным и всё чаще применяемым средствам этого класса Алексей Сизов относит криптографические инструменты, а также токены и их аналоги как средства усиленной идентификации и аутентификации сотрудников.

В ряду общекорпоративных способов противодействия фроду Алексей Сизов отмечает появление страховых инструментов, минимизирующих или ограничивающих для компаний ущерб от мошенничества.

Чтобы иметь основания переложить ответственность за последствия фрода на своих клиентов, банки и электронные платёжные системы, как подчёркивает Дмитрий Казмирчук, должны обеспечить безопасность предоставляемых клиентам банковских услуг. Шифрование каналов связи между клиентской и банковской частями решения, обеспечивающего услугу, и использование средств защиты от несанкционированного доступа, по его мнению, в этом отношении очень эффективны. Банкам следует также помнить о периодической смене основных паролей доступа к ДБО и своевременном обновлении ПО средств защиты.

При совершении операций с банковскими картами в банкоматах Дмитрий Казмирчук рекомендует следовать правилам "ИБ-гигиены": проверять, нет ли посторонних накладок на картоприёмнике и клавиатуре, посмотреть, нет ли видеокамер, направленных на клавиатуру банкомата (при этом он обращает внимание на то, что таковые почему-то установлены на некоторых банкоматах Сбербанка), остерегаться подозрительных людей, находящихся при использовании банкомата неподалёку.

Елизавета Спасенных считает, что борьба с мошенничеством требует от банков индивидуального подхода. Поэтому для начала она советует выявить те мошеннические схемы, реализация которых приносит тому или иному конкретному банку неприемлемые убытки, и определить, какие факторы способствуют их реализации. На основании проведённого анализа можно принять решение об изменении внутренних бизнес-процессов и разработке перечня необходимых правил контроля, регулярное выполнение которых позволит своевременно выявлять и предупреждать факты мошенничества. Процедуры контроля фрода Елизавета Спасенных рекомендует по возможности автоматизировать. Вместе с тем, согласно её наблюдениям, часто принятие одних только организационных мер уже позволяет снизить потери от мошенничества на треть.

Камнем преткновения в обеспечении эффективности работы представленного на рынке широкого ассортимента решений, позволяющих выявлять, предупреждать и расследовать факты мошенничества, по мнению Елизаветы Спасенных, является необходимость настраивать логику работы решения в соответствии с особенностями каждой конкретной компании, поскольку применение базовых правил, разработанных на основании опыта работы зарубежных компаний, согласно её наблюдениям, зачастую неприменимо к российской действительности.

Государственные и отраслевые регуляторы в борьбе с фродом

До настоящего времени публикуемые данные, относящиеся к мошенничеству в банковской среде, имели, как отмечают наши эксперты, только оценочный характер. Подлинные же размеры убытков оставались не выясненными, в то время как без оценки реальных ущербов невозможно разрабатывать и применять адекватные меры снижения рисков, связанных с ними.

Наши эксперты отмечают активную работу Банка России по сбору достоверной статистики о фроде в кредитно-финансовой области нашей страны и налаживанию межбанковского взаимодействия для консолидации усилий в борьбе с мошенничеством.

В марте 2013 г. была утверждена стратегия развития национальной платёжной системы (НПС). Согласно ей ЦБ РФ ведёт работу в целях повышения в стране доверия к платёжным услугам, одним из направлений которой является анализ актуальных угроз и контроль безопасности платёжных услуг.

В рамках этого направления ЦБ РФ осуществляет конституционный надзор за отчётностью банков по инцидентам, в том числе связанным с несанкционированными операциями, совершенными с использованием платёжных карт. Как сообщили представители ЦБ РФ на конференции AntiFraud Russia '2013, в настоящее время Банк России занимается оптимизацией форм отчётности по инцидентам, модификацией показателей (учитывая при этом и международный опыт) и планирует в 2014 г. внести ряд изменений, направленных на повышение качества этой отчётности.

Банк России по запросу Правительства РФ принимает участие в подготовке предложений по дополнению уголовного кодекса статьями, предусматривающими ответственность за мошеннические действия с электронными средствами платежей. Центробанком готовятся также предложения по внесению изменений в социальное законодательство.

Представители банковского сообщества неоднократно заявляли о сложностях налаживания оперативного межбанковского взаимодействия при фиксировании фактов мошенничества или подозрении на них в процессе совершения банковских операций. Российские банки не бездействуют, даже находясь в непростых условиях нынешних законодательных рамок, сформированных российскими законотворцами. Так, Ассоциацией российских банков были утверждены методические рекомендации о порядке действий в случае выявления хищения денежных средств в системах ДБО, использующих электронные устройства клиентов. В этом документе описаны рекомендуемые меры по реагированию на мошеннические действия при ДБО.

Однако при нынешнем состоянии российской законодательной базы в случае обнаружения нелегитимных транзакций (или подозрений на это) банки, желающие предотвратить хищение денежных средств клиентов, должны идти на ухищрения, чтобы не нарушать законы "О персональных данных" и "О банковской тайне". В связи с этим ЦБ РФ готовит изменения в законы, имеющие отношение к российской НПС, в части предоставления операторам платёжных услуг прав на возврат операций, связанных с нелегитимными денежными переводами.

Оперативному расследованию мошенничества с использованием онлайновых транзакций будет способствовать корректное ведение интернет-провайдерами лог-файлов учёта интернет-сессий пользователей и хранение данных о соединениях абонентов в течение требуемого оперативно-розыскными мерами сроков, что, как отмечают представители МВД РФ, зачастую не соблюдается. Как заявляет руководство Бюро специальных технических мероприятий МВД РФ, особенно остро эта проблема встаёт при взаимодействии силовиков с небольшими региональными провайдерами, а также с некоторыми операторами мобильной связи. МВД России уведомило Министерство связи и массовых коммуникаций и Роскомнадзор о необходимости законодательного урегулирования данной проблемы, так как ныне сложившаяся ситуация позволяет преступникам уходить от ответственности и способствует росту количества преступлений.

В целях организации взаимодействия между заинтересованными участниками рынка платёжных услуг Банк России взял на себя обязанность по созданию при нём специализированной системы сбора и обмена информацией о несанкционированных и сомнительных платёжных операциях. В настоящее время в ЦБ РФ прорабатываются юридические, технические и организационные аспекты создания такой системы. Система нацелена на предоставление участникам НПС сведений о хищениях денежных средств, она поможет снизить банковские риски и ущербы, связанные с использованием онлайновых платежей.

ЦБ РФ подготовил аналитический обзор (опубликованный на его сайте) о ключевых принципах, закладываемых в подобные системы. Консолидация информации о мошенничестве и координация действий, направленных на борьбу с ним, будет способствовать повышению осведомленности участников НПС и предотвращению хищений.