Безопасность банковско-финансовой сферы

nacbank-rb

Актуальность выработки методик и ознакомления с технологиями расследования инцидентов в системах электронных платежей

denisov-denis-valerievich

Денисов Денис Валерьевич. Национальный банк Республики Беларусь, Главное управление единого расчетного и информационного пространства. Эксперт по информационной безопасности, защите информации в банковской сфере, противодействию мошенничеству в области электронных платежей.

Как в Беларуси происходит развитие регулирования указанного сегмента?

Пожалуй, отправной точкой нового витка развития направления обеспечения банковской безопасности можно считать разбойное нападение 10.12.2009 на обменный пункт ЗАО ”Абсолютбанк“ в Минске. Убита 21-летняя кассир. После этого инцидента 24.12.2009 в Национальном банке Республики Беларусь с участием представителей органов государственного управления и руководителей банков состоялось совещание, на котором были приняты достаточно серьезные решения. По результатам совещания был составлен план мероприятий. В дальнейшем в целях комплексного подхода к борьбе с преступностью Указом Президента от 23.09.2010 № 485 утверждена Государственная программа по борьбе с преступностью и коррупцией на 2010 – 2012 годы, в которой уже были учтены и мероприятия по результатам совещания в Национальном банке. Во исполнение решений п. 2.3 Плана мероприятий совещания в Национальном банке Республики Беларусь и п. 3.1.1.4 Государственной программы распоряжением Председателя Правления Национального банка Республики Беларусь от 31.12.2010 года № 1056 была создана межведомственная рабочая группа по противодействию мошенничеству в области электронных платежей, в состав которой вошли представители Национального банка Республики Беларусь, крупнейших банков Республики Беларусь, Министерства внутренних дел Республики Беларусь, Следственного комитета Республики Беларусь, ОАО ”Банковский процессинговый центр“, ООО ”VISA Украина“, ООО ”Мастеркард“ (г. Москва). Результатом работы группы стал Свод рекомендаций, включивший в себя:

  • - рекомендации по организации взаимодействия между банками, процессинговыми центрами и органами Министерства внутренних дел в случае выявления мошенничества с банковскими платежными карточками;
  • - рекомендации по обеспечению безопасного функционирования программно-технической инфраструктуры банков, ОАО ”Банковский процессинговый центр“, ООО ”Веб Пэй“ и аналогичных организаций, участвующих в обработке интернет-транзакций с использованием банковских платежных карточек;
  • - рекомендации для оценки надежности интернет-магазинов, подключаемых белорусскими банками-эквайерами;
  • - рекомендации по противодействию мошенничеству при совершении расчетов в сети Интернет по банковским платежным карточкам;
  • - рекомендации банкам по оформлению документов, позволяющих подтверждать ущерб, причиненный резидентам иностранных государств в результате мошенничества в области интернет-эквайеринга на территории Республики Беларусь.

В дальнейшем по распоряжению Первого заместителя Председателя Правления Национального банка Республики Беларусь Лузгина Н.В. от 13.11.2012 № 484 были продолжены мероприятия по функционированию Рабочей группы по противодействию мошенничеству в области электронных платежей с целью дальнейшего анализа состояния и потребностей в данном направлении, также была дана оценка эффективности применения разработанного в 2011 году свода рекомендаций по противодействию мошенничеству в области электронных платежей и определены новые векторы работы группы.

По информации банков, некоторые из них внедрили механизмы микроплатежей. При совершении оплаты с использованием иностранной банковской платежной карточки платежный сервер осуществляет online авторизацию с использованием данной карты на случайную сумму от 0,5 до 2 USD. Держатель карты должен узнать сумму микроплатежа в банке-эмитенте платежной карты и ввести сумму микроплатежа для подтверждения совершения основной оплаты в течение одного часа. Если сумма микроплатежа совпадет с введенной держателем карты суммой, валидация карты считается успешной и платежный сервер осуществляет online авторизацию на основную сумму оплаты и формирует операцию отмены по микроплатежу. В случае, если держатель карты неправильно ввел сумму микроплатежа три раза или не ввел ее в течении часа, платежный сервер формирует операцию отмены по микроплатежу и не осуществляет online авторизацию на основную сумму оплаты. Также банки используют технологии Verified by VISA и MasterCard SecureCode, используют трехфакторную аутентификацию платежей интернет-банкинга 3D Secure, совершенствуются методы фрод-мониторинга, устанавливаются блокировки на суммы снятия денежных средств, дополнительные методы подтверждения платежей в географически опасных станах мира (Таиланд, США и другие), иногда полностью запрещаются операции в некоторых странах, все больше карт выпускаются с микрочипами. ОАО ”Банковский процессинговый центр“ ежеквартально проверяет контент интернет-магазинов с эквайерингом белорусских банков согласно Своду рекомендаций. VISA и MasterCard предлагают все больше услуг по безопасному использованию банковских платежных карт – возможности геоблокировки, уведомления держателей карт об опасных транзакциях, когда параметры транзакции соответствуют определенным ограничениям по географии, сумме транзакции, по типу организаций торговли и сервиса, и наконец даже скоринговые интеллектуальные системы фрод-мониторинга.

В рамках деятельности рабочей группы был создан закрытый информационный ресурс, на котором специалисты по карточной безопасности банков и специалисты органов внутренних дел обмениваются контактной информацией и оперативно оповещают других участников о точках подтвержденной компрометации карт. Так, например, участники оперативно могут узнать в каких устройствах и в какой промежуток времени производилось считывание карт скиммерами.

Национальным банком Республики Беларусь разработаны типовые памятки держателям карт. Указанные памятки имеются во всех отделениях банков, а также на официальных сайтах банков. С целью реализации государственной программы по повышению финансовой грамотности населения реализуется целый комплекс мероприятий с привлечением банков и средств массовой информации. Все больше банков перед операциями с банкоматами выдают оповещение клиентам с тем, чтобы они убедились в отсутствии скиммеров в банкомате и так далее.

Так, по сведениям Министерства внутренних дел Республики Беларусь, анализ оперативной обстановки на территории республики в 2012 году отражает тот факт, что количество преступлений в сфере незаконного оборота платежных карт снижается. Так, если за 9 месяцев 2011 года зарегистрировано 1528 преступлений, то за аналогичный период текущего – 1271, снижение составляет 16,8 %.

Если рассматривать структуру зарегистрированных преступлений, то подавляющее большинство совершено с использованием подлинных банковских платежных карт, но наибольшую общественную опасность представляют хищения, совершаемые с использованием поддельных карт либо их реквизитов, а также с использованием специальных средств, предназначенных для несанкционированного копирования информации с магнитных полос банковских платежных карт.

Для объективной оценки состояния преступности следует иметь в виду, что в этой части официальная статистика не отражает реальное количество хищений, совершенных с использованием поддельных карт. Как правило, такие преступления совершаются в составе организованных групп, которые к моменту выявления и принятия решения о возбуждении уголовного дела уже совершили десятки и сотни эпизодов хищений, осуществили приготовление к совершению новых преступлений. При возбуждении уголовного дела в таких случаях, принимая во внимание наличие единого умысла на совершение ряда преступлений, следователь возбуждает одно уголовное дело. То есть на практике зачастую в одном уголовном деле расследуются сотни эпизодов хищений, объединенных единым умыслом, совершенных одними и теми же лицами из банкоматов, принадлежащих различным банкам, с использованием сотен банковских платежных карт, эмитированных различными банками.

Всего в 2012 году обезврежено 5 преступных групп (общей численностью 12 человек, в том числе 2 международные), специализировавшихся на совершении преступлений в сфере незаконного оборота платежных карт на территории страны.

Среди особенностей оперативной обстановки за истекший период можно считать уменьшение числа выявленных преступлений, совершаемых с использованием поддельных банковских платежных карт («белого пластика»).

27 марта 2013 года ООО ”АэркомБел“ организовало семинар ”Расследование инцидентов информационной безопасности в системах электронных платежей“, ставший знаковым в данном направлении для Республики Беларусь, так как на этом мероприятии эксперты из Российской Федерации и Республики Беларусь впервые подняли пласт такой проблематики для белорусских банков и иных организаций.

01.04.2013 г. Постановлением Совета Министров Республики Беларусь и Национального банка Республики Беларусь от № 246/4 утвержден План совместных действий государственных органов и участников финансового рынка по развитию в Республике Беларусь системы безналичных расчетов по розничным платежам с использованием современных электронных платежных инструментов и средств платежа на 2013 – 2015 годы, который предполагает увеличение показателей доли безналичного денежного оборота в розничном товарообороте организаций розничной торговли и доли безналичного денежного оборота в объеме платных услуг населению к 1 января 2016 года до 50%.

11.04.2013 г. по предложению Национального банка Республики Беларусь в Ассоциации белорусских банков состоялось совместное заседание членов Комитета платежной системы и Комитета по информационным технологиям при Ассоциации. В заседании принял участие Заместитель Председателя Правления Национального банка Республики Беларусь С.В.Дубков. По итогам заседания принято решение об объединении указанных комитетов путем создания единого Комитета по безналичным расчетам, в рамках деятельности которого будут рассматриваться как ранее закрепленные вопросы, так и вопросы развития системы безналичных расчетов. Работа данного Комитета разделена на три подкомитета:

  • - Платежные карты, электронные деньги и иные инструментарии.
  • - Безналичные расчеты юридических лиц.
  • - Информационные технологии.

15.04.2013 г. Распоряжением Председателя Правления Национального банка № 140 деятельность рабочей группы по противодействию мошенничеству в области электронных платежей была завершена и передана в Подкомитет «Платежные карты, электронные деньги и  иные инструментарии» Комитета по безналичным расчетам, тем самым, повысив значимость данного направления.

Весной 2013 года отмечался всплеск инцидентов мошенничества в системе электронных платежей. Большой общественный резонанс произвели случаи мошенничества с использованием скимминга.

25.04.2013 г. проведено межведомственное совещание при заместителе Генерального прокурора с участием представителей Верховного Суда, Следственного комитета, МВД, Департамента финансовых расследований КГК, Национального банка, Ассоциации белорусских банков, а также крупнейших банков по вопросу принятия процессуальных решений о возбуждении уголовных дел по фактам хищения денежных средств банков с территории иностранного государства. Принято решение о том, что заявления будут концентрироваться в РУВД по месту регистрации центрального офиса банка, так как в Минске легче нарастить соответствующую компетенцию сотрудников МВД, сам факт заявления будет достаточным для возбуждения уголовного дела вне зависимости от того, где произошло мошенничество.

18 июня 2013 г. на заседании комитета по безналичным расчетам в Ассоциации белорусских банков было принято решение о создании документа, который введет в Республике Беларусь принцип нулевой ответственности для владельцев банковских карт, который предполагает безусловный возврат банком клиенту украденных с карточки средств (по аналогии со статьей 9 Федерального закона Российской Федерации от 27.06.2011 № 161-ФЗ ”О национальной платежной системе“). С инициативой создания этого документа выступил начальник Управления по расследованию преступлений против информационной безопасности Следственного комитета Республики Беларусь А.Е. Сушко.

Банки с введением такой ответственности будут нести прямые финансовые потери, в то время как на сегодняшний день несут потери держатели карт. Банки будут стимулированы проводить расследование таких инцидентов. В свою очередь, принятие такого рода нормативного акта создаст условия для фактов мошенничества со стороны держателей карт, что потребует разработки методик работы с такого рода правонарушениями.

На данный момент банки прорабатывают ряд вопросов, возникающих при реализации принципа нулевой ответственности. К примеру, по какой статье проводить возврат денежных средств. Решение о формате документа и сроках вступления его в силу пока не принято.

Так, в рамках работы над данным документом 10.10.2013 г. на очередном заседании комитета по безналичным расчетам в Ассоциации белорусских банков рассматривался вопрос об обращении в Совет Министров с предложением о внесении изменений и дополнений в Налоговый кодекс в части налогообложения клиентов банков при осуществлении банками возврата сумм физическим лицам, пострадавшим от мошенничества при проведении операций с использованием карточек на основе анализа действий банков при выявлении мошенничества и их решений о возмещении ущерба пострадавшим лицам.

Какие еще есть перспективы работы в данном направлении и актуальные темы?

Необходимо продолжать работу над повышением компетенции служб безопасности банков и отрабатывать принципы реагирования на случаи мошенничества. Особенно актуально это станет с введением принципа нулевой ответственности. В Российской Федерации принят федеральный закон от 27.06.2011 № 161-ФЗ ”О национальной платежной системе“. Согласно статьи 9 этого закона, вступающего в силу с 2014 года, устанавливается порядок возможности отмены транзакций с признаками мошенничества. К слову, там держателю карты банк будет обязан вернуть денежные средства на карту в течение 24 часов в случае хищения, когда нет явной вины держателя. А уже затем сам банк собирает материалы и передает в правоохранительные органы для возмещения ущерба, нанесенного уже банку, а не держателю карты.

Анализируя инциденты можно констатировать, что в большинстве случаев банки создали необходимые организационные и технические условия обеспечения внутренней защиты банка и устройств, но процесс этот не статичен, и банкам необходимо на постоянной основе совершенствовать методы и технологии внутренней защиты банков.

Кроме регламентации внутренних процедур должны быть предусмотрены также технические средства информационной безопасности, которые могут предотвращать такие случаи с помощью разграничения доступа, мониторинга совершенных пользователем операций, расследования инцидентов и пр.

Также следует учитывать опыт Российской Федерации, где, к примеру, разработаны Методические рекомендации о порядке действий в случае выявления хищения денежных средств в системах дистанционного банковского обслуживания, использующих электронные устройства клиентов.

Для стабильной работы банковской системы и доверия населения к ней необходимо обеспечивать защиту денежных средств и информации клиентов (держателей карт).

Национальная выставка-форум «Центр безопасности: Информационная безопасность. Телекоммуникации» станет площадкой для повышения компетенции всех участников, задействованных в обеспечении безопасности, противодействии мошенничеству, а также расследовании инцидентов в системах электронных платежей. Позволит наладить контакты с коллегами, обменяться опытом, а также изучить рынок продуктов и услуг, способствующих повышению безопасности, снижению риска мошенничества, а также дающих инструментарий при расследовании инцидентов.

Бывают случаи, когда банки недостаточно эффективно взаимодействуют с правоохранительными органами, либо не используют Свод рекомендаций. Внутренние расследования банков иногда проводятся формально. Немаловажным фактором является принятие решений банками о неразглашении инцидентов, так как это может негативно сказаться на репутации банка. Такие эпизоды, когда злоумышленники остаются безнаказанными, подстегивает криминальные круги использовать свои схемы и в дальнейшем. Нам необходимо совместными усилиями добиваться искоренения преступности в нашем сегменте, для чего каждый представитель службы безопасности банков должен понимать, как в дальнейшем собранная информация об инциденте будет использована при расследовании государственными органами. Банк должен понимать, каковы успехи в расследовании преступлений государственными органами, эффективность взаимодействия банков, Министерства внутренних дел Республики Беларусь, как органа, собирающего материалы преступления, Следственного комитета Республики Беларусь, как органа уголовного преследования, и органов прокуратуры на финише при принятии судебных решений.

В свете увеличения показателей доли безналичного денежного оборота в розничном товарообороте организаций розничной торговли и доли безналичного денежного оборота в объеме платных услуг населению к 1 января 2016 года до 50% насколько актуально обеспечить соответствие стандарту PCI DSS?

Банки заинтересованы обеспечить соответствие стандарту PCI DSS. Международные платежные системы со значительным ростом количества операций в стране могут более жестко отнестись к соответствию белорусских участников платежных систем стандарту PCI DSS.

Справочно (редактор):

Payment Card Industry Data Security Standard (PCI DSS) — стандарт безопасности данных индустрии платёжных карт, разработанный Советом по стандартам безопасности индустрии платежных карт (Payment Card Industry Security Standards Council, PCI SSC), учреждённым международными платёжными системами Visa, MasterCard, American Express, JCB и Discover. Стандарт представляет собой совокупность 12-ти детализированных требований по обеспечению безопасности данных о держателях платёжных карт, которые передаются, хранятся и обрабатываются в информационных инфраструктурах организаций. Принятие соответствующих мер по обеспечению соответствия требованиям стандарта подразумевает комплексный подход к обеспечению информационной безопасности данных платёжных карт.

Основной акцент стандарт PCI DSS делает на обеспечении безопасности сетевой инфраструктуры и защите хранимых данных о держателях платежных карт, как наиболее уязвимых с точки зрения угроз конфиденциальности местах. Также следует отметить, что стандарт регламентирует правила безопасной разработки, поддержки и эксплуатации платежных систем, в том числе процедуры их мониторинга. Важную роль стандарт отводит разработке и поддержке базы нормативных документов системы менеджмента информационной безопасности.

Требования стандарта PCI DSS распространяются на банки, организации торговли и сервиса (ОТС), поставщиков технологических услуг и другие организации, деятельность которых связана с обработкой, передачей и хранением данных о держателях платежных карт. Этим организациям следует озаботиться такими вопросами, как выделение платежной инфраструктуры в отдельный сегмент, защита хранящихся и обрабатываемых карточных данных, создание эффективной системы менеджмента информационной безопасности и другими аспектами приведения в соответствие требованиям стандарта своей информационной инфраструктуры.

Международные платежные системы обязывают организации, на которые распространяются требования стандарта, проходить регулярную проверку соответствия этим требованиям. Правила проверки соответствия различаются в зависимости от вида организации и ежегодного количества обрабатываемых в ее инфраструктуре карточных транзакций. Внешний аудит на соответствие требованиям стандарта может выполнять компания, обладающая статусом Qualified Security Assessor (PCI QSA), подготовленные такой компанией отчеты о соответствии принимаются международными платежными системами.

Различают уровни сертификации для ОТС и других участников. Существуют следующие методы проверки соответствия требованиям стандарта PCI DSS:

  • внешний QSA-аудит, выполняемой PCI QSA-компанией на объекте проверяемой организации;
  • заполнение листа самооценки (SAQ);
  • автоматизированное ASV-сканирование уязвимостей периметра сети.

Метод проверки соответствия, или комбинация методов, выбирается в зависимости от уровня сертификации объекта. Сертификация по высшим уровням должна проводиться аудиторской компанией, обладающей статусом QSA. Для остальных уровней привлечение QSA не является обязательным требованием. Однако QSA может оказать консалтинговые услуги для прохождения сертификации по любому уровню

www.pcisecuritystandards.org является официальным сайтом Совета по стандартам безопасности индустрии платежных карт. Совет формирует редакции стандарта PCI DSS, проводит ежегодную сертификацию работников организаций и самих организаций на соответствие требованиям статуса организации PCI QSA. Сертифицированные Советом организации имеют право проводить работы по аудиту на соответствие PCI DSS с выдачей соответствующих сертификатов на соответствие PCI DSS.

В Республике Беларусь нет ни одной организации, имеющей статус PCI QSA, однако в регионе CEMEA имеют право оказывать услуги иностранные организации (61 организация). Из организаций на рынке CEMEA есть 23 организации, имеющие в штате русскоязычных экспертов (из них 12 организаций PCI QSA, находятся на территории России или Украины).

Спасибо за развернутые ответы! До встречи 2-3 декабря 2013 года на 1-й Национальной выставке-форуме «Центр безопасности: Информационная безопасность. Телекоммуникации»!