«Пластиковые карты — удобно, но опасно», говорится в материалах Synovate Comcon. По данным исследования этой компании, с 2007 по 2012 год число россиян, которые оценили удобство пользования пластиком, выросло на 25%. Но в то же время количество тех, кто считает, что карту легко украсть и незаконно снять с нее деньги, увеличилось за этот же период несколько больше — на 28,6%.

Пользоваться карточками сильнее всего боятся люди в возрасте от 55 лет, а наиболее адаптирована к таким банковским продуктам молодежь — граждане от 16 до 24 лет. Среди регионов, где жители более всего опасаются безналичных расчетов, лидируют наиболее продвинутые в плане предоставления банковских услуг Москва (52% опрошенных) и Санкт-Петербург (50%). Очевидно, отмечается в исследовании, это связано с высоким уровнем кибермошенничества, традиционным для мегаполисов.

«В принципе, количество россиян, считающих, что картами пользоваться небезопасно, растет пропорционально числу держателей этих банковских продуктов. Здесь есть и пересечения. Многие используют карты по принципу: «глаза боятся — руки делают», то есть держат деньги на картах и совершают с их помощью расчеты, несмотря на то, что опасаются за сохранность своих средств, — комментирует директор по работе с клиентами Synovate Comcon Людмила Бартенкова. — Примерно так же люди пользуются дорогими мобильными телефонами, опасаясь, что их украдут».

Бартенкова считает, что по мере роста уровня финансовой грамотности населения, распространения банковских карт и создания условий для осуществления безналичных платежей доля тех, кто поймет, что «не так страшен черт, как его малюют», будет увеличиваться. «Вообще, люди боятся того, что для них ново. Это естественная тенденция для рынка, где банковские карты стали массовым продуктом не так давно, — продолжает эксперт Synovate Comcon. — Положительную тенденцию мы можем ожидать только в случае, если борьба с мошенничеством будет активной и идти параллельно процессу распространения пользования картами. Потому что кросс-анализ показывает нам значимый рост тех «многих» держателей карт, которые, при том что считают карту удобным способом оплаты, испытывают сомнения в безопасности хранения средств на ней». Это означает, уточнила Бартенкова, не просто опасение консервативно настроенных граждан-непользователей, а реальный негативный опыт.

Банкиры, опрошенные порталом Банки.ру, не согласны с выводами Synovate Comcon. «Мы не видим, что на рынке растет недоверие к банковским картам. Наоборот, мы наблюдаем увеличение количества операций с их помощью, в первую очередь по безналичной оплате товаров и услуг (за прошлый год их объем в целом по системе вырос более чем на 60%). Это говорит о том, что люди все больше привыкают к данному продукту, — утверждает вице-президент, директор департамента банковских карт банка «Ренессанс Кредит» Владислав Вербин. — На практике, чем больше человек знает и использует продукт, тем больше он понимает все его преимущества и недостатки, тем лучше он осознает, какие здесь возможны риски». По мнению Вербина, подавляющее большинство опасений, связанных с карточками, возникает у тех, у кого недостаточно опыта обращения с пластиком. «Такие люди, например, часто «покупаются» на слухи, что где-то что-то у кого-то с карты безвозвратно пропало. То есть это вопросы психологии и финансовой грамотности», — считает вице-президент «Ренессанса».

Не согласен с выводами данного исследования и начальник управления пластиковых карт ВТБ 24 Александр Бородкин. «На мой взгляд, тенденция обратная. Есть прямая зависимость: чем дольше клиент пользуется банковской карточкой, тем больший среднемесячный остаток средств на его карте, — объясняет он. — То есть поначалу, в первые месяцы пользования картой, клиенты снимают все остатки средств в течение нескольких дней. Затем происходит следующее: чем дольше клиент пользуется картой, тем охотнее он хранит деньги на карте и снимает наличные только при необходимости, и таких клиентов становится больше». Бородкин уверен, что все больше людей понимает, что за деньги в их кошельках отвечают только они, а за средства на банковских картах — множество специально обученных сотрудников, которые профессионально следят, чтобы со средствами клиентов все было в порядке.

Член правления банка «Траст» Василий Кузнецов добавляет, что банки прикладывают максимальные усилия для того, чтобы обезопасить держателей карт: развивают службы предотвращения мошенничества, внедряют повсеместное СМС-информирование и многие другие возможности, позволяющие клиенту, узнавшему о несанкционированной операции, оперативно заблокировать карту. Кроме того, банки все больше делают акцент на выпуске более защищенных чиповых карт. «Но о безопасности должны в равной степени заботиться как банки, так и держатели карт. Клиентам не следует, скажем, в Азии, в некой непонятной точке отдавать официанту карту на полчаса. При получении сообщения о подозрительной транзакции необходимо как можно быстрее оповестить банк», — напоминает Кузнецов.

У председателя правления Международной конфедерации обществ потребителей (КонфОП) Дмитрия Янина более скептический взгляд на ситуацию, и он поддерживает экспертов Synovate Comcon. «Раз объемы эмиссии карт растут, то и число тех, у кого деньги украли, тоже растет. Увеличивается число держателей, которым банки не вернули украденные деньги. Получается, что у людей накапливается негативный опыт. И число таких людей увеличится, если закон не обяжет банки вернуть украденное», — заявил Янин.

С января 2014 года должны вступить в силу положения 9-й статьи закона «О национальной платежной системе» (НПС) — «Порядок использования электронных средств платежа». Данными нормами вводится новый порядок компенсации банками клиентам средств, украденных при осуществлении безналичных расчетов. Если сейчас пострадавшим от мошенников держателям карт приходится долго доказывать свою непричастность к пропаже денег, то с будущего года значительная доля ответственности ляжет на кредитные организации. «У банков есть год (если вступление в силу данной статьи опять не отложат), чтобы не возмещать потери. А если потребитель не получит 100-процентной гарантии возврата украденного, то число тех, кто боится пользоваться банковскими картами, будет стремительно расти», — предупредил Янин.

На прошлой неделе в первых строчках новостей мелькнуло сообщение о том, что пойманы за руку бывшие и действующие работники Сбербанка, укравшие 50 млн. рублей с зарплатных счетов клиентов. Факт, что обезвредить преступников удалось при содействии службы безопасности самого банка, упомянут лишь вскользь, почти как «звездочка» в кредитном договоре. Зато трубным гласом прозвучали «Сбербанк-онлайн», воры-сотрудники и зарплатные счета. Хороший удар ниже пояса по имиджу, учитывая, что по оценкам банковского профессионального сообщества, именно зарплатные проекты сегодня считаются драйверами банковских услуг в инертные массы.

Мошенничество в системах дистанционного банковского обслуживания давно сияет как бриллиант чистой воды, что ни день, то новая грань. Главное, что произошло в менталитете банкиров – они, наконец, перестали говорить обществу, что «в Багдаде все спокойно». И даже начали поступать с точностью до наоборот, «воспитывая» своего клиента. Вместе с тем, несмотря на легкую передышку, которую дала банкирам годовая отсрочка вступления в силу страшной для их бизнеса нормы закона о Национальной платежной системе, банкиры не могут не понимать, что плохая подготовка к исполнению этого закона ставит под угрозу дальнейшее развитие дистанционного банкинга. Как банки прикрываются от мошенников сегодня, и какие щиты для этого они будут использовать завтра?

Фрод-мониторинг

Основная цель этого метода – остановить мошенническую транзакцию. Системы фрод-мониторинга своими аналитическими механизмами выявляют действия, нехарактерные для клиента, и ставят их на подозрение.

«Крупные банки выстроили системы информационной безопасности и лишь продолжают их усовершенствование, остальные пытаются это сделать, поэтому спрос на технические решения по фрод-мониторингу будет нарастать. В зависимости от настроек, система может заблокировать счет, отправить уведомление клиенту или офицеру службы безопасности банка. Основными плюсами таких решений является возможность гибко настраивать систему, учитывая специфику каждого конкретного заказчика», – говорит менеджер по работе с крупными корпоративными клиентами компании ESET Алексей Цивилев.

Наличие логина и пароля – уже недостаточная система защиты, поскольку даже поддельное информирование через смс-сообщения уже вышло у мошенников на промышленный масштаб. «Единственный эффективный метод – фрод-мониторинг. Буквально на днях, как мне сообщили в службе безопасности одного из банков, они смогли вычислить и задержать дропера, который пытался обналичить украденные 250 тыс. рублей», – рассказывает начальник отдела информационной безопасности «Банковских информационных систем» Александр Федоров.

Руководитель группы информационной безопасности компании Symantec Олег Шабуров считает, что сейчас тяжело найти банк, у которого нет хотя бы «самописного» антифрод-решения. Банки подтверждают, что этим щитом первой линии обороны они успешно пользуются.

«В нашем банке осуществляется мониторинг подозрительных транзакций. Это позволяет выявлять мошеннические операции и останавливать их до попадания в платежную систему.
При анализе учитываются различные показатели и выявляются операции, несвойственные для конкретного клиента. Далее оператор банка проверяет платеж и окончательно устанавливает мошеннический он или нет», – рассказал начальник отдела информационной защиты Росгосстрахбанка Владимир Егорычев.

«В 2011 году мы внедрили аппаратно-программную систему он-лайн фрод-мониторинга операций интернет-банка «Альфа-Клик» в режиме реального времени. В настоящее время система доказала свою высокую производительность и эффективность, сведя потери клиентов и банка к минимальному уровню», – говорит директор по мониторингу электронного бизнеса Альфа-банка Алексей Голенищев.

Однако внедрить и на этом успокоиться – мало. Разработчики не устают повторять, что это направление требуется все время развивать и не для галочки. Вендоров тоже можно понять – ведь это их бутерброд с икрой. Но все же здравый смысл в их заявлениях имеется.

Директор по развитию АМТ-Груп Илья Митричев утверждает, что, несмотря на многолетнюю популярность технологий по выявлению подозрительных платежей в российских банках, обычно они ограничиваются предлагаемыми встроенными или наложенными решениями от вендоров систем дистанционного банковского обслуживания. Необходимость комплексных промышленных внедрений осознали пока немногие. «Понимание большинства пока ограничивается попыткой выявления на основе некоторых примитивных формальных правил. Эффективность такого метода показушна. Но и инвестиций практически никаких не требует – вендоры или предлагают решения бесплатно в маркетинговых целях, или продают «за копейки», – комментирует эксперт.

Это, по мнению эксперта, далеко от реального фрод-мониторинга, способного сделать риск финансовых потерь банка минимальным, да еще и в качестве бонуса повысить имидж банка как организации, заботящейся о своих клиентах и продвигающей безопасные дистанционные услуги.

«Такие цели достигаются комплексным решением, затрагивающим не только системы ДБО. Для реализации таких проектов необходимы достаточные бюджеты. К сожалению, риск-менеджмент банка обычно не в состоянии качественно оценить риски и возможные последствия действий мошенников, поэтому непросто обосновать необходимость расхода финансов и человеческих ресурсов банка на принятие мер по фрод-мониторингу», – говорит Митричев.

Независимый эксперт по информационной безопасности Евгений Царев находит ситуацию еще более странной. «В настоящий момент ведется жесткий демпинг со стороны отечественных производителей решений мониторинга транзакций, и банки далеко не всегда покупают качественные продукты. Как результат – фактически «убитый» рынок», – заявляет он.

Впрочем, менеджер по развитию бизнеса компании «Информзащита» Елизавета Спасенных вовсе не находит решения по фрод-мониторингу копеечными. «Внедрение этих систем обходится, прямо скажем, недешево: оно требует значительной подготовки, связанной с выявлением типовых схем мошенничеств и точной настройкой логики работы таких систем. Однако в результате грамотно построенная система фрод-мониторинга обеспечивает свою окупаемость за счет снижения уровня мошенничеств», – считает она.

Заместитель начальника управления развития продуктов компании BSS Андрей Хохлов считает, что переложить все риски на клиента – не выход. «Как показывает практика внедрения комплексного антифрод-решения передовыми банками, предотвращение всего лишь двух-трех крупных попыток кражи со счетов клиентов снижает размер потенциальных убытков банка на сумму, с лихвой покрывающую вложенные инвестиции. Кроме того, решение обеспечивает соответствие деятельности банка по дистанционному обслуживанию клиентов требованиям российского законодательства и регуляторов», – говорит Хохлов.

Борьба с инсайдом

Судя по сообщениям правоохранительных органов, серьезную угрозу как для банков, так и для их клиентов несут инсайдеры. Генеральный директор компании Group IB Илья Сачков давно заявляет о том, что в преступных хакерских группировках есть действующие сотрудники банков.

Статистику ущерба от инсайда приводит и Алексей Цивилев. «Типовая модель мошенника не ограничивается только сторонними злоумышленниками, часто и сами сотрудники банка, имеющие доступ к данным о счетах клиента и операциям с ними могут использовать его в корыстных целях. По неофициальным оценкам такие преступления наносят ежегодный ущерб на сумму от $400 до $600 млн. в год», – говорит он.

Внедряют ли российские банки IT-решения, позволяющие контролировать инсайдеров?

Александр Федоров уверен: если правильно взяться за дело, всех инсайдеров можно вычислить в течение полугода. «Любая попытка «слить информацию» оставляет след. Все, что необходимо, – стопроцентный контроль над компьютером, а также аудио, видеоконтроль. Об этих мерах можно объявить сотрудникам, пусть они об этом знают. Наши сотрудники, работая по заказу одного из банков, столкнулись с проблемой: им запрещено пользоваться своими флешками. Вроде бы неудобство, но мы понимаем позицию банка, он гарантирует себя от утечки информации. И правильно делает», – привел пример эксперт.

Илья Митричев подтверждает, что большинство банков внедряют решения по выявлению пресечению действий инсайдеров. Это имеет еще и «бонусный» эффект – предотвращение ошибок сотрудника банка, непреднамеренно нарушающего те или иные требования.

По оценкам Елизаветы Спасенных, до недавнего времени банки предпочитали использовать собственные разработки для контроля «инсайдеров». Однако это оказалось дорого, и банки стали задумываются о сторонних продуктах известных вендоров. «Рост числа проектов по внедрению таких систем объясняется, с одной стороны, общим увеличением случаев мошенничества. С другой – постоянно совершенствующимися механизмами защиты, для обхода которых и успешной реализации мошеннических схем все чаще требуется содействие внутренних инсайдеров», – комментирует эксперт.

«Борьба» с клиентом

Банки честно стараются научить клиента прописным истинам и элементарным правилам информационной безопасности. Но потребителю мало быть априори «слабым звеном», он еще и учиться не желает. Об этом говорят фото забытых в компьютере токенов или паролей, напечатанных на листе и вывешенных в рамочке на стене офиса – такие «веселые картинки» банкиры-«безопасники» любят показывать в своих презентациях.

Какие методы банки используют для обучения своих клиентов и эффективны ли они?

«В соглашениях, заключаемых с клиентом, прописаны основные правила по обеспечению безопасности при работе с системой ДБО. Также на главной странице сайта банка размещена информация по защите от мошенничества и памятка по информационной безопасности. К сожалению, многие клиенты не прислушиваются к этим советам», – констатирует Владимир Егорычев (Росгосстрахбанк).

«На сайте банка размещены последние версии антивирусных программ для бесплатного скачивания клиентами. В СМС-сообщениях с одноразовым паролем клиенту предлагается сверить реквизиты и адрес платежного ресурса. Но какие бы средства и решения банк не предпринимал для обеспечения безопасности платежей, если клиенты не будут соблюдать элементарные правила безопасности на своей стороне – угроза мошенничества будет сохраняться», – считает Алексей Голенищев (Альфа-банк).

В числе страшных клиентских грехов банкиры называют отсутствующий или старый антивирус на клиентском компьютере, разбазаривание конфиденциальной информации для входа в систему ДБО и интернет-серфинг по сомнительным сайтам со «святая святых» – того самого компьютера, который используется для работы с банком-онлайн.

«После мошеннической операции была проведена экспертиза рабочего компьютера бухгалтера одной крупной компании, с которого совершались многочисленные операции в системе ДБО. Было выявлено несколько троянских программ. Выяснилось, что последнее обновление антивирусной программы производилось почти два года назад», – привел пример эксперт Альфа-банка.

Воспитание клиентов – занятие неблагодарное, – считает председатель совета директоров платежной системы Handybank Сергей Черноморов. «Пока население напрягается и изучает способ А, мошенники придумают способ Б. Мы хотим бесконечно грузить граждан финансовой грамотностью, банки – системами безопасности, а надо менять стратегию и искать адекватное решение там, где потеряли, а не там, где светло», – заявил эксперт.

Впрочем, недавно отмечено новшество – банки стали использовать в воспитательных целях краудсорсинг. Социальная акция «Сбербанк против мошенников» тому подтверждение. Впрочем, предвестником этого метода был своеобразный «форум обиженных» – группа вКонтакте, организованная клиенткой Сбербанка Аллой Тасиц, пострадавшей от фишинговой атаки. Группа объединила почти 400 пострадавших клиентов, которые обменивались информацией, успокаивали и морально поддерживали друг друга. Самой Алле Тасиц пришлось девять месяцев ждать, пока банк вернет ей украденные деньги.

«Моя борьба наконец-то закончилась победой. Только общественный резонанс позволил добиться таких результатов. Сначала я искала людей с похожими ситуациями на разных форумах. Наша группа росла, и люди потом уже сами находили меня и присоединялись. В конце апреля прошлого года несколько участников группы написали мне, что им неожиданно пришли деньги на счет, сумма – равная украденной. Мне тоже вернули все 425 тыс. Деньги я сразу сняла и положила в Промсвязьбанк», – рассказывает Алла Тасиц.

Насколько эффективно предупреждение клиентами друг друга относительно рисков ДБО?

Владимир Егорычев считает, что негативные отзывы в сети лишь вредят репутации банка – и только. «В основном при написании негативных отзывов по фактам мошеннического списания денежных средств через систему ДБО, клиенты склонны винить банк. И факт того, что при этом клиент должным образом не выполнял требования по информационной безопасности в отзыве не упоминается. Поэтому такие негативные отзывы не содержат информационной составляющей для других клиентов, о реальных причинах, приведших в итоге к несанкционированному доступу и списанию денежных средств через систему ДБО», – прокомментировал банкир.

«Здесь скорее важны профессиональные своевременные ответы и рекомендации сотрудников банка, а не сторонних клиентов, так как их советы порой могут быть, как минимум, ошибочными, а иногда и опасными. Альфа-банк постоянно мониторит и связывается с клиентами, оставляющими подобные отзывы в социальных сетях и ресурсах «околобанковского» сообщества», – говорит Алексей Голенищев.

Инструменты доверия

Один из эффективных на сегодняшний день методов защиты – так называемые «инструменты доверия».

«Эта технология позволяет достоверно подписывать банковские документы и достоверно доставлять их в банк. Исказить информацию практически невозможно. Компьютер любого клиента, информационные системы, которыми он пользуется, могут быть повреждены, и клиент подписывает одно и на экране видит, что он подписывает, а на самом деле банк получает и другую цифру, и, может быть, другой адрес транзакции. При наличии «доверенной среды» это невозможно. Алгоритм программы устроен таким образом, что если кто-то попытается исправить подписанный клиентом документ, то в банке это сразу видят», – рассказал Александр Федоров («Банковские информационные системы»).

Однако встречается и скептическое отношение к такому решению проблемы, которое связано с родимым нашим русским менталитетом. «Эффективность зависит от сути внедряемого, которое зачастую имеет только психологический эффект. Любой «инструмент» должен быть удобен и необременителен в использовании. Если это не соблюдается, то «инструмент» будет постепенно выводиться из эксплуатации тем или иным способом. Реально уровень защищенности повышают только комплексные меры», – считает Илья Митричев (АМТ-груп).

Посадки на грядке

По данным компании Group-IB, специализирующейся на расследовании компьютерных преступлений, на начало 2012 года на территории России действовало 6 крупных преступных групп, «работавших» по системам дистанционного банковского обслуживания. Благодаря серии успешных расследований, в которых принимали участие эксперты Group-IB, сотрудники ФСБ и МВД, а также служб безопасности банков, 3 преступных группы прекратили существование.

Первая «ликвидация» случилась в марте 2012 года. Участники расследования считают это дело уникальным в мировой практике, поскольку удалось установить всю преступную цепочку от организатора группы до низшего звена — дропов, отвечающих за обналичивание украденных денег. Мошенников было 8 человек, и только в 2011 году им удалось похитить около $150 млн. у клиентов ста российских и зарубежных банков.

«В их распоряжении находился даже собственный офис, работавший под прикрытием компании по восстановлению данных. Три месяца кропотливой работы потребовалось отделу расследования Group-IB, чтобы установить личность организатора преступной группы, владевшего и управлявшего специализированной банковской бот-сетью», – рассказал Илья Сачков.

Также в июне 2012 года был задержан организатор преступной группы мошенников, создавший многомиллионную банковскую бот-сеть, известный в сети под псевдонимами Гермес и Араши. На «охоту» за доказательствами причастности этого человека к преступлениям потребовалось 16 месяцев, и теперь он ждет суда вместе со своими подельниками.

На профильных конференциях по информационной безопасности в адрес банков часто слышны упреки. Дескать, банки замалчивают инциденты, не желают делиться информацией во время расследований, не участвуют в обмене информацией и составлении «черных списков» мошенников. Опрошенные банкиры опровергают подобные претензии.

«В банке налажено тесное взаимодействие службы безопасности с правоохранительными органами, куда предоставляется вся необходимая для проведения расследования в рамках уголовного дела информация по инцидентам информационной безопасности. Всем клиентам по факту несанкционированного списания денежных средств дается рекомендация обязательно обратиться с заявлением в правоохранительные органы. Тем более, что при опротестовании и возврате несанкционированного перевода на счета в другие банки, требуется заявление клиента о факте мошеннической операции и корешок талона-уведомления о подаче заявления в полицию. Банк участвует в обмене информации со службами безопасности других банков по фактам выявленных мошеннических операций, с целью предупреждению их повторения, а так же для возможного обобщения нескольких эпизодов в одно производство», – заявляет Владимир Егорычев.

«Альфа-банк активно участвует в обмене информацией, является участником корпоративной рассылки информации об инцидентах в ДБО. Также активно взаимодействует со сторонними банками и МВД в противодействии мошенническим операциям и расследовании случаев совершенного мошенничества. Как результат часто удается «перехватить» мошеннические переводы на счета злоумышленников в банке, и предотвращается их дальнейший перевод или обналичивание», – вторит Алексей Голенищев.

Иллюстрацией такого слаженного взаимодействия можно назвать ликвидацию группы Hodprot, похитившей у клиентов банков порядка 125 млн. рублей. Группа действовала 4 года и специализировалась на хищениях денежных средств юридических лиц. Мошенники заразили более 1,6 млн. компьютеров пользователей нескольких крупных городов, включая обе столицы. Получив необходимые для банковских операций идентификационные данные, злоумышленники якобы от имени компании направляли в банки подложные платежки. Затем похищенные деньги перечислялись на банковские карты и обналичивались через банкоматы. Каждый мошенник «зарабатывал» по 2 млн. рублей ежемесячно.

«Поскольку среди потерпевших были и клиенты Сбербанка к расследованию подключилось Управление безопасности Московского банка Сбербанка России. Полиция задержала злоумышленников одновременно в нескольких регионах. В ближайшее время состоится суд в отношении участников преступной группы», – рассказал Илья Сачков.

Однако экспертов «умиляет» отношение российского суда к киберпреступникам. Дело в том, что наши судьи видят в них всего лишь оступившихся молодых и талантливых ребят, которым жалко портить биографию реальными сроками заключения. Советник генерального директора платежной системы Cyberplat Борис Мирошников, долгое время курировавший борьбу с кибермошенниками в МВД и ФСБ, привел пример, которому очень далеко до оптимизма. «На прошлой неделе задержали 18 компьютерных мошенников и 16 из них отпустили на следующий день. Ребята-милиционеры, мои бывшие коллеги, разрабатывавшие эту операцию долгие месяцы, готовы были плакать от чувства бессилия», – рассказал Мирошников.

«Мошенники получают условные сроки, если их поймают. Судебные решения – это фактически приглашение к мошенничеству. Мы применяем способы обороны, а в данном случае на мошенников надо нападать. Государство должно осознать кибермошенничество как проблему национальной экономической безопасности», – заявил Сергей Черноморов.

Кибероружие

Нападение – это лучшая защита. Разрабатывают ли вендоры решения, призванные не только отражать атаки, но и в свою очередь атаковать злоумышленников? Насколько перспективно такое направление в информационной безопасности? Эксперты сошлись во мнении, что, поскольку презумпция невиновности все еще действует, перспектив у легального кибероружия нет.

«Наверняка идеи о разработке уже витают в умах «умельцев». Однако такие решения вряд ли когда-либо перейдут в категорию хорошо продаваемых продуктов, в связи с вероятной незаконностью их действий. Банки самостоятельно решают задачи по защите своих клиентов и данных, но не по отлову мошенников или атакам на них», – говорит Елизавета Спасенных («Информзащита»).

Александр Федоров тоже считает подобные превентивные меры опасными. «Все-таки это не наши методы. Ведь в таком случае защитники начинают действовать так же, как и нарушители, а это вряд ли правильно», – сомневается эксперт.

«Совершенно бесперспективно. Это незаконно. Непонятно, кого именно надо атаковать – прокси-сервер в Китае?» – удивился вопросу директор компании Digital Security Илья Медведовский.

«Право решать, кто виновен, только у судьи, и вендор, специализирующийся на разработке средств защиты, в случае подобной «акции возмездия» рискует в один момент превратиться из защитника в преступника», – говорит Алексей Цивилев (ESET).

«Нельзя переходить грань дозволенного. Однако банк может оказать неоценимую помощь компетентным органам в части сбора доказательного материала по злоумышленникам. Поэтому в промышленных решениях по фрод-мониторингу присутствуют «ловушки», позволяющие не только выявить факт злоумышленного действия, но и отвлечь злоумышленника на действия с фиктивными данными и в процессе его «работы» собрать максимум доказательного материала», – прокомментировал скользкую тему Илья Митричев.

Соломка, сэр!

Но если против лома нет приема, и даже другой лом не спасет, может быть, обратиться к старой доброй страховой соломке? Аналитический центр «Альфа-Страхование» опубликовал данные собственного исследования – число случаев хищения денег с банковских счетов за последний год увеличилось в пять раз. Однако эксперты сошлись во мнении, что на такой соломке весьма жестко спать. Что же мешает и колется?

Владимир Егорычев из Росгосстрахбанка прямо говорит об экономической нецелесообразности. «Страховой инструмент в первую очередь нацелен на покрытие крупных убытков банка, а по массовым операциям, которые ежедневно совершаются через систему ДБО десятками или сотнями тысяч, страхование рисков для банков может оказаться экономически неоправданным. Также на начальном этапе развития программ страхования рисков информационной безопасности страховые компании могут предлагать заведомо «невыплатные» страховки», – предполагает банкир.

Начальник отдела дистанционного банковского обслуживания ВТБ24 Елена Дегтева пеняет на несовершенство законов и отсутствие страховой практики по этим рискам. «Для российского рынка это новая, непривычная услуга, и должно пройти время, прежде чем клиенты поймут, насколько она им необходима», – размышляет она.

«Страхование рисков в ДБО фактически невозможно. Во-первых, нет института независимого оценщика, которому бы доверяли и банк, и страховая компания. А без этого страховщик не может оценить уровень риска. Во-вторых, нет института независимого дознавателя – без этого страховщик не может понять «а был ли мальчик», то есть инцидент. И самое главное – кого страховать? Банк или клиента? Про страхование информационных рисков уже говорят лет десять, а воз и ныне там», – комментирует тяжелый вопрос Илья Медведовский.

Законодательное лобби

Банкиры почему-то неохотно прокомментировали пресловутую «девятую статью» – видимо уже до мозолей на языке наговорились о ней на многочисленных банковских конференциях. Да и отсрочка пока действует. Тем не менее, готовы ли банки морально и технически к новшествам закона о Национальной платежной системе или надеются на новые отсрочки по вступлению в силу отдельных его положений, напрямую угрожающих банковскому бизнесу? Или дистанционное банковское обслуживание так и не станет дешевым и массовым, и на его развитии можно поставить крест?

«В банке проводится работа в соответствии с требованиями 161-ФЗ «О национальной платежной системе». Осуществляются необходимые организационные и технические мероприятия по актуализации контактной информации клиентов банка и реализации информирования клиентов по всем совершаемым операциям с использованием электронного средства платежа», – говорит Владимир Егорычев.

«Закон о национальной платежной системе несомненно нуждается в доработке по разным причинам, в том числе из-за возможного увеличения риска недобросовестного поведения самих клиентов. Надеемся, что такие изменения будут со временем приняты. Естественно, на развитии ДБО наш банк крест ставить не собирается – это тенденция рынка, развития банковского бизнеса», – комментирует Алексей Голенищев.

Независимый эксперт Евгений Царев не согласен, что «девятая статья» угрожает банковскому бизнесу. Но есть две проблемы – банки зачастую не способны уведомить клиентов об операциях. К примеру, 5 лет назад никто не требовал уведомлять клиентов об операциях, в результате банки не обращали внимания на сбор и поддержание в актуальном состоянии баз с контактными данными клиентов. А теперь банки испытывают трудности с получением этих сведений.

Вторая проблема связана с возвратом денег клиенту. «Фактически злоумышленники сегодня воруют не у банков, а у клиентов. Существующая практика разбирательств показывает, что клиенты, особенно физические лица, регулярно проигрывают в спорах с банками о возврате похищенных денежных средств. Причем однозначной вины клиента банк доказать не может. Поэтому сложилась практика отказа клиентам в возвратах. В случае принятия 9 статьи в существующем виде, ситуация изменится с точностью до наоборот, что тоже нехорошо. В результате единственным выходом для банков остаются поправки в 9 статью», – комментирует Царев.

Однако президент Национального платежного совета Андрей Емелин на недавнем форуме «Информзащита», где в числе многих обсуждался и этот вопрос, призвал банки не особенно надеяться на законодательное лобби. «Пока банк не осознает, что он должен быстро обеспечить систему рассмотрения споров с клиентом, никакие меры законодательного характера влияния не окажут. Не нужно дожидаться, пока законодатель изобретет и выточит дубину, чтобы бороться с банками. Нужно самим предложить конструктивные решения, позволяющие снять проблему», – заявил Емелин.

Птица счастья завтрашнего дня

Эксперты перечислили основные направления по информационной безопасности, которые будут внедряться или совершенствоваться банками в ближайшее время.

«Системы, основанные на использовании логина, пароля, электронного ключа, смс-информирования, будут умирать. Будут развиваться антифродовые системы. Усилится защита от инсайдеров. И еще я бы отдельно сказал о развитии защиты в облачных технологиях. Тут у нас пока методы не отработаны. А это необходимо, прежде всего, в связи с тем, что мы вступили в ВТО. У нас теперь есть требования регулятора, с одной стороны, а с другой – требования международных стандартов», – рассуждает Александр Федоров.

«Наиболее перспективным представляется подход, позволяющий совместить высокую степень защищенности клиентов и удобство работы в дистанционных каналах», – говорит Елена Дегтева (ВТБ24).

Как мрачно пошутил на форуме «Информзащита» вице-президент ВТБ Карл Сумманен, в Америке стало больше отрезанных пальцев после введения биометрической идентификации клиента. «Самое страшное в построении систем безопасности – это наивная вера в то, что есть серебряная пуля. Нет ни серебряной пули, ни осинового кола. Банк и клиент должны найти такой уровень защиты, что для клиента еще удобно, а для преступника – уже невыгодно. Если такой вариант будет найден – это адекватная защита», – объяснил эксперт.

13 марта в Москве прошла IV международная конференция по безопасности платежных систем PCI DSS Russia 2013 (организаторы — компания Digital Security, Ассоциация российских членов EUROPAY и PCIDSS.RU – сообщество профессионалов PCI DSS).

Стандарт PCI DSS (Payment Card Industry Data Security Standard, стандарт безопасности данных индустрии платежных карт) — это документ, в котором описаны правила обеспечения безопасности информации о владельцах платежных карт при ее обработке, передаче или хранении. Он разработан и совершенствуется Советом по стандартам безопасности индустрии платежных карт (Payment Card Industry Security Standards Council, PCI SSC), который был основан ведущими международными платежными системами Visa, MasterCard, American Express, JCB, Discover.

Если на предыдущей конференции выступал представитель Visa, то сейчас Майкл Грин (Michael Green) из Mastercard представил взгляд своей компании на PCI DSS в контексте развития технологической инфраструктуры.

;Основное отличие данной конференции от предшествующих, по мнению Ильи Медведовского, директора компании Digital Security, заключается в том, что уже не нужно объяснять, что такое PCI DSS, и почему важно ему следовать и, во многих случаях, проходить сертификацию на соответствие этому стандарту. PCI DSS уже принят на «вооружение» российскими банками и другими участниками российской отрасли платежных карт. Поэтому на конференции основное внимание в части собственно PCI DSS было уделено рабочим моментам его применения, таким как приведение технологической инфраструктуры банка в соответствие требованиям стандарта и организации процессов сертификации и подтверждения соответствия. Об этом подробно говорили в своих выступлениях Павел Федоров, руководитель департамента аудита банков и платежных систем компании Digital Security, и Валерий Кобак, директор департамента контроля информации банка СИАБ.

Дистанционное банковское обслуживание (ДБО) непосредственно связано с платежными картами, и обеспечение его безопасности стало второй темой конференции. Алексей Тюрин, руководитель департамента аудита ИБ компании Digital Security, провел мастер-класс «Критичные, но типичные: примеры эксплуатации уязвимостей систем ДБО». Он дал описание процесса анализа безопасности систем ДБО, в качестве примеров рассмотрел атаки на клиентов, компрометацию ДБО из корпоративной сети, атаки на мобильный банк-клиент. Он также остановился на распространенных ошибках внедрения систем ДБО и способах их предотвращения и, наконец, привел удручающие данные о множестве уязвимостей практически во всех протестированных его компанией АБС и системах ДБО…

На конференции были представлены основные результаты исследования безопасности приложений для мобильного банкинга, проведенного компанией Digital Security в 2011–2012 годы (полный текст исследования). Положение с ИБ в данном сегменте ДБО не лучше, судя по количеству уязвимостей в протестированном ПО, чем в ДБО в целом. Прозвучало мнение, что и хуже, так как технологическая среда более разнообразна.

Оживленная дискуссия возникла после выступления Павла Головлева, начальника управления безопасности информационных технологий СМП-Банка, который сообщил о разработке группой экспертов, работающих в банках, отраслевой модели угроз для систем ДБО. По его мнению, большинство банков могут выделить весьма ограниченные бюджеты на ИБ — в среднем 5 млн. рублей в год. С таким бюджетом нельзя справиться с обработкой всех рисков, возникающих при классическом моделировании угроз, то есть при определении объектов защиты и возможных уязвимостей у них, анализе возможных способов использования этих уязвимостей, оценке тяжести последствий, оценке вероятности событий, оценке актуальности угроз и выборе защитных мер. Группа экспертов выделила 7 классов угроз и для каждого из них определила эффективность защитных мер. В настоящее время проводится моделирование угроз, возникающих при обслуживании банками пластиковых карт.

И в заключение мнение участника конференции Алексея Ермаченкова, советника председателя правления Промышленного сберегательного банка: «Банковские технологии во многом определяются используемыми в банках ИТ. Это особенно заметно в области платежно-расчетных операций, поскольку большая часть данных операций проводится с использованием ДБО, пластиковых карт, терминалов самообслуживания и т.д., которые основаны на ИТ. Выбор пути развития ИТ и банковских технологий на их основе – это стратегическая задача банковского бизнеса. Банк должен понять, какие технологические элементы, например, процессинговый центр, он может делать лучше рынка, а какие ему целесообразнее отдать на аутсорсинг. При анализе возможных технологических решений следует учитывать не только их стоимость и масштабируемость, но и возникающие риски, и компенсационные меры. Так как стоимость обеспечения ИБ может составлять существенную часть стоимости технологических проектов, то банкам необходимо четкое представление о существующих и перспективных угрозах ИБ, а также об эффективных защитных мерах».

С материалами всех конференций PCI DSS Russia можно ознакомиться через страницу http://pcidssrussia.ru/ru/

Директор компании Digital Security и многолетний организатор традиционной банковской конференции PCI DSS Russia, а также хакерской конференции ZeroNights Илья Медведовский рассказал в интервью Bankir.Ru о проблемах в стандартах банковской безопасности, о том, какие иллюзии строят российские банки в области безопасности систем дистанционного банковского обслуживания, и как честные хакеры «прикрывают» мировых вендоров.

- Ваша компания является профессиональным аудитором на соответствие стандартов PCI DSS и PA-DSS. Какие проблемы вы видите в российских банках? Существуют ли подобные проблемы у мерчантов? Есть ли принципиальные отличия?

- Основная традиционная проблема банков связана с тем, что изначально у многих банков процессинг не был выделен, а был интегрирован в АБС. И практика показывает, что чем выше степень интеграции, тем сложнее привести систему в соответствие с требованиями PCI DSS. Кстати, у небольших банков таких проблем обычно гораздо меньше, а у платежных шлюзов их просто нет. Но в целом проблем с сертификацией по PCI DSS нет. Практики и опыт за последние шесть лет давно отработаны как представителями индустрии платежных карт, так и QSA-аудиторами.

Сегодня, скорее, выходит на первый план вопрос поддержания соответствия. Но и здесь особых проблем не вижу, если только аудитор не пытается заставить банк включить в область сертификации эмиссионную часть, что иногда случается. Эмиссия должна соответствовать PCI DSS, но ее не обязательно сертифицировать у QSA, однако в силу понятных причин иногда аудитор давит на банк, требуя включить его в область сертификации. А это сделать не так просто, да и не факт, что нужно.

Что касается мерчантов, то их сертификация в России пока редкость. В основном мы сертифицируем банки и небольшие процессинги и платежные шлюзы.

- Все-таки, что для банка обходится дешевле: компенсационные меры «по факту» компрометации или превентивные меры, то есть нормальная сертификация на соответствие стандарту? И что банки предпочитают на практике?

- Все, кто должен сертифицироваться по PCI DSS, тот на практике и сертифицируется. Выбирать здесь не приходится. Требования международных платежных систем едины для всех. Поэтому сегодня здесь вопросов не возникает. Тем более, повторюсь, практика и опыт за эти годы наработаны огромные. В частности, мы ведем эту работу с 2007 года и только за прошлый год мы провели более 20 проектов различного масштаба по PCI DSS: среди наших клиентов как крупные банки уровня Сургутнефтегазбанка или Ак Барс Банка, так и небольшие платежные шлюзы, коих у нас в качестве клиентов подавляющее большинство. Поэтому мы можем сделать однозначный вывод, что большинство технических проблем и жарких дискуссий по PCI DSS давно уже в прошлом. Рынок достиг как насыщения, так и зрелости.

- Тогда почему на ваших конференциях так возмущаются представители Visa и MasterCard? Грозят штрафами за компрометацию? К тому же, вопросы банкиров из зала прямо говорят о том, что российские банки предпочитают соответствовать лишь букве, но не духу стандартов безопасности. Разве не так? Ведь на конференции приводились данные, что по статистике аудиторских проверок ни одна компания, допустившая компрометацию данных, на момент инцидента не соответствовала стандартам PCI DSS.

- Честно говоря, и здесь я не вижу никакой остроты. Представители международных платежных систем не грозят никому штрафами и никого не пугают и никогда не пугали. Они спокойно, целенаправленно и очень грамотно с 2007 года требуют соответствия, постепенно наращивая давление на представителей индустрии платежных карт. А механизмы давления у них существуют разные и, надо заметить, как показывает практика, крайне эффективные, особенно если посмотреть на этот процесс в исторической ретроспективе в период с 2007 по 2013 годы.

Что касается «духа или буквы закона» – эта задача целиком возложена на аудитора. Он обязан сертифицировать не только по букве, но и по духу и сделать так, чтобы сертифицированная система была на практике безопасной и соответствующей стандарту. Другое дело, что после ухода аудитора никто не мешает выключить механизмы безопасности – что обычно и происходило в случае инцидентов с сертифицированными компаниями. Безопасность это не состояние, это процесс – это в полной мере относится и к PCI DSS.

- Мне очень нравится, как сотрудники Digital Security, выступая на конференциях перед банкирами, порой шокируют «целевую аудиторию» своими заявлениями или действиями – я имею в виду «показательные» взломы. Какова бывает реакция?

- Мы не занимаемся показательными взломами. И, конечно, у нас нет цели кого-либо шокировать. Мы просто открыто рассказываем и показываем, как на самом деле обстоят дела в области защищенности систем дистанционного банковского обслуживания. Я всегда, еще со времен первой «Атаки через Интернет», буквально взорвавшей Рунет в далеком 1997 году, руководствовался принципом «кто предупрежден – тот вооружен».

Иллюзия защищенности не дает ничего. Мы всегда рассказывали и будем рассказывать и показывать правду, какой бы она ни была. В частности, именно для этого мы регулярно публикуем наши исследования по безопасности ДБО – надо было привлечь внимание к катастрофическому положению с защищенностью в этой сфере. В этом году мы продолжим эту традицию, и на днях выйдет как наше новое исследование, посвященное безопасности мобильных банкингов, так и очередной обзор, посвященный основным тенденциям и уязвимостям ДБО в 2012 году. Так что следите за новостями. В прошлом году наше исследование ДБО за 2009–2011 годы вызвало широкий резонанс в банковской среде.

Возвращаясь к теме – надо отметить, что сейчас ситуация стала лучше – банки поняли уровень угрозы, точнее, наиболее крупные из них стали на путь понимания. Банки осознали, что, с одной стороны, они совершенно беззащитны перед квалифицированным хакером, с другой, перед произволом производителей систем ДБО, которые предпочитают в силу ряда, в том числе и совершенно объективных причин, не уделять должного внимания вопросам безопасности. И банки поняли, что им нужно квалифицированное промежуточное звено – аудитор (консультант), который поможет им защититься от хакеров и заставить разработчиков ДБО поднимать защищенность этих систем, наглядно продемонстрировав им найденные в процессе аудита уязвимости.

А реакция на уязвимости и реальные атаки, которые можно провести с их помощью, очень разная, вы и сами могли в этом убедиться на тех же конференциях. Кто-то не верит. Кто-то просто не понимает опасности. Но когда ты наглядно показываешь: вот были деньги на счету, а вот они уже на счету хакера – обычно иллюзия защищенности сразу пропадает и начинается шок – особенно у топ-менеджеров. Хотя даже и в этом случае мы часто наблюдали равнодушное отношение.

- Понимаю. Железный аргумент банкира – клиент сам дурак и ставит антивирус на системный блок прямо в коробке. Однако в свете новшеств, которые принес закон о национальной платежной системе, банки должны начать считать риски, которые приносит дистанционное обслуживание клиентов, напрямую угрожающими существованию бизнеса. Вы, как аудитор, наблюдаете подобную «смену менталитета»?

- Безусловно. Банки поняли, что они остались один на один со своими проблемами: как с хакерами, так и с производителями систем ДБО, и что теперь спасение утопающих – дело рук самих утопающих. Ведь вендоры не несут и не могут нести ответственность за уязвимости и, как следствие, за хакерские атаки через них.

Поэтому менталитет банков стал меняться. Если вчера профессиональный аудитор им был или не нужен вообще, или его услугами банк пользовался крайне нерегулярно, если не одноразово, то сегодня речь идет о постоянной работе аудитора на стороне банка с целью регулярных проверок защищенности обновлений версий ДБО.

- Когда ваши сотрудники в течение нескольких минут наглядно демонстрируют, что банки, занявшиеся после кризиса глобальной модернизацией IT-систем, купили оборудование, в котором ничего не стоит «просверлить дырку» – это ладно. Но когда становится известно, что эти дыры – «классика жанра» уже десять лет… Как реагируют вендоры на сообщения о найденных уязвимостях? Какие действия предпринимают? Почему годами не «латают дыры», на которые вы им благородно указали, ведь это удар по их репутации? Есть ли отличия в реакции у российских вендоров от транснациональных корпораций?

- Прежде всего, давайте отделим российских вендоров от западных. Тем более российских вендоров, производящих системы ДБО, – это вообще отдельная область. Если говорить о наших вендорах систем дистанционного банкинга, то мы с недавних пор вообще перестали с ними работать как бесплатные исследователи. No more free bugs. Мы активно работали с ними в период с 2009 по 2011 год, но считаем, что в этом больше нет смысла по целому ряду причин.

Не представляется возможным сравнивать отношение российских вендоров ДБО с западными вендорами, с которым мы работаем как исследователи с 2007 года, получив благодарности за более чем 200 найденных уязвимостей в продуктах таких компаний, как Microsoft, SAP, IBM, Oracle, VMWare, Google, Yandex и многих других. Это совсем иной масштаб и, как следствие, совершенно иные методы работы с проблемами, связанными с безопасностью программного обеспечения.

Да, у транснациональных вендоров тоже все крайне сложно, масса уязвимостей на бескрайнем объеме кода, но они пытаются внедрять процесс безопасной разработки. Они могут себе это позволить, создавая целые отделы, отвечающие за этот процесс, нанимая внешних консультантов-пентестеров, в частности, например, нас. А для небольшого российского вендора задача внедрения цикла безопасной разработки практически неподъемна. Тем более, когда речь идет о кастомизированных версиях под каждого клиента, что является обычной практикой для систем ДБО.

- Почему ваша компания не публикует результаты собственных исследований до того, как «дырка закрыта»? Ведь такой удар по репутации мог бы сподвигнуть вендора на более качественную работу и не на просто стрижку купонов со слаборазвитого российского рынка.

- Разработчики разработчикам рознь. Если говорить о больших западных вендорах – им далеко не безразлично. Если говорить о наших разработчиках систем ДБО, то им в силу ряда объективных причин, как я уже говорил, сложно заниматься вопросами безопасности: кастом-билды, ограниченность ресурсов и прочие факторы препятствуют. Публиковать же незакрытые уязвимости даже в обычных продуктах – дурной тон. Я уже не говорю об уязвимостях в такой сверхкритичной области, как дистанционное банковское обслуживание. Это делать категорически нельзя.

Мы стараемся сподвигнуть вендора заниматься безопасностью совершенно иными легальными и цивилизованными методами, при этом публикуя информацию об уязвимости только после получения разрешения от вендора. В частности, во многом, в том числе и нашими силами путем постоянной работы с компанией SAP, начиная с 2007 года, мы вместе с другими западными исследователями смогли сдвинуть эту гору и направить вендора на путь к безопасности. Для этого, кроме поиска уязвимостей, потребовалась постоянная популяризация этой темы в мире. За последние 4 года мы выступали с более чем 40 докладами о наших исследованиях в области безопасности SAP, VMware, IBM и других на буквально всех ведущих международных хакерских конференциях, таких как Black Hat, Defcon, Hack in the Box, RSA, ZeroNights и многих других. Все это ведет к популяризации вопросов безопасности и заставляет вендоров обращать внимание на безопасность своих продуктов.

- Давно ли вы заметили достаточно новую тенденцию – учащающиеся атаки не на клиентскую сторону, а на серверную сторону банков? Когда и почему это стало для преступников выгодно?

- Это постоянный процесс. Пока по статистике чаще атакуют клиентов банка: это проще, а значит, выгоднее. И так будет всегда. Другое дело, что если не предпринять мер – банки напрямую станут атаковать чаще. Потому что, увы, есть такая возможность. И хотя клиентов будут атаковать всегда гораздо чаще, в случае прямой атаки на банк именно банк и никто иной несет ущерб. В любом случае я бы не сравнивал. Атака на клиента по значимости – это копеечный ущерб для банка относительно атаки напрямую на сервер ДБО. Причем как по имиджевым, так и по финансовым потерям. Клиентов как атаковали, так и будут атаковать – это естественный процесс. А вот «сердце» ДБО – его серверную часть банк просто обязан сделать неприступной цитаделью для хакеров. В противном случае его ждет крайне печальная участь.

На самом деле волосы буквально встают дыбом, когда мы видим уровень проблем, существующих в системах ДБО большинства российских банков – я говорю сугубо про серверную часть. Заразить вирусом и украсть деньги со всех счетов пользователей банка – пожалуйста; получить доступ ко всей карточной информации – милое дело; подменить получателя платежа для любого пользователя – нет вопросов. И все это только верхушка айсберга, когда мы говорим об уязвимостях серверных компонент систем ДБО …

- Почему в России до сих пор нет секьюрити-сообщества при достаточном количестве профессионалов в этой области?

- Если мы говорим о сообществе технарей-безопасников, условно назовем их хакерами-пентестерами, то оно стало активно зарождаться два года назад. Кстати, во многом этому способствовала организованная нами конференция ZeroNights и вторая близкая по тематике – PHD.

Проблема в том, что в России наблюдается все больший раскол, неприязнь и недопонимание между условно бумажной и реальной безопасностью. Особенно это стало четко заметно в последнее время. Выросло целое поколение молодых технарей-хакеров, интересующихся техническими аспектами информационной безопасности. Это стало модно, интересно и популярно. Быть хакером-исследователем стало почетно. И с этим новым поколением надо работать; надо поддержать эту крайне полезную тенденцию. Именно поэтому мы в свое время организовали открытую группу исследователей безопасности Defcon Russia и самое главное – международную хакерскую конференцию ZeroNights, которая в этом году получила самые высокие оценки за уровень технических докладов от самых известных западных исследователей, войдя в мировой рейтинг конференций, которые Must Visit. И это очень позитивная тенденция.

- Как подбираете себе кадры? И чем удерживаете их от перехода на «темную сторону»?

- Постоянно работаем с основными техническими вузами крупнейших городов России, но, прежде всего, Москвы и Петербурга, где у нас открыты офисы. Ищем таланты и даем им возможность себя проявить. А переход на «темную сторону» невозможен при нормальной постоянной работе и правильной атмосфере в компании. Ведь самое главное: большинство людей изначально сугубо законопослушны, и только доли процента выбирают иной путь.

Информационная безопасность здесь ничем не отличается от других сфер деятельности. Нет никакой разницы – воровать кошельки в метро или деньги из систем дистанционного банковского обслуживания. Поэтому нам никого не приходится удерживать, ведь никто не хочет жить по принципу «украл, выпил, в тюрьму! Романтика …». Такая «карьера» никому не нужна.

В России ущерб от мошенничества в сфере дистанционного банковского обслуживания за 2012 г. составил около $100 млн. Однако динамика потерь в ближайшие годы будет только увеличиваться.

Оценка и прогнозы основываются на опросе экспертов, непосредственно участвующих в расследованиях инцидентов в ДБО как со стороны кредитных организаций, так и правоохранительных органов. Кроме того, в расчет принята статистика оценки прямого ущерба от мошенничества в ДБО. Под прямым ущербом понимается сумма похищенных денежных средств через системы ДБО, вне зависимости от того, кто в конечном итоге понес убытки – кредитная организация или клиент.

Согласно статистике, переломными на рынке мошенничества в сети интернет являлись 2008–2009 гг.: основным и самым прибыльным видом мошенничества стали аферы в системах ДБО. На это повлияло одновременно 2 фактора: вызванное экономическим кризисом сокращение инвестиций в информационную безопасность на 7% со стороны банков РФ и широкое распространение средств совершения киберпреступления. За 2008–2009 гг. объем мошенничества в ДБО вырос в 2,8 раза.

Прямой ущерб от мошенничества в ДБО в России

Источник: Аналитический центр компании "Техносерв", 2012 г.

Широкое освещение дел по задержанию злоумышленников в 2011–2012 гг., а также повышенное внимание служб безопасности банков к угрозам в ДБО повлияло на снижение ущерба от действий преступных группировок, промышляющих на территории РФ. Темпы роста убытков приостановились с 60% в 2010 г. до 12% в 2012 г. Однако технологии совершения киберпреступлений не стоят на месте, потому в 2013–2014 гг. темпы роста убытков восстановятся и, более того, могут увеличиться за счет роста объемов транзакций и пользователей ДБО в целом. Кроме того, российский рынок интернет-мошенничества может стать привлекательным для злоумышленников не из стран СНГ.

Следует отметить, что по сравнению с американским и европейским рынками, объем мошенничества в ДБО на территории РФ все еще остается низким. Вызвано это сравнительно небольшим числом клиентов банка, использующих услуги дистанционного обслуживания. Учитывая то, что в России наблюдается устойчивая тенденция к росту как количества пользователей ДБО, так и объемов транзакций, нетрудно предположить, что увеличение ущерба от мошенничества в ДБО будет продолжаться.

Человеческий фактор на стороне мошенничества

С учетом вступления в силу положений закона №161-ФЗ "О национальной платежной системе", с начала 2014 г. банки обязаны возмещать ущерб от мошеннических операций для клиентов – физических лиц. Другими словами, мошенники будут красть средства не у клиентов банка, а у него самого. Поэтому банки теперь как никогда озабочены усилением мер безопасности.

Борьбу с мошенничеством в сфере ДБО можно условно разделить на 2 направления: повышение защиты на стороне клиента или усиление мер безопасности на стороне банка. К сожалению, основной проблемой внедрения систем защиты на стороне клиента является человеческий фактор. Какие бы средства защиты банк ни предлагал клиенту, всегда найдется способ обойти их. Человека можно легко обмануть, используя методы социальной инженерии или подделывая текст на экране, он может потерять бдительность, что-нибудь забыть, отвлечься, ошибиться – полностью исключить эти факторы нельзя. Однако теперь у граждан есть повод стать внимательнее. Согласно вышеупомянутому закону, банк не будет возмещать клиенту ущерб от мошеннических операций, если докажет, что человек нарушил порядок использования электронного средства платежа.

Высокотехнологичные методы борьбы

На стороне банка для предотвращения мошенничества используются интеллектуальные антифрод-системы, которые осуществляют многокритериальный анализ каждого платежного поручения, поступившего на исполнение в банк. Многолетний опыт борьбы с мошенническими платежами в системах ДБО демонстрирует, что данное средство защиты является эффективным. Однако антифрод-система должна непрерывно совершенствоваться с учетом эволюционного развития кибермошенников.

К примеру, даже самый интеллектуальный антивирус не может обнаружить последние модификации вируса, если на него не были своевременно поставлены свежие базы описаний вирусов. В антифрод-системе все аналогично – обычная установка и однократная настройка системы не уберегут банки от мошеннических действий. Если система не совершенствуется, через некоторое время ее эффективность снижается до нуля. Ключевым моментом при эксплуатации такого решения является наличие у ее разработчика сервиса, который дорабатывает антифрод-систему с учетом текущей ситуации по мошенничеству.

Подход, при котором банк самостоятельно разрабатывает антифрод-систему, в корне неправильный – этим должны централизованно заниматься соответствующие эксперты. Создание собственного решения аналогично по эффективности разработке собственной антивирусной системы силами банка. Ни один банк не столкнется со всеми вирусами, поэтому не будет знать тонкости всех способов совершения мошенничества.