Банкам дали время на построение системы защиты от киберкраж

- kbrbank

Банкам дали время на построение системы защиты от киберкраж

По мере распространения у нас ДБО растут риски кибермошен-ничества. Предотвращение их, в соответствии с Законом «О национальной платежной совокупности» и неспециализированной логикой развития рынка, ложится на банки.

В декабре 2012 года депутаты перенесли вступление в силу нескольких частей 9-й статьи 161-ФЗ «О национальной платежной совокупности» на год, до 1 января 2014 года. Законодатели растолковали это отсутствием возможности уведомления главного количества клиентов о каждой операции (как это предписывает закон) и высоким риском стагнации процессов развития индустрии безналичных платежей. За текущий год банкам нужно наладить процедуры уведомления клиентов и информационную безопасность в сфере проведения безналичных платежей.

Какие конкретно ИТ-способы окажут помощь банкам уменьшить утраты от киберкраж? Глава управления платежных совокупностей Столичного филиала Смоленского банка Надежда Левина именует в числе действенных способов следующие: уведомление клиентов о каждой операции, мониторинг профиля клиентов, fraud detection, программы, моделирующие покупательское поведение клиентов, ПО, разрешающее обезопасить операции с применением карт. Все это в совокупности есть достаточно действенным методом предотвращения вероятных противозаконных действии со стороны мошенников, резюмирует эксперт.

ИТ-директор Нордеа Банка Аркадий Затуловский говорит, что для ответа обозначенных задач действенно сочетание нескольких способов. Первый — применение чиповых карт, наряду с этим PIN-код должен быть введен клиентом, и если он введен, то ответственность за итог операции несет держатель карты. Данный способ сейчас активно используется русскими банками.

Второй способ — уведомление клиентов о совершённых платежах. Это требование закона несет в себе вероятное повышение издержек банка. Сейчас оно кроме этого обширно употребляется, но по большей части для платежей физлиц.

Помимо этого, идет внедрение совокупностей anti-fraud. Это очень важная тема для банков не только в связи с принятием законодательных новшеств, но и по причине того, что стремительными темпами растет киберпреступность.

К сожалению, рынок таких совокупностей пока не сформировался подобающим образом, нет достаточного опыта эксплуатации anti-fraud совокупностей. «Я пологаю, что нынешние ответы, основанные на создании и обработке статистики бизнес-правил, не так долго осталось ждать погибнут, поскольку нужны более интеллектуальные совокупности, талантливые самостоятельно модифицироваться, настраиваться и производить правила «на лету». Банки деятельно присматриваются на данный момент к таким ответам», — говорит Аркадий Затуловский (Нордеа Банк).

Еще одно направление развития -усиление защиты совокупностей дистанционного банковского обслуживания: перевод ключей ЭЦП на e-token, защита от перехвата пароля, дополнительное подтверждение клиентом большого платежа. Многие банки думают о внедрении совокупностей, каковые мониторят среду компьютера клиента. Если она не хватает надёжная (не обновляются антивирусы, не установлены патчи Windows), банки не позволяют проводить платежи.

Иначе, такие инструменты несут в себе важные правовые риски. «Основная неприятность — только безответственное отношение большинства клиентов к собственной безопасности. Все узнаваемые случаи — это воровство денег у потребителей, а не у банков. Кредитные организации не смогут односторонне обезопасисть себя и клиентов», -говорит Аркадий Затуловский.

Защита платежей на стороне клиента — вправду громадная неприятность, причем не только техническая, но и идеологическая. Опыт развитых рынков говорит о том, что банки не берутся осуществлять контроль компьютер, на котором трудится их клиент, это выходит за рамки потребителя поставщика и отношений услуги. По сути, сканирование чужого компьютера — это вмешательство в личную судьбу клиента, нарушение его личного пространства.

Более того, представим себе, что кредитные организации применят такое требование ко каждому клиенту. В этом случае банкам нужно будет контролировать исполнение этого требования, другими словами им нужно будет наладить совокупность мониторинга всех устройств, с которых клиенты входят в интернет-банк. Это неизбежно повлечет за собой рост издержек на стороне банка. Еще одним следствием для того чтобы подхода стали бы ситуации, при которых клиенты не имели возможность приобретать доступ к собственному электронному счету.

Предположим, что клиент направляет запрос на вход в интернет-банк с зараженного вирусом компьютера и совокупность его блокирует. Ничего не подозревающий пользователь очевидно воспримет такую обстановку в штыки: банк не дает доступа к управлению собственными средствами клиента. Что при таких условиях потребитель сообщит и поразмыслит о банке, светло.

Таковой подход, мягко говоря, не есть кли-ентоориентированным.

Помимо этого, необходимо учитывать, что всегда появляются новые виды и типы вирусов. Идет брони «и постоянная борьба снаряда», причем противовирусное ПО постоянно развивается в догоняющем режиме. Вследствие этого на рынке нет таких антивирусов, каковые снабжают защиту от всех типов вредоносного кода.

Само собой разумеется, весьма верно учить клиентов азам компьютерной безопасности и интернет-гигиены, но все же надежды на то, что все правила будут соблюдены и что их исполнение на 100% окажет помощь сохранить безналичные средства граждан, мало. Так что этот путь есть только запасным.

Главным методом обеспечения защиты безналичных платежей во всем мире признан transaction monitoring, анализ параметров безналичных транзакций. Интеллектуальные совокупности отслеживают, являются ли платежи типовыми для данного клиента, фиксируют IP-адрес, с которого осуществляется операция. Специалисты советуют выставлять верхние ограничения по размеру транзакций, осуществлять контроль количество транзакций с одного счета и нетиповую активность.

Помимо этого, нужно блокировать транзакции с IP-адресов, каковые уже были «засвечены» мошенниками. В случае если клиент в течение небольшого промежутка времени снимает деньги в банкомате в Москве, а после этого берёт планшеты в Гонконге, то это, очень возможно, показатель компрометации его карты и/либо идентификационных данных, и банк обязан такие случаи отлавливать.

Еще один наиболее значимый момент — участие клиента в проведении транзакции. Банкам не нужно экономить на информировании пользователей о том, что в совокупность введена заявка на операцию либо уже совершена платежная операция. Лучше еще раз переспросить клиента, взять подтверждение транзакции, к примеру, в виде одноразового пароля по SMS.

А большую нетиповую операцию направляться подтверждать два раза.

Уже на данный момент многие российские банки подключают SMS-информирование обязательно. К примеру, в Смоленском банке наровне с постоянным контролем высокотехнологичного обеспечения информационной безопасности осуществляется бесплатное SMS-информирование обо всех платежных операциях, совершаемых клиентом. В сообщении указываются место и время совершения платежа либо снятия наличных, сумма платежа либо снятия, и остаток средств на счете.

И регуляторы, и западные банки, а также пойманные мошенники в один голос говорят, что это самый действенный метод предотвращения кибер-краж. Сотовый телефон есть полезным личным предметом для каждого, и его пропажу человек обнаруживает скоро. Таковой способ оповещения клиентов есть панацеей практически для всех случаев, не считая утери сотового телефона и/либо подмены SIM-карты пользователя.

Исходя из этого принципиально важно, дабы банки отслеживали актуальность контактных данных, первым делом, номеров сотовых телефонов собственных клиентов.

Вывод СПЕЦИАЛИСТА
Андрей ФЕДОРЕЦ, председатель совета директоров 000 «АйДиСистемс»
Для определения мошенничества разрабатываются и используются важные информационные совокупности. Они накапливают историю событий, моделируют поведение клиентов. Но они владеют значительный недочёт — они закрыты в банка, поскольку все их личные особенности имеется ноу-хау каждого банка в отдельности.

А нужно ли каждому банку тратить огромные средства на изучения поведенческой модели? Возможно ли представить обстановку, в то время, когда облачные разработки придут на помощь банкам по оценке предполагаемых клиентов/рисков? Что, не считая БКИ, может оказать помощь банкам в деле более качественной оценки предполагаемых клиентов?

Органы аккуратной власти, их территориальные подразделения, муниципальные органы смогут быть нужными для банков, по причине того, что они обрабатывают огромное количество информации как об имеющихся, так и о потенциальных клиентах банков. Совокупность межведомственного электронного сотрудничества (СМЭВ) уже используется для доступа банков к «гособлаку». Сейчас дешёвы, к примеру, сервисы по проверке действительности/недействительности паспортов либо сведений о регистрации.

В случае если взглянуть на технологический портал СМЭВ, то в том месте опубликовано более 300 разнообразных сервисов, многие из которых имеют область видимости «общедоступный», соответственно, смогут употребляться банками.

Подключение к СМЭВ позволяет взаимодействовать с госорганами как минимум в режиме получения общедоступных сведений, каковые очень полезны с целью проведения оценки предполагаемых клиентов. Для этого не хватает к СМЭВ. Нужно обеспечить обмен с разными совокупностями автоматизации деятельности госорганов.

Самым несложным ответом возможно применение единого информационного шлюза банка «ЮБанк-СМЭВ», что разрешит взаимодействовать разнообразным учетным совокупностям денежно-кредитной организации с разными форматами госорганов. Лишь от массовости внедрения аналогичных шлюзов в банках зависит уровень качества сервисов «гособлака» для применения в деятельности по выполнению разных законодательных инициатив, к примеру 161-ФЗ.

Цифровая история: Кирилл Назаренко о русском флоте в годы первой мировой

Интересные записи

Похожие статьи, которые вам, наверника будут интересны: