Выявление проблем развития технологий использования платежных карт и тенденции по совершенствованию систем безопасности в РФ и зарубежных странах

Одними из самых важных проблем для банков и государства в РФ остается защита денежных средств клиентов и граждан. Центральный банк РФ делает определённые шаги в законотворчестве, которые должны повысить надежность платежей по картам, но нужного эффекта можно добиться только, если сам клиент – пользователь банковского продукта будет понимать, что карта это не только инструмент, с помощью которого он оплачивает услуги, но и имущество банка, пользование которым обязывает соблюдать его определенные правила установленные банком и законодательством.

Изначально все продукты эмиссии и эквайринга являются высокотехнологичными, что подразумевает большие инвестиции в осуществление проектов с ними. Однако не меньших вложений требуют дальнейшая модернизация и технические средства защиты, поэтому многие банки часто используют устаревшие технологии. Субъектом, который может повлиять на организацию, является государство. Для этого применяются различные директивные меры, усиливающие финансовую ответственность банка за потери денежных средств по картам клиента. Однако стоит понимать, что полностью предотвратить потери банку не удастся даже с самым современным программным обеспечением, главная задачаэто их минимизация.

Для этого необходимо применять комплексный подход и задействовать весь комплекс организационно-технических мер, основанный на инновационных методиках и решениях, который мог бы опередить технологии мошенничества, которые развиваются порой стремительнее защитных программ.

Рассмотрим технологии, которые успели широко зарекомендовать себя на практике в качестве наиболее эффективных в РФ.

1. SMS-оповещения держателей карт об авторизационных запросах по карте. При данном методе клиент сам может проследить за расходованием денежных средств и самостоятельно отследить мошенничество. Недостатком данного метода является отсутствие гарантии получения клиентом оповещения из-за не зависящих от банка обстоятельств (технические неполадки мобильного оператора, смена номера клиентом без уведомления и т.д.).
2. Большую популярность у клиентов имеют дистанционное банковское обслуживание и мобильный банкинг, которые позволяют, тратя минимум времени и не выходя из дома, совершить обычные банковские операции. Однако сразу же после появление таких продуктов стали появляться и мошеннические схемы по выводу средств через интернет-банк. Методом борьбы с таким видом мошенничества является двухфакторная аутентификация, которая подразумевает, помимо ввода стандартного логина и пароля, дополнительный метод защиты (список одноразовых паролей, специальный код, приходящий на email или в виде смс-сообщения).
3. Использование технологии 3-D Secure, которое позволяет значительно снизить риски при проведении карточных платежей в сети Интернет как для эквайеров, так и для эмитентов, а также гарантировать торгово-сервисным предприятиям получение оплаты. При совершении операции через Интернет клиенту приходит код на телефон, который он должен ввести в течение короткого промежутка времени. Проверка подлинности кода проводится на сервере банка-эмитента. Она состоит из трёх доменов:

• Домен банка, на адрес которого будут перечисляться деньги, и домен продавца Интернет-услуг;
• Домен финансовой организации, выдававшей кредитку;
• Домен совместимости кодов, который предоставляется организациями Visa или Master Card.

Существует две разновидности техсти;

обеспечение защиты данных держанологии 3-D Secure. Для владельцев карт Visa подключается система Verified By Visa, а для Master Card Secure Code. Однако существуют единичные случаи, когда у клиента с подключенной услугой проходят мошеннические операции по вине самого клиента, который сообщает код третьим лицам из-за отсутствия понимания назначения данной услуги.

Центральный Банк РФ обязал все банки перейти на процедуру выпуска EMVкарт с 1 января 2015 года. Эмиссия EMVкарт с поддержкой динамической аутентификации (Dynamic Data Authentication) обеспечивает наиболее высокий уровень защиты от скимминга. Суть динамической аутентификации: использование уникального набора данных для аутентификации карты при каждой новой операции. На данный момент не существует ни одного доказанного случая взлома секретной области памяти карты. Ключевой материал, задействованный в процедурах выпуска EMVкарт, можно условно разделить на три основные группы:

транспортные ключи (защищают данные при обмене между участниками процесса выпуска карты – банкомэмитентом, процессинговым центром, производителем микропроцессоров, платежной системой и т.д.);

служебные ключи (используются при персонализации карты);

ключи платежного приложения Visa или MasterCard (участвуют в процедурах аутентификации и в проведении карточной операции).

«Совет по стандартам безопасности индустрии платежных карт» разработал стандарт безопасности данных, используемых в индустрии платежных карт – «Payment Card Industry Security Standard» (далее PCI DSS) [1].

Основными являются 12 направлений указанных требований:

• установка и обеспечение функционирования межсетевых экранов для защиты данных держателей карт;
• неиспользование выставленных по умолчанию производителями системных паролей и других параметров безопаснотелей карт в ходе их хранения;
• обеспечение шифрования данных держателей карт при их передаче через общедоступные сети;
• использование и регулярное обновление антивирусного программного обеспечения;
• разработка и поддержка безопасных систем и приложений;
• разграничение доступа к данным держателей карт ответственных сотрудников организации в соответствии со служебной необходимостью;
• присвоение уникального идентификатора каждому лицу, имеющему доступ к информационной инфраструктуре;
• ограничение физического доступа посторонних лиц к базам данных держателей карт;
• контроль и отслеживание всех сеансов доступа к сетевым ресурсам и данным держателей карт;
• регулярное тестирование систем и процессов обеспечения безопасности;
• разработка, поддержка и исполнение политики безопасности.

Однако данные требования имеют ряд недостатков для российских банков:

• стоимость реализации требований Стандарта может превысить величину потерь от нарушения безопасности защищаемых активов, что сделает такую защиту неэффективной и в принципе нецелесообразной;
• внедрение требований Стандарта потребует дополнительным затрат со стороны эквайреров и торговых предприятий, что может привести к замедлению развития бизнеса, если не к полной остановке [2].

Применение даже самых эффективных технологий не может обеспечить абсолютную защиту без использования специальных программных систем фрод мониторинга и анализа транзакций. Так, несмотря на то, что все банки перешли на эмиссию карт стандарта EMV, на картах может быть магнитная полоса.

Кроме того, существуют страны, не перешедшие на EMV (например, страны ЮВА, США), поэтому скимминг в России с последующим обналичиванием похищенных средств в таких странах продолжает быть привлекательным для мошенников. Кроме того, в России быстрыми темпами растут операции через Интернет. В период с 2015 по 2018 годы объемы онлайн мошенничества с платежными картами возрастут более, чем в два раза, и достигнут $ 6,6 млрд. Поэтому пока защита от мошенничества остается уязвимой, единственным действенным инструментом остается программное обеспечение фрод мониторинга, которое позволяет значительно сократить потери по несанкционированным операциям.

Таким образом, можно выделить следующие рекомендации по комплексному регулированию рисков по мошенническим операциям:

• кооперация действий платежных систем и банков, а также поставщиков систем и оборудования для выработки методик и действий по противодействию массовым мошенническим атакам;
• технологические рекомендации для российских банков по борьбе с различными случаями и видами мошенничества, которые на данный момент являются самыми опасными и распространенными;
• организация обмена информацией в защищенной системе для передачи банкам сведений о случаях мошенничества;
• проведение встреч и форумов специалистов в области безопасности карточного бизнеса;
• анализ карточного мошенничества и мониторинг тенденций его развития;
• разработка технологических материалов и рекомендаций по запросам банков со стороны ЦБ.

Далее рассмотрим тенденции по совершенствованию систем безопасности в зарубежных странах.

Перед большинством стран, в которых активно развиваются операции с использованием платежных карт, возникают различные виды угроз мошенничества. Для предотвращения таких угроз выделяют общие направления воздействия:

• разрабатываются рекомендации;
• создаются специализированные базы с данными о мошеннических случаях;
• осуществляется взаимодействие между участниками, предоставляющими розничные платежные услуги;
• предпринимаются меры по повышению финансовой и технической грамотности;
• разрабатываются стандарты безопасности, а также качества оказания розничных платежных услуг.

Для изучения индивидуальных подходов к обеспечению безопасности необходимо разделить общеевропейскую практику и американскую.

Общеевропейский подход.

Для создания единой инфраструктуры, которая бы могла охватить всю зону евро, Европейским Советом по Платежным Системам было принято решение создать единую базу, в которой можно было бы найти информацию по всем случаям мошенничества участникам рынка розничных платежных услуг. Данная база выполняет информационную функцию, так как каждый участник может получить своевременно необходимую информацию о случая мошенничества, а также на основе взаимодействия всех участников разрабатывать новые методы противодействия возникающим угрозам.

В Европе важную функцию выполняет регулятор в лице Европейского Центрального Банка. Он осуществляет контроль над динамикой несанкционированных операций, а также проводит различные форумы, где обсуждаются тенденции в области карточного мошенничества и меры по противодействию.

Рис. 1. Соотношение мошенничества по видам операций по Европе, % [3]

Из графика следует, что во всех странах преобладает мошенничество по Интернет операциям. Однако следует выделить ряд стран:

• мошенничество ATM: Испания, Италия, Греция, Венгрия. Причиной высоких показателей является низкий процент технически оснащенных банкоматов. Из-за этого высока вероятность как скимминга, так и вывода денежных средств по картам, привезенным из других стран.
• мошенничество через POS терминалы: наиболее высокий уровень в Нидерландах (61%). Данный показатель обусловлен тем, что в данной стране практически все банкоматы настроены на обслуживание карт только по чипу, денежные средства по картам с магнитной полосой снять невозможно, поэтому единственная возможность для мошенника расплатиться картой в торговой точке.

Из всех стран в Европе наиболее полный контроль со стороны государства и общества осуществляет Великобритания, поэтому рассмотрим ее систему наиболее подробно.

Банки совместно с правительством проводят месяц финансовой грамотности безопасного использования IT-продуктов, распространяя информацию черезброшюры, телевидение, радио. Существует также независимая добровольческая организация «Crime Stoppers», оказывающая помощь в расследовании преступлений в области карточного мошенничества.

Из организаций, эмитирующих карты, была создана «Карточная ассоциация Великобритании», проводящая широкий спектр мероприятий, главная цель которыхпредо твращение совершения несанкционированных операций с использованием платежных карт.

Информационную функцию выполняет «Организация по финансовым мошенничествам в Англии», которая предоставляет информацию банковскому сообществу о способах предотвращения совершения мошеннических операций и координации действий по повышению безопасного уровня использования платежных карт.

Существует ассоциация из банков «Координационная группа по контролю над мошенничеством». Они совместными усилиями разрабатывают политику, направленную на противодействие мошенническим операциям.

Официальным органами, выступающими от лица государства, являются «Подразделение по борьбе с преступлениями с чеками и картами» и «Национальная информационно-аналитическая служба по мошенничеству».

Подразделение состоит из сотрудников полиции, при этом стоит отметить, что бюджетные деньги на него не затрачиваются, а спонсорами выступают сами банки. Данное подразделение занимается борьбой с совершением несанкционированных операций в банкоматах, консолидацией мошенников в группировки, совершением несанкционированных операций через Интернет. С начала своей деятельности сотрудники предотвратили потери на сумму более 368 миллионов фунтов стерлингов.

«Национальная информационноаналитическая служба по мошенничеству», созданная правительством, ведет централизованную базу данных, в которой собирается информация по всем подтвержденным случаям несанкционированных операций, попыткам или подозрениям на их совершение в сфере розничных платежных услуг на территории Англии.

Американский подход.

Несмотря на давнюю историю начала использования первых карт и высокий процент безналичных платежей по стране, США является одной из самых проблемных стран в области безопасности использования карт, потери оцениваются примерно в 3 млрд. долларов. Если в европейских странах переход на стандарты EMV завершился еще 7 лет назад, то в Америке его планируют внедрить только в октябре 2015 года. Инвестиции по внедрению данной технологии составят около 6,75 млрд. долларов. Банки затратят примерно 1,4 млрд. долларов на перевыпуск новых карт и еще 0,5 млрд. долларов на модернизацию своих банкоматов [4]. Однако американские банки и карточные компании планируют отказаться от ввода PIN-кода, они намерены придерживаться существующей системы запроса подписи клиента.

В США мониторинг и контроль мошенничества ложится на сами компании. Со стороны государственных органов существует только отдел полиции, который расследует уже совершенные преступления.

Наиболее близким, по применяемым методам, подходом к российскому является канадский. Полицией Канады была разработана подробная инструкция, касающаяся порядка действий держателя платежной карты в случае совершения несанкционированных операций как в отношении самого держателя, так и в отношении платежной карты, аналогом в России является брошюра Управления К при МВД РФ.

Кроме того, на территории Канады функционирует «Канадский центр по противодействию мошенничеству», в котором собирают информацию по всем выявленным случаям мошенничества, российский аналог – «Ассоциации Российских членов Европы» (АРЧЕ). Благодаря данным мерам, объем несанкционированных операций снизился на 23,3 миллиона канадских долларов.

Таким образом, каждая страна применяет свои методы по минимизации потерь от мошенничества по картам. Наиболее системным и эффективным является подход к данной проблеме в Англии. Так как российский рынок карточных услуг активно развивается, то в скором времени необходима будет более масштабная система контроля и взаимодействия, чем есть на данный момент, поэтому для российской практики возможно применить подход данной страны.

ЛИТЕРАТУРА

1. Официальный сайт Центрального банка (Банка России) [Электронный ресурс]. М., 2015. URL:http://www.cbr.ru/
2. Алексанов А. К., Демчев И. А., Доронин А. М. Безопасность карточного бизнеса: бизнес-энциклопедия. М., 2010. С. 221.
3. Официальный сайт информационного агентства ИА «Банкир.Ру» [Электронный ресурс]. -М., 2015. URL: http: // bankir.ru/
4. Кузин М.В. Перспективы внедрения EMV в США // [Электронный ресурс]. М., 2015. http://nsession.mephi.ru/