Защита сервисов дистанционного банковского обслуживания (ДБО) от мошенничества превратилась в одну из важнейших задач кредитно-финансовых организаций. Это обусловлено двумя причинами. Во-первых, высоким уровнем мошенничества: статистика показывает, что его размеры могут достигать 5—10 млрд. руб. в год (и это показатели ДБО только юридических лиц). Во-вторых, ожидаемым вступлением в силу закона № 161-ФЗ “О национальной платежной системе”, возлагающего всю ответственность за факты совершения неправомерных операций на кредитно-финансовые компании. Далеко не все банки отмечают высокий уровень потерь со счетов своих клиентов. Однако в настоящее время наблюдается очевидная зависимость: чем крупнее банк, тем чаще он подвергается атакам. В данном случае имеется в виду не только общее количество попыток хищения, но и средняя статистика по каждому клиенту.
От оценки рисков к прогнозируемой защищенности ДБО
Не следует надеяться, что хакер, не сумевший подобрать “отмычку к самой дорогой двери”, откажется от своих преступных намерений. Как только одни банки повышают уровень защищенности своих систем, мошенники обращают свои взоры на тех, кто этой задачей еще не озаботился. Поэтому основным критерием, определяющим необходимость повышения уровня защищенности сервисов ДБО, является оценка текущих и прогнозируемых рисков совершения мошеннических действий. Необходимость внедрения новых механизмов защиты становится очевидной, когда оценка таких рисков высока. Если же текущие риски оцениваются как невысокие, нужно использовать различные модели прогнозирования.
Оценка таких рисков не всегда является сложной задачей. Допустим, с 1 января 2014 г. вступают в силу все положения № 161-ФЗ в той редакции, что зафиксирована на данный момент. В этом случае риски будет нести банк. Объемы денежных средств, размещаемые на банковских счетах, к примеру, юридических лиц редко оказываются менее 1 млн. руб. Следовательно, результатом 10—20 успешных атак станет прямой убыток банка в размере около 1 млн. долл.
Описанный пример наглядно иллюстрирует необходимость повышения защищенности сервисов ДБО. Это комплексная задача, требующая применения решений, которые можно разделить на два сегмента. К первому относят механизмы защиты на стороне клиента (от токенов до модных сейчас средств обеспечения целостности среды), а ко второму — создание независимых инструментов контроля, не зависящих напрямую от клиента или его желания соблюдать “лучшие практики” в сфере ИБ. К таковым относятся различные системы fraud-мониторинга.
Внедрение любого из приведенных средств должно осуществляться исходя из прогнозируемого повышения защищенности каналов ДБО после внедрения. Его определяют на основании показателя, демонстрирующего изменение вероятности успешной реализации атаки.
Практика: три шага к снижению рисков мошенничества
Для обеспечения достаточного уровня защищенности на стороне клиента недостаточно только внедрения новых технологий. Нужно контролировать, насколько клиенты банка соблюдают требования к выполнению комплексных мер по использованию и администрированию этих средств, что сложно реализуемо. Это значит, что система fraud-мониторинга является если не достаточным условием повышения защищенности каналов ДБО, то уж точно необходимым. Её использование должно максимизировать уровень защиты клиентов и их финансовых активов при одновременной минимизации убытков и затрат на внедрение.
Решение этой задачи можно разбить на несколько шагов. Во-первых, необходимо определить канал обслуживания клиентов, наиболее подверженный мошенничеству. Для одних организаций это ДБО юридических лиц, для других — интернет-банкинг физических лиц, для третьих — процессинг пластиковых карт. Наиболее приоритетное направление определяется на основе совокупных данных о развитости того или иного сервиса, о его доле во всей операционной деятельности банка, об ограничениях на использование и о практике претензионных обращений клиентов.
На втором этапе среди общей массы клиентов выделяют наиболее высокорисковые группы. Все клиенты разные: одни заботятся о безопасности, другие не очень или не всегда, третьи обладают большими остатками на расчетных счетах, четвертые дифференцируют средства между различными банковскими продуктами. Группы наибольшего риска выделяются на основании как формальной оценки (по остатку на счете), так и статистики зафиксированных обращений клиентов по фактам мошенничества. А выявление наиболее характерных признаков (возраст, положение в обществе, сфера занятости или вид бизнеса и пр.) позволит эффективно строить карты риска для всей клиентской базы. Практика внедрения решений в крупнейших банках России показывает, что источником 90% всех рисков для крупных и средних банков является 25—30% клиентской базы. Поэтому внедрение системы fraud-мониторинга не всегда должно быть “атакой по всем фронтам” зафиксированного мошенничества, часто оно является поступательным движением минимизации рисков “от большого к меньшему” и “от хорошего к лучшему”.
Третий шаг — внедрение решения fraud-мониторинга. По нашим оценкам, на это требуется в среднем не менее шести месяцев. Необходимо помнить, что если такое решение не внедрялось вообще, поскольку на текущий момент риски минимальны, то в случае резкого роста этих рисков их нельзя будет быстро компенсировать. Если же полнофункциональное решение внедрено у ограниченной группы пользователей (в группе высокого риска), то его можно масштабировать в кратчайшие сроки. Фактически это превращается в уже достаточно проработанный проект по модернизации системы, требующий существенно меньше времени.
*Системы fraud-мониторинга — продукты комплексного внедрения, имеющие ощутимую стоимость и требующие достаточного количества ресурсов (как временных, так и человеческих). Их необходимость и высокая эффективность доказываются практикой использования в ведущих мировых и российских банках. Основные показатели успешности проекта — окупаемость решения или значительное снижение рисков мошенничества — могут достигаться и при поэтапном развитии проекта по внедрению системы fraud-мониторинга. При этом становится возможно получить максимальные результаты за минимальные деньги и в кратчайшие сроки.
СПЕЦПРОЕКТ КОМПАНИИ “ИНФОСИСТЕМЫ ДЖЕТ”