title image

«Фактически банки вскладчину оплачивают сертификацию иностранного софта»: эксперт по кибербезопасности

В Беларуси количество случаев мошенничества в банковской сфере сравнительно невелико. Во II квартале 2018 года ОАО «Банковский процессинговый центр» в эквайринговой сети банков, которые обслуживает, зафиксировал «всего» 27 инцидентов. Ущерб от всех случаев мошенничества за первое полугодие 2018 года составил около 1000 BYN. В то время как в предыдущие годы он исчислялся десятками тысяч рублей. Как банки защищают средства своих клиентов и почему пользователи не всегда могут рассчитывать на принцип нулевой ответственности? Рассказывает представитель банковской отрасли, занятый в сфере кибербезопасности (свое имя он попросил не называть из соображений безопасности). 

Чтобы достичь максимальных доходов от своей деятельности, киберепреступники объединяются в профессиональные группы. Для них недостаточно «просто» добыть данные платежной карты и получить доступ ко счету человека. Интересуют мошенничества в особо крупных размерах, на сотни тысяч рублей. Для этого они применяют широкий спектр действий: от блокировки банковских интернет-ресурсов до использования легальных продуктов в заведомо мошеннических целях. 

Типичный пример преступлений — получение доступа к банкоматам и завладение наличными из них. Широкий резонанс приобрели события 2016–2017 гг., когда преступники дистанционно получили контроль над банкоматами нескольких беларусских банков. Сообщник киберпреступников просто подходил к банкомату, и машине отдавали приказ «поделиться» деньгами. 

Об атаках на сами банки известно мало. Но в СМИ можно найти упоминания о миллионных (в долларах) суммах ущерба, нанесенного беларусских банкам в результате кибератак. К счастью, эти дела уже раскрыты. 

То, что такие случаи в принципе имеют место, не означает, что банки беззащитны перед киберпреступниками. Но ввиду того, что мошенники — мотивированные и хорошо обученные группировки, каждый отдельный банк вынужден держать «круговую» оборону ото всех видов угроз и атак. При этом объем ресурсов, направляемых на эти цели, ограничен: безопасность не может стоить дороже самого бизнеса. Если защитить банкоматы, то на защиту платежной системы, например, может не хватить. Этим и пользуется преступная группировка. 

Стремясь завладеть чужими финансами, киберпреступники работают не только с софтом. Также учитывают человеческий фактор. Часто «слабым звеном» и лакомой добычей для них становятся потребители банковских услуг: владельцы карточек, пользователи мобильных приложений. Причем жертвами мошенничества они оказываются ввиду собственной беспечности («если что, банк вернет мне деньги, ведь есть принцип нулевой ответственности») или тщеславия («вот фото моей премиальной карты в Инстаграм»). Многие пользователи откровенно плохо заботятся о безопасности своих данных, пытаются переложить это на плечи банка («пусть банк даст мне удобное мобильное приложение, которое будет работать и на моем 9-летнем смартфоне»). Поэтому банкам приходится думать, как защитить свое мобильное приложение, чтобы оно работало на не обновляемых операционных системах, где не реализуются современные механизмы защиты и, возможно, уже есть закладки мошенников. 

А вот что касается принципа нулевой ответственности (предполагает возврат банком денег, похищенных с карты): да, он может быть применен на практике. Но только если будет установлено, что списание средств авторизовал не сам клиентом. Если же он сам ввел оригинальный PIN-код или данные карты с CVV-кодом, то ответственность ложится на пользователя. И такое действительно возможно, когда человек пал жертвой фишинга или социальной инженерии. Например, перешел на поддельную страницу сайта магазина, воспользовался рассылкой от имени банка или предложением из колл-центра (у абонента может отображаться якобы реальный номер банка).

В целом, в части защиты финансов банки находятся на стороне клиентов. Ведь они заинтересованы в том, чтобы средства оставались на счетах. Чтобы обеспечить удобство и надежность доступа к финансовым ресурсам, банки используют многие современные инструменты. Например, 3D-seсure, когда каждый платеж в интернете банк просит подтвердить отправкой кода, присланного на телефон.

Если банк, выпустивший карту, не внедрил EMV-чип или технологию 3D-secure, ответственность за исчезновение средств будет нести он (но обслуживающие банки также должны внедрить проверочные мероприятии при проведении дистанционных сервисов).

При этом позаботиться о сохранности своих средств могут и сами пользователи. Например, приобрести виртуальную карту. Это карты, которые реализованы не в виде привычного нам пластика, а в виде набора цифр – номера карты и её CVV-кода. (Чтобы воспользоваться виртуальной картой, можно зайти на сайт recard.by, где собраны все карты беларусских банков и есть опция выбора таких карт.) Логика проста: то, что не существует физически, физически нельзя похитить (конечно, если сам человек не выдаст кому-то эти данные).

Еще такие карты полезны, если вы не уверены в добропорядочности интернет-магазина или сервиса. Виртуальную карту можно использовать в качестве резервной: перевести на нее деньги с основной карты  непосредственно перед платежом. Мошенники, даже получив реквизиты карты, не смогут вывести с нее средства, потому что их там попросту нет. 

Банки не называют, во сколько им обходится защита финансовых средств своих клиентов. Но в любом случае это стоит меньше, чем банк потеряет в случае кражи. Критических точек, требующих защиты, много. Например, только чтобы запрос на выписку в интернет-банкинге дошел до сервера, его должно утвердить минимум 5 разноплановых систем защиты (от межсетевых экранов до антивирусов).

В формировании сумм расходов на обеспечение безопасности беларусские банки пользуются лучшими международными разработками. Поскольку угроза носит интернациональный характер, атаки возможны из любой точки мира, то и применяемое ПО должно быть из числа лучших. Но в этом вопросе есть специфика: софт должен быть сертифицирован в Беларуси, что требует дополнительных затрат. Причем часто расходы на сертификацию зарубежного софта огромны.

В целом практика такова: банки учитывают международный опыт, изучают продукты, которые используются в Беларуси, сертифицируют один-два продукта, которые потом используют вместе с другими банковскими организациями. То есть фактически банки вскладчину оплачивают стоимость сертификации иностранного софта.

По мнению экспертов, уровень мошенничества на территории Беларуси остается стабильно низким. Это стало возможно, в том числе, благодаря действиям банков, которые предпринимают максимальные усилия по защите средств своих клиентов. 

Материал подготовлен при поддержке Ассоциации белорусских банков.

Заглавное фото: Julien Pacaud.

Интересно? Поделитесь с друзьями!
  •  
  •  
  •  
  •  
  •  
  •  

Похожие статьи

Imaguru Video

Популярное