Безопасность карточного бизнеса : бизнес-энциклопедия

Оценка рисков эмитента в платежной системе банковских карт с использованием мониторинга транзакций

В соответствии с Положением Банка России от 24 декабря 2004 г. № 266-П «Об эмиссии банковских карт и об операциях, совершаемых с использованием платежных карт» внутрибанковские правила должны содержать систему управления рисками при осуществлении операций с использованием платежных карт, включая порядок оценки кредитного риска, а также предотвращения рисков при использовании кодов, паролей в качестве аналога собственноручной подписи, в том числе при обработке и фиксировании результатов проверки таких кодов, паролей.

Банковская карта как инструмент для совершения безналичных операций по счету клиента в банке-эмитенте в плане обеспечения безопасности:

• может быть скомпрометирована и использована злоумышленником для несанкционированного доступа к счету владельца инструмента;

• может быть ненадлежащим образом использована самим клиентом[80].

В соответствии с определением, данным в Федеральном законе от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании»[81] (в ред. от 28 сентября 2010 г. № 243-ФЗ), риск есть вероятность причинения вреда жизни или здоровью граждан, имуществу физических или юридических лиц, государственному или муниципальному имуществу, окружающей среде, жизни или здоровью животных и растений с учетом тяжести этого вреда.

По определениям стандартов ГОСТ Р 51897-2002 «Менеджмент риска. Термины и определения» и ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопасностью» оценка рисков — это оценка угроз, их последствий, уязвимости информации и средств ее обработки, а также вероятности их возникновения. Управление рисками — процесс выявления, контроля и минимизации или устранения рисков безопасности, оказывающий влияние на информационные системы в рамках допустимых затрат.

К системам менеджмента информационной безопасности применимы требования ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования». Система менеджмента информационной безопасности — часть общей системы менеджмента, основанная на использовании методов оценки бизнес-рисков для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения информационной безопасности.

Первоначальным этапом является идентификация риска, т. е. процесс нахождения, составления перечня и описания элементов риска. Риск может быть оценен; оценка представляет собой общий процесс анализа риска и собственно его оценивание. Анализ риска состоит в систематическом использовании информации для определения источников риска и количественной оценки риска. Оценивание риска — это процесс сравнения количественно оцененного риска с заданными критериями риска для определения его значимости.

В результате обмена информации о риске и его осознании может быть принято решение по его обработке, т. е. выборе и осуществлению мер по его модификации, либо решение о принятии риска. Обработка риска подразумевает планирование финансовых средств на соответствующие расходы (финансирование риска).

Риск может быть предотвращен в результате принятия решения о «невхождении» в рискованную ситуацию или действия, предупреждающего вовлечение в нее. Если предотвратить риск не удается, его можно перенести, т. е. разделить с другой стороной бремя потерь от него.

Снижение риска — это действия, предпринятые для уменьшения вероятности наступления негативных последствий, связанных с риском. При этом уменьшение последствий от события означает ограничение любого негативного последствия конкретного события. После обработки остается риск, называемый остаточным риском.

Общие положения по обеспечению информационной безопасности в организациях банковской системы РФ устанавливаются Стандартом Банка России СТО БР ИББС-1.0-2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения». В соответствии со Стандартом информационная безопасность организации банковской системы РФ есть состояние защищенности интересов (целей) организации банковской системы в условиях угроз в информационной сфере. Защищенность достигается обеспечением совокупности свойств информационной безопасности — конфиденциальностью, целостностью, доступностью информационных активов для интересов (целей) организации. Информационная сфера представляет собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение, хранение и использование информации, а также системы регулирования возникающих при этом отношений.

Письмо Банка России от 24 мая 2005 г. № 76-Т «Об организации управления операционным риском в кредитных организациях» содержит рекомендации по управлению операционным риском в кредитных организациях. Операционный риск — риск возникновения убытков в результате несоответствия характеру и масштабам деятельности кредитной организации и (или) требованиям действующего законодательства, внутренних порядков и процедур проведения банковских операций и других сделок, их нарушения служащими кредитной организации и (или) иными лицами (вследствие непреднамеренных или умышленных действий или бездействия), несоразмерности (недостаточности) функциональных возможностей (характеристик) применяемых кредитной организацией информационных, технологических и других систем и (или) их отказов (нарушений функционирования), а также в результате воздействия внешних событий.

Из данного определения следует, что риск информационной безопасности для банка может быть отнесен к операционному. Следует отметить, что в настоящее время не существует универсальной методики оценки рисков применительно к задачам информационной безопасности.

Письмо Банка России от 30 мая 2005 г. № 92-Т «Об организации управления правовым риском и риском потери деловой репутации в кредитных организациях и банковских группах» дает определение репутационного риска.

В терминах международных платежных систем (МПС) под риском понимается вероятность понести потери или упустить доходы, количественная оценка возможных потерь (упущенной выгоды) вследствие наступления неблагоприятного события.

Определим платежную систему банковских карт (ПСБК) как систему обмена транзакциями и взаиморасчетов (клиринга), организованную банком на основе банковских карт. В соответствии с Положением ЦБ РФ № 266-П банк может являться как эмитентом или эквайрером, так одновременно эквайрером и эмитентом.

ПСБК представляет собой банковский технологический процесс — технологический процесс, содержащий операции по изменению и (или) определению состояния банковской информации, используемой при функционировании или необходимой для реализации банковских услуг. Реализация угроз данному технологическому процессу может принести ущерб как финансовый, так и репутационный, а значит, в отношении указанных рисков необходимо предпринимать меры по их менеджменту.

Для определения влияния мошеннических операций в ПСБК на банк-эмитент следует оценить следующие риски.

1. Операционный риск. Результатом проведения мошеннических операций чаще всего являются финансовые потери банка или его клиентов.

В последнем случае необходимо учитывать риск потери (ухода) клиента, если тот перестанет доверять сервисам, предоставляемым банком. Если банк-эмитент авторизовал мошенническую операцию по карте своего клиента, последний может оспорить данную операцию. В результате банк может быть вынужден (в том числе и по решению суда) возместить средства на счете клиента, поскольку выполнил распоряжение по счету клиента от иного лица, не являющегося владельцем счета.

2. Репутационный риск. Репутации банка может быть нанесен ущерб, если предоставляемые им сервисы будут небезопасными (или казаться таковыми), а принимаемые защитные меры — неэффективными. Следует учитывать мнение о банке в области противодействия мошенничеству в СМИ, среди других банков, МПС, правоохранительных органов и мошенников.

3. Риск непрерывности бизнеса. Мошеннические операции в эквайринговой сети банка могут привести к временному прерывания бизнеса в торгово-сервисном предприятии (ТСП) с высоким уровнем мошенничества (например, как результат санкций МПС). В отношении эмиссии банк рискует потерять клиентов, которые из-за мошенничества или ввиду жестких мер по ограничению операций с банковскими картами могут вовсе отказаться от услуг банка.

Репутационный риск является, по существу, интегрированным и представляет собой качественную оценку репутации банка, доверия к нему клиентов и партнеров. Риск непрерывности бизнеса связан с нарушением правил ПС при обслуживании банковских карт и не является особенно сложным, чтобы свести его к минимуму. Таким образом, наиболее сложным и значимым является операционный риск, связанный с мошенничеством.

Как было отмечено ранее, обработка операционного риска в ПСБК включает в себя проведение мероприятий по его предотвращению, снижению, переносу или принятию, в том числе:

1) соблюдение обязательных требований. Необходимо руководствоваться обязательными требованиями и рекомендациями МПС, международных и российских стандартов, нормативных документов Банка России;

2) страхование рисков. Все большее распространение в России получает практика переноса рисков на страховые компании. Необходимо рассмотреть имеющиеся возможности по страхованию и использовать эту меру совместно с другими;

3) претензионную работу. Качественное проведение претензионной работы позволит уменьшить суммы от мошенничества, относимые на убытки банка, клиентов или страховых компаний;

4) мониторинг. Своевременное выявление мошенничества и принятие адекватных и эффективных мер на основе системы мониторинга в ПСБК должно стать инструментом снижения рисков в ПСБК.

Любое лицо, запрашивающее доступ к банковскому счету с целью выполнения финансовой операции и (или) для получения информации о статусе счета, на момент запроса доступа к счету является для банка-эмитента только лицом, совершающим операцию. Поэтому корректность аутентификации лица, совершающего операцию с использованием банковской карты, является важной для обеспечения безопасности проводимой операции. От того, насколько применяемые процедуры позволяют банку-эмитенту карты быть уверенным в том, что операция выполнена с использованием эмитированной банком карты и совершается законным держателем карты, которому карта была выдана на основе договора банка с клиентом, зависит безопасность операции.

Таким образом, мошенничество с банковскими картами (т. е. несанкционированный доступ к счету законного держателя карты) по определению относится к операционному риску. Данный риск может быть оценен количественно, поскольку мошенничество всегда связано с несанкционированными операциями по банковскому счету, в ходе которых банковская карта используется как инструмент доступа к нему. Ценность актива, которым является банковский счет клиента — держателя карты, имеет стоимостное выражение, а мошенничество направлено на этот актив.

К современным технологическим решениям, используемым для противодействия мошенничеству, относятся системы мониторинга транзакций (СМТ).

Мошенничество с банковскими картами приводит к финансовым потерям и снижению доверия со стороны клиентов к данному банковскому продукту, поэтому важно осознать актуальность мер противодействия и разработать комплексный подход к решению проблемы для уменьшения рисков. Раннее обнаружение мошенничества и принятие адекватных и эффективных мер являются необходимыми условиями обеспечения безопасности ПСБК и должны проводиться в рамках мероприятий по управлению операционным риском в банке.

Характерной особенностью современной задачи защиты информации является комплексность защиты. Под комплексностью понимается как решение в рамках единой концепции двух и более разноплановых задач (целевая комплексность), или использование для решения одной и той же задачи разноплановых инструментальных средств (инструментальная комплексность), или и то и другое (всеобщая комплексность). МПС MasterCard определяет следующие методы и средства защиты ПС от мошенничества и снижения рисков: юридические аспекты, взаимодействие участников ПС, обучение, аналитическая работа, расследования, отчетность, мониторинг, продукты и сервисы. По результатам исследования, проведенного автором, можно сделать вывод о том, что в смысле обеспечения защиты ПСБК от мошенничества следует говорить об инструментальной комплексности и рассматривать СМТ как один из применяемых инструментов.

Далее сформулируем общие требования к СМТ и задачи мониторинга транзакций в ПСБК.

1. Мониторинг транзакций по банковским картам должен обеспечивать анализ всех авторизационных и клиринговых операций по банковским картам в ПСБК и принятие решений по подозрительным на предмет мошенничества операциям с целью уменьшения рисков.

2. Система мониторинга транзакций является инструментом уменьшения рисков, связанных с проведением мошеннических операций по банковским картам, и должна быть составной частью комплексного подхода к обеспечению безопасности ПСБК банка.

Выбор той или иной СМТ банком-эмитентом должен основываться на анализе существующих рисков. Система должна использоваться для снижения финансовых потерь банка и держателей карт, снижения недовольства клиентов и повышения доверия к банку.

В стандарте СТО БР ИББС-1.0-2010 мониторинг информационной безопасности (ИБ) организации банковской системы РФ определяется как постоянное наблюдение за событиями мониторинга ИБ, сбор, анализ и обобщение результатов наблюдения. Событием мониторинга в данной терминологии является любое событие, имеющее отношение к ИБ. Мониторинг ИБ должен проводиться персоналом организации, ответственным за ИБ, с целью обнаружения и регистрации отклонений функционирования защитных мер от требований ИБ и оценки полноты реализации положений политики ИБ, инструкций и руководств обеспечения ИБ в организации. Основными целями мониторинга ИБ в организации являются оперативное и постоянное наблюдение, сбор, анализ и обработка данных под заданные руководством цели.

Исходя из определения ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения» мониторинг безопасности информации представляет собой постоянное наблюдение за процессом обеспечения безопасности информации в информационной системе с целью установить его соответствие требованиям безопасности информации.

По терминологии МПС под транзакцией (или операцией) понимается одно из следующих определений:

• инициируемая держателем карты последовательность сообщений, вырабатываемых и передаваемых друг другу участниками системы для обслуживания держателей карт, при соблюдении свойств неделимости (должны выполняться все составляющие транзакции или не выполняться ни одна), согласованности (транзакция не нарушает корректности информации в базах данных), изолированности (отдельная транзакция не зависит от других), надежности (завершенная транзакция должна восстанавливаться после сбоя, а незавершенная — отменяться);

• единичный факт использования карты для приобретения товаров или услуг, получения наличных денежных средств или информации по счету, следствием которого является дебетование или кредитование счета клиента.

В соответствии с ранее приведенным определением мошенническая операция — операция с использованием банковской карты или ее реквизитов, не инициированная или не подтвержденная ее держателем. Мониторинг использует набор критериев и признаков (fraudulent pattern), позволяющих идентифицировать и своевременно пресечь несанкционированное использование карты.

Таким образом, СМТ в ПСБК являются одним из средств выявления и противодействия мошенничеству с банковскими картами. Существуют обязательные требования МПС к мониторингу, но они являются общими и в настоящее время недостаточными ввиду их принципиальной ориентированности на формирование регулярных отчетов, а не выявление мошенничества в реальном или близком к реальному времени.

На рис. 3.1 приведена классификация СМТ.

По скорости реагирования СМТ предлагается подразделять на следующие классы.

1. Системы реального времени (онлайновые, on-line). Такие системы работают в реальном времени, имеется возможность влиять на результат авторизации операции.

2. Системы псевдореального времени (псевдоонлайновые, pseudoonline). Анализ операций проводится в реальном времени, но нет возможности влиять на результат авторизации. Решение может быть принято только после завершения подозрительной (мошеннической) транзакции.

3. Системы отложенного режима (оффлайновые, off-line). Периодически (ежедневно, еженедельно и т. д.) формируются специальные отчеты, на основе анализа которых принимаются решения.

По типу принятия решения делятся на:

1) автоматические. Решение по операции принимается системой автоматически без участия человека.

2) автоматизированные. Система предоставляет уполномоченному сотруднику информацию для принятия им решения по данной транзакции.

Классификация по информации, используемой при анализе.

1. Системы, использующие только данные самой транзакции. В анализе учитываются только параметры транзакции — сумма, название торгово-сервисного предприятия (ТСП), категория ТСП, страна и т. д.

2. Системы, привлекающие для анализа историю операций по карте/ТСП. При анализе используется история по прошедшим операциям по данной карте/ТСП.

3. Системы, использующие модели поведения держателей карт и ТСП. Система строит и/или использует модели поведения держателей карт и ТСП. Анализ транзакции проводится в соответствии с имеющейся моделью, на основании отклонения поведения от модели операция признается подозрительной.

Классификация по используемому математическому аппарату для анализа.

1. Системы на основе простых логических проверок. Логические проверки включают операции >, <, =, ≠.

2. Системы, использующие статистические методы. К используемым методам относятся методы описательной статистики, корреляционного анализа, регрессионного анализа.

3. Системы, привлекающие методы интеллектуального анализа данных (без использования нейронных сетей). Методы интеллектуального анализа данных (data mining), применяемые в анализе транзакций, могут включать методы классификации и прогнозирования, кластерного анализа, поиска ассоциаций.

4. Системы на основе нейронных сетей. Анализ операций проводится на основе адаптивных схем, построенных на нейронных сетях, что позволяет также выявлять ранее не известные схемы мошенничества. Эти системы являются дорогостоящими и требуют существенных ресурсов для настройки (обучения нейронной сети).

Анализируемые транзакции подразделяются на два класса.

1. Эмиссионные. Анализируются транзакции по картам, выпущенным банком.

2. Эквайринговые. Анализируются транзакции в эквайринговой сети банка.

Мониторинг транзакций позволяет банкам-эмитентам отслеживать попытки проведения мошеннических транзакций по собственным картам и принимать меры для уменьшения рисков (табл. 3.1).

МПС MasterCard рекомендует также осуществлять мониторинг эмитентом следующих событий и параметров:

• атаки по сгенерированным номерам карт;

• отрицательные результаты проверок кодов верификации карты CVC1 и CVC2;

• операции по картам с истекшим сроком действия;

• транзакции по неверным номерам карт;

• транзакции в возможных точках компрометации;

• операции кредитования и отмены авторизации торговой точкой;

• списки неиспользуемых карт.

Требования МПС относятся прежде всего к мониторингу в отложенном режиме, иные временные варианты мониторинга в настоящий момент не являются обязательными. Кроме того, проведенный автором анализ текущей ситуации с мошенничеством в ПС показывает, что эти меры являются в современных условиях недостаточными.

В связи с этим банк-эмитент должен разработать собственную политику управления рисками в ПСБК и выбрать ту СМТ, которая соответствует принятой политике, а не просто внедрить наиболее функциональное на данный момент техническое решение. При этом на практике следует добиться допустимого баланса между следующими показателями:

• принятие неадекватных решений по ограничению операций для не мошеннических операций;

• пропуск мошеннических операций;

• число сообщений, генерируемых СМТ, об операциях, не являющихся мошенническими;

• величины рисков в ПСБК с учетом работы СМТ и принимаемых на ее основе решений.

Несмотря на то что описанные критерии мониторинга являются недостаточными, их применение обязательно. Несоблюдение данного требования и превышение допустимых порогов по уровням мошенничества приводят к штрафам и санкциям со стороны МПС, к ухудшению репутации (увеличению репутационного риска) и в худшем случае прерыванию деятельности в области банковских карт (отзыв лицензии). В связи с этим каждый банк должен учитывать требования МПС в этой области в своей деятельности по снижению рисков в ПСБК, связанных с мошенничеством.

Анализ транзакции на предмет ее мошеннического характера основывается на критериях отнесения конкретной транзакции к подозрительной (мошеннической). В случае если транзакция определена как мошенническая, следует выбрать меры реагирования для снижения потерь. Таким образом, для каждой транзакции стоит проблема принятия решения о ее подозрительном (мошенническом) характере и выборе мер противодействия. Принятие решений может основываться на экспертных системах и интеллектуальном анализе данных.

Экспертная система (ЭС) — это программное средство, использующее экспертные знания для обеспечения высокоэффективного решения неформализованных задач узкой предметной области. Основу экспертной системы составляет база знаний о предметной области, которая накапливается в процессе построения и эксплуатации ЭС. Накопление и организация знаний — важнейшее свойство всех ЭС.

Интеллектуальный анализ данных (английский термин «data mining») (ИАД) — это процесс поддержки принятия решений, основанный на поиске в данных скрытых закономерностей (шаблонов информации). Это процесс обнаружения в сырых данных ранее неизвестных, нетривиальных, практически полезных и доступных интерпретации знаний, необходимых для принятия решений в различных сферах человеческой деятельности. На рис. 3.2 приведены основные методы ИАД.

Ранее отмеченные критерии обязательного мониторинга транзакций МПС и существующие методы анализа транзакций позволяют определить требования отнесения операции к подозрительной на предмет мошенничества. В случае выявления такой транзакции следует предусмотреть меры реагирования, которые смогут уменьшить риск от этой и последующих мошеннических транзакций.

В случае выявления подозрительной операции банк-эмитент может предпринять следующие меры ограничения негативных последствий:

• отказ в авторизации этой подозрительной операции, если технически это возможно (в данном случае речь идет о мониторинге в режиме реального времени в соответствии с приведенной классификацией);

• блокировку карты, делающую невозможным совершение последующих операций по ней;

• установку ограничений по последующим операциям на величину покупок в ТСП за период, снятия наличных денежных средств в банкоматах и пунктах выдачи наличных (ПВН) за период, общей суммы операций за период;

• установку ограничений по последующим операциям на регион использования карты или категорию ТСП;

• информирование держателя карты о подозрительной операции, например, посредством SMS-уведомлений.

Реализация приведенных мер реагирования зависит от технических возможностей банка-эмитента и принятой политики управления рисками, связанными с мошенничеством в ПСБК.

Следует отметить, что сложность принятия решения по подозрительной операции заключается в том, что в случае пропуска мошеннической операции банк-эмитент может понести финансовые потери, в случае установки ограничений операций по карте в результате легальной операции клиента возможно нанесение ущерба репутации, недовольство со стороны клиента и, возможно, его потеря.

Некоторые операции являются особенными для мониторинга. Далее будут рассмотрены основные характеристики таких операций.

1. Операции в разных странах в установленный интервал времени. Операции по поддельной карте, используемой в стране, отличной от той, в которой совершает операции сам клиент, могут быть обнаружены с помощью СМТ. Для оценки принципиальной возможности нахождения клиента в двух странах в моменты совершения двух операций необходимо учитывать:

• расстояние между городами совершения операции;

• минимальное время, за которое можно переместиться между двумя точками проведения операций.

Если времени между операциями проходит слишком мало для того, чтобы настоящий держатель переместился из одной точки в другую, то имеет место мошенничество по поддельной карте.

2. Неуспешные мошеннические операции по поддельным картам. Неудачные попытки проведения операций по поддельным картам позволят избежать потерь — факт мошенничества может быть своевременно выявлен СМТ, после чего приняты меры.

3. Операции в банкоматах по зарплатным картам. По настоящее время объем операций получения наличных денежных средств в банкоматах в России составляет большую часть всех операций (свыше 90 %), при этом часто карты выдаются держателям в рамках зарплатных проектов. Поэтому денежные средства часто накапливаются на счете карты, а затем снимаются в банкоматах за небольшой интервал времени. Из-за такого нехарактерного поведения для держателя банковской карты эти операции могут быть расценены как мошеннические, хотя на самом деле таковыми не являются.

4. «Дружественное» мошенничество. Иногда мошеннические операции могут быть совершены лицами, известными держателю карты. В случае если держатель карты не предпринимает должных мер безопасности при хранении и использовании своей карты, к ней могут получить доступ его близкие, родственники или знакомые. Эти люди проводят мошеннические операции и возвращают карту держателю, при этом держатель карты утверждает, что карту никому не передавал, ПИН-код не сообщал и в настоящее время карта находится при нем. Обнаружить такой тип мошенничества можно по следующим признакам:

• произведены снятия наличных денежных средств, но не всех доступных на счете, в банкомате;

• операции по карте проходят в территориально близких ТСП по отношению к тем, в которых карту использует сам держатель; операции совершенно нехарактерны для держателя карты — например, оплата сервисов в Интернете с использованием реквизитов карты, хотя ранее держатель карты использовал ее только для получения наличных денежных средств в банкоматах.

В простейшем случае для вычисления риска производится оценка двух факторов: вероятность происшествия (Р_{происшествия}) и тяжесть возможных последствий (ЦенаПотери).

РИСК = Р_{происшествия} × ЦенаПотери.

Если переменные являются количественными величинами, то риск — оценка математического ожидания потерь.

Если переменные — качественные величины, метрическая операция умножения не определена и в явном виде эту формулу применять нельзя.

В зарубежных методиках, рассчитанных на более высокие требования, чем базовый уровень обеспечения безопасности, используется модель оценки риска по трем факторам: угроза (Р_угрозы), уязвимость (Р_{уязвимости}), цена потери. При этом

Р_{происшествия} = Р_{уязвимости} × Р_угрозы,

тогда:

РИСК = Р_{уязвимости} × Р_угрозы × ЦенаПотери.

Данное выражение необходимо рассматривать как математическую формулу, если используются количественные шкалы, либо как формулировку общей идеи, если хотя бы одна из шкал — качественная. В последнем случае применяются различные табличные методы для расчета риска в зависимости от трех факторов.

Для оценки угроз и уязвимостей применяются различные методы, в основе которых лежат:

• экспертные оценки;

• статистические данные;

• учет факторов, влияющих на уровни угроз и уязвимостей.

Один из возможных подходов к разработке подобных методик — накопление статистических данных об имевших место происшествиях, анализ и классификация их причин, выявление факторов, от которых они зависят. Однако при реализации такого подхода возникают следующие сложности:

• должен быть собран материал о происшествиях;

• если информационная система сравнительно невелика и эксплуатирует новейшие элементы технологии, оценки угроз и уязвимостей могут оказаться недостоверными.

Мошеннические операции в ПСБК с точки зрения эмитента могут быть оценены количественно, потому что они связаны с проведением несанкционированных операций по счетам клиентов банка с использованием банковской карты как инструмента доступа к нему. Как было отмечено ранее, мошенничество направлено на информационный актив (счет клиента), ценность которого имеет стоимостное выражение. Поэтому для отдельной карты риск будет равен

SFR = Р_мош × S_сум, (1)

где Р_мош — вероятность проведения мошеннической операции по карте;

S_сум — величина доступных средств на счете (в рамках дебетового или кредитного договора банка с клиентом).

Для получения величины риска по указанной формуле необходимо рассчитать вероятность проведения мошеннических операций, поскольку величина доступных средств на счете клиента банка известна.

На основе анализа особенностей проведения операций по банковской карте в ПСБК автор выделяет ряд необходимых условий для проведения мошеннической операции независимо от типа мошенничества:

1) данные карты должны быть скомпрометированы;

2) скомпрометированные данные использованы для попытки проведения несанкционированной операции;

3) попытка проведения несанкционированной операции была осуществлена.

Если все три вышеперечисленных условия выполнены, то результат выполнения операции (в случае проведения операции в режиме реального времени — авторизации) определяется эмитентом. При этом следует учитывать способность эмитента до формирования ответа на авторизационный запрос проводить его проверку на предмет возможного мошенничества (мониторинг в режиме реального времени).

Из вышеизложенного следует, что вероятность проведения мошеннической операции Р_мош с учетом формул условной вероятности и (1) можно определить следующим образом:

Р_мош = Р(кпр) × Р(исп|кпр) × Р(поп|кпр-исп) × (1 — Р(обн)), (2)

где Р(кпр) — вероятность компрометации данных карт, необходимых для проведения мошеннической операции;

Р(исп|кпр) — вероятность использования скомпрометированных данных для проведения операции;

Р(поп|кпр-исп) — вероятность проведения несанкционированной операции (успех попытки проведения);

P(обн) — вероятность обнаружения несанкционированной операции эмитентом.

В соответствии с общепринятой классификацией существуют следующие типы мошенничества:

1) использование украденных или утерянных карт;

2) использование неполученных карт;

3) использование поддельных карт;

4) проведение операции с использованием реквизитов карты без ее присутствия;

5) несанкционированное использование персональных данных держателя карты и информации по счету клиента;

6) другие виды мошенничества.

Следует отметить, что последний тип мошенничества относится к таким несанкционированным операциям, тип которых (из 1–5) определить затруднительно. Фактически данный тип используется для информирования МПС о мошенничестве при условии сложности однозначного установления его типа, т. е. в расчетах можно ограничиться типами 1–5, если устранять неоднозначности присвоением известных типов.

Далее рассмотрим особенности мошеннических операций типов 1–5 и расчет вероятности успешного проведения мошеннической операции Рмош по формуле (2).

В соответствии с договором между клиентом и банком ответственность по операциям по украденной/утерянной карте лежит на клиенте до момента уведомления банка об утере/краже. Данный риск является не банковским, а клиентским, поэтому рассчитывать его для банка-эмитента далее не будем.

Данный риск существует для банка в том случае, если технологически предусмотрена возможность получения клиентом карты иная, чем лично в руки. Безопасность получения карты держателем обеспечивается организационными и технологическими мерами (например, активация карты клиентом, отсутствие денежных средств на карте до момента активации). В связи с этим данный тип мошенничества рассматривать при расчете рисков не будем.

Поддельность объекта можно определить по совокупности следующих признаков:

• объект обладает характерными качествами подлинного;

• не соблюдены правила изготовления объекта (технические или правовые);

• цель изготовления или использования поддельного объекта — использование по назначению.

Для проведения операции по поддельной карте в ТСП злоумышленник должен представить к оплате карту, внешне похожу на настоящую, чтобы ее «поддельность» не была заметна для кассира. При этом ПИН-код злоумышленнику может не понадобиться, если он не требуется в качестве способа аутентификации держателя такой карты.

Мошенническая операция в банкомате может быть проведена только при условии знания злоумышленником ПИН-кода, при этом внешний вид поддельной карты не должен соответствовать оригиналу (может быть использован так называемый «белый пластик»), поскольку визуальная проверка подлинности карты не производится.

Из вышеизложенного следует, что при знании ПИН-кода поддельная карта будет использована в банкомате, а если ПИН-код не известен — то в ТСП. В обоих случаях для изготовления подделки нужны данные магнитной полосы карты — трека. Следует отметить, что микропроцессорная карта для обеспечения обратной технологической совместимости содержит также и магнитную полосу. В настоящее время злоумышленники подделывают банковские карты, в основном используя существующие уязвимости карт с магнитной полосой. Также обнаружены и опубликованы уязвимости в технологии EMV, приводящие к компрометации данных карты и ПИН-кода, несанкционированной модификации параметров транзакции.

Таким образом, риск по поддельным картам можно рассматривать как сумму двух рисков: с неизвестным злоумышленнику ПИН-кодом и наличием поддельной карты, и поддельной карты с ПИН-кодом, т. е.

SFR^под = SFR^{под.крт} + SFR^{под. ПИН}, (3)

где SFR ^{под. крт} — риск по операциям с поддельной картой без знания ПИН-кода;

SFR^{под. ПИН} — риск по операциям с поддельной картой при известном ПИН-коде.

Определим

где Р^{под. крт}_мош — вероятность осуществления мошеннической операции по поддельной карте при условии, что злоумышленнику не известен ПИН-код;

Р^{под. крт} (кпр) — вероятность компрометации данных магнитной полосы карты;

Р^{под. крт} (исп|кпр) — вероятность использования скомпрометированных данных для проведения операции;

Р^{под. крт} (поп|кпр исп) — вероятность принятия к оплате поддельной карты;

Р^{под. крт} (обн) — вероятность обнаружения несанкционированной операции эмитентом.

Для проведения операций в ТСП риск по поддельной карте без знания злоумышленником ПИН-кода можно определить следующим образом:

Величина S^ТСП_сум может не равняться доступной сумме для совершения операций по счету карты, поскольку могут быть установлены лимиты на совершение операций в ТСП, которые в данном случае и будут являться ограничением для величины потерь по мошенническим операциям такого типа. В случае если злоумышленнику известен ПИН-код

Р^{под. ПИН}(кпр) — вероятность компрометации данных магнитной полосы карты и ПИН-кода;

Р^{под.ПИН}(исп|кпр) — вероятность использования поддельной карты для проведения операции в банкомате;

Р^{под.ПИН}(поп|кпр исп) — вероятность принятия к оплате поддельной карты;

Р^подПИН(обн) — вероятность обнаружения несанкционированной операции эмитентом.

Вероятность Р^{под. ПИН} (поп|кпр исп) в формуле (7) равна 1 (поскольку банкомат не осуществляет визуальную проверку подлинности карты) во всех случаях, кроме того, когда поддельная карта с магнитной полосой без чипа, но содержит сервис-код микропроцессорной карты (первая цифра равна 2 или 6) и банкомат оборудован устройством чтения чипа, — в этом случае обслуживания карты банкоматом по магнитной полосе не произойдет. Поэтому формулу (7) можно представить в виде

Из формул (1) и (8) следует, что

где SFR^{под. ПИН} — риск по поддельной карте при известном злоумышленнику ПИН-коде;

S^БКМ_сум — доступные средства на счете клиента для проведения операций в банкоматах.

Величина S^БКМ_сум может не равняться доступной сумме для совершения операций по счету карты, поскольку могут быть установлены лимиты на совершение операций в ТСП, которые в данном случае и будут являться ограничением для величины потерь по мошенническим операциям такого типа.

Исходя из формул (3), (6) и (9) риск по поддельной карте рассчитывается следующим образом:

Требования МПС к безопасности операций электронной коммерции формулируются следующим образом:

• должна обеспечиваться взаимная аутентификация участников покупки;

• реквизиты платежной карты (номер карты, срок действия, коды верификации CVC2/CVV2 и т. п.), используемой при проведении транзакции, должны быть конфиденциальны для ТСП;

• невозможность отказа от операции для всех участников транзакции.

Первый протокол, удовлетворяющий этим требованиям, — протокол безопасных электронных транзакций Secure Electronic Transaction (SET). Высокая стоимость его реализации и сложность внедрения не позволяют использовать его повсеместно в современных условиях.

На сегодняшний день ведущие МПС поддерживают единственный протокол безопасной электронной коммерции — 3D Secure. Если операция без присутствия карты проведена без использования защищенного протокола, то ответственность за мошенничество возлагается на обслуживающий банк.

Тем не менее до сих пор большая часть операций в Интернете проводится без использования безопасных протоколов. Часто для проведения операции в интернет-магазине достаточно просто номера карты и дополнительно срока действия, кода верификации карты CVC2/CVV2.

Серьезной проблемой является кража данных о реквизитах карт с серверов интернет-магазинов. Несмотря на запреты МПС, банки-эквайреры и интернет-магазины хранят в своих системах номера карт, сроки действия, CVV2/CVC2, иные данные, используемые при осуществлении транзакций. Исследования, проведенные VISA USA, показали, что в США 37 % ТСП продолжают хранить в своих системах данные по обслуживаемым картам. Интересные данные были представлены сотрудниками компании Trustwave на проводившейся с 14 по 16 сентября 2008 г. конференции MICROS Users Conference в Аннаполисе, США, по результатам анализа 400 инцидентов, связанных с компрометацией данных платежных карт. Основные результаты исследования:

• большинство инцидентов (9 из 10) связаны с небольшими ТСП;

• только 69 % атак было осуществлено с присутствием карты, т. е. 31 % — без присутствия карты;

• наиболее атакуемым звеном технологии является ПО торгового терминала (67 %), далее следуют атаки на интернет-магазины (25 %).

Из сказанного можно сделать несколько важных выводов:

• возможна компрометация данных банковских карт после проведения легальных операций в интернет-магазинах из-за хранения этих данных в автоматизированных системах этих магазинов;

• если интернет-магазин и банк-эквайрер поддерживают безопасный протокол 3D Secure, то ответственность за мошенническую операцию, как правило, лежит на эмитенте.

Определим

Из формул (3) и (11) следует, что риск по операциям с отсутствием карты:

Риск складывается из:

• риска, связанного с использованием персональных данных держателя карты или информации по его счету для открытия нового счета, и

• риска, связанного с захватом уже открытого счета.

Данный риск можно вывести за рамки применения СМТ.

Для регистрации всех фактов, связанных с компрометацией данных и проведением мошеннических операций, автором предлагается обеспечить хранение данных в таблицах базы данных (БД). Предлагаемый формат позволит фиксировать все аспекты, связанные с мошенничеством в ПСБК, что используется для подготовки регулярных отчетов по текущему уровню мошенничества и расчета величин, необходимых для получения количественной оценки рисков (рис. 3.3).

Формат хранения данных позволяет учитывать всю информацию, связанную с мошенничеством, которую можно получить в ходе проведения мероприятий по обеспечению безопасности ПСБК, в том числе:

• заявления держателей карт по несогласию с проведенными операциями по их картам;

• информацию от МПС, сторонних банков, правоохранительных органов, СМИ по фактам компрометации данных и проведению мошеннических операций, связанных с ПСБК банка;

• данные по точкам компрометации данных банковских карт;

• данные по точкам проведения мошеннических операций с банковскими картами;

• данные по объемам мошеннических операций, предотвращенных потерь, страховых возмещений;

• данные по скомпрометированным картам в ПСБК.

Организация единого хранилища описанных данных часто не обеспечена, поскольку различные подразделения банка занимаются решением вопросов, связанных с безопасностью ПСБК, в рамках своей компетенции и оперируют только частью информации по мошенничеству. Практика позволяет сделать вывод о том, что агрегирование информации по мошенничеству в ПСБК, ее обработка и анализ необходимы в современных реалиях.

Далее приводится краткое описание таблиц БД и их назначение.

Инцидент. Таблица 3.3 служит для хранения данных по всем событиям, являющимся основанием для проведения расследований как по эмиссии, так и по эквайрингу.

Об инциденте может стать известно от МПС, сторонних банков, СМИ, правоохранительных органов, из других источников. Возможно, инцидент не имеет отношения к ПСБК банка в момент получения сообщения о нем, но должен быть зафиксирован для сохранения самого факта его происшествия, что, возможно, понадобится в будущем.

Оператор. Оператором является уполномоченный сотрудник, осуществляющий регистрацию инцидентов и расследований. Каждый оператор имеет уникальный идентификатор.

Расследование. Результатом расследования должны являться подсчитанные суммы потерь (в том числе предотвращенных), принятые решения. Расследование может инициировать другое расследование, тогда второе можно связать с первым через поле ID master расследования (табл. 3.4).

Карта. Карта может относиться к банку или его банку-партнеру (эмиссия).

Карточный продукт. Данная таблица содержит описание всех карточных продуктов, эмитируемых банком.

Статус карты. В данной таблице отражается текущий статус карты и значимая история изменений статуса для целей создания данной базы (табл. 3.5).

Банк. В табл. 3.5 хранятся данные по банку, его филиалам и партнерам, карты которых фигурируют в каких-либо расследованиях.

ТСП. Таблица содержит данные по ТСП, находящемуся на эквайринге, по которому проводится расследование. Данная таблица используется только для фиксирования данных по мошенническим операциям в эквайринговой сети банка.

Транзакция по карте. Таблица содержит данные по всем операциям по карте, фигурирующей в каком-либо расследовании. Ее формат соответствует стандарту ISO 8583 и содержит данные, описывающие отдельную транзакцию. Следует отметить, что в соответствии с требованиями стандарта PCI DSS хранение ПИН-блоков и данных магнитной полосы карты запрещено, поэтому можно осуществлять, например, хранение признаков их наличия.

Правило. Таблица содержит описание правил и критериев мониторинга транзакций в СМТ, по которым принимаются решения о подозрительности транзакций на предмет мошенничества.

Сработавшее правило. Если по транзакции срабатывает правило/критерий в СМТ, а транзакция содержит данные, фигурирующие в расследовании, то данные по срабатыванию правила помещаются в эту таблицу.

Изменение правила. Изменения параметров существующих правил и критериев мониторинга отражаются в этой таблице.

Принятое решение. На основе работы правил и критериев СМТ принимаются решения по ограничению операций по картам. В случаях когда в результате анализа некоторой транзакции правило/критерий выявило подозрительную на предмет мошенничества операцию, данный факт отражается в таблице. Это позволит учитывать предотвращенные потери в результате использования СМТ.

Мошенническая операция. Запись в таблице характеризует тип мошенничества по совершенной транзакции.

Документ, свидетельствующий о мошенничестве. В ходе проведения расследования могут быть получены различные документы, отражающие информацию по совершенным мошенническим операциям (табл. 3.6). К таким документам могут относиться оповещения МПС, заявления клиентов, объяснительные кассиров (в случае расследования фактов мошенничества в эквайринговой сети банка).

Документ «мошенничество». Таблица 3.6 связывает документ, подтверждающий мошенничество, с мошеннической операцией.

Расследование «ТСП». Таблица связывает расследование по эквайрингу с ТСП, картой, по которой в ТСП проведены операции, и конкретной мошеннической операцией. Таблица используется только для проведения расследований по мошенничеству в эквайринговой сети банка.

Расследование «карта». Таблица связывает расследование по эмиссии с картой, по которой проводится расследование, и конкретной мошеннической операцией.

Апробация данного формата доказала его практическую применимость и возможность использования при расчетах рисков в ПСБК. Банк самостоятельно формирует содержимое данной БД на основе практики в области эмиссии (и/или эквайринга), взаимодействия с МПС, правоохранительными органами, сторонними банками, СМИ.

Относительно применения СМТ для выявления мошенничества и принятия решений по подозрительным операциям в соответствии с полученными ранее результатами следует получить значения следующих величин:

• риск мошенничества по поддельным картам;

• риск мошенничества по операциям без присутствия карты.

Установим следующие исходные предположения при получении количественной оценки рисков:

• имеется БД совершенных мошеннических операций (как удачных, так и пресеченных, как с наличием ущерба, так и без такового), формат которой соответствует описанной ERD-диаграммой — БДМ;

• имеются данные по всем операциям со всеми банковскими картами в ПСБК банка-эмитента — БДО;

• по каждой карте банка-эмитента имеются данные по истории всех операций, истории движения средств по счету карты, история изменений статуса карты, история и параметры изменения ограничений операций с картой, дополнительные признаки карты (например, зарплатная или относящаяся к VIP-клиенту);

• нет никаких специальных данных по уровню осведомленности держателя карты в вопросах информационной безопасности, соблюдения рекомендаций по безопасному использованию карты;

• каждая совершенная клиентом операция по карте увеличивает риск проведения мошеннических операций в дальнейшем за счет увеличения вероятности компрометации данных карты;

• вероятности обнаружения мошеннических операций СМТ в ПСБК зависят только от типа мошенничества.

Заданы критерии риска для оценивания:

• Годовая величина допустимого риска по мошенничеству с поддельными картами:

• Годовая величина допустимого риска по мошенничеству без присутствия карты:

• Годовая величина затрачиваемых средств на эксплуатацию СМТ:

Приемлемые результаты оценивания в соответствии с заданными критериями:

Параметры СМТ для выявления мошенничества Р^{под. крт}(обн), Р^{под. ПИН}(обн), Р^бпк(обн) одинаковы для любой карты эмитента в ПСБК.

Анализ современного состояния мошенничества с банковскими картами позволяет сделать ряд выводов о временных характеристиках компрометации данных и проведения несанкционированных операций:

• характер использования карты клиентом часто имеет сезонную зависимость, связанную с отпусками и особенностями трудовой деятельности;

• карта обычно выпускается сроком на два года;

• как правило, скомпрометированные данные банковских карт используются мошенниками в течение года, хотя известны и более продолжительные интервалы времени между компрометацией и использованием данных, вплоть до двух лет;

• известны схемы мошенничества, осуществляемые по одному и тому же сценарию в течение нескольких лет (например, компрометация в одной стране, а несанкционированные операции в любой из стран известного множества);

• обязательные со стороны МПС критерии мониторинга по эквайрингу устанавливают минимальный временной интервал, равный 90 дням активных операций по ТСП.

Таким образом, при расчете вероятностей по формулам (10) и (12) следует учитывать приведенные временные особенности и устанавливать время расчета вероятностей по операциям с картой не менее одного года.

Далее мы будем вести расчеты за период времени, равный одному году, если иное не оговорено.

Рассмотрим вероятность компрометации данных карты при ее использовании в n операциях в различных устройствах — терминалах ТСП, банкоматах и ПВН. Пусть вероятность компрометации данных при совершении операции есть P_i (кпр), где i — номер операции.

Пусть событие A состоит в том, что данные карты скомпрометированы в результате операции k в любом терминальном устройстве, а событие B — данные скомпрометированы в r-й операции в любом терминальном устройстве, причем k < r. Будем считать события A и B независимыми, т. е.

Вероятность того, что данные карты не были скомпрометированы ни в одной операции, можно записать в следующем виде с учетом формулы (14):

Исходя из формулы (15) вероятность компрометации данных карты хотя бы в одной операции:

Таким образом, для расчета вероятности компрометации данных карты требуется рассчитать значения вероятности компрометации данных карты в каждом использованном терминальном устройстве, что может быть сделано с использованием данных в БДО и БДМ, хранящихся в табл. 3.1, 3.3, 3.6. Расчет может производиться:

• по каждому уникальному терминалу;

• по категории торгового предприятия (merchant category code — MCC): различные коды ТСП, банкоматы, ПВН;

• по стране торгового предприятия;

• по категории и стране торгового предприятия;

• по категории, стране и городу торгового предприятия.

Далее будем вести расчеты по стране и категории торгового предприятия.

Например, для расчета вероятности компрометации данных магнитной полосы карты i в некоторой стране за год в торговом предприятии определенной категории подсчитываем число операций, удовлетворяющих данному условию, в результате которых данные оказались скомпрометированы, и общее число операций, а далее с учетом формулы (16) получаем:

где W_кпр(стр_с, mcc_m)(i) — число операций, связанных с компрометацией данных, по картам банка в стране стр_с и категории торгового предприятия mcc_m за год;

W_трз (стр_с, mcc_m)(i) — общее число операций по картам банка в стране стр _c и категории торгового предприятия mcc_m за год.

Введем следующие обозначения:

Обозначим вероятность компрометации данных карты с учетом введенных обозначений и формулы (17) следующим образом:

В случае компрометации данных карты они могут быть использованы для совершения мошеннической операции. На основе данных БДМ можно рассчитать условные вероятности использования скомпрометированных в хотя бы одной точке использования карты ее данных:

где W_исп (стр, mcc)(i) — число фактов последующего использования скомпрометированных данных в точках использования карты i (страна и категория ТСП);

W_кпр(стр, mcc)(i) — число компрометаций данных карт в точках (страна и категория ТСП), в которых использовалась карта i.

Попытка проведения мошеннической операции может быть пресечена в торговом предприятии, до попадания авторизационного запроса по карте эмитенту. Рассмотрим возможности пресечения проведения мошеннической операции в зависимости от ее типа:

• операция по поддельной карте с известным ПИН-кодом в банкомате — в соответствии с формулой (8) вероятность успеха не зависит от способности выявления подделки банкоматом (за исключением упомянутого случая подделки магнитной полосы комбинированной карты и попытки ее использования в банкомате, поддерживающем проведение операций по микропроцессорным картам);

• операция по поддельной карте в ТСП — согласно формуле (4) вероятность мошенничества зависит от возможности обнаружения подделки кассиром;

• операция без присутствия карты — исходя из формулы (11) вероятность успеха мошенничества зависит от применяемой ТСП схемы безналичных платежей.

Проведенный анализ показывает, что в большинстве случаев мошенничества, связанного с подделкой карт крупнейших МПС VISA и MasterCard, можно избежать, если кассир выполняет следующие визуальные проверки карты:

• на наличие четырех напечатанных цифр под эмбоссированным номером карты;

• на наличие микропечати VISA по периметру логотипа карты VISA;

• на наличие голубя на картах VISA и букв «М» и «С» на картах MasterCard, появляющихся при облучении карты ультрафиолетом;

• при наклоне карты VISA на голограмме должен появиться летящий голубь, а MasterCard — надпись «MasterCard»;

• сравнение номера карты на чеке терминала и на карте;

• на наличие эмбоссированных секретных символов на карте (летящие буквы «V» и «M»).

Современная практика функционирования ПС показывает, что часто описанные проверки в ТСП не производятся, поэтому МПС отказались от использования эмбоссированных секретных символов, а также некоторых видов микропечати.

С учетом изложенных доводов вероятность проведения мошеннической операции по поддельной карте в ТСП с учетом формулы (4) можно, положив P^{под. крт} (поп|кпр исп) = 1, рассчитывать по следующей формуле:

Следовательно, риск по поддельным картам в ТСП с учетом формулы (20):

Рассмотрим проведение мошеннических операций без присутствия карты. Если эквайрер блокирует проведение операций, например, из определенной доменной зоны, то такие попытки эмитенту видны не будут. Так, до недавнего времени сервисы PayPal были недоступны для россиян, фильтрация запросов происходила на основе анализа IP адреса клиента, но с конца 2006 г. ситуация изменилась. Если же клиент попадает на электронную страницу магазина, содержащего логотипы МПС, реквизиты его карты должны быть приняты к оплате по правилам МПС.

В случае принятия реквизитов к оплате банк-эквайрер должен обслужить операцию, за исключением случая неподдержки эмитентом схемы 3D Secure при одновременной ее поддержке эквайрером. Эквайрер, применяющий 3D Secure, в принципе может принимать к оплате не только карты эмитентов, поддерживающих данную технологию, но и любые другие. В любом случае оказывается, что если эмитент получает авторизационный запрос по операции без присутствия карты, то самостоятельно принимает решение об одобрении или отклонении ее (с учетом значения индикатора электронной транзакции в запросе авторизации — Electronic Commerce Indicator).

На основе изложенных доводов положим в формуле (11) P^бпк(поп |кпр исп) = 1, тогда вместо формулы (12) получим

Далее приведены несколько примеров применения СМТ для выявления мошеннических операций.

Если совершаются две операции с присутствием карты в разных странах за небольшой интервал времени, то это может свидетельствовать о том, что одна из операций осуществляется по поддельной карте.

Оценка принципиальной невозможности для держателя карты перебраться из места совершения первой операции в место совершения второй за время между операциями может быть сделана с учетом географического расстояния между местами совершения операций. В параметрах транзакции в соответствии с ISO 8583 присутствует название города и код страны совершения операции, в свободном доступе имеются географические координаты городов мира, поэтому возможно создание таблицы географических координат городов мира в БД для расчета расстояния между ними.

Геодезические задачи решаются на плоскости, если размеры площади невелики. Если исследуемая часть поверхности занимает несколько градусов широты или долготы, то необходимо учитывать и кривизну поверхности — в этом случае можно использовать сферу. Более точно описывает форму Земли не сфера, а эллипсоид.

В случае сферической модели Земли расстояние между двумя точками рассчитывается с помощью сферической тригонометрии. Длина дуги большого круга — кратчайшее расстояние между любыми двумя точками, находящимися на поверхности сферы, измеренное вдоль линии, соединяющей эти две точки, и проходящей по поверхности сферы или другой поверхности вращения. Через любые две точки на поверхности сферы, если они не прямо противоположны друг другу, можно провести уникальный большой круг. Две точки разделяют большой круг на две дуги (рис. 3.4).

Длина короткой дуги — кратчайшее расстояние между двумя точками. Между двумя прямо противоположными друг другу точками (антиподами) можно провести бесконечное количество больших кругов, но расстояние между ними будет одинаково на любом круге и равно половине окружности круга.

В данном случае расчет может быть произведен, например, с использованием сферической теоремы косинусов, причем при использовании радиуса сферы в 6 372 795 м возможна ошибка вычисления расстояния порядка 0,5 %, но в случае маленьких расстояний и небольшой разрядности вычисления использование формулы может приводить к значительным ошибкам, связанным с округлением:

Для перевода углового расстояния в метрическое угловая разница умножается на радиус Земли (в данной модели это 6 372 795 м). Для преодоления проблем с небольшими расстояниями может быть использована формула гаверсинусов.

В программной среде (в том числе на уровне функций и хранимых процедур БД) легко реализуемым является также и расчет расстояний между двумя точками на поверхности Земли, если принять в качестве модели поверхность эллипсоида.

Таким образом, рассчитав расстояние между двумя городами, в которых проводятся две операции по банковской карте, и используя максимальную скорость перемещения между ними (например, скорость гражданского самолета с учетом времени регистрации в аэропорту), можно с использованием временного интервала между операциями выявить принципиальную невозможность перемещения держателя карты из одной точки Земли в другую. Проблемой в данном случае является некорректная регистрация терминальных устройств банками-эквайрерами, что может приводить к ошибкам определения их географического положения. Возможны ошибки следующих типов:

• некорректное указание города установки терминального устройства;

• ошибки в названии города установки терминального устройства;

• некорректное указание страны установки терминального устройства.

На практике известны примеры наличия всех отмеченных ошибок, так, вариантов названия города «Санкт-Петербург» в качестве города установки терминальных устройств автором обнаружено более сотни, большая часть из которых подпадает под одну из следующих масок:

%S%PET%, %PETER%, SPB%.

Ввиду отсутствия контроля со стороны МПС за корректностью указания эквайрером данных регистрации терминального устройства не приходится рассчитывать на решение указанной проблемы. Тем не менее практическое применение отмеченного подхода для выявления мошеннических операций по поддельным картам доказало свою эффективность.

Практика показывает, что в некоторых регионах мира существуют продолжительное время мошеннические схемы, связанные с компрометацией данных карт (и/или ПИН-кодов) и/или использованием поддельных карт. Например, особое внимание со стороны МПС и банков уделяется операциям в ТСП Азиатско-Тихоокеанского региона, где часто происходит компрометация данных магнитной полосы карты, после чего поддельная карта используется в ряде стран того же региона или мира.

В течение нескольких последних лет зафиксированы многочисленные случаи компрометации данных магнитной полосы карты в Таиланде, Тайване, Шри-Ланке, Индонезии, Малайзии, Гонконге, Сингапуре.

Несколько фактов проведения мошеннических операций в некоторой стране или группе стран могут свидетельствовать о единой точке компрометации — это может быть терминальное устройство, торговое предприятие, эквайрер, процессинговый центр. Часто бывает сложно быстро установить точные сроки и выявить точку компрометации. Например, уведомление от МПС может содержать информацию о масштабной компрометации данных в некоторый промежуток времени в крупном процессинговом центре (ПЦ), при этом банку рекомендуется предпринять меры по ограничению потерь по своим картам. В таких случаях банк обычно осуществляет блокировку скомпрометированных карт и повторный выпуск их с другими номерами за свой счет. Однако может оказаться, что временной интервал компрометации более длительный. В результате банк сталкивается с проведением мошеннических операций по картам, бывшим в данном ПЦ в другое время.

В течение последних нескольких лет действуют мошеннические схемы в Турции и Украине. В Турции выявлен ряд мошеннических ТСП, где держателя карты просят ввести ПИН-код для проведения операции покупки или получения наличных в этом ТСП. Операция часто завершается неудачно, однако злоумышленники осуществляют несанкционированное копирование содержимого магнитной полосы карты и подсматривают ПИН-код. Затем проводятся мошеннические операции получения наличных денежных средств в банкоматах Турции.

Как минимум с конца 2004 г. известно о существовании мошеннической схемы, связанной с операциями в банкоматах Украины. В результате использования держателем своей карты в банкомате в Украине высок риск компрометации данных магнитной полосы карты и ПИН-кода. Через некоторое время мошенники используют поддельные карты для проведения операций в банкоматах в различных странах, таких как США, Эстония, Египет, Аргентина, Тунис, Перу. Временной интервал между компрометацией и использованием подделки, как показывает практика, часто не превышает одного года.

В СМТ на основе анализа подобных выявляемых схем необходимо создать правила анализа транзакций, отслеживающие использование карт в регионах с высокой вероятностью компрометации данных (и ПИН-кодов). Если затем карта обнаруживается в регионе предполагаемого использования поддельной карты, то происходит срабатывание правила и, в зависимости от его настройки, могут быть установлены ограничения по операциям в автоматическом режиме.

В сети Интернет существует множество сервисов, предоставляющих услуги, оплата за которые может осуществляться по реквизитам банковской карты (например, PayPal, AOL, iTunes). При этом для проверки действительности карты при подписке на сервисы осуществляется операция на небольшую сумму по номеру карты и сроку действия. В случае успеха процесс регистрации и подписки продолжается.

Злоумышленники могут воспользоваться такими сервисами для проверки действительности карт, реквизиты или данные которых им удалось получить. Такое тестирование карты обычно называют «пробивкой» или «прозвоном». Возможны следующие сценарии поведения злоумышленника.

1. Данные магнитной полосы или реквизиты карты скомпрометированы. Проводится несанкционированная операция «пробивки» номера карты и срока действия для проверки ее статуса. В случае успеха реквизиты используются для проведения операций без присутствия карты (например, в Интернете) либо для изготовления поддельной карты для покупок в ТСП в случае наличия данных магнитной полосы.

2. Данные магнитной полосы скомпрометированы. Изготавливается поддельная карта для проведения операций в ТСП. Проводятся операции в ТСП и «пробивки» для постоянного контроля действительности карты.

Следует отметить, что в последнее время «пробивка» используется мошенниками для проверки статуса карт со скомпрометированными данными магнитной полосы и/или ПИН-кодом.

Практика выявления точек «пробивки» позволяет формировать в СМТ списки терминалов и эквайреров, по которым могут осуществляться несанкционированные операции проверки статуса карт. Правила анализа транзакций по точкам «пробивки» позволяют выявлять как факты компрометации данных, так и подбор номеров карт и мошенническое тестирование заблокированных по причине компрометации карт.

В области противодействия мошенничеству в платежной системе банковских карт (ПСБК) оценка рисков может быть осуществлена количественно, поскольку мошенничество в ПСБК всегда связано с несанкционированными операциями по банковскому счету с использованием банковской карты как инструмента доступа к нему. Количественная оценка возможна на основе собираемой статистики по фактам компрометация данных платежных карт и мошенничеству в ПСБК. Мониторинг транзакций по банковским картам должен обеспечивать анализ всех авторизационных и клиринговых операций по банковским картам в ПСБК и принятие решений по подозрительным на предмет мошенничества операциям с целью уменьшения рисков. Система мониторинга транзакций (СМТ) является инструментом уменьшения рисков, связанных с проведением мошеннических операций по банковским картам, и должна быть составной частью комплексного подхода к обеспечению безопасности ПСБК.

Основные направления обеспечения информационной безопасности корпоративной системы как фундамента безопасности карточного бизнеса

В зависимости от того, в каких технических условиях проходит работа сотрудников, которые имеют доступ к информации о клиентах и их картах, способы защиты персональных рабочих компьютеров могут и должны быть различными. К техническим условиям мы относим в первую очередь способы защиты периметра информационной системы (набор инструментов, поставщик решений, внутренние регламенты). При этом высокий статус вендоров решений по безопасности может создавать впечатление, что все надежно защищено, но на практике ситуация выглядит иначе. Часто любой из сотрудников банка имеет физическую возможность войти на любой компьютер под своей учетной записью. Поскольку не все сотрудники хранят свои служебные документы на сетевых дисках, где им положено быть, или хотя бы в своем профиле, а на локальных дисках в общедоступных папках, то к этим документам потенциально имеют доступ все сотрудники. Конечно, можно просто запретить сотрудникам внутренним приказом хранить документы на локальных дисках и уповать на их добросовестность. Но как быть, если в открытом виде хранятся не только документы, а еще и файлы конфигураций или файл «мои пароли. txt»? Чем это грозит? Как это учитывать, если доступ к очень важным системам дается по связке «логин + пароль» с привязкой к статическому IP-адресу? Опять издавать приказы и надеяться, что их будут строго выполнять?

Подходы к решению задачи защиты рабочих станций могут быть разными, но большинство специалистов-практиков склоняются к стандартным способам технической реализации. Например, посредством такой утилиты Windows, как «Объект групповой политики» (GPO — Group Policy Object), можно принудительно закрыть другим сотрудникам возможность входа на компьютеры сотрудников, которые работают с данными клиентов. При этом надо учитывать, что USB-токены не являются панацеей (как в данном случае, так и в случае использования их при проведении платежей). Возможность туннелировать трафик USB на компьютер злоумышленника остается всегда, пока сам токен включен в компьютер, и не секрет, что многие специалисты просто оставляют ключ в USB-порту на весь рабочий день.

Следующая важная мера — программное обеспечение, не используемое на компьютере, должно быть удалено или отключено, таким образом будет закрыто множество уязвимых мест[83].

Многое из того, что следовало бы сделать, чтобы максимально (полностью не получится никогда) обезопасить рабочие станции сотрудников, можно придумать и самому, для этого всего лишь необходимо исходить из принципа «минимальных привилегий» пользователя для организации доступа, а также здравого смысла во время технической реализации. Использовать настройки поумолчанию не рекомендуется никогда, и это не зависит от того, к чему применяется данное утверждение. Если есть техническая возможность поменять в конфигурационных файлах порты — сделайте это (например, на продакшн-серверах SSH перемещается с 22-го порта на 2002, если он не занят), если сотрудники поддержки могут дойти до компьютера пользователя, например, работают в одном офисе — на компьютере пользователя можно как минимум включить встроенный файрвол на блокировку всех входящих соединений без исключения. Почему без исключений? Да просто потому, что техническая возможность ICMP-туннеля[84] на компьютер жертвы, т. е. сотрудника, также есть, поэтому, не закрыв пресловутый пинг[85] из-за возможности мониторить, включен ли компьютер (или еще хуже — сервер), может обернуться открытым шеллом[86] с возможностью полного управления с компьютера злоумышленника. Что уж говорить про другие незакрытые возможности удаленного воздействия. Можно также использовать уже проверенные временем и постоянно дорабатываемые международные Best practice, которые всегда можно найти на сайте CIS (www.cisemrityorg), причем не только для Windows всех мастей, но и сетевого оборудования, веб-серверов, UNIX, Apple, Check-Point, Oracle и многое другое, даже для прикладного ПО, например Firefox или Opera. Поскольку все приведенные на сайте рекомендации достаточно хорошо и полно описаны, думается, нет смысла их дублировать.

Подытоживая, основные принципы можно описать следующим образом:

• сегментация — все компьютеры сотрудников процессинга в отдельной подсети (еще лучше, если за отдельным файрволом);

• GPO — отдельные, более жесткие настройки ПК, контролируемые через групповые политики, особенно это касается политики паролей к учетным записям;

• антивирусное программное обеспечение;

• все установленное ПО, как на компьютере пользователя, так и на сервере, должно нести функциональную нагрузку, а если что-то не востребовано для выполнения конкретных служебных задач — смело удаляем;

• IP-фильтрация всего трафика. Это, конечно, не очень серьезная защита, но некоторую сложность для потенциальных злоумышленников все-таки составит;

• своевременные обновления. Думаю, не лишним будет сказать, что если до официального выхода патча какой-либо уязвимости о ней могут знать единицы, то после выхода патча — все знают, а значит, воспользоваться брешью в безопасности ОС или ПО могут попробовать многие;

• и последнее по счету, но не по важности — регулярное испытание на проникновение (пен-тест) и аудит как хостов внутри сети, так и периметра.

О последнем пункте расскажем чуть подробнее.

Пен-тест — это «испытание на проникновение», другими словами, когда мы ничего не знаем в том хосте, который начинаем сканировать, и пытаемся получить информацию о версии операционной системы, открытых портах, службах на этих портах и т. д., получив такую информацию, мы получаем в свои руки огромное количество потенциальных лазеек, использовав которые можем получить привилегированные права к системе. Дабы обезопасить себя от реальных проникновений, лучше определить уязвимые места самому, чем это сделает кто-то за нас.

Под аудитом же мы понимаем как сбор статистической информации о том, что есть в нашей сети, так и мониторинг того, что происходит сейчас или произошло в прошлом, другими словами, сбор и анализ логов с различных источников, их нормализация, агрегация и в итоге корреляция по заданным правилам. За пен-тест и аудит в части сбора статистики отвечают различные сканеры безопасности, хороших из них, на взгляд авторов, не больше пяти, а полнофункциональных вообще один.

За сбор логов и их дальнейшую обработку отвечает другой класс систем, так называемые SIEM-решения (Security Information and Event Management).

В общем виде перед системой контроля защищенности ставятся следующие задачи:

• создание внутренних процессов по непрерывному контролю ИТ-инфраструктуры и информационной безопасности;

• снижение экономического ущерба из-за недоступности ресурсов и потери конфиденциальной информации;

• сокращение издержек на контроль изменений и управление уязвимостями;

• внедрение механизмов оценки эффективности ключевых ИТ-про-цессов и ИБ (информационной безопасности).

Решение поставленных задач соответствует требованиям следующих международных стандартов в области информационной безопасности:

• ISO 27001 в части мониторинга информационных ресурсов, контроля средств защиты, операционных систем и программного обеспечения, выполнения требований политик и стандартов безопасности;

• PCI DSS в части мониторинга настроек средств защиты, контроля выполнения требований политик и стандартов безопасности, периодического тестирования средств защиты и выявления уязвимостей.

Техническая реализация контроля защищенности сводится ко многим факторам, определяющим само понятие «защищенность». Так, например, наиболее распространенными путями взлома на сегодняшний день являются социальная инженерия[87] в сочетании с уязвимостями рабочих мест пользователей, использование уязвимостей в Web-приложениях, слабость парольной защиты, а также уязвимости и ошибки конфигурации сетевых устройств, средств защиты периметра и информационных ресурсов в демилитаризованных зонах.

Приведем несколько примеров:

• Относительно рабочих мест сотрудников: получение сотрудниками по почте или иным способом зараженных (!) файлов с именами типа «Список увольняемых 2010.doc» или «Премиальные выплаты. pdf», а также использование уязвимостей в стопроцентно «дырявом» ПО, к которым без преувеличения можно отнести Web-браузеры, почтовые программы, офисные приложения Microsoft, средства чтения документов в формате PDF, многие IM-клиенты[88], в том числе популярный ICQ, многие видеокодеки, JAVA-приложения и многие другие, в том числе и сами операционные системы. Крупные вендоры достаточно быстро реагируют на найденные бреши в безопасности своих продуктов, но от момента выхода патчей до момента их установки на компьютеры пользователей проходит продолжительное время.

• Относительно веб-приложений: по данным Web Applkation Security Consortium[89], более 10 % сайтов может быть взломано полностью автоматически, а по данным Positive Tehnologies, порядка трети вебсайтов крупных российских компаний имеет уязвимости высокой степени критичности.

• Относительно парольной политики приведем несколько цифр:

• больше половины паролей пользователей являются только цифровыми;

• около 20 % составляют только символы латинского алфавита в нижнем регистре;

• примерно 15 % — символы в нижнем регистре и цифры;

• при этом самыми популярными являются пароли от 1 до 7 или 8, пустая строка и легко набираемые комбинации символов на клавиатуре (например, qwerty123).

• Относительно сетевых устройств и защиты периметра есть много распространенный недочетов:

• маршрутизаторы имеют настройки «по умолчанию»;

• файрволы имеют правила с настройкой «any» или вообще «any-to-any»[90]. Неконтролируемые настройки на production-серверах[91] в ситуации, когда вроде бы и существуют документы, регламентирующие настройки безопасности и политики, но отсутствует техническая возможность их отслеживания.

На практике при наличии необходимого и достаточного, казалось бы, ПО от известных вендоров для защиты и нормативных документов вполне реально достичь следующих «технических результатов»:

• получить доступ к рабочей станции старшего инженера;

• получить доступ к магистральным маршрутизаторам;

• получить сетевой доступ к технологической сети;

• подобрать пароли к ряду внутренних маршрутизаторов;

• получить доступ 15-го уровня к периметровым маршрутизаторам Cisco (аналог root-прав для UNIX и прав администратора в Windows).

Это то, что относится к системам контроля защищенности, но помимо этого необходимо еще и осуществлять мониторинг того, что происходит в реальном времени. Задачи системы класса SIEM могут быть сформулированы следующим образом:

• осуществление централизованного сбора, обработки и анализа событий из множества распределенных гетерогенных источников событий;

• корреляция полученных событий информационной безопасности по заданным правилам;

• постоянный контроль соответствия сетевых устройств заданной политике безопасности;

• обнаружение в режиме реального времени атак, нарушений политик безопасности и автоматизированное формирование отчетов и рекомендаций по их устранению;

• автоматическое создание и рассылка отчетов о состоянии корпоративной сети обслуживающему персоналу, администраторам безопасности и руководству компании;

• учет имеющихся информационных активов, анализ рисков, связанных с недоступностью либо потерей целостности этих активов, а также автоматическое принятие решений, основанных на политике безопасности, для защиты информационных активов в случае возникновения угроз;

• предоставление инструментария для проведения расследований инцидентов ИБ, формирования отчетности в ходе решения конкретных задач, отслеживания статуса их решения;

• хранение в базе данных поступивших событий в течение не менее установленного политикой безопасности срока, возможность быстрого поиска по событиям.

Система данного класса предназначена для обеспечения мониторинга и корреляции событий информационной безопасности, мониторинга состояния безопасности корпоративной сети, консолидации рабочего места оператора безопасности, что позволяет снизить общую стоимость владения системой защиты. В первую очередь решением задачи является сбор информации от других подсистем (средств защиты) — систем анализа трафика и обнаружения и предотвращения атак, подсистем межсетевого экранирования, маршрутизаторов, серверного оборудования и операционных систем защищаемых серверов и рабочих станций, антивирусных средств защиты и др., представление ее в унифицированном формате, удобном для восприятия администратором безопасности. Помимо простого сбора, нормализации и визуализации, подсистема позволяет производить интеллектуальный анализ, корреляцию разрозненных событий в соответствии с логикой, заданной внутренними правилами, а также в соответствии с правилами, которые задает оператор или администратор системы безопасности для выявления специализированных действий (злоумышленных действий), которые могут проводиться как легальными пользователями, так и злоумышленниками.

Довольно хорошее описание возможностей решений класса SIEM можно прочитать на сайте компании Gartner[92], который с завидной регулярностью обновляет не только описания систем ввиду их постоянного процесса улучшения (не только SIEM[93]), но и свой рейтинг, приводя сравнения решений различных вендоров в виде наглядных «магических квадрантов»[94] (рис. 3.5).

К сожалению, относительно систем контроля защищенности (сканеров) такого отчета нет, по крайней мере такого, который учитывал бы все самые «сканирующие» решения. Например, довольно часто забываются российские разработки, которые порой намного превосходят по функционалу зарубежные аналоги, но не настолько популярны за пределами СНГ. Поэтому здесь необходимо отталкиваться от тех задач, которые планируется решать, и самостоятельно анализировать возможности решений от различных вендоров.

Если же оценивать все вышесказанное с точки зрения именно специалиста, на которого возлагается обязанность заниматься вопросами обеспечения реальной защищенности ИС[95], то как минимум необходимо будет провести работы по подключению всех требуемых источников событий к системе класса SIEM и настроить сканеры безопасности соответствующим образом на серверы и рабочие станции. Работа колоссальная, если в компании большое количество серверов, которые не стандартизированы, большое количество сотрудников, часто находящихся на территориально распределенных объектах. Но если преодолеть трудные первые этапы, результаты будут видны сразу — например, будет видно, что неправомерно используется учетная запись Administrator корневого домена, администраторы сами себе на время раздают особые права, чтобы какую-то информацию «слить» на флешку и т. д. В зависимости от настроек аудита на «источник событий», а также уровня детализации (например, уровни логирования Emergencies и Debug для сетевых устройств, т. е. минимальный и максимальный уровни) при использовании системы возможны следующие варианты анализа и выявления событий:

• все попытки изменения конфигураций на маршрутизаторах и других сетевых устройствах с указанием, кто, когда и что изменил. Отслеживание атаки с полной предысторией ее начала и распространения по корпоративной сети или инфраструктуре глобальной сети;

• отслеживание попыток соединений с внутреннего оборудования в неразрешенные политикой безопасности места и статистическая информация о разрешенных соединениях между внутренними и внешними хостами — аномалии, повышенная активность разных хостов и др.;

• попытки доступа к собственно ресурсам серверов, учет доступа к серверам с административными правами;

• анализ запуска на сервере несанкционированных программ, подмена файлов (например, апгрейд) и изменение файлов. Удаление критичных файлов;

• мониторинг запуска и остановки служб. Мониторинг запущенных сервисов и приложений, информация о падении или остановке сервиса;

• связь попыток доступа с возможным использованием уязвимостей (exploits) внутренней инфраструктуры;

• мониторинг доступа к базе данных и анализ подключений — кто подключался и какие способы подключения использовались (например, SSH и telnet);

• кто работал с базой данных с администраторскими правами и что сделал;

• и многое другое.

Во всем мире, как специалисты по безопасности, так и те, кому они противостоят, используют множество самых разных вариаций софта, которые автоматизируют многие процессы по обнаружению и/или реализации уязвимостей в различном ПО. Одним из самых распространенных типов реализаций можно без преувеличения назвать Meterpreter, входящий в состав MSF (Metasploit Framework)[96], который обновляется регулярно и позволяет автоматизировать взломы по известным багам и не закрытым уязвимостям в ПО, причем механизмы эксплуатации так называемых 0day уязвимостей[97] в нем также присутствуют, т. е. специальные инструменты (эксплойты, или exploit), которые реализуют взлом через те уязвимости, которые не закрыты на момент выхода данного эксплойта. Так, например, можно через, скажем, Nmap (мультиплатформенный бесплатный сетевой сканер) просканировать некий пул адресов, подсетей или же конкретный сервер, примерно определить, что на нем есть и какая операционная система используется, а дальше применять эксплойты под уже известные уязвимости. Что уж говорить про версию Metasploit Pro, в которую добавлен WEB 2.0 интерфейс.

По понятным причинам никаких конкретных скриптов по использованию данного продукта особо не найдешь, даже долгое время проведя в поисковиках, поскольку даже на сайтах, посвященных безопасности, или хакерских форумах ими не любят делиться.

Пожалуй, самый распространенный способ списать деньги со счета клиента — это воспользоваться компьютером того же клиента, точнее того сотрудника, который может такие операции проводить. Схема атаки довольно стандартная и про нее не раз было сказано в Интернете. Бэкдор[98] на компьютер жертвы, USB_over_Network share[99], Remote control toolkit[100], кейлоггер[101] — все что нужно для проведения такой операции. Злоумышленник со своего компьютера запускает приложение клиент-банка, вводит пароль, полученный с помощью кейлоггера, при этом компьютер жертвы используется как шлюз, а при помощи USB_over_Network share злоумышленник имеет доступ к ключу жертвы, чтобы подписывать им платежки. Конечно, в каждом конкретном случае схема может меняться в зависимости от банка, к примеру, но суть одна — получить доступ к компьютеру жертвы, установить канал к ключу и получить пароль, на этом все — можно переводить деньги.

Помимо ПО для взлома, полезно иметь еще некий набор средств для проведения расследований инцидентов информационной безопасности — так называемые forensic tool’s[102] и специальные программы. Ими активно пользуются все, кто имеет хоть какое-то отношение к безопасности, поскольку нужно не только найти нарушителя информационной безопасности, но еще и доказать, что это именно он сделал это и именно в такое-то время. В данном случае лучшим помощником является Интернет, а точнее — google.com, поскольку где-то 90–95 % всего forensic-софта делается не у нас, а значит, и искать нужно по зарубежным форумам и специализированным сайтам. Или же на конкретных ресурсах, где можно найти, например, отлично работающую утилиту USB History, из названия которой понятно, что она вытаскивает из недр реестра Windows, обрабатывает и сводит в один вид информацию о том, какие USB-устройства и когда были подключены в последний раз[103].

Одним из основополагающих принципов построения центра ИБ является уход от «бумажной безопасности», когда отсутствует контроль настроек ИТ-систем, т. е. политики реализованы только в виде регламентирующих документов, а как они реализованы на практике, никто не знает, и когда отсутствует процесс управления защищенностью, ведь новые уязвимости появляются ежедневно и никто в компании не знает, какие есть бреши в их системе. Если быть точнее, то не уход, а переключение осознания того, что если «так написано, значит, оно так и есть», на «если так написано, то надо проверить, исполняется ли». Конечно, сотрудники службы информационной безопасности могут быть в отличных отношениях с админами и полностью им доверять, но это не означает, что нужно отменять принцип «четырех глаз» и делать, как кому-либо удобнее, нежели чем безопаснее. Все мы понимаем, что необходимо искать некий компромисс между безопасностью и производительностью, поскольку это прямо противоположные понятия, но только в том случае, когда мы настраиваем аудит каких-либо объектов, поскольку это напрямую будет способствовать увеличению затрат серверных ресурсов.

Поэтому нужно четко понимать, какие именно действия или, проще говоря, события мы хотим увидеть.

Использование обеих систем (SIEM и сканер безопасности) в связке позволяет контролировать то, что происходит в сетях, на рабочих станциях, серверах, в базах данных, и оперативно реагировать, если произошло нарушение установленных регламентов и политик или имела место иная внештатная ситуация. Кроме того, две системы позволяют лучше оценить то, каковы могут быть потенциальные последствия вновь обнаруженных уязвимостей.

О самом процессе производства банковских карт и его этапах написано немало[104]. Этот раздел в книге хотелось бы посвятить жизненному циклу карточного продукта с момента его рождения и доставки банку-эмитенту с соблюдением мер безопасности.

Когда мы говорим о производстве продукта, то следует понимать, что карточный продукт, или продукция, не может быть выпущена на обычной фабрике. И не только потому, что требуется специализированное оборудование, обученный персонал и технологии для ее производства, но и необходимо еще одно важное условие — это должна быть территория с высоким уровнем безопасности.

Территория с высоким уровнем безопасности подразумевает хорошо организованный, слаженный комплекс с интегрированными устройствами защиты безопасности и жесткими процедурами допуска. Конечно, эти требования по безопасности придумал не сам производитель пластиковых карт, а международные платежные системы, и остается лишь строго исполнять их. Изначально следует понимать, что для того чтобы добиться высокой степени защиты на производстве банковских карт, необходимо начинать с разработки проекта фабрики, правильного планирования и проектирования производственных зон и участков и, соответственно, организации физического доступа на эти зоны и участки.

Итак, существуют внешние и внутренние стандарты безопасности для производственных помещений. Внешние стандарты безопасности означают нахождение производственных помещений на территории, обслуживаемой общественными правоохранительными органами и службами пожарной охраны, МЧС. Как правило, это локальные службы, которые привлекаются по месту нахождения производства. Согласно заключенным договорам на такое обслуживание правоохранительные органы, например, должны приехать по вызову на территорию в случае несанкционированного доступа в течение пяти минут. Независимо от времени реагирования служб пожарной охраны на территории или внутри помещений обязательно выстраиваются системы пожаротушения. Как правило, выбор таких систем определяется возможностями предприятия. Все помещения должны быть оборудованы аварийными системами безопасности против несанкционированного проникновения. Все внешние пункты входов и выходов, включая и те, что предназначены для персонала, обслуживающего персонала и грузов, должны оборудоваться аварийными кнопками и камерами видеонаблюдения с возможностью круглосуточной записи происходящего в режиме реального времени. Аварийные системы поддерживаются запасными источниками питания и в случае отключения основного автоматически в течение десяти секунд переключаются на аварийные и функционируют бесперебойно в течение 72 часов до устранения аварии. Такие меры предосторожности позволяют центру безопасности контролировать все без исключения зоны предприятия как по периметру здания, так и внутри, где находятся сырье и материалы для производства банковских карт, заготовки, сама карточная продукция.

Для минимизирования риска незаконного вторжения на территорию производителя внешний периметр здания должен быть защищен специальным ограждением с въездными воротами и проходной, также оснащенными системой сигнализации, управляемые и контролируемые центром безопасности предприятия. Внешние входы и выходы снабжаются электронными устройствами для считывания персональных карт, которые в свою очередь автоматически активируют запирающие механизмы. Сами стены, доступ на крышу здания, окна и двери в обязательном порядке снабжаются датчиками вибрации и магнитными детекторами против вторжения. Внешние вывески на здании не должны указывать или подразумевать, что именно производится внутри данного здания.

Внутренние стандарты безопасности подразумевают наличие систем контроля доступа внутри помещения. Одной из наиболее секретных комнат на предприятии является центр управления безопасностью. Вход и выход в такую комнату оснащен шлюзовой камерой со встроенными функциями контроля доступа. В зависимости от финансовых возможностей предприятия функции контроля доступа в таких шлюзовых камерах могут выполнять считывающие устройства, распознающие персону по отпечаткам пальцев, роговице глаза, методом взвешивания или просто пластиковой картой доступа. Система контроля доступа в комнату безопасности программируется по принципу «person-by-person», который обеспечивает невозможность прохода двум сотрудникам одновременно и ограничивает санкционированный доступ персонала. Центр управления безопасностью призван обеспечить на предприятии безопасность помещений, зон и участков, движение материалов, товаров и транспорта, а также наблюдение за сохранностью информации. Внутренние входы и выходы между производственными помещениями, участками и зонами, бытовыми помещениями также снабжены электронными устройствами для санкционированного доступа с помощью персональных карт.

Для того чтобы произвести заготовки для банковских карт, необходимо закупить материалы для их производства и доставить на территорию с высоким уровнем безопасности. С этого момента и начинается процедура соблюдения мер безопасности на предприятии.

Транспортное средство с материалами пропускают в здание через транспортный шлюз, где и происходит первоначальная разгрузка. Далее транспортное средство покидает территорию, а материал с соблюдением документальных процедур попадает на склад сырья и материалов. С одной стороны, сырье и материалы с точки зрения безопасности никакой ценности (кроме стоимостной) не представляют, но, с другой стороны, жестко прописанные процедуры их приемки исключают саму попытку хищения на раннем этапе производства. Физический контакт между поставщиком материалов и принимающим сотрудником склада предприятия исключается. Все контакты происходят через переговорное устройство, а документы передаются и возвращаются через окно безопасности. Все события записываются системой видеонаблюдения и просматриваются в режиме реального времени сотрудниками службы безопасности предприятия из центра управления безопасностью. Таким образом материал поступает на предприятие, оформляется и ожидает своего часа.

Концепция безопасности международных платежных систем основана на административной процедуре исполнения со строгим ревизионным контролем каждой партии продукции, поддерживаемым устройствами физического контроля безопасности, позволяющими постоянно следить за сотрудниками, вовлеченными в производство каждой отдельной партии продукции, и их передвижениями.

После получения рабочего задания и его обработки на склад поступает информация о требуемом количестве материала. Ответственный сотрудник склада передает необходимое количество материала на производство в цех печатной продукции через специальный транспортный шлюз-ловушку, тем самым исключая физический контакт между персоналом. Шлюз открывается специальными ключами санкционированным персоналом. Проникновение через транспортный шлюз исключается, так как он является ловушкой, и в случае появления такового срабатывает звуковой сигнал, в том числе и на приборах в центре управления безопасностью с его визуализацией. Все сотрудники компании одеты в специальные костюмы или халаты без карманов, что также исключает вероятность соблазна приобрести на память карточку с запоминающимся или необычным дизайном.

После получения изображения на печатном листе пластика полуфабрикат движется в цех ламинирования продукции. На этом этапе также используется транспортный шлюз, как и везде между цехами. И так по цепочке: в цех производства заготовки, нанесения голограмм и подписных панелей, и далее — в цех персонализации и упаковки.

Конечный пункт готовой карты — сейф хранения ценностей. Здесь необходимо внести ясность: сейф находится внутри складской зоны и является самостоятельным помещением на складе. Сейф для хранения ценностей является самым секретным помещением на производственных площадях, и поэтому к нему особые требования. Он должен быть выполнен из наливного бетона с металлической конструкцией внутри и толщиной стен не менее 20 см, которые способны обеспечивать прочность и долговечность. Главный сейф необходимо оборудовать укрепленной стальной дверью с логически последовательным двойным механизмом запирания, который требует одновременного двойного контроля доступа.

Стены, потолок и пол такой конструкции снабжаются датчиками движения и вибрации. Системы видеонаблюдения и записи обязательны. Как правило, в таких защищенных конструкциях хранится готовая продукция — банковские карты, секретные компоненты для производства карт (такие как голограммы международных платежных систем, панели для подписи, магнитные полосы, чипы, ПИН-конверты и любые другие носители секретной информации).

После производства партии заказа бракованные карты и компоненты для их производства уничтожаются в специально отведенной для таких целей комнате с соблюдением всех необходимых мер безопасности. Доступ к такой комнате имеет ограниченный круг сотрудников компании. В соответствии с требованиями безопасности отходы произведенной продукции и брак уничтожаются в присутствии как минимум двух ответственных сотрудников на специальном оборудовании — уничтожителе/измельчителе. Отходы измельченных карт хранятся в мусорных контейнерах, расположенных на охраняемой и защищенной территории, ограниченной от несанкционированного доступа.

Таким образом, получился продукт — банковская карта, а полученный брак и его компоненты уничтожены. Наступает самый важный момент в жизни продукта — отпуск продукции клиенту, т. е. банку, а поскольку банковская карта приравнивается по своей значимости к денежным знакам, то и безопасность доставки пластиковых денег должна быть соответствующей.

Для доставки продукта в банк используется специализированный автомобиль службы инкассации, так же как и при перевозке денежных знаков. Согласно договору между производителем и службой инкассации автомобили подаются строго по времени и с заранее продуманным маршрутом передвижения от производителя до банка-клиента.

Мы уже знаем, что сначала спецавтомобиль для получения продукта по согласованным процедурам попадает на территорию с высоким уровнем безопасности, далее — в транспортный шлюз, а здесь применяется следующий алгоритм:

• подготовка отгрузки продукции должна осуществляться под двойным контролем в пределах места хранения товара — сейфе хранения ценностей и в присутствии сотрудника службы безопасности;

• отгрузка продукции разрешена только по предварительной договоренности с получателем товара и службой инкассации;

• сотрудник службы безопасности уведомляет сотрудника склада о предстоящей отгрузке;

• сотрудник службы безопасности направляет водителя в зону отгрузки;

• визуальная и звуковая идентификация водителя должна подтверждаться сотрудником службы безопасности;

• внешние ворота территории и ворота отгрузки товара открываются и закрываются только с центрального пункта управления безопасностью;

• ответственный сотрудник склада оформляет документы на отгрузку через окно безопасности и подтверждает это оформление в пункте управления безопасностью;

• производится отгрузка товара и подтверждение отгрузки сотрудниками склада;

• сотрудник службы безопасности открывает ворота для выезда водителя из грузового отсека;

• все операции по отгрузки товара наблюдаются и записываются системой видеонаблюдения.

Банк информирует производителя о доставке продукции и хранит товар до выдачи его уже непосредственно клиенту в сейфе ценностей, выполненном, по таким же требованиям международных платежных систем, как и для производителя.

Зоны персонализации карт являются закрытыми зонами с санкционированным доступом ограниченного количества сотрудников. Прежде чем произвести персонализацию заготовок карт, необходимо подготовить само задание, для чего предусмотрена специальная комната подготовки задания. Конструктивно такая комната строится из прозрачных композиционных материалов, находится в зоне персонализации и контролируется камерами видеонаблюдения. Стены и потолок в комнате защищены датчиками вибрации и детекторами внутренних перемещений. Информация для персонализации передается от заказчика по защищенным каналам связи с соблюдением процедур, а ключами доступа к информации обладают ответственные сотрудники компании, имеющие специальный допуск.

Открывают и готовят задание одновременно не менее двух сотрудников. Далее информация в зашифрованном виде по внутренним сетям компании, не связанным с внешним миром, к определенному времени выполнения такого задания загружается в машину для персонализации. Ответственный сотрудник компании, непосредственно работающий на участке персонализации, проводит свою часть работ по персонализации.

После окончания работ готовые карты укладываются в специальные лотки в определенном количестве и пломбируются. Далее лотки с готовой продукцией перемещаются в цех упаковки, а лотки с бракованной продукцией попадают в комнату уничтожения отходов. После произведенной упаковки с инициализацией готовая продукция отправляется в сейф хранения ценностей для отгрузки банку-клиенту. Весь процесс персонализации и движения готовой продукции находится под наблюдением систем видеонаблюдения с записью и хранением информации. Таким образом, жестко прописанные международными платежными системами регламенты и процедуры выполнения работ по персонализации фактически исключают саму возможность утечки информации или готовой продукции.

Возможность изготовления дубликатов продукции, с одной стороны, исключается строгим соответствием заказа готовой продукции количеству компонентов на ее производство, отпущенных на складе, а с другой стороны, установленным программным продуктом на оборудовании, производящем персонализацию.

Если кратко подвести итог этой части, то физическая безопасность ограничивает доступ на территорию производителя, а логическая безопасность подразумевает проведение организационных мероприятий на предприятии и их соблюдение. Надо сказать, что требования физической и логической безопасности на производстве готовой продукции схожи по своей сути с требованиями, применяемыми банками в своей деятельности. И если возникают какие-то спорные моменты к произведенной продукции у заказчика, то здесь включаются в работу претензионные службы банка-клиента и отделы качества производителя.