03 декабря 2013
Подход к защите от мошенничества в системах ДБО в условиях вступления в силу статьи 9 ФЗ-161
Проблематика
Системы дистанционного банковского обслуживания (ДБО) все чаще становятся целью кибератак. Злоумышленники отдают предпочтение именно системам ДБО в сравнении с другими, небанковскими системами. Обусловлено это, прежде всего, возможностью получить прямые финансовые выгоды при относительно незначительных тратах на подготовку и проведение несанкционированных действий.
По данным аналитического отчета Банка России за 1-е полугодие 2013-го года более половины всех инцидентов в платежной системе приходится на несанкционированные переводы денежных средств. В среднем в день фиксируется около 30 хищений. При этом число мошенничеств в платежных системах ежегодно растет на 20%.
Растут и суммы потерь при реализации кибератак на системы ДБО. В отчете компании Group-IB (Threat Intelligence Report 2012 – 2013) средняя сумма хищений у юридических лиц в системах ДБО составляет 1,6 млн рублей, у физических лиц – 75 тысяч.
Приведенная статистика с учетом вступления с 1-го января 2014-го года в силу текущий редакции статьи 9 ФЗ №161 «О национальной платежной системе» позволяет сделать вывод о росте рисков:
-
прямых финансовых потерь из-за возрастающего количества несанкционированных операций в платежных системах (причем как со стороны кибермошенников, так и со стороны недобросовестных клиентов, пытающихся воспользоваться несовершенством законодательства);
-
санкций со стороны регуляторов (штрафов, предписаний) из-за несоответствия требованиям нормативных документов (например, требования Банка России к защите информации при осуществлении переводов денежных средств – п. 2.10.4 Положения ЦБ РФ № 382-П – обязывают банки обеспечить защиту электронных сообщений и выявление фальсифицированных электронных сообщений при использовании электронных средств платежа);
-
снижению лояльности клиентов (включая VIP-клиентов), имиджевые/репутационные риски, связанные с неэффективными процедурами работы подразделений банка по разрешению спорных ситуаций и возмещению несанкционированно списанных средств со счетов клиентов.
Требования законодательства РФ и регуляторов в части защиты от мошенничества
Предлагаемое решение
В целях повышения общего уровня защищенности платежных систем и минимизации рисков финансовых потерь компания «Информзащита» предлагает банкам реализовать комплексный подход к защите от мошенничества в платежных системах. Особенностью данного подхода является реализация комплекса организационных и технических мероприятий, направленных на построение процессов и автоматизацию деятельности персонала по обнаружению и реагированию на случаи мошенничества.
Для реализации данного подхода мы предлагаем провести комплексный проект, состоящий из трех основных этапов.
Этапы проекта по внедрению процессов защиты от мошенничества
На первом этапе специалисты «Информзащиты» проводят обследование платежных систем банка с целью выявления потенциальных рисков мошенничества, оценивают текущие и потенциальные финансовые потери, выявляют типовые схемы мошеннических операций в системах, описывают логику обнаружения несанкционированных операций.
На этом же этапе разрабатывается ТЗ на внедрение автоматизированной системы предотвращения мошенничества.
На втором этапе – определяют роли и обязанности персонала банка, регламентируют процессы и процедуры по выявлению, предотвращению и расследованию мошеннических операций. Также на данном этапе осуществляется установка, настройка и интеграция с банковскими приложениями автоматизированной системы защиты от мошенничества. Далее проводится необходимое обучение и консалтинговая поддержка сотрудников банка.
На последнем этапе, совместно с ключевыми сотрудниками банка, проводится опытная эксплуатация автоматизированной системы и оценивается эффективность реализованных организационных процедур.
В результате проекта банк получит отлаженную систему выявления и предотвращения мошеннических действий в платежных системах, позволяющую добиться определенных преимуществ:
-
сокращения рисков финансовых потерь от мошенничества до приемлемого уровня;
-
повышения лояльности клиентов к продуктам банка за счет предоставления более защищенных электронных сервисов и эффективной работы по спорным операциям клиентов;
-
сокращение затрат на ресурсы, требуемые для проверки платежей в ручном режиме и расследование инцидентов;
-
соответствие требованиям законодательства РФ и нормативных актов Банка России (382-П, указание 2831-У, письмо № 27-Т и др.).