Безопасность операций с платежными картами. Оценка рисков и мониторинг транзакций в платежной системе
К оглавлению1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 1617 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33
34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50
51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67
68 69 70 71 72 73 74 75 76 77 78
Общие положения
В соответствии с Положением ЦБ РФ № 266-П на территории Российской Федерации кредитные организации — эмитенты осуществляют эмиссию банковских карт, являющихся видом платежных карт как инструмента безналичных расчетов, предназначенного для совершения физическими лицами, в том числе уполномоченными юридическими лицами, операций с денежными средствами, находящимися у эмитента, в соответствии с законодательством Российской Федерации и договором с эмитентом.
Кредитная организация вправе осуществлять эмиссию банковских карт следующих видов: расчетных карт, кредитных карт и предоплаченных карт. Кредитные организации — эквайреры осуществляют расчеты с организациями торговли (услуг) по операциям, совершаемым с использованием платежных карт, и (или) выдают наличные денежные средства держателям платежных карт, не являющихся клиентами указанных кредитных организаций (эквайринг). Кредитная организация вправе одновременно осуществлять эмиссию банковских карт, эквайринг платежных карт, а также распространение платежных карт. Эмиссия банковских карт, эквайринг платежных карт, а также распространение платежных карт осуществляются кредитными организациями на основании внутрибанковских правил, разработанных кредитной организацией в соответствии с законодательством Российской Федерации, нормативными актами Банка России, и правилами участников расчетов, содержащими их права, обязанности и порядок проведения расчетов между ними. Внутрибанковские правила, помимо прочего, должны содержать систему управления рисками при осуществлении операций с использованием платежных карт, включая порядок оценки кредитного риска.
Письмо Банка России от 24 мая 2005 г. № 76-Т «Об организации управления операционным риском в кредитных организациях»[208] содержит рекомендации по управлению операционным риском в кредитных организациях.
Операционный риск — риск возникновения убытков в результате несоответствия характеру и масштабам деятельности кредитной организации и (или) требованиям действующего законодательства внутренних порядков и процедур проведения банковских операций и других сделок, их нарушения служащими кредитной организации и (или) иными лицами (вследствие непреднамеренных или умышленных действий или бездействия), несоразмерности (недостаточности) функциональных возможностей (характеристик) применяемых кредитной организацией информационных, технологических и других систем и (или) их отказов (нарушений функционирования), а также в результате воздействия внешних событий.
Общие положения по обеспечению информационной безопасности в организациях банковской системы РФ устанавливаются Стандартом Банка России СТО БР ИББС-1.0-2006 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения»[209] (далее — Стандарт). В соответствии со Стандартом информационная безопасность организации банковской системы Российской Федерации есть состояние защищенности интересов (целей) организации банковской системы в условиях угроз в информационной сфере. Защищенность достигается обеспечением совокупности свойств информационной безопасности — конфиденциальностью, целостностью, доступностью информационных активов для интересов (целей) организации. Информационная сфера представляет собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение, хранение и использование информации, а также системы регулирования возникающих при этом отношений.
Платежная система банка (ПС) — система обмена транзакциями и взаиморасчетов (клиринга), организованная банком на основе платежных карт. В соответствии с Положением ЦБ РФ № 266-П банк может являться как эмитентом или эквайрером, так одновременно эквайрером и эмитентом. Для полноты далее будем рассматривать банк, осуществляющий деятельность по обоим обозначенным направлениям.
Платежная система представляет собой банковский технологический процесс — технологический процесс, содержащий операции по изменению и (или) определению состояния банковской информации, используемой при функционировании или необходимой для реализации банковских услуг. Реализация угроз данному технологическому процессу может принести ущерб как финансовый, так и репутационный, а, значит, в отношении указанных рисков необходимо предпринимать меры по их менеджменту.
Обеспечение информационной безопасности ПС должно соответствовать принципу комплексности. Под комплексностью вообще понимается как решение в рамках единой концепции двух и более разноплановых задач (целевая комплексность), или использование для решения одной и той же задачи разноплановых инструментальных средств (инструментальная комплексность), или и то и другое (всеобщая комплексность). В смысле обеспечения информационной безопасности далее будем, говоря о комплексности, иметь в виду всеобщую комплексность.
Далее мы будем рассматривать информационную безопасность ПС только с точки зрения злоумышленных воздействий, направленных на несанкционированное использование платежной карты в ПС.
С точки зрения банка, осуществляющего деятельность по эмиссии и эквайрингу одновременно, возможно несанкционированное использование банковских карт, эмитированных самим банком, и платежных карт в эквайринговой сети банка. Поскольку рассматривается информационная безопасность банков, то аспекты обеспечения безопасности небанковских продуктов, таких как карты American Express, мы также выводим за границы рассмотрения.
Будем исследовать информационную безопасность ПС банка одновременно в части эмиссии и эквайринга.
Мошенничество с банковскими картами
Банковская карта является видом платежных карт как инструмент безналичных расчетов, предназначенный для совершения физическими лицами, в том числе уполномоченными юридическими лицами, операций с денежными средствами, находящимися у банка-эмитента. Если злоумышленник получает саму карту, ее данные или реквизиты, подделывает ее, то он имеет возможность совершать мошеннические операции со счетом в банке, средством доступа к которому является данная карта. Мошеннической операции (с точки зрения банка, а не уголовного законодательства) дадим следующее определение.
Мошенническая операция — это операция с использованием банковской карты или ее реквизитов, не инициированная или не подтвержденная ее держателем. Классификация видов мошенничества:
утерянные и украденные карты (lost and stolen cards);
• неполученные карты (never-received-issue — NRI);
• поддельные карты(counterfeit cards);
• карта не присутствует (card not present);
• несанкционированное использование персональных данных держателя карты и информации по счету (Card ID theft — application fraud, account take-over);
• другие виды мошенничества (miscellaneous).
Основными способами компрометации банковской карты (данных магнитной полосы, реквизитов, ПИН-кода) являются:
• скимминг — несанкционированное считывание и сохранение данных с магнитной полосы карты;
• фишинг — получение у держателя карты информации о реквизитах карты и (или) ПИН-коде путем обмана (рассылка электронных писем, ссылки на мошеннические сайты и т. д.);
• установка специальных технических средств на терминальные устройства или поблизости от них с целью фиксирования вводимого держателем карты ПИН-кода;
• подглядывание реквизитов карты и (или) ПИН-кода злоумышленником;
• ненадлежащие хранение и обработка информации по транзакциям в нарушение установленных правил МПС, стандарта PCI DSS (payment card industry data security standard);
• разглашение информации со стороны работников банка.
Международная платежная система (далее — МПС) Visa сообщает о потерях банков от мошенничества в своей системе в 2005 г. в 2,2 млрд долл., во II квартале 2006 г. — 196 млн долл. Во втором квартале 2006 г. потери по эквайрингу в России составили 539 065 долл., по эмиссии — 329 867 долл.
По оценкам агентства Frost&Sullivan потери от мошенничества с банковскими картами к 2009 г. могут достигнуть 15,5 млрд долл. Кроме того, по оценкам Visa, 100 долл. прямых потерь в результате мошенничества влекут 200 долл. дополнительных косвенных потерь (запросы документов, претензионная работа, расходы на сотрудников, программное обеспечение и др.).
Постоянный рост числа операций по банковским картам сопровождается также увеличением объемов мошеннических операций и возрастанием финансовых потерь. Это обуславливает необходимость применения комплексного подхода к обеспечению безопасности платежной системы банковских карт для защиты от мошенничества.
Для противодействия мошенничеству недостаточно применить хорошее технологическое решение, необходимо соответствующим образом организовать и скоординировать работу МПС, банков, правоохранительных органов, повысить уровень осведомленности держателей карт о различных видах мошенничества. Банк со своей стороны должен руководствоваться следующими базовыми принципами:
• наличие политики обеспечения информационной безопасности и четко сформулированной стратегии в области управления рисками в ПС;
• наличие команды квалифицированных специалистов для расследования и пресечения мошенничества;
• применение современных технологических решений.
МПС VISA и MasterCard приняли стандарты мониторинга транзакций для обеспечения контроля рисков, связанных с мошенничеством:
• Visa regional operation regulations (May 2007);
• MasterCard security rules and procedures (January 2006).
Эти стандарты предусматривают контроль авторизационных и клиринговых транзакций. Однако требования не обязывают осуществлять проверки в реальном времени. Фактически, необходимо в конце дня либо в иные установленные интервалы времени подготавливать отчеты в специальном формате, принимать необходимые решения и оповещать других участников МПС о фактах мошенничества. Для обеспечения безопасности МПС созданы специальные программы.
Visa
• FRS (Fraud Reporting System). Программа позволяет отслеживать информацию о мошеннических транзакциях, выявлять источники мошенничества и уменьшать риски банков-участников (как эмитентов, так и эквайреров) МПС VISA.
• RIS (Risk Identification Service). Это служба идентификации рисков, предупреждающая банк эквайрер о подозрительной или мошеннической активности обслуживаемой им торговой точки.
• NMAS (National Merchant Alert Service). Национальная служба оповещения об отключенных торговых точках, предоставляет эквайрерам доступ к информации о торговых точках, которые были уличены в мошеннической деятельности другими участниками МПС VISA.
MasterCard
• SAFE (System to Avoid Fraud Effectively). Программа позволяет отслеживать информацию о мошеннических транзакциях, выявлять источники мошенничества и уменьшать риски банков-участников (как эмитентов, так и эквайреров) МПС MasterCard.
• RAMP (Risk Assessment Management Program). Программа предназначена для проверки участников на соответствие требованиям и рекомендациям платежной системы по безопасной обработке транзакций и контролю рисков. Программа включает в себя обязательные и дополнительные проверки участников персоналом МПС.
• MATCH (Member Alert to Control High-Risk). Это система оповещения членов платежной системы по управлению рисками в торговых предприятиях. Банки-эквайреры используют систему для доступа к базе данных по мошенническим или скомпрометировавшим себя торговым точкам и их владельцам.
Для разработки повышенных требований к обеспечению безопасности данных о платежных картах был создан специальный Совет стандартов безопасности индустрии платежных карт (Payment Card Industry Security Standards Council), в который вошли American Express, Discover Financial Services, JCB, MasterCard Worldwide, Visa International. Стандарт PCI DSS vl.1 определяет требования безопасности для защиты информации, относящейся к платежной карте и должен использоваться тогда, когда номер карты хранится, обрабатывается или передается. Стандарт устанавливает требования по следующим шести категориям:
• построение и обеспечение безопасности сети;
• защита данных о держателях карт;
• обеспечение программы менеджмента уязвимостей;
• реализация строгих механизмов контроля доступа;
• регулярный мониторинг и тестирование сетей;
• обеспечение политики информационной безопасности.
Всего определяется двенадцать основных требований по всем категориям:
• установить и поддерживать конфигурацию межсетевого экранирования;
• не использовать пароли и другие параметры безопасности, определяемые поставщиками по умолчанию;
• защищать хранимую информацию;
• шифровать передаваемые данные о держателях карт по открытым каналам;
• использовать и регулярно обновлять антивирусное программное обеспечение;
• разрабатывать и поддерживать безопасные системы и приложения;
• ограничивать доступ к данным на основе принципа необходимого знания;
• назначить уникальный идентификатор каждому субъекту доступа к информации;
• ограничить физический доступ к данным о держателях карт;
• осуществлять мониторинг доступа к сетевым ресурсам и данным о держателях карт;
• регулярно тестировать системы и процессы безопасности;
• поддерживать политику информационной безопасности.
В настоящее время указанный стандарт обязателен для процессинговых центров, в дальнейшем его требования будут распространяться на всех участников платежных систем.
Риски банка, связанные с мошенничеством
Для определения влияния мошеннических операций в ПС банка на бизнес банка необходимо оценить следующие риски:
• финансовый. Результатом проведения мошеннических операций чаще всего являются финансовые потери банка или его клиентов. В последнем случае необходимо учитывать риск потери клиента, если тот перестанет доверять сервисам, предоставляемым банком;
• репутационный. Репутации банка может быть нанесен ущерб, если предоставляемые им сервисы будут являться (или казаться) небезопасными, а принимаемые защитные меры неэффективными. Следует учитывать мнение о банке в области противодействия мошенничеству в СМИ, среди других банков, МПС, правоохранительных органов и даже мошенников.
• непрерывности бизнеса. Мошеннические операции в эквайринговой сети банка могут привести к временному прерывания бизнеса в ТСП с высоким уровнем мошенничества (в том числе как результат санкций МПС). В отношении эмиссии банк рискует потерять клиентов, которые из-за мошенничества или ввиду жестких мер по ограничению операций с банковскими картами могут вовсе отказаться от услуг банка.
Сбор статистики
необходимый процесс для оценки рисков
Необходимым предварительным условием начала работ по управлению рисками в ПС банка является сбор первоначальной статистики по реализованным инцидентам информационной безопасности, эффективности применяемых в настоящий момент мер. Вообще сбор статистических данных должен являться постоянно осуществляемым непрерывным процессом.
Далее перечислены величины, расчет которых необходим для оценки рисков и эффективности принимаемых мер.
Эмиссия
1. Годовые и квартальные финансовые потери от мошенничества по эмиссии — общие, в расчете на одну карту, одну транзакцию, единицу валюты транзакции, по типам мошенничества, по регионам.
2. Число мошеннических операций — общее, по типам продуктов, по регионам.
3. Средняя сумма остатков на карточных счетах — общая, по типам продуктов.
4. Статистические профили держателей карт.
5. Статистика по использованию сервиса управления картой через мобильный телефон — SMS оповещение о проведенных операциях и управление лимитами и статусом карты.
6. Статистическая обработка совершенных мошеннических операций.
Эквайринг
1. Годовые и квартальные финансовые потери от мошенничества — общие, в расчете на один терминал, одну транзакцию, единицу валюты транзакции, по категориям ТСП, по регионам.
2. Число мошеннических операций — общее, по категориям ТСП, по регионам.
3. Оборот в эквайринговой сети — общий, по категориям ТСП, по регионам.
4. Статистические профили ТСП.
5. Статистическая обработка совершенных мошеннических операций.
Оценка рисков
Обязательные требования МПС
Банк как участник МПС обязан выполнять перечень процедур для контроля мошенничества. Невыполнение установленных требований приводит к штрафам, подрыву репутации банка и, в худшем случае, к отзыву лицензии участника МПС.
VISA определяет следующие нарушения, за которые предусмотрены санкции:
1. Превышение уровня мошенничества по ТСП. Торгово-сервисная компания попадает в Глобальную программу мониторинга опротестований по торговцам (Global Merchant Chargeback Monitoring Programme), если любая из ее точек достигает или превышает все следующие месячные лимиты для международных транзакций:
• 200 опротестований;
• 200 транзакций;
• уровень опротестованных транзакций составляет 2 %.
После попадания в программу эквайрер платит по 100 долл. за каждую опротестованную транзакцию по каждому ТСП торгово-сервисной компании, попавшей в программу. Штраф может быть установлен VISA в 200 долл., если не предпринимаются меры по исправлению ситуации.
2. Несоответствие эмитента требованиям риск мониторинга. Эмитент, не соответствующий правилам мониторинга, определенным в Операционных правилах VISA по региону CEMEA раздел 2.7, в конце каждого финансового квартала будет выплачивать штраф, размер которого зависит от объема транзакций и варьируется от 6000 до 25 000 долл.
3. Несоответствие эквайрера требованиям риск мониторинга. Эквайрер, не соответствующий правилам мониторинга, определенным в Операционных правилах VISA по региону CEMEA разд. 2.6, в конце каждого финансового квартала будет выплачивать штраф, размер которого зависит от объема транзакций и варьируется от 6000 до 25 000 долл.
4. Превышение уровня мошенничества по эквайреру. К ниме относятся эквайреры, у которых квартальные потери от мошенничества превышают 50 000 долл. и уровень мошенничества выше 0,35 % (не учитываются мошеннические операции получения наличных, мошеннические операции по неполученным картам и картам, выданным по поддельным заявлениям). В течение первых четырех кварталов штраф составляет 5000 долл., за пятый, шестой и седьмой — 50 000 долл., далее Комитет CEMEA рассматривает вопрос об отзыве эквайрерской лицензии.
5. Нарушение правил обработки транзакций электронной коммерции. Если ТСП осуществляет транзакции электронной коммерции, получая данные по сети Интернет, не осуществляет необходимой обработки полей, относящихся к транзакциям электронной коммерции (electronic commerce indicator), то данное ТСП попадает в программу, а эквайрер начинает получать письменные оповещения от Visa о необходимости корректной обработки транзакций электронной коммерции.
Через четыре месяца с эквайрера взимается штраф в 5000 долл., через пять — 10 000 долл., через шесть — 25 000 долл.
6. Нарушение обработки транзакций по онлайн сервисам азартных игр (On-line gambling). Visa запрещает несоответствующее использование кредитных ваучеров для выплат выигрышей победителям и использование для сервисного предприятия, предоставляющего онлайн сервис азартных игр, следующих значений полей в транзакции: Merchant Category Code (MCC) 7995, POS condition code 59. В первом случае с эквайрера берется штраф в 50 долл. за кредит свыше 5 % от установленного порога. Во втором — 25 000 долл. за первые шесть месяцев, рассмотрение вопроса и приостановлении работы в следующие шесть месяцев, рассмотрение вопроса об отзыве лицензии после тринадцати месяцев.
7. Нарушение ограничений защиты бренда Visa. За участие ТСП в распространении детской порнографии через Интернет Visa применяет санкции к эквайреру, если тот не прекращает работу ТСП в установленное время. Штраф составляет 50 000 долл., либо 250 000 долл., либо налагается запрет на заключение новых договоров с Интернет торговцами, либо обязательное прекращение всех действующих договоров электронной коммерции, либо отзыв лицензии.
8. Трансграничный эквайринг. За нарушение эквайрером п. 4.11 Операционных правил VISA по региону CEMEA взимается штраф в 1000 долл. за транзакцию.
9. Неучастие в программе Сервиса информирования о мошенничестве по региону CEMEA (Fraud Information Service). Сервис CFIS был создан в 2004 г. с целью обмена информацией по мошенничеству и мерам противодействия для управления рисками. Если участник платежной системы VISA не участвует в этой программе, то штраф составляет 1000 долл. за первые шесть месяцев, и 5000 долл. за последующие.
MasterCard определяет следующие нарушения, за которые предусмотрены санкции.
1. Несоответствие стандартам отчетов по системе SAFE. MasterCard по своему усмотрению проводит дополнительную проверку RAMP (стоимостью
15 000 долл.), начиная со второго случая выявленного несоответствия, взимает штраф в размере 15 000 долл. ежеквартально, кроме того, после третьего случая дополнительно вопрос может быть вынесен на Комитет по аудиту MasterCard.
2. сформирование отчетов по системе SAFE по опротестованным операциям по причине мошенничества с определенными кодами. Для каждой транзакции, которую эмитент опротестовал по причине мошенничества с кодами 4837, 4840, 4847 и 4862, и не сообщил об этом в системе SAFE, будет взиматься штраф в размере 1000 долл.
3. Несоответствие стандартам управления потерями от мошенничества. После назначенной проверки RAMP банк получит письменный отчет с требованиями, которые должны быть удовлетворены в установленные сроки для достижения соответствия требованиям безопасности по управлению мошенничеством. Если же участник MasterCard не предпринимает предписанных действий, то могут последовать следующие санкции:
• приостановка права страхования потерь от подделки карт;
• наложение штрафов (25 000, 50 000, 75 000, 100 000 долл. (евро) в месяц за первый, второй, третий и последующие кварталы несоответствия требованиям);
• отзыв лицензии члена MasterCard — несмотря на возможность подачи апелляции в MasterCard, окончательное решение будет неизменным.
Из обозначенных требований МПС следует, что банк должен предпринять меры для соблюдения этих минимальных требований, в противном случае могут последовать финансовые санкции, нарушение репутации и, в худшем случае, прерывание бизнеса (отзыв лицензии).
Оценка финансового риска
1. Оценка числа клиентов, пренебрегающих правилами безопасного использования банковской карты:
оценка числа клиентов, хранящих ПИН-код вместе с картой;
• оценка числа держателей, не установивших лимиты для операций по карте.
2. Оценка эффективности сервиса смс управления картой. Для проведения оценки необходимо проанализировать данные по использованию сервиса его клиентами, при этом следует учесть следующее:
• число клиентов, не использующих все доступные возможности сервиса по управлению картой (например, на основании заявлений клиентов о мошеннических операциях, уведомления по которым они получали, но не могли отправить команду на блокировку карты; также можно проанализировать типы команд, используемых клиентами для управления ограничениями по своим картам);
• сравнение двух интервалов времени — среднего времени между мошенническими операциями (отдельно в случае компрометации реквизитов карты, данных магнитной полосы, ПИН-кода) и времени реагирования подключенного к сервису клиента (отправка SMS команды управления, звонок в банк).
3. Оценка финансового риска для держателя карты, группы держателей карт с учетом:
• остатка по счету; лимитов по счету (снятие наличных, покупки в ТСП, общий лимит на все операции);
• подключения к сервису смс управления картой и эффективности его использования;
• соблюдения требований безопасного использования карты;
• статистического профиля.
ПРИМЕР
Оценка репутационного риска
1. Оценка числа клиентов, считающих сервисы ПС банка небезопасными. Данная оценка потребует проведения исследования с привлечением ресурсов бизнес подразделений банка.
2. Оценка числа клиентов, отказавшихся от сервисов ПС банка из-за недостаточного обеспечения безопасности. Данная оценка потребует проведения аналитической работы с привлечением ресурсов бизнес подразделений банка.
3. Оценка влияния успешного взаимодействия с правоохранительными органами по фактам мошенничества на репутацию банка. Данная оценка потребует проведения исследования с привлечением ресурсов подразделений банка, обеспечивающих взаимодействие с правоохранительными органами и СМИ.
4. Оценка репутации банка по направлению противодействия мошенничеству сторонними банками, МПС.
Обработка рисков
Обработка риска включает в себя проведение мероприятий по его исключению, снижению, переносу или принятию.
1. Соблюдение обязательных требований. Необходимо руководствоваться обязательными требованиями и рекомендациями МПС, международных и российских стандартов, нормативных документов Банка России для обеспечения информационной безопасности ПС.
2. Страхование рисков. Все большее распространение получает в России практика переноса рисков ПС на страховые компании. Необходимо рассмотреть имеющиеся возможности по страхованию и использовать эту возможность совместно с другими принимаемыми мерами.
3. Претензионная работа. Качественное проведение претензионной работы позволит уменьшить суммы от мошенничества, относимые на убытки банка, клиентов или страховые компании.
4. Мониторинг. Своевременное выявление мошенничества и принятие адекватных и эффективных мер на основе системы мониторинга в ПС должно являться инструментом управления рисками в ПС.
Постановка задачи мониторинга транзакций
Мощным решением проблемы мошенничества является внедрение системы мониторинга транзакций по банковским картам, позволяющей анализировать все операции, выявлять подозрительные с точки зрения мошенничества и принимать оперативные действия для минимизации рисков.
Мошенничество с банковскими картами приводит к финансовым потерям и снижению доверия клиентов к данному банковскому продукту, поэтому важно осознать актуальность мер противодействия и разработать комплексный подход к решению проблемы для минимизации рисков. Раннее обнаружение мошенничества и принятие адекватных и эффективных мер являются необходимыми условиями обеспечения безопасности платежной системы банковских карт и должны проводиться в рамках мероприятий по управлению рисками в банке.
Мониторинг транзакций по банковским картам должен обеспечивать анализ всех авторизационных и клиринговых операций по банковским картам в ПС и принятие решений по подозрительным с точки зрения мошенничества операциям с целью минимизации рисков.
Классификация систем мониторинга транзакций
По скорости реагирования системы мониторинга подразделяются на следующие классы:
1. Онлайновые (on-line). Такие системы работают в реальном времени, имеется возможность влиять на результат авторизации операции.
2. Псевдо-онлайновые. Анализ операций проводится в реальном времени, но невозможно вмешаться в процесс авторизации. Решение может быть принято только после завершения подозрительной (мошеннической) транзакции.
3. Оффлайновые (off-line). Периодически (ежедневно, еженедельно и т. д.) формируются специальные отчеты, на основе анализа которых принимаются решения.
По типу принятия решений.
1. Автоматические. Решение по операции принимается системой автоматически без участия человека.
2. Автоматизированные. Система предоставляет уполномоченному сотруднику информацию для принятия им решения по данной транзакции.
По объему информации, используемой при анализе.
1. Системы, использующие только данные самой транзакции. В анализе учитываются только параметры транзакции — сумма, название ТСП, категория ТСП, страна и т. д.
2. Системы, привлекающие для анализа историю операций по карте/торговой точке. При анализе используется история по прошедшим операциям по данной карте/торговой точке.
3. Системы мониторинга, использующие модели поведения держателей карт и торгово-сервисных предприятий. Система строит и/или использует модели поведения держателей карт и торгово-сервисных предприятий. Анализ транзакции проводится в соответствии с имеющейся моделью, на основании отклонения поведения от модели операция признается подозрительной.
По используемому для анализа математическому аппарату.
1. Системы на основе простых логических проверок. Логические проверки включаются операции >, <, =, ≠.
2. Системы, использующие статистические методы. К используемым методам относятся методы описательной статистики, корреляционного анализа, регрессионного анализа.
3. Системы, привлекающие методы Data Mining (без привлечения нейронных сетей). Методы Data Mining, применяемые в анализе транзакций, могут включать методы классификации и прогнозирования, кластерного анализа, поиска ассоциаций.
4. Системы на основе нейронных сетей. Анализ операций проводится на основе адаптивных схем, построенных на нейронных сетях, что позволяет также выявлять ранее неизвестные типы мошенничества. Эти системы являются дорогостоящими и требуют существенных ресурсов для настройки (обучения нейронной сети).
По типу анализируемых транзакций подразделяются на два класса.
1. Эмиссионные.
2. Эквайринговые.
Система мониторинга транзакций является инструментом управления рисками, связанными с проведением мошеннических операций по банковским картам, и должна быть составной частью комплексного подхода к обеспечению безопасности платежной системы банковских карт банка.
Выбор той или иной системы мониторинга должен основываться на анализе существующих рисков. Система должна быть управляемой и эффективной с целью минимизирования финансовых потерь банка и держателей карт, недовольства клиентов и повышения доверия к банку.
Обязательные критерии мониторинга со стороны международных платежных систем
Международные платежные системы VISA и MasterCard сформулировали ряд критериев для обязательного мониторинга операций для эквайеров и эмитентов. Невыполнение требований по обязательному мониторингу влечет за собой санкции и штрафы со стороны МПС.
Мониторинг операций эквайером
Данные по транзакциям анализируются для каждой торговой точки, обслуживаемой эквайрером, отдельно по финансовым (клиринговым) транзакциям и авторизационным транзакциям. Для оценки активности используются данные по всем МПС, с которыми работает эквайрер.
Мониторинг авторизационных транзакций
Эквайрер должен отслеживать все авторизационные запросы, как успешные, так и неуспешные (табл. 1). В ходе мониторинга должны анализироваться следующие данные:
• сумма транзакции;
• количество транзакций;
• код ответа на авторизацию;
• номер карты;
• время и дата транзакции;
• параметры приема карты.
Мониторинг клиринговых транзакций
Эквайрер должен осуществлять мониторинг транзакций следующих типов (табл. 2):
• авторизационные запросы и ответы;
• покупки;
• операции кредитования и возврата;
• снятие наличных;
• опротестование операций с кодами причин.
Мониторинг операций эмитентом
Мониторинг позволяет банкам-эмитентам отслеживать попытки проведения мошеннических транзакций по картам банка и принимать меры для уменьшения рисков (табл. 3).
По требованиям MasterCard эквайрер должен предпринимать дополнительные меры контроля потерь от мошенничества, если уровень мошенничества в базисных точках (basis points) в 2 раза превышает средний по MasterCard и годовые потери превышают 200 000 долл.
MasterCard рекомендует также осуществлять мониторинг следующих событий и параметров:
• атаки по сгенерированным номерам карт;
• отрицательные результаты проверок CVC1 и CVC2;
• операции по картам с истекшим сроком действия;
• транзакции по неверным номерам карт;
• CAT транзакции;
• транзакции в возможных точках компрометации;
• операции кредитования и отмены авторизации торговой точкой;
• списки неиспользуемых карт.
Требования МПС относятся, прежде всего, к off-line мониторингу, иные варианты мониторинга в настоящий момент не являются обязательными. В связи с этим банк должен разработать собственную политику управления рисками в ПС и выбрать ту систему мониторинга, которая соответствует принятой политике, а не просто внедрить наиболее функциональное на данный момент техническое решение. Кроме того, необходимо добиться допустимого баланса между следующими показателями:
• принятие неадекватных решений по ограничению операций для не мошеннических операций;
• пропуск мошеннических операций;
• число сообщений, генерируемых системой мониторинга, об операциях, не являющихся мошенническими;
• величины рисков в ПС с учетом работы системы мониторинга и принимаемых на ее основе решений.
Особенности мониторинга некоторых операций
1. Операции в разных странах в установленный интервал времени. Операции по поддельной карте, используемой в стране, отличной от той, в которой совершает операции сам клиент, могут быть обнаружены с помощью системы мониторинга. Для оценки принципиальной возможности нахождения клиента в двух странах в моменты совершения двух операций необходимо учитывать:
• расстояние между городами совершения операции;
• минимальное время, за которое можно переместиться между двумя точками.
Если времени между операциями оказывается слишком мало для того, чтобы настоящий держатель переместился из одной точки в другую, то имеет место мошенничество по поддельной карте.
2. Неавторизованные мошеннические операции по поддельным картам. Неудачные попытки проведения операций по поддельным картам являются своеобразным «подарком» со стороны мошенников — сам факт мошенничества может быть выявлен системой мониторинга и будут приняты меры, при этом счет клиента не пострадает.
3. Операции в банкоматах по зарплатным картам. По настоящее время объем операций по снятию наличных денежных средств в банкоматах в России составляет большую часть всех операций (свыше 90 %), при этом часто карты получаются в рамках зарплатных проектов. Поэтому нередко бывает так, что карта используется клиентом как своеобразная «сберегательная книжка» — деньги просто накапливаются на счете, а затем снимаются в банкоматах за небольшой интервал времени. С точки зрения нехарактерного поведения для держателя банковской карты эти операции могут быть расценены как мошеннические, хотя на самом деле таковыми не являются.
Вывод
Система мониторинга транзакций ПС должна быть необходимым элементом комплекса мер, принимаемых для обеспечения информационной безопасности. Для управления рисками в ПС, связанными с мошенничеством, необходимо организовать непрерывный процесс сбора и анализа статистики, на основе которой можно проводить оценку рисков, предпринимать меры для их обработки и формально оценивать влияние принимаемых решений на величины рисков.
Общие положения
В соответствии с Положением ЦБ РФ № 266-П на территории Российской Федерации кредитные организации — эмитенты осуществляют эмиссию банковских карт, являющихся видом платежных карт как инструмента безналичных расчетов, предназначенного для совершения физическими лицами, в том числе уполномоченными юридическими лицами, операций с денежными средствами, находящимися у эмитента, в соответствии с законодательством Российской Федерации и договором с эмитентом.
Кредитная организация вправе осуществлять эмиссию банковских карт следующих видов: расчетных карт, кредитных карт и предоплаченных карт. Кредитные организации — эквайреры осуществляют расчеты с организациями торговли (услуг) по операциям, совершаемым с использованием платежных карт, и (или) выдают наличные денежные средства держателям платежных карт, не являющихся клиентами указанных кредитных организаций (эквайринг). Кредитная организация вправе одновременно осуществлять эмиссию банковских карт, эквайринг платежных карт, а также распространение платежных карт. Эмиссия банковских карт, эквайринг платежных карт, а также распространение платежных карт осуществляются кредитными организациями на основании внутрибанковских правил, разработанных кредитной организацией в соответствии с законодательством Российской Федерации, нормативными актами Банка России, и правилами участников расчетов, содержащими их права, обязанности и порядок проведения расчетов между ними. Внутрибанковские правила, помимо прочего, должны содержать систему управления рисками при осуществлении операций с использованием платежных карт, включая порядок оценки кредитного риска.
Письмо Банка России от 24 мая 2005 г. № 76-Т «Об организации управления операционным риском в кредитных организациях»[208] содержит рекомендации по управлению операционным риском в кредитных организациях.
Операционный риск — риск возникновения убытков в результате несоответствия характеру и масштабам деятельности кредитной организации и (или) требованиям действующего законодательства внутренних порядков и процедур проведения банковских операций и других сделок, их нарушения служащими кредитной организации и (или) иными лицами (вследствие непреднамеренных или умышленных действий или бездействия), несоразмерности (недостаточности) функциональных возможностей (характеристик) применяемых кредитной организацией информационных, технологических и других систем и (или) их отказов (нарушений функционирования), а также в результате воздействия внешних событий.
Общие положения по обеспечению информационной безопасности в организациях банковской системы РФ устанавливаются Стандартом Банка России СТО БР ИББС-1.0-2006 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения»[209] (далее — Стандарт). В соответствии со Стандартом информационная безопасность организации банковской системы Российской Федерации есть состояние защищенности интересов (целей) организации банковской системы в условиях угроз в информационной сфере. Защищенность достигается обеспечением совокупности свойств информационной безопасности — конфиденциальностью, целостностью, доступностью информационных активов для интересов (целей) организации. Информационная сфера представляет собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение, хранение и использование информации, а также системы регулирования возникающих при этом отношений.
Платежная система банка (ПС) — система обмена транзакциями и взаиморасчетов (клиринга), организованная банком на основе платежных карт. В соответствии с Положением ЦБ РФ № 266-П банк может являться как эмитентом или эквайрером, так одновременно эквайрером и эмитентом. Для полноты далее будем рассматривать банк, осуществляющий деятельность по обоим обозначенным направлениям.
Платежная система представляет собой банковский технологический процесс — технологический процесс, содержащий операции по изменению и (или) определению состояния банковской информации, используемой при функционировании или необходимой для реализации банковских услуг. Реализация угроз данному технологическому процессу может принести ущерб как финансовый, так и репутационный, а, значит, в отношении указанных рисков необходимо предпринимать меры по их менеджменту.
Обеспечение информационной безопасности ПС должно соответствовать принципу комплексности. Под комплексностью вообще понимается как решение в рамках единой концепции двух и более разноплановых задач (целевая комплексность), или использование для решения одной и той же задачи разноплановых инструментальных средств (инструментальная комплексность), или и то и другое (всеобщая комплексность). В смысле обеспечения информационной безопасности далее будем, говоря о комплексности, иметь в виду всеобщую комплексность.
Далее мы будем рассматривать информационную безопасность ПС только с точки зрения злоумышленных воздействий, направленных на несанкционированное использование платежной карты в ПС.
С точки зрения банка, осуществляющего деятельность по эмиссии и эквайрингу одновременно, возможно несанкционированное использование банковских карт, эмитированных самим банком, и платежных карт в эквайринговой сети банка. Поскольку рассматривается информационная безопасность банков, то аспекты обеспечения безопасности небанковских продуктов, таких как карты American Express, мы также выводим за границы рассмотрения.
Будем исследовать информационную безопасность ПС банка одновременно в части эмиссии и эквайринга.
Мошенничество с банковскими картами
Банковская карта является видом платежных карт как инструмент безналичных расчетов, предназначенный для совершения физическими лицами, в том числе уполномоченными юридическими лицами, операций с денежными средствами, находящимися у банка-эмитента. Если злоумышленник получает саму карту, ее данные или реквизиты, подделывает ее, то он имеет возможность совершать мошеннические операции со счетом в банке, средством доступа к которому является данная карта. Мошеннической операции (с точки зрения банка, а не уголовного законодательства) дадим следующее определение.
Мошенническая операция — это операция с использованием банковской карты или ее реквизитов, не инициированная или не подтвержденная ее держателем. Классификация видов мошенничества:
утерянные и украденные карты (lost and stolen cards);
• неполученные карты (never-received-issue — NRI);
• поддельные карты(counterfeit cards);
• карта не присутствует (card not present);
• несанкционированное использование персональных данных держателя карты и информации по счету (Card ID theft — application fraud, account take-over);
• другие виды мошенничества (miscellaneous).
Основными способами компрометации банковской карты (данных магнитной полосы, реквизитов, ПИН-кода) являются:
• скимминг — несанкционированное считывание и сохранение данных с магнитной полосы карты;
• фишинг — получение у держателя карты информации о реквизитах карты и (или) ПИН-коде путем обмана (рассылка электронных писем, ссылки на мошеннические сайты и т. д.);
• установка специальных технических средств на терминальные устройства или поблизости от них с целью фиксирования вводимого держателем карты ПИН-кода;
• подглядывание реквизитов карты и (или) ПИН-кода злоумышленником;
• ненадлежащие хранение и обработка информации по транзакциям в нарушение установленных правил МПС, стандарта PCI DSS (payment card industry data security standard);
• разглашение информации со стороны работников банка.
Международная платежная система (далее — МПС) Visa сообщает о потерях банков от мошенничества в своей системе в 2005 г. в 2,2 млрд долл., во II квартале 2006 г. — 196 млн долл. Во втором квартале 2006 г. потери по эквайрингу в России составили 539 065 долл., по эмиссии — 329 867 долл.
По оценкам агентства Frost&Sullivan потери от мошенничества с банковскими картами к 2009 г. могут достигнуть 15,5 млрд долл. Кроме того, по оценкам Visa, 100 долл. прямых потерь в результате мошенничества влекут 200 долл. дополнительных косвенных потерь (запросы документов, претензионная работа, расходы на сотрудников, программное обеспечение и др.).
Постоянный рост числа операций по банковским картам сопровождается также увеличением объемов мошеннических операций и возрастанием финансовых потерь. Это обуславливает необходимость применения комплексного подхода к обеспечению безопасности платежной системы банковских карт для защиты от мошенничества.
Для противодействия мошенничеству недостаточно применить хорошее технологическое решение, необходимо соответствующим образом организовать и скоординировать работу МПС, банков, правоохранительных органов, повысить уровень осведомленности держателей карт о различных видах мошенничества. Банк со своей стороны должен руководствоваться следующими базовыми принципами:
• наличие политики обеспечения информационной безопасности и четко сформулированной стратегии в области управления рисками в ПС;
• наличие команды квалифицированных специалистов для расследования и пресечения мошенничества;
• применение современных технологических решений.
МПС VISA и MasterCard приняли стандарты мониторинга транзакций для обеспечения контроля рисков, связанных с мошенничеством:
• Visa regional operation regulations (May 2007);
• MasterCard security rules and procedures (January 2006).
Эти стандарты предусматривают контроль авторизационных и клиринговых транзакций. Однако требования не обязывают осуществлять проверки в реальном времени. Фактически, необходимо в конце дня либо в иные установленные интервалы времени подготавливать отчеты в специальном формате, принимать необходимые решения и оповещать других участников МПС о фактах мошенничества. Для обеспечения безопасности МПС созданы специальные программы.
Visa
• FRS (Fraud Reporting System). Программа позволяет отслеживать информацию о мошеннических транзакциях, выявлять источники мошенничества и уменьшать риски банков-участников (как эмитентов, так и эквайреров) МПС VISA.
• RIS (Risk Identification Service). Это служба идентификации рисков, предупреждающая банк эквайрер о подозрительной или мошеннической активности обслуживаемой им торговой точки.
• NMAS (National Merchant Alert Service). Национальная служба оповещения об отключенных торговых точках, предоставляет эквайрерам доступ к информации о торговых точках, которые были уличены в мошеннической деятельности другими участниками МПС VISA.
MasterCard
• SAFE (System to Avoid Fraud Effectively). Программа позволяет отслеживать информацию о мошеннических транзакциях, выявлять источники мошенничества и уменьшать риски банков-участников (как эмитентов, так и эквайреров) МПС MasterCard.
• RAMP (Risk Assessment Management Program). Программа предназначена для проверки участников на соответствие требованиям и рекомендациям платежной системы по безопасной обработке транзакций и контролю рисков. Программа включает в себя обязательные и дополнительные проверки участников персоналом МПС.
• MATCH (Member Alert to Control High-Risk). Это система оповещения членов платежной системы по управлению рисками в торговых предприятиях. Банки-эквайреры используют систему для доступа к базе данных по мошенническим или скомпрометировавшим себя торговым точкам и их владельцам.
Для разработки повышенных требований к обеспечению безопасности данных о платежных картах был создан специальный Совет стандартов безопасности индустрии платежных карт (Payment Card Industry Security Standards Council), в который вошли American Express, Discover Financial Services, JCB, MasterCard Worldwide, Visa International. Стандарт PCI DSS vl.1 определяет требования безопасности для защиты информации, относящейся к платежной карте и должен использоваться тогда, когда номер карты хранится, обрабатывается или передается. Стандарт устанавливает требования по следующим шести категориям:
• построение и обеспечение безопасности сети;
• защита данных о держателях карт;
• обеспечение программы менеджмента уязвимостей;
• реализация строгих механизмов контроля доступа;
• регулярный мониторинг и тестирование сетей;
• обеспечение политики информационной безопасности.
Всего определяется двенадцать основных требований по всем категориям:
• установить и поддерживать конфигурацию межсетевого экранирования;
• не использовать пароли и другие параметры безопасности, определяемые поставщиками по умолчанию;
• защищать хранимую информацию;
• шифровать передаваемые данные о держателях карт по открытым каналам;
• использовать и регулярно обновлять антивирусное программное обеспечение;
• разрабатывать и поддерживать безопасные системы и приложения;
• ограничивать доступ к данным на основе принципа необходимого знания;
• назначить уникальный идентификатор каждому субъекту доступа к информации;
• ограничить физический доступ к данным о держателях карт;
• осуществлять мониторинг доступа к сетевым ресурсам и данным о держателях карт;
• регулярно тестировать системы и процессы безопасности;
• поддерживать политику информационной безопасности.
В настоящее время указанный стандарт обязателен для процессинговых центров, в дальнейшем его требования будут распространяться на всех участников платежных систем.
Риски банка, связанные с мошенничеством
Для определения влияния мошеннических операций в ПС банка на бизнес банка необходимо оценить следующие риски:
• финансовый. Результатом проведения мошеннических операций чаще всего являются финансовые потери банка или его клиентов. В последнем случае необходимо учитывать риск потери клиента, если тот перестанет доверять сервисам, предоставляемым банком;
• репутационный. Репутации банка может быть нанесен ущерб, если предоставляемые им сервисы будут являться (или казаться) небезопасными, а принимаемые защитные меры неэффективными. Следует учитывать мнение о банке в области противодействия мошенничеству в СМИ, среди других банков, МПС, правоохранительных органов и даже мошенников.
• непрерывности бизнеса. Мошеннические операции в эквайринговой сети банка могут привести к временному прерывания бизнеса в ТСП с высоким уровнем мошенничества (в том числе как результат санкций МПС). В отношении эмиссии банк рискует потерять клиентов, которые из-за мошенничества или ввиду жестких мер по ограничению операций с банковскими картами могут вовсе отказаться от услуг банка.
Сбор статистики
необходимый процесс для оценки рисков
Необходимым предварительным условием начала работ по управлению рисками в ПС банка является сбор первоначальной статистики по реализованным инцидентам информационной безопасности, эффективности применяемых в настоящий момент мер. Вообще сбор статистических данных должен являться постоянно осуществляемым непрерывным процессом.
Далее перечислены величины, расчет которых необходим для оценки рисков и эффективности принимаемых мер.
Эмиссия
1. Годовые и квартальные финансовые потери от мошенничества по эмиссии — общие, в расчете на одну карту, одну транзакцию, единицу валюты транзакции, по типам мошенничества, по регионам.
2. Число мошеннических операций — общее, по типам продуктов, по регионам.
3. Средняя сумма остатков на карточных счетах — общая, по типам продуктов.
4. Статистические профили держателей карт.
5. Статистика по использованию сервиса управления картой через мобильный телефон — SMS оповещение о проведенных операциях и управление лимитами и статусом карты.
6. Статистическая обработка совершенных мошеннических операций.
Эквайринг
1. Годовые и квартальные финансовые потери от мошенничества — общие, в расчете на один терминал, одну транзакцию, единицу валюты транзакции, по категориям ТСП, по регионам.
2. Число мошеннических операций — общее, по категориям ТСП, по регионам.
3. Оборот в эквайринговой сети — общий, по категориям ТСП, по регионам.
4. Статистические профили ТСП.
5. Статистическая обработка совершенных мошеннических операций.
Оценка рисков
Обязательные требования МПС
Банк как участник МПС обязан выполнять перечень процедур для контроля мошенничества. Невыполнение установленных требований приводит к штрафам, подрыву репутации банка и, в худшем случае, к отзыву лицензии участника МПС.
VISA определяет следующие нарушения, за которые предусмотрены санкции:
1. Превышение уровня мошенничества по ТСП. Торгово-сервисная компания попадает в Глобальную программу мониторинга опротестований по торговцам (Global Merchant Chargeback Monitoring Programme), если любая из ее точек достигает или превышает все следующие месячные лимиты для международных транзакций:
• 200 опротестований;
• 200 транзакций;
• уровень опротестованных транзакций составляет 2 %.
После попадания в программу эквайрер платит по 100 долл. за каждую опротестованную транзакцию по каждому ТСП торгово-сервисной компании, попавшей в программу. Штраф может быть установлен VISA в 200 долл., если не предпринимаются меры по исправлению ситуации.
2. Несоответствие эмитента требованиям риск мониторинга. Эмитент, не соответствующий правилам мониторинга, определенным в Операционных правилах VISA по региону CEMEA раздел 2.7, в конце каждого финансового квартала будет выплачивать штраф, размер которого зависит от объема транзакций и варьируется от 6000 до 25 000 долл.
3. Несоответствие эквайрера требованиям риск мониторинга. Эквайрер, не соответствующий правилам мониторинга, определенным в Операционных правилах VISA по региону CEMEA разд. 2.6, в конце каждого финансового квартала будет выплачивать штраф, размер которого зависит от объема транзакций и варьируется от 6000 до 25 000 долл.
4. Превышение уровня мошенничества по эквайреру. К ниме относятся эквайреры, у которых квартальные потери от мошенничества превышают 50 000 долл. и уровень мошенничества выше 0,35 % (не учитываются мошеннические операции получения наличных, мошеннические операции по неполученным картам и картам, выданным по поддельным заявлениям). В течение первых четырех кварталов штраф составляет 5000 долл., за пятый, шестой и седьмой — 50 000 долл., далее Комитет CEMEA рассматривает вопрос об отзыве эквайрерской лицензии.
5. Нарушение правил обработки транзакций электронной коммерции. Если ТСП осуществляет транзакции электронной коммерции, получая данные по сети Интернет, не осуществляет необходимой обработки полей, относящихся к транзакциям электронной коммерции (electronic commerce indicator), то данное ТСП попадает в программу, а эквайрер начинает получать письменные оповещения от Visa о необходимости корректной обработки транзакций электронной коммерции.
Через четыре месяца с эквайрера взимается штраф в 5000 долл., через пять — 10 000 долл., через шесть — 25 000 долл.
6. Нарушение обработки транзакций по онлайн сервисам азартных игр (On-line gambling). Visa запрещает несоответствующее использование кредитных ваучеров для выплат выигрышей победителям и использование для сервисного предприятия, предоставляющего онлайн сервис азартных игр, следующих значений полей в транзакции: Merchant Category Code (MCC) 7995, POS condition code 59. В первом случае с эквайрера берется штраф в 50 долл. за кредит свыше 5 % от установленного порога. Во втором — 25 000 долл. за первые шесть месяцев, рассмотрение вопроса и приостановлении работы в следующие шесть месяцев, рассмотрение вопроса об отзыве лицензии после тринадцати месяцев.
7. Нарушение ограничений защиты бренда Visa. За участие ТСП в распространении детской порнографии через Интернет Visa применяет санкции к эквайреру, если тот не прекращает работу ТСП в установленное время. Штраф составляет 50 000 долл., либо 250 000 долл., либо налагается запрет на заключение новых договоров с Интернет торговцами, либо обязательное прекращение всех действующих договоров электронной коммерции, либо отзыв лицензии.
8. Трансграничный эквайринг. За нарушение эквайрером п. 4.11 Операционных правил VISA по региону CEMEA взимается штраф в 1000 долл. за транзакцию.
9. Неучастие в программе Сервиса информирования о мошенничестве по региону CEMEA (Fraud Information Service). Сервис CFIS был создан в 2004 г. с целью обмена информацией по мошенничеству и мерам противодействия для управления рисками. Если участник платежной системы VISA не участвует в этой программе, то штраф составляет 1000 долл. за первые шесть месяцев, и 5000 долл. за последующие.
MasterCard определяет следующие нарушения, за которые предусмотрены санкции.
1. Несоответствие стандартам отчетов по системе SAFE. MasterCard по своему усмотрению проводит дополнительную проверку RAMP (стоимостью
15 000 долл.), начиная со второго случая выявленного несоответствия, взимает штраф в размере 15 000 долл. ежеквартально, кроме того, после третьего случая дополнительно вопрос может быть вынесен на Комитет по аудиту MasterCard.
2. сформирование отчетов по системе SAFE по опротестованным операциям по причине мошенничества с определенными кодами. Для каждой транзакции, которую эмитент опротестовал по причине мошенничества с кодами 4837, 4840, 4847 и 4862, и не сообщил об этом в системе SAFE, будет взиматься штраф в размере 1000 долл.
3. Несоответствие стандартам управления потерями от мошенничества. После назначенной проверки RAMP банк получит письменный отчет с требованиями, которые должны быть удовлетворены в установленные сроки для достижения соответствия требованиям безопасности по управлению мошенничеством. Если же участник MasterCard не предпринимает предписанных действий, то могут последовать следующие санкции:
• приостановка права страхования потерь от подделки карт;
• наложение штрафов (25 000, 50 000, 75 000, 100 000 долл. (евро) в месяц за первый, второй, третий и последующие кварталы несоответствия требованиям);
• отзыв лицензии члена MasterCard — несмотря на возможность подачи апелляции в MasterCard, окончательное решение будет неизменным.
Из обозначенных требований МПС следует, что банк должен предпринять меры для соблюдения этих минимальных требований, в противном случае могут последовать финансовые санкции, нарушение репутации и, в худшем случае, прерывание бизнеса (отзыв лицензии).
Оценка финансового риска
1. Оценка числа клиентов, пренебрегающих правилами безопасного использования банковской карты:
оценка числа клиентов, хранящих ПИН-код вместе с картой;
• оценка числа держателей, не установивших лимиты для операций по карте.
2. Оценка эффективности сервиса смс управления картой. Для проведения оценки необходимо проанализировать данные по использованию сервиса его клиентами, при этом следует учесть следующее:
• число клиентов, не использующих все доступные возможности сервиса по управлению картой (например, на основании заявлений клиентов о мошеннических операциях, уведомления по которым они получали, но не могли отправить команду на блокировку карты; также можно проанализировать типы команд, используемых клиентами для управления ограничениями по своим картам);
• сравнение двух интервалов времени — среднего времени между мошенническими операциями (отдельно в случае компрометации реквизитов карты, данных магнитной полосы, ПИН-кода) и времени реагирования подключенного к сервису клиента (отправка SMS команды управления, звонок в банк).
3. Оценка финансового риска для держателя карты, группы держателей карт с учетом:
• остатка по счету; лимитов по счету (снятие наличных, покупки в ТСП, общий лимит на все операции);
• подключения к сервису смс управления картой и эффективности его использования;
• соблюдения требований безопасного использования карты;
• статистического профиля.
ПРИМЕР
Оценка репутационного риска
1. Оценка числа клиентов, считающих сервисы ПС банка небезопасными. Данная оценка потребует проведения исследования с привлечением ресурсов бизнес подразделений банка.
2. Оценка числа клиентов, отказавшихся от сервисов ПС банка из-за недостаточного обеспечения безопасности. Данная оценка потребует проведения аналитической работы с привлечением ресурсов бизнес подразделений банка.
3. Оценка влияния успешного взаимодействия с правоохранительными органами по фактам мошенничества на репутацию банка. Данная оценка потребует проведения исследования с привлечением ресурсов подразделений банка, обеспечивающих взаимодействие с правоохранительными органами и СМИ.
4. Оценка репутации банка по направлению противодействия мошенничеству сторонними банками, МПС.
Обработка рисков
Обработка риска включает в себя проведение мероприятий по его исключению, снижению, переносу или принятию.
1. Соблюдение обязательных требований. Необходимо руководствоваться обязательными требованиями и рекомендациями МПС, международных и российских стандартов, нормативных документов Банка России для обеспечения информационной безопасности ПС.
2. Страхование рисков. Все большее распространение получает в России практика переноса рисков ПС на страховые компании. Необходимо рассмотреть имеющиеся возможности по страхованию и использовать эту возможность совместно с другими принимаемыми мерами.
3. Претензионная работа. Качественное проведение претензионной работы позволит уменьшить суммы от мошенничества, относимые на убытки банка, клиентов или страховые компании.
4. Мониторинг. Своевременное выявление мошенничества и принятие адекватных и эффективных мер на основе системы мониторинга в ПС должно являться инструментом управления рисками в ПС.
Постановка задачи мониторинга транзакций
Мощным решением проблемы мошенничества является внедрение системы мониторинга транзакций по банковским картам, позволяющей анализировать все операции, выявлять подозрительные с точки зрения мошенничества и принимать оперативные действия для минимизации рисков.
Мошенничество с банковскими картами приводит к финансовым потерям и снижению доверия клиентов к данному банковскому продукту, поэтому важно осознать актуальность мер противодействия и разработать комплексный подход к решению проблемы для минимизации рисков. Раннее обнаружение мошенничества и принятие адекватных и эффективных мер являются необходимыми условиями обеспечения безопасности платежной системы банковских карт и должны проводиться в рамках мероприятий по управлению рисками в банке.
Мониторинг транзакций по банковским картам должен обеспечивать анализ всех авторизационных и клиринговых операций по банковским картам в ПС и принятие решений по подозрительным с точки зрения мошенничества операциям с целью минимизации рисков.
Классификация систем мониторинга транзакций
По скорости реагирования системы мониторинга подразделяются на следующие классы:
1. Онлайновые (on-line). Такие системы работают в реальном времени, имеется возможность влиять на результат авторизации операции.
2. Псевдо-онлайновые. Анализ операций проводится в реальном времени, но невозможно вмешаться в процесс авторизации. Решение может быть принято только после завершения подозрительной (мошеннической) транзакции.
3. Оффлайновые (off-line). Периодически (ежедневно, еженедельно и т. д.) формируются специальные отчеты, на основе анализа которых принимаются решения.
По типу принятия решений.
1. Автоматические. Решение по операции принимается системой автоматически без участия человека.
2. Автоматизированные. Система предоставляет уполномоченному сотруднику информацию для принятия им решения по данной транзакции.
По объему информации, используемой при анализе.
1. Системы, использующие только данные самой транзакции. В анализе учитываются только параметры транзакции — сумма, название ТСП, категория ТСП, страна и т. д.
2. Системы, привлекающие для анализа историю операций по карте/торговой точке. При анализе используется история по прошедшим операциям по данной карте/торговой точке.
3. Системы мониторинга, использующие модели поведения держателей карт и торгово-сервисных предприятий. Система строит и/или использует модели поведения держателей карт и торгово-сервисных предприятий. Анализ транзакции проводится в соответствии с имеющейся моделью, на основании отклонения поведения от модели операция признается подозрительной.
По используемому для анализа математическому аппарату.
1. Системы на основе простых логических проверок. Логические проверки включаются операции >, <, =, ≠.
2. Системы, использующие статистические методы. К используемым методам относятся методы описательной статистики, корреляционного анализа, регрессионного анализа.
3. Системы, привлекающие методы Data Mining (без привлечения нейронных сетей). Методы Data Mining, применяемые в анализе транзакций, могут включать методы классификации и прогнозирования, кластерного анализа, поиска ассоциаций.
4. Системы на основе нейронных сетей. Анализ операций проводится на основе адаптивных схем, построенных на нейронных сетях, что позволяет также выявлять ранее неизвестные типы мошенничества. Эти системы являются дорогостоящими и требуют существенных ресурсов для настройки (обучения нейронной сети).
По типу анализируемых транзакций подразделяются на два класса.
1. Эмиссионные.
2. Эквайринговые.
Система мониторинга транзакций является инструментом управления рисками, связанными с проведением мошеннических операций по банковским картам, и должна быть составной частью комплексного подхода к обеспечению безопасности платежной системы банковских карт банка.
Выбор той или иной системы мониторинга должен основываться на анализе существующих рисков. Система должна быть управляемой и эффективной с целью минимизирования финансовых потерь банка и держателей карт, недовольства клиентов и повышения доверия к банку.
Обязательные критерии мониторинга со стороны международных платежных систем
Международные платежные системы VISA и MasterCard сформулировали ряд критериев для обязательного мониторинга операций для эквайеров и эмитентов. Невыполнение требований по обязательному мониторингу влечет за собой санкции и штрафы со стороны МПС.
Мониторинг операций эквайером
Данные по транзакциям анализируются для каждой торговой точки, обслуживаемой эквайрером, отдельно по финансовым (клиринговым) транзакциям и авторизационным транзакциям. Для оценки активности используются данные по всем МПС, с которыми работает эквайрер.
Мониторинг авторизационных транзакций
Эквайрер должен отслеживать все авторизационные запросы, как успешные, так и неуспешные (табл. 1). В ходе мониторинга должны анализироваться следующие данные:
• сумма транзакции;
• количество транзакций;
• код ответа на авторизацию;
• номер карты;
• время и дата транзакции;
• параметры приема карты.
Мониторинг клиринговых транзакций
Эквайрер должен осуществлять мониторинг транзакций следующих типов (табл. 2):
• авторизационные запросы и ответы;
• покупки;
• операции кредитования и возврата;
• снятие наличных;
• опротестование операций с кодами причин.
Мониторинг операций эмитентом
Мониторинг позволяет банкам-эмитентам отслеживать попытки проведения мошеннических транзакций по картам банка и принимать меры для уменьшения рисков (табл. 3).
По требованиям MasterCard эквайрер должен предпринимать дополнительные меры контроля потерь от мошенничества, если уровень мошенничества в базисных точках (basis points) в 2 раза превышает средний по MasterCard и годовые потери превышают 200 000 долл.
MasterCard рекомендует также осуществлять мониторинг следующих событий и параметров:
• атаки по сгенерированным номерам карт;
• отрицательные результаты проверок CVC1 и CVC2;
• операции по картам с истекшим сроком действия;
• транзакции по неверным номерам карт;
• CAT транзакции;
• транзакции в возможных точках компрометации;
• операции кредитования и отмены авторизации торговой точкой;
• списки неиспользуемых карт.
Требования МПС относятся, прежде всего, к off-line мониторингу, иные варианты мониторинга в настоящий момент не являются обязательными. В связи с этим банк должен разработать собственную политику управления рисками в ПС и выбрать ту систему мониторинга, которая соответствует принятой политике, а не просто внедрить наиболее функциональное на данный момент техническое решение. Кроме того, необходимо добиться допустимого баланса между следующими показателями:
• принятие неадекватных решений по ограничению операций для не мошеннических операций;
• пропуск мошеннических операций;
• число сообщений, генерируемых системой мониторинга, об операциях, не являющихся мошенническими;
• величины рисков в ПС с учетом работы системы мониторинга и принимаемых на ее основе решений.
Особенности мониторинга некоторых операций
1. Операции в разных странах в установленный интервал времени. Операции по поддельной карте, используемой в стране, отличной от той, в которой совершает операции сам клиент, могут быть обнаружены с помощью системы мониторинга. Для оценки принципиальной возможности нахождения клиента в двух странах в моменты совершения двух операций необходимо учитывать:
• расстояние между городами совершения операции;
• минимальное время, за которое можно переместиться между двумя точками.
Если времени между операциями оказывается слишком мало для того, чтобы настоящий держатель переместился из одной точки в другую, то имеет место мошенничество по поддельной карте.
2. Неавторизованные мошеннические операции по поддельным картам. Неудачные попытки проведения операций по поддельным картам являются своеобразным «подарком» со стороны мошенников — сам факт мошенничества может быть выявлен системой мониторинга и будут приняты меры, при этом счет клиента не пострадает.
3. Операции в банкоматах по зарплатным картам. По настоящее время объем операций по снятию наличных денежных средств в банкоматах в России составляет большую часть всех операций (свыше 90 %), при этом часто карты получаются в рамках зарплатных проектов. Поэтому нередко бывает так, что карта используется клиентом как своеобразная «сберегательная книжка» — деньги просто накапливаются на счете, а затем снимаются в банкоматах за небольшой интервал времени. С точки зрения нехарактерного поведения для держателя банковской карты эти операции могут быть расценены как мошеннические, хотя на самом деле таковыми не являются.
Вывод
Система мониторинга транзакций ПС должна быть необходимым элементом комплекса мер, принимаемых для обеспечения информационной безопасности. Для управления рисками в ПС, связанными с мошенничеством, необходимо организовать непрерывный процесс сбора и анализа статистики, на основе которой можно проводить оценку рисков, предпринимать меры для их обработки и формально оценивать влияние принимаемых решений на величины рисков.