03.12.2013

Подход к защите от мошенничества в системах ДБО в условиях вступления в силу статьи 9 ФЗ-161

i_aleks

Автор: Илья Александров

Должность:  Руководитель направления компании «Информзащита»

Проблематика

Системы дистанционного банковского обслуживания (ДБО) все чаще становятся целью кибератак. Злоумышленники отдают предпочтение именно системам ДБО в сравнении с другими, небанковскими системами. Обусловлено это, прежде всего, возможностью получить прямые финансовые выгоды при относительно незначительных тратах на подготовку и проведение несанкционированных действий.

По данным аналитического отчета Банка России за 1-е полугодие 2013-го года более половины всех инцидентов в платежной системе приходится на несанкционированные переводы денежных средств. В среднем в день фиксируется около 30 хищений. При этом число мошенничеств в платежных системах ежегодно растет на 20%.

Растут и суммы потерь при реализации кибератак на системы ДБО. В отчете компании Group-IB (Threat Intelligence Report 2012 – 2013) средняя сумма хищений у юридических лиц в системах ДБО составляет 1,6 млн рублей, у физических лиц – 75 тысяч.

Приведенная статистика с учетом вступления с 1-го января 2014-го года в силу текущий редакции статьи 9 ФЗ №161 «О национальной платежной системе» позволяет сделать вывод о росте рисков:

  • прямых финансовых потерь из-за возрастающего количества несанкционированных операций в платежных системах (причем как со стороны кибермошенников, так и со стороны недобросовестных клиентов, пытающихся воспользоваться несовершенством законодательства);
  • санкций со стороны регуляторов (штрафов, предписаний) из-за несоответствия требованиям нормативных документов (например, требования Банка России к защите информации при осуществлении переводов денежных средств – п. 2.10.4 Положения ЦБ РФ № 382-П – обязывают банки обеспечить защиту электронных сообщений и выявление фальсифицированных электронных сообщений при использовании электронных средств платежа);
  • снижению лояльности клиентов (включая VIP-клиентов), имиджевые/репутационные риски, связанные с неэффективными процедурами работы подразделений банка по разрешению спорных ситуаций и возмещению несанкционированно списанных средств со счетов клиентов.
1

Требования законодательства РФ и регуляторов в части защиты от мошенничества

 

Предлагаемое решение

В целях повышения общего уровня защищенности платежных систем и минимизации рисков финансовых потерь компания «Информзащита» предлагает банкам реализовать комплексный подход к защите от мошенничества в платежных системах. Особенностью данного подхода является реализация комплекса организационных и технических мероприятий, направленных на построение процессов и автоматизацию деятельности персонала по обнаружению и реагированию на случаи мошенничества.

Для реализации данного подхода мы предлагаем провести комплексный проект, состоящий из трех основных этапов.

2

Этапы проекта по внедрению процессов защиты от мошенничества

На первом этапе специалисты «Информзащиты» проводят обследование платежных систем банка с целью выявления потенциальных рисков мошенничества, оценивают текущие и потенциальные финансовые потери, выявляют типовые схемы мошеннических операций в системах, описывают логику обнаружения несанкционированных операций.

На этом же этапе разрабатывается ТЗ на внедрение автоматизированной системы предотвращения мошенничества.

На втором этапе – определяют роли и обязанности персонала банка, регламентируют процессы и процедуры по выявлению, предотвращению и расследованию мошеннических операций. Также на данном этапе осуществляется установка, настройка и интеграция с банковскими приложениями автоматизированной системы защиты от мошенничества. Далее проводится необходимое обучение и консалтинговая поддержка сотрудников банка.

На последнем этапе, совместно с ключевыми сотрудниками банка, проводится опытная эксплуатация автоматизированной системы и оценивается эффективность реализованных организационных процедур.

В результате проекта банк получит отлаженную систему выявления и предотвращения мошеннических действий в платежных системах, позволяющую добиться определенных преимуществ:

  • сокращения рисков финансовых потерь от мошенничества до приемлемого уровня;
  • повышения лояльности клиентов к продуктам банка за счет предоставления более защищенных электронных сервисов и эффективной работы по спорным операциям клиентов;
  • сокращение затрат на ресурсы, требуемые для проверки платежей в ручном режиме и расследование инцидентов;
  • соответствие требованиям законодательства РФ и нормативных актов Банка России (382-П, указание 2831-У, письмо № 27-Т и др.).