журналы подразделения новости подписка контакты home

архив
2001 год
2002 год
2003 год
2004 год
2005 год
2006 год
2007 год
2008 год
2009 год
2010 год
рубрики
СОБЫТИЯ

ФИНАНСОВЫЕ СИСТЕМЫ

Новые рыночные страны

БАНКОВСКИЙ МАРКЕТИНГ

Банковские кризисы

СПЕЦВЫПУСК: СТРАТЕГИИ

СПЕЦВЫПУСК: ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ

СПЕЦВЫПУСК: БЕЗОПАСНОСТЬ

СПЕЦВЫПУСК: ЭЛЕКТРОННЫЕ СИСТЕМЫ

СПЕЦВЫПУСК: ТЕХНОЛОГИИ

СПЕЦВЫПУСК: ПЛАТЕЖНЫЕ КАРТОЧКИ

СПЕЦВЫПУСК: ТЕЛЕФОННЫЙ БАНКИНГ

Банковские стратегии

гостям
Агентство "Стандарт" предлагает вам подписаться на экномические журналы – лидеры в своей области.
























"Банковская практика за рубежом" – №10, 2001

СПЕЦВЫПУСК: БЕЗОПАСНОСТЬ

Система безопасности для онлайнового банка

Новые технологии борьбы с электронным финансовым мошенничеством

В том, что Интернет стал высокотехнологическим инструментом для реализации финансовых трансакций, уже, вероятно, не сомневается никто. Вместе с тем, серьезную озабоченность у банкиров в последнее время вызывают участившиеся случаи онлайнового мошенничества и незаконных банковских операций посредством Интернета. Поэтому аудиторы, финансовые эксперты, программисты и законодатели в различных странах мира намерены объединить усилия с целью разработки новых версий программного обеспечения, которые могли бы блокировать проведение подозрительных финансовых трансакций через Интернет.

Размеры электронного мошенничества растут

Вопросам онлайнового мошенничества и разработке новых технологий его предотвращения была посвящена прошедшая в сентябре 2001 года в американском городе Орландо конференция, которую организовала Association of Certified Fraud Examiners. Ее участники уделили основное внимание обсуждению проблем отмывания "грязных денег" через Интернет, способов противодействия электронному мошенничеству с онлайновыми кредитными операциями и возможностей разработки такого программного обеспечения, которое позволяло бы обнаруживать и предотвращать подложные финансовые трансакции и сделки по незаконному присвоению денег.

Так, выступивший на конференции Мануэль Эбэскел, бывший федеральный прокурор, а в настоящее время сотрудник юридической компании Latham & Watkins, подчеркнул, что Интернет создал прекрасные условия для отмывания "грязных денег", поскольку сеть предлагает высокую скорость проведения финансовых трансакций и дает возможность маскировать их, особенно при ведении оффшорного банковского бизнеса.

Он привел пример с двумя преступниками, которые в настоящее время находятся в бегах. Эта пара создала так называемый "Dominion of Melchizedek" – несуществующую страну на затопленном острове вблизи Филиппин – и открыла свой WEB-сайт, где поместила информацию об истории государства и уставных документах на 30 местных банков. И хотя сайт вскоре был закрыт, все эти данные прошли через сеть, а так называемые "банки" оказались замешанными в серьезных мошеннических операциях. В частности, появилась возможность переводить средства из американского банка через Dominion of Melchizedek в такие налоговые убежища как Гибралтар и Антигуа. При этом, происхождение денег оставалось абсолютно неизвестным.

Как считает Мануэль Эбэскел, все это стало возможным, потому что отслеживать потоки различных видов электронных денег, включая электронную наличность и кредиты, становится все труднее и труднее. Данная проблема осложняется еще и в связи с тем, что правительство США заняло выжидательную позицию в отношении принятия решения о том, могут ли считаться электронные деньги законным платежным средством. На сегодняшний день американские государственные органы не приняли каких-либо действенных принудительных мер для обуздания электронного мошенничества. В итоге лица, занятые отмыванием грязных денег через Интернет, могут использовать в своих интересах явную нехватку регуляционных положений о том, следует ли квалифицировать компании по электронным трансакционным, валютным и чековым операциям как финансовые институты в соответствии с законом Bank Secrecy Act.

Даже после финансового краха главного промоутера интернетовских валютных операций компании Cybercash такие необычные электронные валюты как "beenz", "flooz" и "idollars" продолжают находиться в онлайновом обращении. Эти коммерческие имена присваиваются денежным кредитам, которые используются в настоящее время в Интернете. Более того, создание различных сайтов для операций с драгоценными металлами, в том числе сайтов для проведения сделок с искусственными валютами, обеспеченными золотом, становится еще одной преградой на пути принятия законодательных мер против электронного мошенничества, поскольку эти сайты превращаются в удобный и простой канал для отмывания "грязных денег".

По оценкам консалтинговой компании Deloitte & Touche, электронное мошенничество вызывает растущую озабоченность у всех без исключения слоев американских бизнесменов. Эксперты Deloitte & Touche, в частности, указывают на то, что, по данным доклада американского Computer Security Institute, из 538 опрошенных в марте текущего года компаний США 64% подтвердили наличие финансовых потерь в результате незаконного проникновения в их компьютерные сети. Из общих потерь на сумму $377 млн. порядка $151.2 составили издержки вследствие хищения важной коммерческой информации, а еще $93 млн. – в связи с финансовым мошенничеством.

Поскольку незаконные компьютерные атаки провоцируются, главным образом, работниками компаний или бывшими их сотрудниками, то владельцы фирм, считают в Deloitte & Touche, обязаны вести постоянный мониторинг того, сколько времени их персонал проводит в Интернете и какой поток информации они загружают в сеть, включая частоту, объем и время загрузки. Проверка электронной почты, включая приложения, тоже может быть важным методом контроля работы сотрудников в сети. Многие случаи электронного мошенничества, как указывают аналитики Deloitte & Touche, могут быть успешно предотвращены посредством постоянной и негласной проверки WEB-операций работников компаний, а также ограничения их доступа в Интернет и к онлайновым счетам.

Предотвращение

опасности

Наиболее остро в последнее время стоит проблема с мошенническим использованием онлайновых кредитов, потери от которого, по оценкам американского провайдера электронных коммерческих услуг Digital River Inc., составят к концу текущего года $9 млрд. Выступая на конференции в Орландо, представитель Digital River Inc. подчеркнул, что по сравнению с обычными банками, не занимающимися онлайновым бизнесом, финансовые WEB-компании, реализующие электронные трансакции, утрачивают в результате мошеннических операций в два раза больше конфиденциальной информации и в три раза больше прибылей. Самый распространенный метод мошенничества – использование данных с чужой кредитной карточки для проведения покупок через Интернет.

Эксперты Digital River Inc. отмечают, что интернетовским магазинным ворам для проведения своих операций нужны только компьютер, выход в Интернет и похищенная информация о кредитной карточке. За последние два года, по оценкам Digital River Inc., количество случаев электронного мошенничества возросло на 600%. В прошлом году в интернетовские компании, занимающиеся расследованием этих дел, еженедельно поступало около 1 тыс. жалоб от пользователей.

Один из наиболее простых способов борьбы с электронным мошенничеством представляет собой обычные "физические" действия. Когда возникают сомнения относительно подлинности телефонного номера и почтового индекса лица, оформляющего заказ по Интернету, специалист по борьбе с мошенническими операциями обязан позвонить клиенту для проверки этой информации. Еще один путь противодействия незаконным трансакциям заключается в установлении специального программного обеспечения, которое засекает прохождение ложных финансовых операций.

Такие программы уже существуют на современном рынке. Так, например, американский провайдер программного обеспечения Xanalys Inc. разработал программу Watson, позволяющую отсеивать незаконные операции с онлайновыми счетами. Ее возможности включают также обнаружение фальшивых инвойсов и расходов по одному счету, а также последующую перекрестную проверку данных через другой счет. Эксперты Xanalys Inc. отмечают, что современные методы электронного мошенничества мало чем отличаются от схем незаконных финансовых операций, которые применялись несколько столетий назад. Другое дело, что сегодняшние онлайновые мошенники действуют сверхоперативно, поскольку все большее количество трансакций осуществляется электронным путем, а перевод денег по всему миру через Интернет может быть реализован фактически мгновенно.

Компания ACL Servicies Ltd., еще один поставщик программ обнаружения незаконных онлайновых финансовых операций, разработала программное обеспечение, позволяющее идентифицировать такие попытки мошенничества как, например, отсутствие действительного номера на заявке на покупку или подтверждения о получении продавцом такого заказа. С помощью программы, разработанной ACL Servicies Ltd., можно осуществлять компьютеризированный просмотр списка продавцов, поиск адресов почтовых ящиков, копировать адреса и имена торговцев, которые не имеют телефонных номеров.

Как говорит Тоби Бишоп, руководитель отдела исследований по борьбе с компьютерным мошенничеством в консалтинговой компании Andersen, аудиторам следует более внимательно относиться к финансовым отчетам компаний, акции которых находятся в свободном обращении. Размеры мошеннических операций с этими документами достигли в последнее время колоссальных размеров, чему в немалой степени способствуют создание гигантских компаний и постоянные колебания рыночной стоимости их акций. Тем не менее, некоторые американские университеты уже создали ряд компьютерных аналитических программ для предотвращения такого рода мошенничества. С помощью "умных" математических операций аудитор может проанализировать финансовые отчеты и определить те, которые во многом схожи с подобными документами фирм, совершавших ранее подлог таких документов. Компьютеризация финансового анализа позволяет проводить его быстро и без существенных проблем.

Кто вы, господин

пользователь?

Эксперты по борьбе с электронным мошенничеством компании Authentify разработали еще одну специальную программу под названием "Аутентификатор/Регистратор" ("Authentify/Register"). Они исходили из того, что большинство пользователей имеют доступ в Интернет через телефонные линии, и поэтому решили использовать эту дорогую и стабильно функционирующую сеть для обеспечения безопасности онлайновых финансовых трансакций.

"Аутентификатор/Регистратор" представляет собой онлайновую программу противодействия электронному мошенничеству, использующую телефонный вызов для установления подлинности лица, инициирующего WEB-трансакцию. Эта программа обеспечивает так называемую аутентификацию по двум факторам ("two-factor authentification") – по телефону, который должен быть у пользователя, и по личному идентификационному номеру (или паролю), который он должен знать. Телефон, отмечают менеджеры Authentify, применяется в качестве идентификационного устройства для проведения интернетовского сеанса связи.

Когда клиент Authentify хочет получить, к примеру, доступ к своему банковскому счету в режиме онлайн, его личный идентификационный номер (PIN) высвечивается на экране. Менеджеры Authentify звонят пользователю и, проверяя запись его голоса, просят клиента ввести PIN с помощью клавиатуры на телефоне. После этого пользователя возвращают на главную страницу доступа к банковскому счету, и на этом сеанс аутентификации заканчивается. Если идентификация прошла успешно, банк может приступать к онлайновой операции и быть, при этом, уверенным, что он контактирует с зарегистрированным клиентом.

Эксперты Authentify подчеркивают, что применяемый компанией метод позволяет проводить более квалифицированную проверку, чем любые другие WEB-программы обеспечения безопасности онлайновых операций, которые обычно выдают лишь информацию о месте, дате и времени проведения трансакции. "Аутентификатор/Регистратор" тоже предоставляет все эти данные, но дополнительно – информацию о телефонном звонке. Получив ответ по телефону, менеджеры Authentify могут точно идентифицировать клиента. По их мнению, именно телефонные номера, а не элементы базы данных (например, PIN), могут быть подвергнуты серьезной проверке в условиях реальной действительности.

Когда специалисты Authentify говорят о "записи голоса", то подразумевают обычную запись на пленку голоса лица, отвечающего по телефону. Ее не следует путать с распечаткой биометрических характеристик речевого сигнала, которые гораздо более чувствительны к голосовым вибрациям и зависят от нескольких определенных параметров. В настоящее время Authentify не располагает возможностью осуществлять такую распечатку речевого сигнала, однако компания планирует внедрить эту технологию в конце текущего года. Но даже тогда она, скорее, будет применяться для детализации проверок онлайновых трансакций, чем для повышения их безопасности.

Наряду с этим в октябре текущего года Authentify намерена внедрить программное обеспечение по распознаванию речи, позволяющее пользователям оперировать системой с помощью голоса (например, вместо нажатия на клавишу говорить "да"). Посредством этой программы клиенты могут спеллинговать (произносить по буквам) свои имена, а Authentify – проверять этот спеллинг для последующей идентификации пользователя.

Джон Прендергаст, руководитель проекта Authentify, считает, что "Аутентификатор/Регистратор" не заменит, а дополнит программы оценки риска и кодовые сертификаты. Обычно специалисты, оценивающие степень риска, анализируют данные в контексте той или иной трансакции и определяют наличие мошеннических действий. Эксперты Authentify берут для анализа лишь часть данных (телефонный номер пользователя) и проверяют, управляет клиент своим телефоном в определенном месте и в определенное время или нет. Точность идентификации пользователя таким путем, утверждают в Authentify, очень высока.

В ближайшие несколько месяцев компания намерена дополнить свою программу "Аутентификатор/Регистратор" функцией оценки риска. Эта комбинация будет, несомненно, содействовать повышению уровня безопасности онлайновых трансакций. Что делать, например, если телефонный номер верный и на звонок отвечает настоящий клиент, а случай мошенничества все же имеет место? В этом случае в дело вступает функция оценки риска. Другой пример: не всем пользователям, вероятно, понравится вариант, когда третья сторона может идентифицировать их по их же личным телефонным номерам. Специалисты Authentify считают, что здесь не должно быть поводов для волнений, поскольку компания получает данные, которые ей присылает банк, обрабатывает их, а затем отсылает обратно в банк. Она не занимается хранением информации. Операционный центр Authentify, откуда инициируются телефонные звонки, проводит только идентификацию телефонных трансакций; при этом, личные данные клиента не аутентифицируются.

Комиссионные за установку и использование банками "Аутентификатора/Регистратора" варьируются от $25 тыс. до $50 тыс., а стоимость проведения одной трансакции с его применением не превышает 25 центов. Следует отметить, что на запущенную еще в апреле текущего года программу "Аутентификатор/Регистратор" пока не подписался ни один клиент. Однако руководство Authentify утверждает, что в компанию уже поступили просьбы предоставить информацию о системе от пяти крупных эмитентов кредитных карточек, 3-4 крупных розничных банков и ряда компаний по предоставлению электронных финансовых услуг.

Один из основных барьеров на пути широкого внедрения и применения "Аутентификатора/Регистратора" – наличие у большинства интернетовских пользователей лишь одной телефонной линии. Поскольку не каждый потребитель имеет вторую телефонную линию, то клиент, располагающий только одной линией, вынужден сначала выйти из Интернета, получить от Authentify телефонный звонок, а затем вновь войти в сеть и зарегистрироваться. На эти неудобства указывают и специалисты американской исследовательской компании AMR Research. Они полагают, что вряд ли можно считать удобными для пользователя действия по выходу из Интернета и ожиданию телефонного звонка. Клиенты не будут возиться с теми операциями, которые не происходят в считанные доли секунды, считают в AMR Research.

Эксперты Authentify согласны с тем, что пользователям, имеющим только одну телефонную линию, вряд ли будет удобно применять программу "Аутентификатор/Регистратор". Тем не менее, как говорит Джон Прендергаст, лица, занимающиеся серьезным бизнесом, располагают двумя и более телефонными линиями. Authentify может работать и с владельцами мобильных телефонов. Многие специалисты указывают и на то, что сама идея "Аутентификатора/Регистратора" достаточно привлекательна. Просто для нее нужно найти подходящую нишу на электронном рынке. Такой нишей могут стать корпоративные клиенты, для которых проблемы дополнительных телефонных линий не существуют в принципе.

Олег Зайцев, по материалам Bank Technology News

 
© агенство "Стандарт"