журналы подразделения новости подписка контакты home

архив
2001 год
2002 год
2003 год
2004 год
2005 год
2006 год
2007 год
2008 год
2009 год
2010 год
рубрики
ИТОГИ И ТЕНДЕНЦИИ

БАНКОВСКИЕ СИСТЕМЫ

Международные банки

Банковская деятельность

БАНКОВСКИЙ МАРКЕТИНГ

БАНКОВСКИЙ СЕРВИС

Банковское оборудование

ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ

БАНКОВСКАЯ БЕЗОПАСНОСТЬ

Новые рыночные страны

гостям
Агентство "Стандарт" предлагает вам подписаться на экномические журналы – лидеры в своей области.
























"Банковская практика за рубежом" – №8, 2005

БАНКОВСКАЯ БЕЗОПАСНОСТЬ

Безопасность
под ударом

Американские банки вынуждены признавать свою уязвимость перед киберпреступностью

Кражи личных данных и рост онлайновой преступности в целом создают финансовым институтам все больше проблем. Помимо прямых убытков от разного рода противоправных операций, банки вынуждены увеличивать расходы на защитные технологии, ни одна из которых в принципе не может дать абсолютной гарантии
безопасности. Даже карточки с биометрическими данными – отнюдь не панацея, а их внедрение в рамках национальных программ, запланированное в западных странах, не решит проблемы финансовых институтов. Мошенники неустанно оттачивают свое мастерство и все время опережают развитие защитных систем. Поэтому развитие событий все чаще напоминает игру в одни ворота.

Гласность о двух концах

Один из важнейших способов предотвращения преступлений – оповещение клиентов о рисках, которым подвергаются персональные данные потребителей банковских услуг. Тем не менее, банки неохотно сообщают о кражах такой информации, поскольку подобные случаи ставят под сомнение их репутацию. Однако теперь у них нет другого выхода – ужесточение законов и регулятивных положений вынуждает их сообщать о таких инцидентах сразу и постоянно напоминать клиентам о бдительности.

Разумеется, финансовые институты предпочли бы не оповещать общественность о провалах в своих системах безопасности, но теперь это молчание стало противоправным действием: в январе вступил в силу закон, принятый калифорнийской Ассамблеей еще в 1950 году. Он обязывает организации обеспечивать защиту от несанкционированного доступа к персональной информации, такой как имя, номер карты социального обеспечения, водительских прав или другого удостоверения личности и номер финансового счета. Шесть штатов – Джорджия, Северная Дакота, Монтана, Арканзас, Вашингтон и Индиана – уже приняли аналоги этого закона, а Конгресс сейчас рассматривает пакет федеральных законов, предлагающих введение подобного порядка в рамках всей страны.

Эти законы, наряду с новым федеральным законодательством, регламентирующим публикацию медицинской и корпоративной финансовой информации, и вызвали лавину признаний о прорехах в корпоративных системах безопасности. За последние полгода около 40% фирм, вошедших в обзор Computing Technology Industry Association, сообщили об опасных брешах в защитных технологиях, из них 6% – компании, предоставляющие финансовые услуги. Примерно 79.3% рисков связано с человеческими ошибками, которые могут быть совершены либо сами по себе, либо в результате неправильного срабатывания аппаратуры. Например, в феврале ChoicePoint, функционирующее в Атланте агентство по сбору данных, призналось, что непреднамеренно продало номера полисов Социального обеспечения и другие персональные данные о 145 тыс. человек компаниям, выдававшим себя за фирмы по взысканию долгов. Вскоре после этого появились сообщения о нарушениях в LexisNexis, DSW и Ralph Lauren, а недавно Wachovia, Commerce Bancorp, PNC Financial Services Group, Bank of America и Citigroup признали, что оказались жертвами либо внутренних, либо внешних преступлений, связанных с несанкционированным доступом к счетам или незаконными действиями с данными.

Проблема весьма серьезна, и подобные сообщения свидетельствуют о необходимости принятия превентивных мер. Тем не менее, хотя по закону Gramm-Leach-Bliley Act, который вступил в силу еще 1 июля 2001 года, банки обязаны иметь четкий план предупреждения клиентов о случаях несанкционированного доступа к данным, у некоторых финансовых институтов таких планов нет и до сих пор. В своей инструкции от 29 марта 2005 года регулятивные органы опять предупредили банки, что они обязаны оповещать их о любых рисках, которым подвергаются личные данные, хотя клиентов – в соответствии с инструкцией – следует просто предупредить, "если банк выяснил, что произошел несанкционированный доступ к их данным, или есть основания полагать, что это могло произойти". Единственная ситуация, в которой такое предупреждение может быть задержано, – это если правоохранительные органы сочтут, что такое сообщение помешает уголовному расследованию и выдаст институту письменное требование об отсрочке.

В директиве особо указано, что, хотя усилия, добросовестно прилагаемые банками для своевременного предупреждения клиентов о нежелательных происшествиях, имеют большое значение, неспособность финансовых институтов внедрить заранее разработанный план действий в подобных экстремальных ситуациях может привести к нарушению инструкций по безопасности. В этих случаях развитие событий может полностью выйти из-под контроля.

Тем не менее, многие банкиры не вполне понимают, что именно от них требуется, и поэтому не делают ничего. Например, Мери Бет Гард, президент Glia Group и инструктор BankersOnline.com (ведет курсы по этой теме) рассказала о случае, когда банк подвергся фишинговой атаке (фишинг – "выуживание" персональных данных) после завершения рабочего дня в пятницу, а утром в понедельник пришлось разбираться с возникшими проблемами. С ее точки зрения, ошибка менеджмента заключалась в том, что в банке не было программы отклика на такое нападение: "Они не могли понять, что нужно делать. Закрыть доступ к счетам через дебетовые карточки? Закрыть доступ через банкоматы? Они не понимали, какие вопросы следует задать". Они не подумали, что можно было сделать превентивный шаг – вывесить сообщение на своем сайте с разъяснением, как именно сотрудники банка вступают в контакт с клиентами. Кроме того, Гард полагает, что следует поработать над сайтами и сделать так, чтобы их было труднее копировать.

Однако все рекомендуемые меры не могут обеспечить гарантированную защиту от мошенников. Как бы там ни было, несмотря на многочисленные дискуссии и кампании, имеющие целью просвещение клиентов о преступлениях и краже личных данных, банкиры пока не могут полностью обеспечить безопасность своих организаций. При этом, хотя особое внимание специалистов и общественности привлекают именно онлайновые преступления, наибольший ущерб причиняют вовсе не они. Основная часть банковских убытков, сопряженных с противоправными действиями, приходится на долю подделки чеков, хотя интернет-мошенничества вносят в эти потери все

больший вклад.

В сообщении National White Collar Crime Center, посвященном анализу такой деятельности в 2004 году, было указано, что 71.2% жалоб связаны с мошенничествами вокруг интернет-аукционов, тогда как доля преступлений с кредитными и дебетными карточками составляет только 5.4%. Средний уровень долларовых потерь при подделке чеков – самый высокий, он составляет $3.6 тыс., далее идут "Нигерийское письмо" ($3 тыс.) и нарушение конфиденциальности ($1 тыс.). Таким образом, хотя фишингу уделяется много эфирного времени, общие потери от этих интернет-преступлений остаются меньшими, чем убытки, обусловленные иными типами мошенничества. Тем не менее, онлайновые преступления обретают все большую популярность среди аферистов.

Предупредить

и вооружить

Число случаев краж личных данных подскочило на 80% между 2002 и 2003 годами, задолго до того, как Citibank развернул свою кампанию по этому поводу. Более того, инсайдеры – сотрудники, работающие в банке по контракту, – остаются главным источником преступлений. Например, недавно Bank of America и Wachovia объявили, что информация о счетах 108 тыс. клиентов была украдена их же сотрудниками и продана лицу, выдававшему себя за представителя статистического агентства.

Исходно в мошеннической деятельности использовались поддельные электронные письма и фиктивные веб-странички, но теперь получают все большее распространение другие типы преступлений. Мошенники регулярно обнаруживают все новые и новые бреши в программном обеспечении. Сейчас особую опасность представляют программы-вирусы типа "Троянского коня". Программа работает следующим образом: банковский клиент получает электронное послание и – будучи проинформированными о фишинге, понимает, что это письмо – очередная попытка выудить у него конфиденциальную информацию. Разумеется, он не попадается на удочку. Однако, пока он читал это письмо, в его компьютер проникает прикрепленный к посланию вирус, который открывает мошенникам доступ к его системе и финансовым операциям, о чем клиент, разумеется, и не подозревает.

Преступники непрерывно оттачивают свое мастерство, так что никакие новые технологии не обеспечивают гарантированной защиты от их действий. По данным Федеральной торговой комиссии, кражи личных данных обходятся американским компаниям в $50-60 млрд. в год, причем, 56% таких случаев связаны с банковской деятельностью. Продолжает нарастать лавина преступлений с кредитными карточками, причем, злоумышленники активно действуют как в онлайновом режиме, так и в автономных розничных точках. Для определения паролей банковских клиентов они используют самые разные методы, включая аппаратуру слежения. Аналитики полагают, что в 2005 году число фишинговых атак втрое превысит прошлогодний уровень.

Тем не менее, предпринимаемые банками защитные действия, все же, дают определенный эффект. Об этом свидетельствует хотя бы тот факт, что, по мере того как крупнейшие финансовые институты внедряют прогрессивные системы безопасности, мошенники начинают все чаще избирать объектами своих атак мелкие банки, у которых попросту недостает средств для приобретения современных технологий. С точки зрения преступников, крупная мишень – вовсе не обязательно лучшая мишень. Особое их внимание привлекают локальные банки, обслуживающие небольшие населенные пункты. Помимо того, что они еще не слишком озабочены вопросами безопасности, поскольку полагают, что в их городке "такого просто не может быть", проблема еще и в том, что у регулятивных органов недостаточно ресурсов, чтобы контролировать эти институты столь же тщательно, как это делается с крупными банками. По словам Софи Лаувел, аналитика из Financial Insights, "локальные банки традиционно подвергаются меньшему давлению в плане принятия мер по предотвращению преступлений".

Однако мелкие и среднего размера банки, у которых недостаточно ресурсов для внедрения сложных защитных систем, задействованных их более крупными коллегами, оказываются сравнительно легкой добычей для преступников. Этому способствует и тот факт, что финансовые институты в маленьких городках и их клиенты, как правило, менее осторожны, чем следовало бы. При этом, хотя для местных банков наибольшую опасность представляют различные варианты подделки чеков, мошенники все чаще испытывают на них и новые схемы типа фишинга и иных вариантов кражи личных данных.

Поэтому и таким институтам приходится внедрять усовершенствованную аппаратуру для идентификации клиентов и мониторинга счетов. Их менеджмент осознает необходимость повышения уровня защиты потребителей, так что многие разработчики технологий уже занялись адаптацией систем безопасности, разработанных для крупных институтов, к нуждам небольших банков. Обнаружив новую нишу, эти поставщики начали разрабатывать и предлагать таким институтам и их клиентам сравнительно недорогое программное обеспечение – системы, которые дают возможность осуществлять более глубокую проверку новых клиентов, выявлять потенциальных похитителей персональных данных и непрерывно контролировать счета потребителей. Их новые технические решения включают программное обеспечение и сервис, ориентированные на лучшее распознавание и идентификацию. Разрабатываются также системы идентификации онлайновых пользователей, защиты банковских веб-сайтов и регистрации подозрительных операций со счетами.

Тем не менее, хотя мошенничества обретают все более разнообразные формы (их способы варьируются от выписки чека против неинкассированной суммы и обычной подделки чеков до фишинга), большинство экспертов считают, что наибольшую угрозу для локальных банков по-прежнему представляют именно традиционные типы афер, вроде фальшивых чеков и аналогичных операций.

Однако сейчас многие мелкие банки в стремлении расширить сферу своей деятельности начинают осуществлять онлайновые операции, а в этих случаях они уже подвержены тем же рискам, что и крупные институты. Это и стало одной из причин миграции преступлений в малые города, причем, атаки на мелкие банки начались всего год-полтора назад. Наибольшую опасность для таких институтов представляют кражи личных данных: если убытки межрегиональных банков от таких преступлений составляют 6% от их общих потерь, то у локальных банков эта доля превышает 85%. Эксперты по безопасности рекомендуют этим институтам шире использовать естественные связи, которые в небольших городках всегда существуют у сотрудников банка с местными жителями. Кроме того, им советуют регулярно рассылать клиентам письма и брошюры с информацией о новых преступлениях, которые могут произойти и в их местности. Да и в принципе рекомендуется просвещать клиентов о лучших способах предотвращения краж персональных данных.

В самих же банках необходимо совершенствовать системы идентификации личности. В этом плане многие аналитики возлагают надежды на биометрические технологии, интерес к которым усилился в связи с предстоящим внедрением национальных идентификационных карточек (ID-карточек). Правда, эксперты все чаще предупреждают, что биометрия – отнюдь не панацея от всех бед. Хотя многие правительства и организации частного сектора жаждут поскорее получить биометрические технологии идентификации личности, в настоящее время желания здесь явно опережают возможности.

Ограниченность

биометрии

Проблема разработки надежных технологий весьма сложна. В свете предстоящего внедрения национальных систем идентификационных карточек (фактически – "электронных паспортов") надежность и социальная приемлемость таких методов выходят на первый план. Хотя правительства стран, которые собираются внедрять такие системы, еще не сообщали, на каком принципе они будут основаны, карточки наверняка будут содержать биометрические данные. Следовательно, идентификация их владельцев должна осуществляться по предъявлении. Понятно и то, что эти карточки предназначаются для использования не только в интересах правительства. Государственные и частные организации будут иметь возможность получать лицензии на их применение для надежной идентификации личности. Следовательно, теоретически любая организация, которая озабочена проблемой кражи личных данных, может принять участие в этой системе, если приобретет лицензию и считыватели стоимостью 700-1000 ф. ст.

Однако в этой схеме имеется ряд брешей, которые могут сделать ее использование непрактичным для организаций. Во-первых, карточки могут не соответствовать существующим в настоящее время стандартам: это будет зависеть от производителя и от технологии, выбранной этим поставщиком. Например, хотя предпочтительным поставщиком технологии ID-карточек в Великобритании станет, скорее всего, компания NCR, другие производители тоже еще не сошли с дистанции. В частности, HP в содружестве с Microsoft разработала модульную систему, основанную на .Net и цифровых сертификатах. Чтобы сделать ее привлекательной для правительств, HP готова даже предлагать технологию бесплатно и возмещать свои затраты за счет платежей за каждую карточку. Эту политику компания уже успешно опробовала в некоторых странах, в том числе – в Восточной Европе и Африке. Продолжает борьбу и Siemens Business Services: эта группа преуспела со своей технологией ID-карточек в Италии и Гонконге.

Отсюда следует, что разные государства могут выбрать различных поставщиков. Однако использование неидентичных подходов вызывает вопросы о возможностях взаимодействия сетей. Любая система гарантированной идентификации, основанная на применении ID-карточек, требует определения способов использования карточек других стран, особенно – в ЕС, где нет пограничного контроля между государствами. Это означает, что либо схема одного производителя должна стать стандартом де-факто, либо необходимо срочно провести межправительственные переговоры по технологиям, чтобы определиться со стандартами и возможностями взаимодействия сетей.

Далее, проблематично и само намерение полагаться на биометрию. Тестирование современных биометрических методов, проведенное Atos Origin на 10 тыс. добровольцев, показало, что только 90% людей успешно вписываются в эту схему (а у инвалидов этот показатель падает до 61%). Кроме того, метод сканирования отпечатков пальцев иногда приводит к ошибочным результатам (доля успешной идентификации составляет всего 81%); при распознавании по лицу возникают проблемы с небольшими изменениями, которые происходят с внешностью человека за время, прошедшее между регистрацией и идентификацией; распознавание по радужной оболочке производится медленно, и этот метод также часто не пригоден для инвалидов.

Любая организация, которая собирается использовать биометрические данные для идентификации по ID-карточкам, должна учитывать также и пожелания своих клиентов: не ясно, сочтут ли они приемлемой идею предоставления своей биометрической информации. Пожелает ли банк требовать от своих клиентов идентификации по радужной оболочке, если они хотят воспользоваться банкоматом? При этом, ID-карточки невозможно использовать для онлайновой идентификации, если, разумеется, не оснастить персональный компьютер каждого клиента биометрическим считывателем, который вдвое дороже самого компьютера.

Таким образом, похоже, что биометрическая идентификация не оградит банки и их клиентов от мошенников, и только комбинация всех существующих способов защиты может несколько уменьшить риски, обусловленные появлением нового поколения "компьютерных гениев" с преступными наклонностями.

Галина Резник,
по материалам US Banker, The Banker, Infoconomy, Banking Strategies,
Bank Technology News, Business Week

 
© агенство "Стандарт"