журналы подразделения новости подписка контакты home

архив
2001 год
2002 год
2003 год
2004 год
2005 год
2006 год
2007 год
2008 год
2009 год
2010 год
рубрики
ИТОГИ И ТЕНДЕНЦИИ

ФИНАНСОВЫЙ КРИЗИС

Новые рыночные страны

БАНКОВСКИЙ СЕРВИС

БАНКОВСКИЕ ПРОДУКТЫ

БАНКОВСКИЙ МАРКЕТИНГ

Банковская деятельность

Банковское регулирование

БАНКОВСКАЯ БЕЗОПАСНОСТЬ

гостям
Агентство "Стандарт" предлагает вам подписаться на экномические журналы – лидеры в своей области.
























"Банковская практика за рубежом" – №3, 2009

БАНКОВСКАЯ БЕЗОПАСНОСТЬ

Комплексный подход к борьбе с мошенничеством

Меры безопасности должны коснуться банковских клиентов, процессов работы и технологий

Внедрение систем безопасности регламентировано правительством и международными платежными системами. Поэтому чрезвычайно важно, чтобы приобретенные платформы соответствовали современным стандартам. Для охвата всех уровней банка необходимо использовать множество различных ИТ-систем, внедренных на каждом участке работы, однако такие системы должны управляться централизованно, чтобы можно было быстро реагировать на действия правонарушителей. Подобные системы могут снизить вероятность мошенничества и защитить пользовательскую информацию от атак злоумышленников. При этом, усложнение систем безопасности не должно значительно затруднять доступ клиентов к своим счетам, ведь большинство из них хотят, чтобы пребывание на сайте банка не занимало много времени.

Непростая инициатива

С ростом возможностей интернет-банкинга и расширением эмиссии платежных карточек все большее число клиентов получают доступ к защищенным страницам пользователей. Высокая динамика рынка приводит к тому, что принципы управления системами безопасности постоянно меняются. Каждая новая функция, которую банки предоставляют потребителям, связана с ужесточением контроля над рисками. Однако, усложняя системы безопасности и контроля рисков, банкиры рискуют получить трудную в управлении систему. Несмотря на то что безопасность банковских операций первостепенна и чрезвычайно важна, системы защиты не должны усложнять доступ держателей счетов к их личной информации. Системы безопасности, отвечающие самым современным требованиям, должны удовлетворять новое поколение клиентов, которые желают, чтобы банки предоставляли им индивидуальный и удобный способ оплаты, отвечающий их высокому темпу жизни.

По данным исследования компании Deloitte Touche Tohmatsu, проведенного в сфере банковской безопасности в 2007 году, наибольший риск вмешательства мошенников по-прежнему исходит от конкретных сотрудников банка или халатного отношения клиентов к конфиденциальной информации, т.е. зависит от человеческого фактора, контролировать который чрезвычайно сложно. Ведь ни для кого не секрет, что, например, мошенничество в сфере кредитных карточек происходит часто по вине клиента, который пишет свой ПИН-код прямо на карточке или не следит за тем, что кто-то может подсмотреть, как он набирает четыре секретные цифры при оплате покупки в магазинах или обналичивании денег в банкоматах. Поэтому чрезвычайно важно проводить образовательные акции среди клиентов, обучая их пользованию сайтами и платежными карточками и рассказывая, какому риску они подвергаются, если не следуют советам банка. Однако, как показало исследование, образовательные программы для покупателей самых современных банковских продуктов – достаточно сложная инициатива, ведь многие такие клиенты обычно слишком спешат и не следуют советам сотрудников финучреждений.

Все это означает, что обеспечение безопасности клиентов так или иначе остается на совести банка. Финучреждения должны не только обезопасить клиентскую информацию, но и просто и понятно донести важные моменты до клиентов, убедившись, что их действительно поняли, в частности, относительно того, что именно требуется. Кроме того, работа системы безопасности должна быть понятна самим банкирам и охватывать все уровни работы банка, при этом, будучи легкой и простой в управлении. В общем, речь идет не об одном решении, точечно защищающем какой-либо участок работы, а о комплексе программных продуктов, контролирующем работу со счетами, что называется, от «А» до «Я».

В течение последнего десятилетия количество новых банковских интернет-продуктов стремительно росло. Вместе с ним расширялись и возможности для махинаций. Таким образом, стало очевидно, что прогресс банковского сектора и прогресс в сфере мошенничества неотделимы друг от друга. Чем быстрее увеличивается функциональность банковских систем, тем больше у преступников появляется возможностей для взлома их.

Мир афер

В течение последних пяти лет банкиры стали свидетелями высокой активности злоумышленников в сфере банкоматного, карточного и интернет-мошенничества. Было создано огромное количество вирусов и троянов в целях ослабления систем безопасности или их разрушения. Еще несколько лет тому назад хакерские изобретения запускались часто не столько с намерениями ограбить банки и их клиентов, сколько с целью демонстрации того, насколько изобретательны хакеры. Сегодня многие кибер-преступники переводят свою деятельность на коммерческую основу. Они создают свои программы с определенными умыслами, например, измерить уровень банковской защиты, украсть пользовательскую информацию и продать ее через Интернет, чтобы получить прибыль. Это уже не просто игрушки продвинутых подростков, а довольно опасный криминальный мир со своими правилами и конъюнктурой. В этой связи роль банковской службы безопасности чрезвычайно возросла, а ее задачи расширились от сугубо физического обеспечения безопасности хранилищ и отделений до сложной работы с самыми современными компьютерными системами. Эта тенденция стала основной для подразделений безопасности большинства банков во всем цивилизованном мире.

Крупные банки являются первоочередной мишенью для хакеров в силу их большого размера и связанной с этим сложностью гарантирования безопасности информации каждого конкретного клиента. Собственно, именно в таких структурах аферисты зачастую находят «дыры» и пробелы в системах безопасности, через которые им удается красть деньги. На сегодняшний день наиболее популярны такие виды мошенничества как фишинг (письма от мошенников, посланные банковским клиентам, под видом сообщений из банка) и спуфинг (создание ложных банковских страниц, где от клиентов требуют ввести свою информацию, которая затем используется для их же ограбления). Таким образом, оба вида преступности практикуются, как правило, параллельно: банковским клиентам приходит письмо «из банка» со ссылкой на сайт, где требуется ввести свой пароль для доступа к счету.

Кроме того, участились случаи прослеживания личной переписки пользователей, с тем чтобы выведать информацию по счетам. Новые программы в этой сфере появляются буквально еженедельно и практически свободно продаются через форумы в Интернете на черном рынке. Экономический кризис и снижение жизненного уровня по всему миру, а также стремительное развитие хакерских технологий приведут к тому, что в нынешнем году количество атак на банки увеличится. Поэтому чрезвычайно важно именно сейчас внедрять меры по борьбе с мошенничеством, чтобы обезопасить свой банк в это непростое время.

Отделы по связям с общественностью финансовых институтов должны усиленно следить за тем, чтобы информация о недостаточных мерах безопасности в той или иной сферах их деятельности не просочилась в прессу. И дело не только в том, что об этом могут узнать хакеры. Сами клиенты на сегодняшний день хорошо осведомлены об опасности потери денег, оттого такие сведения от медиа могут ухудшить и без того подорванную финансовым кризисом репутацию банка, что, в свою очередь, приведет к оттоку клиентов и понижению прибыли. И, наоборот, положительная информация о слаженно работающей системе безопасности и высоком уровне защиты клиентских данных может привлечь вкладчиков в финучреждение. Внедрение многоуровневой аутентификации и общей стратегии безопасности в банке на сегодняшний день входит в число ключевых задач банкиров.

Правильно составленная и внедренная в работу стратегия безопасности способна смягчить риски, помогая достичь уровня стандартов и нормативов, установленных Нацио­нальным банком, платежными системами и клиентскими контрактами, а также создать внутренне сильную систему обеспечения контроля рисков. Основные компоненты стратегии безопасности – это определение целей, выяснение текущего положения и рисков, выбор средств достижения целей и контроля. Кроме того, необходимо иметь систему показателей для оценки рисков, а также проводить тестирование и внедрять программы, соответствующие современным требованиям рынка. Первостепенными целями составления и воплощения такой стратегии в банке следует считать обеспечение уверенности и удовлетворенности интернет-клиентов, сокращение потерь от мошенничества и выявление преступников внутри банка, если таковые имеются.

Аутентификация

и многоуровневая защита

Как и во многих крупных банках, в Bank of America разработали и внедрили логически обоснованные методы аутентификации и различные программы безопасности. По словам Дэвида Шроера, старшего вице-президента банка по электронным продуктам, стратегией его финансового института избрано внедрение простой, но надежной аутентификации и совершенной системы безопасности в сфере работы банка в Интернете, а также создание программ для обучения потребителей, чтобы предотвратить потерю клиентской информации по их вине. Стратегия BofA включает в себя сильный риск-менеджмент, продуманный до мелочей. Например, дизайн сайта банка создан таким образом, чтобы необходимые меры безопасности принимались в нескольких местах и на нескольких уровнях.

Для того чтобы эффективно управлять системой внутрибанковской безопасности, сотрудники должны создать простую в применении многоуровневую систему, которая может использоваться в любом отделении или на любом сайте, запущенном финучреждением. Данный подход предполагает также создание всевозможных видов обязательной и дополнительной аутентификации, применяемой в разных каналах коммуникаций банка, чтобы в результате система могла отличить клиента от мошенника, который пытается несанкционированно войти в нее.

Канальная аутентификация (channel authentication) включает идентификацию и контроль над доступом к определенной системе, где для каждого пользователя выставляются права и ограничения. Многие банки используют простые компьютерные программы, которые автоматизируют данную задачу и позволяют пользователям менять пароли и перемещать средства со счета на счет. Причем, перед каждой операцией пароль запрашивается снова. Кроме того, во многих случаях различные пароли пользователя могут быть синхронизированы, система же выдает единственный личный пароль, который можно использовать для доступа к различным услугам, но который меняется для каждой сессии.

При доступе к некоторым услугам аутентификация должна быть обязательна, тогда как в других случаях может просто не потребоваться. В Bank of America используют технологию аутентификации SiteKey. Данная система подразумевает двухступенчатый процесс, в котором, с одной стороны, проверяется личность пользователя, а, с другой, самому клиенту предоставляется возможность удостовериться в том, что он действительно находится на странице банка. Финучреждение распознает компьютер клиента по его IP-адресу. Если источник идентифицируется как подозрительный, клиента просят ответить на дополнительные вопросы. Как только система банка подтверждает, что посетитель сайта действительно тот, за кого себя выдает, на экране появляется фраза, выбранная клиентом в начале регистрации, подтверждающая подлинность банковской страницы.

Одним из преимуществ программы SiteKey следует считать тот факт, что потребители становятся активными участниками борьбы с мошенничеством во время аутентификации. Во многих случаях, когда не удается узнать значок программы на странице или фразу-идентификатор банка, клиенты немедленно связываются с сотрудниками и докладывают об этом. «Так мы можем бороться с потенциальным источником опасности на ранних этапах вмешательства в деятельность банка и своевременно предупреждать других клиентов, – рассказывает Джеймс Эшфилд, старший вице-президент банка. – Активное вовлечение вкладчиков помогает нам лучше идентифицировать риски и оперативно реагировать на попытки авантюристов завладеть клиентскими деньгами».

Для проведения операций по оплате счетов или денежных переводов BofA отправляет клиентам по электронной почте текстовое сообщение, содержащее числовой код, который должен быть введен в окно сайта для завершения операции. Такой код может быть использован только один раз. Для каждой последующей трансакции генерируется новый код. Кроме того, клиентам предлагается подписаться на рассылку уведомлений о движениях средств на счету. Это позволяет как можно ранее предупредить банк, если счетом воспользовались мошенники. Также практикуется рассылка сообщений об идентифицированных подозрительных трансакциях, которые нередко блокируются автоматически еще на этапе авторизации.

Многоуровневая аутентификация должна быть гармонично интегрирована с многоканальной системой банка. «В Bank of America мы внедрили систему, помогающую нам создать общее поле для операционной деятельности и обеспечить клиентам доступ ко всей информации, которая им может понадобиться, – уточняет Джеймс Эшфилд. – Преимущество в том, что такая платформа позволяет снизить цены для постоянных клиентов, улучшить бизнес-процессы и интегрировать общую архитектуру, которая развивается и усложняется параллельно росту организации».

Важной чертой системы аутентификации в Bank of America является единый интерфейс для разных систем, за счет чего легко можно обновлять и вносить коррективы. Кроме того, в случае вмешательства мошенников всегда можно с легкостью отключить единую систему и, таким образом, закрыть злоумышленникам доступ к клиентской информации.

Работа с клиентами

Для того чтобы клиенты могли защитить себя от мошенников, необходимо информировать их о той системе безопасности, которая действует в банке. Клиенты могут защитить себя самостоятельно, если будут знать, какая именно информация считается конфиденциальной. Поэтому чрезвычайно важно обучать их безопасному обращению с личными платежными карточками, ПИН-кодами и паролями. «Обученные потребители могут стать прекрасным источником информации, – говорит Дэвид Шроер из Bank of America. – Они могут на ранних стадиях заметить действия правонарушителей и уведомить об этом сотрудников банка».

В BofA ежегодно тратят миллионы долларов на обеспечение работы службы безопасности, внедрение современных систем предупреждения преступлений, а также обучение клиентов. Все это призвано повысить респектабельность банка и улучшить его имидж. Банк, который заботится о защите своих клиентов, наверняка, вызовет большее их доверие.

К одной из основных задач банка следует отнести обеспечение оперативной реакции на действия мошенников и мгновенное их предупреждение. А ведь хакеры совершенствуют свои системы буквально каждый день. Важно изучить их действия, понять, какие возможности у них уже есть, а какие вот-вот могут открыться. По словам представителей Bank of America, важно как можно раньше заметить вмешательство и пресечь его. Это снижает риск финансовых потерь.

Современные системы защиты клиентской информации включают в себя несколько «линий обороны». Борьба с мошенничеством начинается с каждого клиента и банковского сотрудника и доходит до уровня высшего руководства банка. Все ступени иерархии банка должны быть вовлечены в борьбу с мошенничеством и сотрудничать со службой безопасности, предоставляя последнюю поступившую информацию.

В Bank of America проводят регулярные исследования действий правонарушителей на протяжении всего жизненного цикла каждого финансового продукта. Результаты таких исследований помогают создать более полную картину возможных противозаконных действий и внести коррективы в политику банка.

Анна Краевая,
по материалам Bank Systems&Technology

 
© агенство "Стандарт"