Безопасность онлайн-платежей Вопрос о безопасности объектов электронной коммерции стоит очень остро. Сейчас не составляет проблемы с помощью «профессионалов» за небольшие деньги организовать DDoS-атаку на онлайн-ресурс конкурента. (Причем DDoS — это только одна из возможных угроз.) А построение системы защиты, которая сможет эффективно противостоять таким атакам, обойдется в десятки раз дороже.Нередки случаи воровства клиентских баз или мошенничества в отношении онлайн-сервисов банков. В настоящее время в России сложился целый рынок мошеннических операций, оборот которого соперничает с оборотом крупных ИТ-компаний. По словам Ольги Корнеевой, директора по маркетингу процессингового центра PayOnline, Россия — одна из двух наиболее активно развивающихся зон мира по приросту количества платежей по банковским картам в Интернете. «А за ростом популярности карт среди населения следует рост объема мошеннических операций по ним, — отмечает Ольга Корнеева. — С 2006 по 2011 год их доля в общем объеме платежей по картам в Интернете увеличилась на 50% и приблизилась к общемировому однопроцентному уровню». Средний банк теряет со счетов клиентов около 100 млн рублей в год. По данным Group-IB, в сфере дистанционного банковского обслуживания (ДБО) за 2011 год в России мошенники «заработали» более 900 млн долларов. В 2012-м страна вышла на первое место в Европе по росту мошенничества с банковскими картами — таковы недавние данные исследования компании FICO. Согласно статистике Euromonitor International, на Россию пришлось 6% потерь от мошеннических операций с банковскими картами, что в абсолютных величинах означает сумму в 91,4 млн евро. За прошлый год рост составил 35% по сравнению с 2011-м. При этом в 2006 году потери российских банкиров составляли не более 2% от общеевропейских (12,6 млн евро), а теперь, как сообщается в отчете, они больше, чем в Германии, и приблизились к испанским. Россия далеко не единственная страна, в которой заметно активизируется мошенничество, связанное с банковскими транзакциями и персональной информацией. Так, в Великобритании в 2011 году оно увеличилось на 35% и 58% соответственно (UK’s Fraud Prevention Service report). По мере роста технической оснащенности и подготовленности хакеров финансовым организациям необходимо постоянно улучшать свои стратегии защиты данных. «Для компаний, которые пренебрегают аспектами безопасности и в результате подвергают своих клиентов неоправданным рискам, трудно найти оправдание, тем более что сейчас есть известные стратегии и решения, которые доказали свою эффективность в этой области», — считает Сергей Кузнецов, генеральный директор SafeNet в России и СНГ. Новый сегмент «бизнеса» Это самый настоящий бизнес, с четкой иерархией: как и на любом обычном предприятии, здесь имеются отделы кадров, должностные обязанности, план продаж и даже «первый отдел», обеспечивающий строгую конфиденциальность. У этой экосистемы есть свои дилеры, своя партнерская сеть… Такая иерархия строится на четком разделении ответственности и обязанностей. Благодаря научной организации труда теневые компании работают чрезвычайно эффективно. Четкое разделение ответственности и позволяет построить весьма действенную экосистему, бороться с которой чрезвычайно сложно. Поэтому банку необходимо не только уметь устанавливать факт мошенничества, но также своевременно и правильно реагировать на инцидент: например, перекрыть доступ к сетям, которые были поражены, заблокировать карточки с украденными номерами и т. д. Эта процедурная часть имеет большое значение. Мошенничество в банках началось не столь давно, и связано оно с тем, что кредитные учреждения начали использовать технологии для создания новых сервисов. А последние оказались уязвимы для мошенничества: ведь обычно сначала запускается сервис, а его безопасность в полной мере обеспечивается уже потом. — Безопасность приема онлайн-платежей по банковским картам в России обеспечивается профессиональными организациями: банками, IPSP и агрегаторами платежей, — комментирует Ольга Корнеева. — Они проходят сертификации на соответствие требованиям международных платежных систем — и только после этого получают право на обработку платежных данных владельцев карт. Используемые ими технологии соответствуют мировым стандартам, однако одними технологиями рост мошенничества в Рунете не остановить. Банки серьезно задумались о безопасности, когда гром уже грянул. Особенно тяжелым в плане мошенничества оказались для финансовых учреждений 2009–2010 годы. Тогда пострадали практически все крупные банки, которые и начали немедленно работы по созданию оборонительных рубежей. Особенно это коснулось систем ДБО. Эти учреждения стали инвестировать огромные средства, чтобы защитить свои информационные системы, и в первую очередь ДБО. Клиентская часть является обычно наиболее уязвимым звеном: несмотря на требования, которые клиент обязан выполнять, он обычно пренебрегает этими мерами. Даже в очень крупных компаниях, где все процессы четко налажены, работают живые люди, а людям свойственно нарушать инструкции. В результате одна часть подступов к ДБО оказывается защищена достаточно, а вторая — значительно слабее. Поэтому основные атаки идут преимущественно через клиентов, и чаще всего на ДБО. Картину дополняет проблема инсайдеров из числа тех сотрудников самого банка, кто обладает правами доступа к информационным ресурсам. Например, открывается счет, на который должны быть переведены деньги. Лазейкой для инсайдера является тот промежуток времени, когда деньги уже зачислены на счет, но клиенту еще не передана информация об этой транзакции. Мошенничество может начаться в ДБО и перекинуться на бизнес пластиковых карт. Хотя в банке это разные бизнесы, которые никак не пересекаются, связь между ними существует, ведь деньги выводятся через процессинговые системы. Нюансы законодательства Но на то и щука в реке, чтобы карась не дремал. Новые виды угроз требуют от банков, от онлайн-магазинов соответствующих усилий по обеспечению собственной безопасности. А это дорого. В целом ситуация регулируется положениями стандарта PCI DSS, который начал разрабатываться в тот момент, когда объем потерь, связанных с мошенничеством, у платежных систем VISA и Master Card превысил критическую сумму. До недавнего времени риски, в общем-то, были на стороне клиента. В договоре с банком всегда было оговорено, что он сам отвечает за безопасность своего рабочего места, идентификационной информации ключей и так далее — то есть эту ответственность банк перекладывает на клиента. Борясь за лояльность клиента, банк старается помогать, и тем не менее кража денег с банковской карточки — это прежде всего риски и проблемы клиента. 14 июня 2011 года принят Государственной Думой, а 22 июня одобрен Советом Федерации закон №161-ФЗ «О национальной платежной системе». Он устанавливает правовые и организационные основы национальной платежной системы, регулирует порядок оказания платежных услуг, в том числе перевода денежных средств, использования электронных средств платежа. Согласно одной из статей закона, риски перекладываются со стороны клиента на банк, и в случае не авторизованного клиентом перевода денежных средств именно банк обязан возместить ущерб. Статья в законе есть, она должна была вступить в силу 1 января 2013 года, однако этот момент перенесли еще на год. «Банковское сообщество оказалось до конца не готово нести многомиллионные риски, — отмечает Игорь Ляпунов, директор Центра информационной безопасности компании „Инфосистемы Джет“. — Условия, в которых банки оказываются после вступления этой законодательной нормы в силу, потребуют от них внедрения соответствующих систем фрод-контроля и средств защиты. А это немалые инвестиции». Страхование рисков Еще одним возможным способом защиты является страхование рисков, но в России эти услуги не развиты. В настоящее время многие банки прорабатывают вопросы страхования этой ответственности, чтобы не внедрять техническую сторону. А страховые компании еще только стоят на пороге разработки этого продукта, и их опасения тоже понятны. «Статистики нет, правоприменительной практики тоже нет, плюс в законе существует целый ряд формулировок двоякой трактовки», — отмечает Игорь Ляпунов. В законе, например, указано, что клиент должен известить банк о факте похищения денег с его счета. Но каким способом он это сделает, при условии что нужно написать заявление в течение 24 часов? «Многие вопросы, касающиеся практики применения этого закона, еще не решены, — говорит Игорь Ляпунов. — Для их отшлифовки требуется какое-то время, после того как закон вступит в полную силу. Наверняка некоторые банки постараются переложить ответственность на другую сторону. Поэтому либо страхование таких рисков будет очень дорого для банка, либо не все страховые компании это предложат, а рынок в это время столкнется с большими ограничениями». На Западе подобные риски страхуются, системы фрод-мониторинга внедряются. Но перенести западную практику страхования рисков в России, по мнению Игоря Ляпунова, можно лишь теоретически, как математическую модель расчетов рисков и потерь. Иначе это повлечет большие ошибки. Безопасность магазинов Интернет-магазины в России — это обычно сайт и некие надомные работники — как правило, два-три человека. — Говорить, что каждый электронный магазин хорошо защищает персональные данные своих клиентов, бессмысленно, — считает Игорь Ляпунов. — И не стоит удивляться в лучшем случае спамовым рассылкам и рекламе, после того как клиент регистрируется в таком магазине и вводит свои персональные данные на сайте. Конечно, отмечает Ляпунов, эту область регулирует закон №152-ФЗ «О персональных данных», однако мелкие интернет-магазины его не выполняют. Поэтому безопасность персональных данных в электронной коммерции — вопрос острый. В обывательской практике интернет-шопинга стоит очень внимательно смотреть, на каких сайтах данные вводятся. Впрочем, многие интернетмагазины поступают просто: при оплате покупки перебрасывают клиента на сайт платежной системы, и в этом случае защита персональных данных, скорее всего, будет обеспечена. Но если оплата производится непосредственно на сайте интернет-магазина, где надо предоставить сведения о банковской карте, эксперты советуют воздержаться от такой покупки. Рекомендации В настоящее время многие банки предлагают специальный продукт для электронной коммерции — виртуальные платежные карты. Чтобы расплатиться в интернет-магазине с помощью такой карты, банк генерирует для клиента номер карты и реквизиты, клиент сообщает, какую сумму хочет заплатить, и вводит данные не реальной, а виртуальной платежной карты на сайте. После того как деньги переводятся на счет интернет-магазина, временные реквизиты можно забыть: ими больше нельзя воспользоваться. «Каждый человек, производя платеж в режиме онлайн, должен отдавать отчет, куда он вводит данные своей банковской карточки или номер мобильного телефона, — предупреждает Игорь Ляпунов. — По номеру телефона, например, снимают деньги с его счета, и это трудно отследить». Некоторые крупные интернет-магазины тратят силы на то, чтобы обеспечивать безопасность клиентских данных. В маленьких же оплату следует проводить с предельной осторожностью. Потому что при оплате покупки через интернет-магазин с большой долей вероятности может произойти утечка платежных реквизитов, и деньги могут быть сняты через некоторое время, не обязательно сразу. Например, платеж авторизуется CVV-кодом — и успешно переводится на другой счет… — Существует разница в подходах к защите интернет-магазинов и интернет-банков, — поясняет Игорь Ляпунов. — У банков уровень безопасности выше в несколько раз. Там другие потоки денег, и там применяется законодательное регулирование: даже небольшой банк периодически проверяется Роскомнадзором и Банком России. Для банка репутационные риски — это не пустой звук. А для интернет-магазина все иначе. Сегодня он работает под вывеской «Товары для дома», а завтра сменит название на «Рога и копыта». Для интернет-магазинов имя как таковое и репутация большого значения практически не имеют. Конечно, в это число не входят крупные веб-ресурсы вроде «Озона» или Victoria’s Secret, но в большинстве случаев это именно так. По мнению Ляпунова, и банк, и веб-магазин нуждаются в средствах по защите персональных данных: «Для любых онлайн-сервисов должна применяться защита от DDoS-атак, решения от взлома онлайн-систем — класса Application Firewall или похожие по классу. Все эти меры должны сопровождаться соответствующими организационными мероприятиями, потому что многие утечки (в том числе баз данных, продающихся в переходах) происходили не через взлом интернет-портала, а путем выноса на твердых носителях; как правило, выносятся резервные копии». Организационные мероприятия должны охватывать все аспекты, считает Игорь Ляпунов, — хранение, физическую защиту вычислительных ресурсов. Серверная должна запираться, резервные копии — учитываться и храниться в защищенном месте, и их желательно шифровать. Обязательно должен быть налажен процесс контроля инцидентов. Мало установить средства защиты — за ними нужно следить. Важно обеспечить ранние предупреждения, а для этого требуется реализовать систему мониторинга, нужны люди, которые реально могут вовремя увидеть инцидент и адекватным образом отреагировать. Вокруг технических средств строится организационная система процессов обеспечения безопасности: необходимо периодически проводить тесты на проникновение и контроль защищенности. Все это складывается в единую систему: для банков она больше, для интернет-магазина может быть значительно скромнее. «Гигиена в вопросе безопасности электронной коммерции должна соблюдаться неукоснительно, — подчеркивает Игорь Ляпунов. — Есть несложные правила: с компьютера, на котором в Интернет заходит ребенок, ни в коем случае нельзя совершать операции в интернет-банке. Пользоваться им надо лишь с того ПК, к которому не имеют доступ игроки или любители навигации по сомнительным сайтам. Если пользователь регулярно качает фильмы или музыку, открывает спамовые письма, то не стоит с этого компьютера совершать денежные операции. Ну и, конечно, при пользовании банковскими карточками есть смысл включить СМС-оповещение, чтобы по крайней мере вовремя узнать об инциденте и быстро отреагировать на него: в таком случае шансы вернуть похищенное увеличиваются». И еще одно гигиеническое правило: если пользователь не питает доверия к интернет-магазину и раньше никогда им не пользовался, не платил через него, лучше расплатиться живыми деньгами с курьером, нежели подвергать свой счет риску. И тем более не надо совершать платежи с зарплатной карты: для этого банки предоставляют сервисы временных карт. — Общей задачей государства, банков и платежных сервиспровайдеров сегодня является обучение предприятий электронной коммерции и плательщиков базовым нормам безопасности совершения и приема онлайн-платежей, — говорит Ольга Корнеева. — Понимание продавцами и покупателями базовых правил безналичных денежных отношений в Интернете позволит значительно снизить риски возникновения мошеннических операций, повысить лояльность россиян к покупкам в Интернете и, соответственно, стимулирует рост электронной коммерции в стране.