20.06.2012

Защита вкладов: под стражей закона?

Страхование банковских рисков – направление, в данный момент еще только зарождающееся на российском рынке. Тем не менее, первые  массовые продукты уже появились.

Впрочем, появились – это громко сказано. Рынок страхования делает в этом направлении лишь первые шаги. И это понятно: потребность в страховании банковских вкладов возникла именно сейчас. Причиной тому – участившиеся случаи воровства денег с банковских счетов.

Новые мотивы

Конечно, воровали и раньше, но в основном это были разовые случаи, и в 80% из них банк доказывал клиенту, что тот сам виноват. Для каких-то ВИП-клиентов, чтобы не потерять их, банк был вынужден делать исключения – компенсировать потери из своей прибыли. Но если в прежние времена из-за единичности подобных инцидентов особой надобности создавать систему страхования как массовый продукт не имело смысла, то сегодня эту тему игнорировать уже невозможно. Год от года ситуация ухудшается, кража денег с банковских счетов превратились в индустрию, со своими технологиями, программными продуктами, сервисами и группировками, который их предлагают и применяют.

Секреты ремесла

Первое направление – это кража у юридических лиц. Принцип действия всех современных систем кражи денег предполагает вначале заражение компьютера. Самое неприятное, когда появление вируса позволяет злоумышленнику получить удаленный доступ к компьютеру пользователя и осуществлять от его имени определенные действия. Иногда это делают даже не люди, а сами вирусы: они используют компьютер для кражи денег в автоматическом режиме.

Обычно заражение идет массово, без конкретной привязки к определенному устройству пользователя. Но из общей массы заражаемых компьютеров кибер-преступники могут безошибочно выбрать те, что используются для проведения платежей. Для удобства злоумышленников современные программы для кражи денег снабжены интерфейсами а-ля Windows, с визуализацией перечня клиентов, финансовых учреждений, клиент-банковских систем, с указанием размеров денежных сумм на счете. Это позволяет преступникам максимально точно и эффективно провести атаку.

Когда «оператор» такой системы видит, что у клиента оказалось достаточно средств, чтобы этим заняться (по мелочам они не распыляются), в подходящий момент времени незаметно происходит перевод этой суммы на другой счет. Делается это, как правило, в пятницу, за пять минут до окончания рабочего дня. Клиент спохватится только в понедельник, а за это время похищенные деньги сначала перекинуть несколько раз по разным банкам, а затем распределят на фиктивные счета физических лиц, на которых выпущены поддельные кредитные карты. Чаще всего съемщиками денег являются люди, которые не имеют представления о том, какую роль они выполняют.

Ситуация с физическими лицами несколько иная: на карточках клиентов денег  поменьше, поэтому преступников привлекают большие объемы на массовых транзакциях, что достижимо лишь с помощью средств автоматизации. Классическая схема предполагает, что сайт банка заражается вирусом, который  в момент загрузки страницы банка, где клиент собирается ввести логин и пароль, производит подмену и загружает свою страницу.

Ситуация может развиваться по двум сценариям. Если клиент пытается перевести какую-то сумму, а вирус тут же производит подмену, это может оказаться слишком заметно, поэтому реже. А вот если злоумышленник получил логин и пароль, он может затем сделать дубликат карты, после чего не составит труда снять наличные в банкомате – или эти деньги могут быть переведены на другой счет в какое-нибудь неурочное время (например, в 3 часа ночи). Даже если в это время на телефон клиента придет СМС о произведенной операции, скорее всего, он это увидит не раньше утра, когда деньги будут многократно перекинуты со счета на счет.

Группа риска

Если банки относятся к своей безопасности серьезно и заразить интернет-ресурс финансового учреждения в целом непросто и дорого, то множество интернет-магазинов о безопасности вообще не думает. Наибольшее количество платежей – у самых популярных магазинов: вот на них-то и направлены основные атаки. Заражая сайт такого магазина, злоумышленник получает доступ к базе данных по кредитным картам. Иногда это делается в промышленных масштабах автоматически, с применением критериев, позволяющих проводить списание денег только с тех карточек, на которых сумма превышает определенный порог.

Андрей Конусов, генеральный директор компании Avanpost, обращает внимание на важный момент – заражение банкоматов: «Считается, что банкоматы – вещь абсолютно надежная, но я бы очень не рекомендовал пользоваться теми из них, которые стоят в легкодоступных местах. Помимо скоринговых систем, там бывает и заражение софта внутри аппарата. Более надежны те, что стоят в отделениях банка, где есть система охраны, камеры наблюдения». Конусов рекомендует прием, которым широко пользуются клиенты банков в Европе: использовать для платежей только кредитные карты – и ни в коем случае дебетовые, на которые приходит зарплата.

- В течение месяца, - советует Андрей, - вы расплачиваетесь кредитной картой, где есть беспроцентный период; как правило, он составляет до 50 дней. В конце месяца с дебетовой карточки деньги снимаются в банкомате банка и кладутся на кредитную. А если это карточки одного банка, можно прямо в его отделении без снятия денег осуществить перевод. Кредитной картой вы занимаете деньги у банка, и в случае инцидента, если какую-то сумму списали необоснованно, это деньги банка, которые украли у него. В случае инцидент это проблема финансового учреждения. А когда кража денег происходит с дебетовой карты – это проблема клиента. Банк попробует вам помочь разобраться с ней, но вероятность возврата средств далеко не стопроцентная. В этом вопросе очень трудно доказать свою правоту.

Реакция профессионалов

В борьбе с кражей денег кровно заинтересованы службы безопасности банков. Банки уже понимают,  что не справятся возмещениями, число которых растет как снежный ком. Но если отказывать клиентам в возмещении средств по формальному признаку, рано или поздно это приведет к какому-то социальному взрыву.

Закон «О национальной платежной системе», вступивший в силу в сентябре 2011 года, включает несколько интересных пунктов. В частности, в нем указывается, что банкам дается полтора года на выполнение требований по защите вкладов. В этом же законе появились фразы о том, что банки обязаны возмещать убытки.

«У банка есть два варианта действия, - поясняет Андрей Конусов. – С одной стороны, услуги по страхованию – и это очень неплохая реакция на инцидент. С другой стороны, банки всегда имеют рычаг:  в любой момент они могут заложить эти риски в более высокие ставки по всем своим услугам, переложив любую сумму выплат на клиентов. Очевидно, что страхование является более приоритетным сценарием действий, с гарантией более предсказуемых сумм и т.д

Первые предложения

В настоящее время «Ингосстрах» предложил банкам страхование по кредитным картам физических лиц и гарантии компенсации в случае инцидентов. Страховая компания «РОСНО» в пилотном режиме полтора года назад начала обкатку программы страхования юридических лиц в системе ДБО, но на сайт РОСНО это предложение пока не выложено. Суть данной программы в том, что к юридическому лицу предъявляется определенный ряд технических требований, которые оно должно соблюдать при работе с системами интернет-банкинга: установить антивирус на компьютер, выбрать определенный стиль защиты. Может быть, использовать этот компьютер только для операций и связи с банком, но запретить выходить с него в Интернет. В страховом случае компьютер клиента проверяют, и если выясняется, что требования исполнялись, то украденная сумма клиенту возвращается.

-Пока предложений по страхованию банковских вкладов на рынке не много, но я уверен, что эта тема в ближайшую пару лет будет развиваться во многих банках, - комментирует Андрей Конусов. – Страховые компании, делающие первые шаги в этом сегменте, конечно, рискуют, так как они могут ошибиться в ставках и уйти в убытки. С другой стороны, они имеют возможность снять «сливки» с тех клиентов, кто дозрел до понимания необходимости таких услуг.

Думаю, что основная часть страховщиков сейчас просто выдерживает паузу, чтобы посмотреть, на какие ставки выйдут первопроходцы, но в течение двух-трех лет это перейдёт в категорию массовых услуг. Но я не очень верю сейчас в том, что российские клиенты будут готовы оплачивать эти услуги: большинство из них вообще никогда в жизни не рассматривали этот дополнительный сервис как необходимый, а те, кто серьезно озаботился вопросом, могут надеяться на закон «О национальной платежной системе», который в любом случае обязывает банк возместить средства.  Дело может сдвинуться с мертвой точки в двух случаях: либо кражи станут настолько массовыми, что каждый владелец пластиковой карты задумается об опасности, либо банки просто начнут «автоматом» закладывать эти деньги в комиссию за обычное банковское обслуживание, а страховую премию самостоятельно выплачивать страховым компаниям. И таким образом договор страхового банковского обслуживания будет реализован в скрытом виде. Этот сценарий наиболее вероятен.

Размер страховой премии, скорее всего, будет определяться размером суммы, которую клиенту нужно возместить. Но специалисты уверены, что всегда останется верхний лимит. Ведь с банковскими деньгами угадать нельзя: компания, которая на сегодня имела оборот в 10 млн., может в конце года увеличить егов несколько раз. И если страховать без ограничения, то стразовая компания может разориться. Поэтому схема такова: стоимость страховки зависит от максимально возможного размера суммы страховых выплат.

Машина для платежей

По «классике», систему защиты необходимо сделать полной:  должны быть защищены почти от всех возможных угроз и сервер на стороне банка, и ПК на стороне клиента, и канал связи между ними. Но в действительности самым уязвимым звеном является машина клиента, потому что банки свою систему ДБО и канал защищают неплохо, ведь они обладают достаточными финансовыми возможностями, чтобы установить необходимые средства защиты.

В дистанционном обслуживании обычно применятся электронная цифровая подпись, клиенту выдают ключ, флеш-карту и т.д. Беда в том, что на машине пользователя можно совершить огромное количество ошибок. И первая из них – не обновлённые антивирусы или их отсутствие. А вторая – ключевой носитель, который как рах и должен являться надежным средством защиты: без него никто другой, кроме клиента, не может сделать платеж.

«Я видел массу примеров, когда бухгалтерия, придя на работу, устанавливает ключ на компьютер, и в таком положении он находится на протяжении всего рабочего дня, - рассказывает Андрей Конусов. – При этом бухгалтер постоянно отходит от рабочего места, компьютер не заблокирован, доступ открыт.  Любой человек, имеющий представление об интерфейсе интернет-банкинга, может подойти, быстро заполнить и отправить платежное поручение с данной машины. Такие случаи отследить непросто. И банк ничего не возместит, потому что операция была сделана абсолютно легитимно.

В серьезных организациях для проведения платежей выделяется отдельный компьютер, который имеет доступ только к сфере «клиент-банк», может быть, к двум-трем ресурсам, но ни в коем случае не внешним. Цена компьютера в настоящее время не столь уж велика, чтобы поставить на стол бухгалтера две машины. Одна – рабочая, на которой он может делать все что угодно. А рядом – машина только для проведения платежей».

Реакция на инцидент

Если произошел инцидент, специалисты советуют незамедлительно написать два заявления. Первое – в банк об изъятии похищенных денег, а второе – в правоохранительные органы. Причем сде6лать это надо очень быстро: связываться с менеджером банка, узнать точно, на чье имя нужно написать заявление. Далее приезжает криминалист, который в первую очередь изучает компьютер.

Несмотря на то что электронные данные быстро затираются, по свежим следам еще можно определить, какие последние операции были сделаны. В первую очередь нужно понять, произошло ли вторжение извне – или это кто-то внутри организации что-то сделал своими руками. Компьютер очень помогает в расследовании, но только при условии, что он попадет в руки эксперту в течение хотя бы суток, когда еще не произошли автоматические обновления.

Если компания, у которой произошла кража денег, застрахована, нужно просто проверить компьютер на предмет соблюдения технических условий, которые были прописаны в договоре: например, что была установлена последняя версия антивируса, что клиент за 20 минут до кражи не гулял по зараженным сайтам и не проводил никаких несанкционированных действий.

Важно помнить: если все условия соблюдены, а заражение компьютера вирусом все же произошло, этот факт не может стать препятствием к выплате страховой премии.

Втайне от администратора

 

    

     Андрей Конусов,
     генеральный директор компании Avanpost

 

 

 

 

У каждого пользователя должны быть свои пароли, чтобы никто от его имени не мог получить доступ к критически важным приложениям. При этом возникает задача периодически обновлять пароли. Но нередко у работника организации может быть доступ к 10 системам, и от него требуют, чтобы он в каждую систему вводил свой пароль, который должен быть сложным, длинным, не поддающимся запоминанию.

На практике же чаще всего это единый простой пароль, который к тому же записан на бумажке, прикрепленной в уголке экрана.

Сотрудники организации имеют разные доступы к разным системам. Периодически ситуация меняется: в каждой из этих систем кому-то нужно открыть доступ, а кому-то – закрыть (например, в связи с кадровыми перестановками). Сложность администрирования усугубляется требованиями законодательства в отношении шифрования информационных ресурсов. Сертификаты колючей к информационным системам нужно хранить в бумажном виде с подписью ответственных людей и т.д.  Для этого необходимо вести соответствующие реестры. В итоге вырисовывается очень непростая задача администрирования.

Система Avanpost автоматизирует весь комплекс этих работ. Для доступа к нескольким системам пользователю выдается одна флеш-карта (токен), которая вставляется в компьютер и запрашивает PIN-код. В более сложном варианте система будет не генерировать каждый раз новый PIN-код и присылать его в виде СМС на телефон пользователя. После того как система идентифицировала пользователя, она автоматически открывает ему доступа ко всем необходимым информационным ресурсам и сама вводит все пароли, которых пользователь может и не знать. Администратор может задать политики безопасности так, чтобы менять пароли, которые человек никогда не запомнит, не раз в три дня, как обычно, а хоть каждые пять минут, причем автоматически. Если у злоумышленника нет токена и он не знает PIN-код, он никогда в эту систему не войдет со стороны, потому что такая частота смены пароля не позволит ему успеть подобрать нужную комбинацию символов. Система Avanpost интегрируется с кадровой базой. Любые изменения в позициях персонала автоматически попадают в эту систему. Если сотрудник уволен или ушел в отпуск, все права закрываются или приостанавливаются.

Система решает и так называемую проблему сисадмина, который, прописывая права всем пользователям, в обычной ситуации может знать все пароли и от имени любого сотрудника зайти в любую систему. Тем самым сисадмин становился наиболее рисковым звеном в системе защиты. Avanpost исключает эту ситуацию: выдавая ключевой носитель, система позволяет, например, подключить к ней PIN-конверт в запечатанном виде, и таким образом PIN-код неизвестен никому, включая системных администраторов.