Главная страница
Навигация по странице:

  • УПРАВЛЕНИЕ РИСКАМИ ПРИ ПРОВЕДЕНИИ ОПЕРАЦИЙ С ИСПОЛЬЗОВАНИЕМ

  • Поляков

  • Мониторинг ОПК: проблемы автоматизации

  • Простейший анализ первичных данных

  • Влияние

  • Закон о Национально! платежной системе

  • П . 3. ЛОЖКИН

  • Бесперебойность бизнес-процесса является «виртуальной», если регулярно не проводить тестирование для определения

  • Банковская деятельность. БАНКОВСКАЯ ДЕЯТЕЛЬНОСТЬ2. Банковская деятельность региональные аспекты


    Скачать 0.88 Mb.
    НазваниеБанковская деятельность региональные аспекты
    АнкорБанковская деятельность
    Дата17.04.2023
    Размер0.88 Mb.
    Формат файлаdoc
    Имя файлаБАНКОВСКАЯ ДЕЯТЕЛЬНОСТЬ2.doc
    ТипДокументы
    #1068308
    страница7 из 10
    1   2   3   4   5   6   7   8   9   10

    17

    Исследование функционирования субъектов финансового сектора

    УПРАВЛЕНИЕ РИСКАМИ ПРИ ПРОВЕДЕНИИ ОПЕРАЦИЙ С ИСПОЛЬЗОВАНИЕМ ПЛАТЕЖНЫХ БАНКОВСКИХ КАРТ

    К .Л. Поляков, канд. техн. наук,

    М.В. Полякова, канд. техн. наук,

    Национальный исследовательский университет «Высшая школа экономики»

    Мониторинг банковских операций и операций купли-продажи с использованием платежных карт (в даль­нейшем - операции по пластиковым картам, ОПК) является необходимым, условием снижения вероятности возникновения мошеннических операций (fraud, фрод). Процесс этот очень непростой и, несмотря на зна­чительные усилия специалистов, слабо формализуемый. Настоящая работа посвящена некоторым его ас­пектам, а представленные в ней результаты могут быть полезны для банков-эмитентов.

    Мониторинг ОПК: проблемы автоматизации

    Распределение ответственности в процессе мони­торинга ОПК определяют Международные платежные системы (МПС). Заметной тенденцией последних лет является смещение центра тяжести контроля ОПК от эмиссии в сторону обслуживания платежных карт [1, 2,3]. В недавних редакциях операционных правил МПС для банков-эквайров сформулированы подробные тре­бования к организации контроля ОПК в торгово-сер-висных организациях. В то же время существенную роль в борьбе с карточным мошенничеством всегда будут играть банки-эмитенты. От их решения во мно­гом зависит, удастся ли мошенникам реализовать свои преступные замыслы. Кроме того, держатель банков-

    ской карты, который непосредственно несет потери в результате карточного мошенничества (большие в слу­чае депозитной карты и меньшие в случае кредитной), обращается за компенсацией именно к банку-эмитен­ту, с которым он заключил договор. Это повышает ве­роятность возникновения потерь у банка. Но даже если потерь удается избежать (например, доказав вину дер­жателя карты или банка-эквайра), подрыв авторитета банка в этих ситуациях весьма вероятен.

    Реализация мониторинга ОПК требует привлече­ния средств автоматизации. Об этом свидетельству­ют темпы роста объема эмиссии (см. рис. 1) и коли­чество отчетов (несколько десятков в день) по резуль­татам мониторинга, которые необходимо направлять в МПС [4].

    210 -


    120 110


    100


    2 30 220 "

    Рис. 1. Объемы эмиссии платежных карт по данным Центрального банка РФ (млн единиц) URL: http://www.cbr.ru/statistics/p_sys/ps_imageO12.png

    Помимо фиксации значений установленных бан­ком-эмитентом параметров ОПК и их статистической обработки для формирования отчетности, мониторинг должен сопровождаться принятием решений, напри­мер, об отклонении/подтверждении авторизационных запросов или блокировании карт. Скорость их приня­тия должна быть достаточно высокой, чтобы снизить риски держателя карты, а значит, и свои риски. Сегод-

    ня существуют информационные системы мониторин­га, позволяющие организовать принятие решений в ре­альном времени [4, 5]. Однако использование средств автоматизации в данной ситуации предъявляет очень высокие требования к их настройке. Любые методы классификации, лежащие в основе систем принятия решений, обладают погрешностями, ведущими к при­нятию неправильных решений. Снижение величины


    Вопросы статистики, 12/2012

    39

    Исследование функционирования субъектов финансового сектора

    Наибольшие потери отмечены по операциям в банкома­тах, бакалейных магазинах, ресторанах, на автозапра­вочных станциях и при электронных продажах. При этом отмечается, что в целом в отличие от ситуации в SEPA в США не наблюдается снижения объемов карточного мошенничества, в частности в силу того, что здесь до сих пор мало распространены чиповые пластиковые карты. Согласно отчету Nilson Report [10, 11], 47% от всего количества мошеннических операций в мире по кредитным и дебетовым картам приходится на США.

    Относительно свежие данные о карточном мошен­ничестве в России приведены в [12]. Данные, предос­тавленные компанией «АльфаСтрахование», говорят о быстром росте их объемов. В период с 2009 по 2011 г. в 11 раз возросла «сумма выплаты страхового возме­щения по риску несанкционированного снятия денеж­ных средств».

    Таким образом, даже столь поверхностный анализ вторичных источников позволяет заключить, что:

    • в целом ОПК в США обладают более высоким
      риском, чем в остальном мире, особенно если карта
      не имеет чипа;

    • на территории SEPA к группе высокого риска
      можно отнести CNP-операции;

    • на той же территории несколько меньшим рис­
      ком обладают операции в POS-терминалах;

    • на территории США к группе высокого риска от­
      носятся операции по дебетовым картам.

    Приведенную классификацию можно существен­но развить за счет более тщательного анализа вторич­ных источников (публикаций в журналах, на сайтах, аналитических обзоров), многие из которых являются бесплатными.

    Простейший анализ первичных данных

    Используя результаты анализа вторичных источни­ков как критерий проверки правильности полученных результатов, можно при необходимости перейти к ана­лизу первичных данных собственного банка, опреде­лив набор характеристик ОПК (включая характеристи­ки держателя карты), которые будут использоваться для классификации операций. Предложенный далее вари­ант анализа можно отнести к простейшим. Он сводит­ся к анализу значимости разбиения множества ОПК на группы с помощью каждого из выбранных признаков. Технически это можно сделать, например, используя критерий хи-квадрат Пирсона [13] проверки гипотезы о том, что вероятности принадлежности ОПК к каж­дой из групп одинаковы. Если данная гипотеза отвер­гается, то анализируемый признак считается значимым для классификации. В ходе данного анализа игнори­руется возможная связь между выбранными призна­ками. Она может быть учтена в более сложных вари­антах анализа.

    Влияние временного фактора на вероятность фрода. Вероятность совершения мошеннических опе­раций зависит от времени. Об этом свидетельствует ана­лиз данных одного из российских банков. За 2009 г. объем его эмиссии составил 773841 карту. На рис. 2 представлена динамика блокирования карт банка.

    7 -

    3 2 1

    0



    1,41

    74

    1.35

    и

    0773"

    П

    ^ /° S/ X j? Г Г

    Рис. 2. Количество карт, заблокированных по причине

    мошенничества (тыс. единиц)

    Видно, что наибольшее количество карт, а именно 7780, заблокировано в октябре. По мнению специалис­тов банка, этому есть две причины. Во-первых, в пла­тежных системах происходит закрытие года, для фор­мирования отчетности собираются данные по картам, которые могли быть использованы в проведении мошен­нических операций. Платежная система направляет эту информацию в банки, которые в свою очередь доводят информацию до клиентов. Во-вторых, многие клиенты банка проводят летний отпуск за границей, используя карты банка для оплаты товаров и услуг: нужно учесть, что именно в июле в большинстве стран начинается лет­ний сезон скидок. Естественно ожидать, что в этих ус­ловиях держатели карт теряют осторожность и преступ­никам проще похитить сами карты или связанную с ними конфиденциальную информацию. Информация о комп­рометации накапливается, и осенью держателям карт приходят предупреждения от банков о том, что карта может быть несанкционированно использована.




    г г / /


    Рис. 3. Динамика количества заявлений о несогласии с операцией (единиц)


    Высокая рискованность ОПК в летний период под­тверждается динамикой количества заявлений о несог­ласии с операцией (см. рис. 3).


    -Вопросы статистики, 12/2012-

    41

    ПРАКТИКА I ПЛАТЕЖНЫЕ СИСТЕМЫ И РАСЧЕТЫ

    Закон о Национально! платежной системе: требования по информационной безопасности




    Как выявить инциденты информационной безопасности в платежных системах и управлять ими, обеспечить бесперебойность их функциони­рования и снизить риски мошенничества? Какие требования по защите информации банки должны включать в соглашения с платежными аген­тами? Попытаемся в статье дать ответы на эти вопросы.

    П . 3. ЛОЖКИН, заместитель генерального директора компании «Андэк»



    Особенностью процесса выявления и регистрации! инцидентов информационной безопасности в банкам является слабая связь событий, происходящих с информационными активами, с рисками, присущими этим активам в случае им несанкционированного разглашения или речки за пределы банка, либо доступа к ним неавторизованных сотрудников, нарушения целостности или доступности этим активов.

    Принятый 27.06.2011 Федераль­ный закон №161-ФЗ «О нацио­нальной платежной системе» (далее - Закон о НПС) определяет Центральный банк Росси и как регу­лятора по данному закону. В соот­ветствии с требованиями этого закона ЦБ РФ разработал ряд доку­ментов для обязательного исполне­ния всеми организациями, деятель­ность которых регулируется зако­ном (в основном это банки). В их числе два наиболее важных для кре­дитных организаций:

    • Указание Банка России
      (№2831-У от 09.06.2012)
      «Об отчетности по
      обеспечению защиты
      информации при
      осуществлении переводов
      денежных средств операторов
      платежных систем, операторов
      услуг платежной
      инфраструктуры, операторов
      по переводу денежных
      средств»;

    • Положение Банка России
      (№382-П от 09.06.2012)

    «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при

    осуществлении переводов

    денежных средств».

    Эти документы обусловили необходимость оценки банками рисков непрерывности функциони­рования платежных систем и управ­ления такими рисками, выявления инцидентов информационной без­опасности. Перед службами инфор­мационной безопасности банков встала также задача определения требований по защите информации с целью включения их в соглашения с платежными агентами.

    Инциденты ИБ

    Указание 2831-У фактически вводит требование о создании процесса выявления и регистра­ции инцидентов информацион­ной безопасности в системах, связанных с осуществлением платежных операций. В банке большинство систем имеют отно­шение к осуществлению платеж­ных операций, прямо или косвен­но обеспечивают или поддержи-

    вают деятельность по переводу денежных средств.

    Инциденты ИБ, как правило, не рассматривались банками как риски непосредственного хищения денежных средств и были слабо с ними связаны. В основном они покрывали «внутреннюю кухню» банка, где тоже существуют риски, но они не обязательно реализуются в мошеннические схемы по хище­нию денежных средств, а могут возникать, например, при наруше­нии конфиденциальности инфор-

    мации, в том числе, напрямую не относящейся к клиентам банка. Особенностью процесса выяв­ления и регистрации инцидентов ИБ в банках является слабая связь событий, происходящих с инфор­мационными активами, с рисками, присущими этим активам в случае их несанкционированного разгла­шения или утечки за пределы банка, либо доступа к ним неавто­ризованных сотрудников, наруше-

    I 70 I БАНКОВСКОЕ ДЕЛО I №112012


    Бесперебойность бизнес-процесса является «виртуальной», если регулярно не проводить тестирование для определения отказоустойчивости - нельзя предсказать даже при наличии казалось бы полностью отказоустойчивой инфраструктуры, что произойдет в случае отказа тех или иных систем.

    стойчивость. Порой происходят курьезные случаи, например, в кон­фигурационные файлы систем вне­сены IP-адреса, а не имя сервера, к которому обращается система. А при недоступности IP-адреса про­исходит отказ системы, хотя резер­вный сервер успешно запустился и содержит необходимые данные. Но это только половина пробле­мы, поскольку кроме отказоустой­чивой инфраструктуры должна быть бесперебойность и бизнес-процессов. Например, по какой-то причине нельзя попасть в основной офис (пожар, заблокирован вход и т.п.), а в другом офисе есть резер­вные места, и сотрудник может работать оттуда, но ключи цифро­вой подписи находятся у него в единственном экземпляре, в сейфе в основном офисе. В этом случае он ничего не сможет сделать, сколь хорошей ни была бы отказоустойчи­вость инфраструктуры. Поскольку процессы в банке взаимозависимы, выполнение работы одним сотруд­ником часто зависит от того, может ли выполнить свою работу другой сотрудник или другое подразделе­ние. Так, если при проектировании процесса не учитывалась его непре­рывность, сотрудник, который вво­дит в систему платеж (и делает это с резервного места) и не имеет права авторизовать его, выполняет бес­смысленную работу, если его колле­га, который должен авторизовать платеж, остался без основного рабо­чего места, а резервного для него не предусмотрено.

    В целях обеспечения непрерыв­ности бизнес-процессов необходи­мо проводить их анализ, чтобы выявить все подразделения, задей­ствованные в них, иначе, например, сформированный валютный пла­теж не будет отправлен без работ­ников валютного контроля, если при резервировании про них просто забыли. И только четко выявив потребности бизнеса, сле­дует определять список систем, необходимых для обеспечения бес­перебойной работы и поддержания основных бизнес-процессов. При этом возникает вопрос - следует ли

    бизнес-процесс резервировать или можно на некоторое время обой­тись без этого? Для того чтобы ответить на него, необходима стра­тегия непрерывности бизнеса, которая определяла бы, какой период считается критичным и каков допустимый уровень риска, на который может пойти банк. То есть для формирования такой стра­тегии необходимо проведение высокоуровневого анализа рисков. Если этого не сделать, то произой­дет то, что описано выше.

    Важно также помнить о том, что проблемы могут появиться не

    только в момент возникновения событий, влияющих на беспере­бойность работы банка, но и после их завершения. Если отсутствует план возвращения к нормальной работе, возможна, например, такая ситуация: ключ ЭЦП остался в сейфе в другом офисе, нужные бумаги там же, системы ИТ при переключении с резервных на основные потеряли данные, кото­рые были введены за время рабо­ты на резервной инфраструктуре, произошло частичное переключе­ние систем и т. д.

    Но не все случаи настолько фатальны. Из практики известно, что чаще происходят небольшие сбои на уровне процессов и в фун­кционировании инфраструктуры, которые не требуют эвакуации сотрудников с их рабочих мест в режиме «экстренного катапульти­рования и групповых забегов по пожарной лестнице», но требуют незамедлительных действий по восстановлению работоспособно­сти систем. Чтобы отследить эти события и выполнить требования закона по их учету и созданию отчетности, целесообразно также пользоваться автоматизированны­ми системами, основная функция

    ПРАКТИКА

    которых - работать с жизненным циклом инцидентов (в ITIL-понима-нии1 этого термина), обеспечивая непрерывность работы систем и процессов. Большинство подобных систем способно формировать необходимую отчетность по задан­ным критериям.

    Сегодня позиция большинства банков относительно организации реальной бесперебойности систем и процессов выжидательная: необ­ходимый минимум работ банки, конечно, делают, но не все из них серьезно относятся к проблеме и к рискам прекращения деятельности

    ввиду тех или иных факторов, предпочитая молчаливо принимать эти риски.
    1   2   3   4   5   6   7   8   9   10


    написать администратору сайта