Банковская деятельность. БАНКОВСКАЯ ДЕЯТЕЛЬНОСТЬ2. Банковская деятельность региональные аспекты

Мониторинг ОПК: проблемы автоматизации

Распределение ответственности в процессе мони­торинга ОПК определяют Международные платежные системы (МПС). Заметной тенденцией последних лет является смещение центра тяжести контроля ОПК от эмиссии в сторону обслуживания платежных карт [1, 2,3]. В недавних редакциях операционных правил МПС для банков-эквайров сформулированы подробные тре­бования к организации контроля ОПК в торгово-сер-висных организациях. В то же время существенную роль в борьбе с карточным мошенничеством всегда будут играть банки-эмитенты. От их решения во мно­гом зависит, удастся ли мошенникам реализовать свои преступные замыслы. Кроме того, держатель банков-

ской карты, который непосредственно несет потери в результате карточного мошенничества (большие в слу­чае депозитной карты и меньшие в случае кредитной), обращается за компенсацией именно к банку-эмитен­ту, с которым он заключил договор. Это повышает ве­роятность возникновения потерь у банка. Но даже если потерь удается избежать (например, доказав вину дер­жателя карты или банка-эквайра), подрыв авторитета банка в этих ситуациях весьма вероятен.

Реализация мониторинга ОПК требует привлече­ния средств автоматизации. Об этом свидетельству­ют темпы роста объема эмиссии (см. рис. 1) и коли­чество отчетов (несколько десятков в день) по резуль­татам мониторинга, которые необходимо направлять в МПС [4].

2 30 220 "

Рис. 1. Объемы эмиссии платежных карт по данным Центрального банка РФ (млн единиц) URL: http://www.cbr.ru/statistics/p_sys/ps_imageO12.png

Помимо фиксации значений установленных бан­ком-эмитентом параметров ОПК и их статистической обработки для формирования отчетности, мониторинг должен сопровождаться принятием решений, напри­мер, об отклонении/подтверждении авторизационных запросов или блокировании карт. Скорость их приня­тия должна быть достаточно высокой, чтобы снизить риски держателя карты, а значит, и свои риски. Сегод-

ня существуют информационные системы мониторин­га, позволяющие организовать принятие решений в ре­альном времени [4, 5]. Однако использование средств автоматизации в данной ситуации предъявляет очень высокие требования к их настройке. Любые методы классификации, лежащие в основе систем принятия решений, обладают погрешностями, ведущими к при­нятию неправильных решений. Снижение величины

■ Вопросы статистики, 12/2012

39

Наибольшие потери отмечены по операциям в банкома­тах, бакалейных магазинах, ресторанах, на автозапра­вочных станциях и при электронных продажах. При этом отмечается, что в целом в отличие от ситуации в SEPA в США не наблюдается снижения объемов карточного мошенничества, в частности в силу того, что здесь до сих пор мало распространены чиповые пластиковые карты. Согласно отчету Nilson Report [10, 11], 47% от всего количества мошеннических операций в мире по кредитным и дебетовым картам приходится на США.

Относительно свежие данные о карточном мошен­ничестве в России приведены в [12]. Данные, предос­тавленные компанией «АльфаСтрахование», говорят о быстром росте их объемов. В период с 2009 по 2011 г. в 11 раз возросла «сумма выплаты страхового возме­щения по риску несанкционированного снятия денеж­ных средств».

Таким образом, даже столь поверхностный анализ вторичных источников позволяет заключить, что:

• 
  в целом ОПК в США обладают более высоким
  риском, чем в остальном мире, особенно если карта
  не имеет чипа;
  
• 
  на территории SEPA к группе высокого риска
  можно отнести CNP-операции;
  
• 
  на той же территории несколько меньшим рис­
  ком обладают операции в POS-терминалах;
  
• 
  на территории США к группе высокого риска от­
  носятся операции по дебетовым картам.
  

Приведенную классификацию можно существен­но развить за счет более тщательного анализа вторич­ных источников (публикаций в журналах, на сайтах, аналитических обзоров), многие из которых являются бесплатными.

Простейший анализ первичных данных

Используя результаты анализа вторичных источни­ков как критерий проверки правильности полученных результатов, можно при необходимости перейти к ана­лизу первичных данных собственного банка, опреде­лив набор характеристик ОПК (включая характеристи­ки держателя карты), которые будут использоваться для классификации операций. Предложенный далее вари­ант анализа можно отнести к простейшим. Он сводит­ся к анализу значимости разбиения множества ОПК на группы с помощью каждого из выбранных признаков. Технически это можно сделать, например, используя критерий хи-квадрат Пирсона [13] проверки гипотезы о том, что вероятности принадлежности ОПК к каж­дой из групп одинаковы. Если данная гипотеза отвер­гается, то анализируемый признак считается значимым для классификации. В ходе данного анализа игнори­руется возможная связь между выбранными призна­ками. Она может быть учтена в более сложных вари­антах анализа.

Влияние временного фактора на вероятность фрода. Вероятность совершения мошеннических опе­раций зависит от времени. Об этом свидетельствует ана­лиз данных одного из российских банков. За 2009 г. объем его эмиссии составил 773841 карту. На рис. 2 представлена динамика блокирования карт банка.

7 -

74

1.35

0773"

П

^ /° S/ X j? Г Г

Рис. 2. Количество карт, заблокированных по причине

мошенничества (тыс. единиц)

Видно, что наибольшее количество карт, а именно 7780, заблокировано в октябре. По мнению специалис­тов банка, этому есть две причины. Во-первых, в пла­тежных системах происходит закрытие года, для фор­мирования отчетности собираются данные по картам, которые могли быть использованы в проведении мошен­нических операций. Платежная система направляет эту информацию в банки, которые в свою очередь доводят информацию до клиентов. Во-вторых, многие клиенты банка проводят летний отпуск за границей, используя карты банка для оплаты товаров и услуг: нужно учесть, что именно в июле в большинстве стран начинается лет­ний сезон скидок. Естественно ожидать, что в этих ус­ловиях держатели карт теряют осторожность и преступ­никам проще похитить сами карты или связанную с ними конфиденциальную информацию. Информация о комп­рометации накапливается, и осенью держателям карт приходят предупреждения от банков о том, что карта может быть несанкционированно использована.




Высокая рискованность ОПК в летний период под­тверждается динамикой количества заявлений о несог­ласии с операцией (см. рис. 3).

-Вопросы статистики, 12/2012-

41

Как выявить инциденты информационной безопасности в платежных системах и управлять ими, обеспечить бесперебойность их функциони­рования и снизить риски мошенничества? Какие требования по защите информации банки должны включать в соглашения с платежными аген­тами? Попытаемся в статье дать ответы на эти вопросы.

П . 3. ЛОЖКИН, заместитель генерального директора компании «Андэк»

Особенностью процесса выявления и регистрации! инцидентов информационной безопасности в банкам является слабая связь событий, происходящих с информационными активами, с рисками, присущими этим активам в случае им несанкционированного разглашения или речки за пределы банка, либо доступа к ним неавторизованных сотрудников, нарушения целостности или доступности этим активов.

Принятый 27.06.2011 Федераль­ный закон №161-ФЗ «О нацио­нальной платежной системе» (далее - Закон о НПС) определяет Центральный банк Росси и как регу­лятора по данному закону. В соот­ветствии с требованиями этого закона ЦБ РФ разработал ряд доку­ментов для обязательного исполне­ния всеми организациями, деятель­ность которых регулируется зако­ном (в основном это банки). В их числе два наиболее важных для кре­дитных организаций:

• 
  Указание Банка России
  (№2831-У от 09.06.2012)
  «Об отчетности по
  обеспечению защиты
  информации при
  осуществлении переводов
  денежных средств операторов
  платежных систем, операторов
  услуг платежной
  инфраструктуры, операторов
  по переводу денежных
  средств»;
  
• 
  Положение Банка России
  (№382-П от 09.06.2012)
  

«О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при

осуществлении переводов

денежных средств».

Эти документы обусловили необходимость оценки банками рисков непрерывности функциони­рования платежных систем и управ­ления такими рисками, выявления инцидентов информационной без­опасности. Перед службами инфор­мационной безопасности банков встала также задача определения требований по защите информации с целью включения их в соглашения с платежными агентами.

Инциденты ИБ

Указание 2831-У фактически вводит требование о создании процесса выявления и регистра­ции инцидентов информацион­ной безопасности в системах, связанных с осуществлением платежных операций. В банке большинство систем имеют отно­шение к осуществлению платеж­ных операций, прямо или косвен­но обеспечивают или поддержи-

вают деятельность по переводу денежных средств.

Инциденты ИБ, как правило, не рассматривались банками как риски непосредственного хищения денежных средств и были слабо с ними связаны. В основном они покрывали «внутреннюю кухню» банка, где тоже существуют риски, но они не обязательно реализуются в мошеннические схемы по хище­нию денежных средств, а могут возникать, например, при наруше­нии конфиденциальности инфор-

мации, в том числе, напрямую не относящейся к клиентам банка. Особенностью процесса выяв­ления и регистрации инцидентов ИБ в банках является слабая связь событий, происходящих с инфор­мационными активами, с рисками, присущими этим активам в случае их несанкционированного разгла­шения или утечки за пределы банка, либо доступа к ним неавто­ризованных сотрудников, наруше-

I 70 I БАНКОВСКОЕ ДЕЛО I №112012

Бесперебойность бизнес-процесса является «виртуальной», если регулярно не проводить тестирование для определения отказоустойчивости - нельзя предсказать даже при наличии казалось бы полностью отказоустойчивой инфраструктуры, что произойдет в случае отказа тех или иных систем.

стойчивость. Порой происходят курьезные случаи, например, в кон­фигурационные файлы систем вне­сены IP-адреса, а не имя сервера, к которому обращается система. А при недоступности IP-адреса про­исходит отказ системы, хотя резер­вный сервер успешно запустился и содержит необходимые данные. Но это только половина пробле­мы, поскольку кроме отказоустой­чивой инфраструктуры должна быть бесперебойность и бизнес-процессов. Например, по какой-то причине нельзя попасть в основной офис (пожар, заблокирован вход и т.п.), а в другом офисе есть резер­вные места, и сотрудник может работать оттуда, но ключи цифро­вой подписи находятся у него в единственном экземпляре, в сейфе в основном офисе. В этом случае он ничего не сможет сделать, сколь хорошей ни была бы отказоустойчи­вость инфраструктуры. Поскольку процессы в банке взаимозависимы, выполнение работы одним сотруд­ником часто зависит от того, может ли выполнить свою работу другой сотрудник или другое подразделе­ние. Так, если при проектировании процесса не учитывалась его непре­рывность, сотрудник, который вво­дит в систему платеж (и делает это с резервного места) и не имеет права авторизовать его, выполняет бес­смысленную работу, если его колле­га, который должен авторизовать платеж, остался без основного рабо­чего места, а резервного для него не предусмотрено.

В целях обеспечения непрерыв­ности бизнес-процессов необходи­мо проводить их анализ, чтобы выявить все подразделения, задей­ствованные в них, иначе, например, сформированный валютный пла­теж не будет отправлен без работ­ников валютного контроля, если при резервировании про них просто забыли. И только четко выявив потребности бизнеса, сле­дует определять список систем, необходимых для обеспечения бес­перебойной работы и поддержания основных бизнес-процессов. При этом возникает вопрос - следует ли

бизнес-процесс резервировать или можно на некоторое время обой­тись без этого? Для того чтобы ответить на него, необходима стра­тегия непрерывности бизнеса, которая определяла бы, какой период считается критичным и каков допустимый уровень риска, на который может пойти банк. То есть для формирования такой стра­тегии необходимо проведение высокоуровневого анализа рисков. Если этого не сделать, то произой­дет то, что описано выше.

Важно также помнить о том, что проблемы могут появиться не

только в момент возникновения событий, влияющих на беспере­бойность работы банка, но и после их завершения. Если отсутствует план возвращения к нормальной работе, возможна, например, такая ситуация: ключ ЭЦП остался в сейфе в другом офисе, нужные бумаги там же, системы ИТ при переключении с резервных на основные потеряли данные, кото­рые были введены за время рабо­ты на резервной инфраструктуре, произошло частичное переключе­ние систем и т. д.

Но не все случаи настолько фатальны. Из практики известно, что чаще происходят небольшие сбои на уровне процессов и в фун­кционировании инфраструктуры, которые не требуют эвакуации сотрудников с их рабочих мест в режиме «экстренного катапульти­рования и групповых забегов по пожарной лестнице», но требуют незамедлительных действий по восстановлению работоспособно­сти систем. Чтобы отследить эти события и выполнить требования закона по их учету и созданию отчетности, целесообразно также пользоваться автоматизированны­ми системами, основная функция

ПРАКТИКА

которых - работать с жизненным циклом инцидентов (в ITIL-понима-нии¹ этого термина), обеспечивая непрерывность работы систем и процессов. Большинство подобных систем способно формировать необходимую отчетность по задан­ным критериям.

Сегодня позиция большинства банков относительно организации реальной бесперебойности систем и процессов выжидательная: необ­ходимый минимум работ банки, конечно, делают, но не все из них серьезно относятся к проблеме и к рискам прекращения деятельности

ввиду тех или иных факторов, предпочитая молчаливо принимать эти риски.