2020/04/09 18:17:22

Основные тренды в сфере защиты банковских платежей


Содержание

Основная статья: Информационная безопасность в банках

Аннотация

Финансовые организации являются наиболее защищенной в плане информационной безопасности экономической сферой. Причины очевидны – риски именно экономических потерь в случае киберинцидентов – прямые и наблюдаемые. В то же время, финансовые организации обладают достаточными бюджетами и мотивацией для качественного развития ИТ- и ИБ-систем.

Тем не менее, инциденты ИБ, связанные с нелегитимными транзакциями, в настоящее время распространены и не теряют актуальности. Автором рассматривается, какие именно процессы сейчас находятся в зоне риска, а какие уже достаточно продуманы, и их риски на текущий момент минимизированы.

Как показывает статистика, транзакции между пользователем и банковской системой являются наименее защищенными и наиболее частыми мишенями злоумышленников. Поэтому ниже рассматриваются транзакции уровня «клиентское устройство – банковский бэкенд». Внутренние и межбанковские платежные операции не являются предметом данной статьи.

Введение

Статистика The Boston Consulting Group от 2019 года подтверждает рост популярности безналичных платежей в мире за последние 10 лет: общемировой прирост составляет 13,6% с 2010 года, статистика по Северной Америке усредненно составляет 3,2% в год, 5% – для европейского региона. Причем локомотивом роста транзакций в Европейском регионе является Россия: число безналичных карточных транзакций на человека в России с 2010 по 2018 год выросло в 30 раз, что сделало Россию мировым лидером по числу защищенных токенизированных транзакций[1]. Этому способствовали бурный технологический рост банковского сектора, более легкая адаптация бесконтактных мобильных платежей с использованием Apple Pay, Google Pay и других подобных приложений, распространение платформ е-коммерц, отсутствие отягощения «традиционностью» при выборе технологической платформы. Таким образом, Россия стала крупнейшим в Европе рынком по объему операций с использованием цифровых кошельков.

Стремительное распространение безналичных платежей вносит закономерные риски информационной безопасности в финансовую сферу. Они связаны как c организацией самого процесса платежа и потерей контроля финансовой компании над ним, так и с рисками мошенничества через пользователей платежных систем.Российский рынок облачных ИБ-сервисов только формируется 2.6 т

Для минимизации рисков в процессе организации платежей существует ряд регулирующих органов и обязательных стандартов, которым должен соответствовать в определенной ему мере каждый участник операции. Основная сложность состоит в том, что с точки зрения системы мошеннические платежи могут удовлетворять всем необходимым требованиям для подтверждения добровольного намерения пользователя. А направленные на пользователей схемы мошенничества с платежными данными за последние годы переросли в полноценную социальную инженерию. Используются различные схемы ввода пользователя в заблуждение. Так, по данным ФБР, собранным по всему миру по известным инцидентам, к концу 2019 года наблюдаются следующие тренды в части социальной инженерии:

  • Наиболее часто используются следующие сценарии социального мошенничества: схемы авансовых платежей, схемы мошенничества с инвестициями, жульничество на романтическую тематику, обманная техническая поддержка, эксплуатация темы внуков, жульничество с государственным мошенничеством, благотворительные и лотерейные жульничества, ремонт дома, жульничества на телевидении/радио и обманы с родством и опекунством. Под предлогом различных ситуаций мошенники убеждают пользователя добровольно отдать данные банковских карт или продиктовать приходящие коды подтверждения и тем самым осуществляют мошеннические переводы.
  • Большой объем жалоб поступает от жертв старше 60 лет (это добровольная статистика, поэтому данные оценочные) – порядка 68000 жалоб на $835 млн ущерба.
  • Активно растет количество так называемого «Tech Support Fraud» – эксплуатация доверия пользователей к технической поддержке. Злоумышленник представляется профессионалом ИТ-службы компании (чаще всего туристического агентства, финансовой компании) и под предлогом защиты средств убеждает пользователя предоставить данные для перевода средств на «безопасный» счет. За 2019 год жалобы поступали из 48 стран, оценка потерь составляет $54 млн, что показывает рост на 40% по сравнению с предыдущим годом.

Россия по итогу 2019 года попала в двадцатку стран по количеству жертв такого рода атак.

Центральный Банк России, в свою очередь, поделился аналитикой работы системы обработки инцидентов ФинЦЕРТ и Автоматизированной системы «Фид-АнтиФрод» за 2019 год:

  • 69% всех операций по переводу средств без фактического согласия клиентов было совершено в результате побуждения клиентов путем обмана к самостоятельному проведению операции – мошенничество с использованием социальной инженерии, или в результате получения злоумышленниками прямого доступа к электронным средствам платежа. Объем хищений составляет 5723,5 млн руб., на фоне общего объема операций с использованием электронных средств платежей – 7,3 трлн руб.
  • Средняя стоимость хищения составляет: для физических лиц – 10 тыс. руб., для юридических – 152 тыс. руб. То есть прослеживается тенденция к множественным некрупным хищениям.
  • Основное количество инцидентов связано с операциями по оплате товаров и услуг в Интернете (CNP-транзакции) и методами социальной инженерии (мошенничества). Заметный процент инцидентов является результатом получения злоумышленниками доступа к системе ДБО с использованием вредоносного ПО, рассчитанного на взлом ПО стационарных компьютеров.
  • В географических лидерах: Москва и Центральный федеральный округ, Санкт-Петербург, Уральский, Приволжский и Дальневосточный федеральные округа.
  • Несмотря на преобладание условно добровольного согласия на проведение операций хищений, банкам удалось возместить клиентам порядка 935 млн руб., что составляет 15% от похищенных сумм.

О трендах в защите процесса платежных операций

Финансовые организации находятся под влиянием большого числа регуляторных организаций и их нормативных актов: PCI SSC (PCI DSS), ФСТЭК (ПДн, КИИ, и др), ФСБ, ЦБ и Финтех, НПС, требования SWIFT и другие. Прямое отношение к платежным транзакциям и требованиям к защите пользовательских платежей имеют акты PCI DSS, ЦБ РФ в России.

ЦБ РФ


Во-первых, требования Банка России, а именно стандарты 683-П, ГОСТ 57580.1, 382-П и другие, согласно вступившим в силу законам, переходят из статуса рекомендательных в статус обязательных, по согласованию с ФСТЭК и ФСБ. Таким образом, полномочия ЦБ и, соответственно, уровень защищенности финансовых организаций усиливаются. Новые документы отражают тенденцию к усилению регулирования информационной безопасности и обеспечению реальной защищенности финансовых организаций взамен формализма.

Свое внимание ЦБ за прошедший год направил на непрерывность мониторинга ИБ и развитие ФинЦЕРТ фидов, а также на защиту от мошеннических переводов и платежных операций (фрод). Законодательно усилены полномочия антифрод-систем и возможности банка по оперативному приостановлению подозрительных переводов и временному блокированию электронных средств платежей при подозрении их компрометации на срок до двух рабочих дней (основания для подозрения: совпадение параметров платежей с базой мошеннических устройств или счетов, аномальные платежные параметры, например, сумма и периодичность, место осуществления платежа и др.). Банк информирует клиента, запрашивает подтверждение для возобновления проведения платежей и, соответственно, либо блокирует, либо возобновляет платеж, дает рекомендации по снижению риска возникновения аналогичных ситуаций. Аналогичный механизм запускается при уведомлении о мошеннической транзакции от пострадавшего клиента банка – на срок до 5 дней для подтверждения платежа (если перечисление средств еще не произошло, поэтому крайне важно сообщать о подобных операциях оперативно!).

Прямое отношение к защите платежей клиентов и противодействию осуществлению переводов денежных средств без согласия клиента имеет постановление 683-П. Основные требования 683-П: сертификация прикладного ПО во ФСТЭК на отсутствие НДВ или анализ уязвимостей на ОУД4, обеспечение целостности и достоверности защищаемой информации, защита при передаче по каналам связи, регистрация и хранение в течение 5 лет информации о всех действиях, связанных с доступом к защищаемым данным работников и клиентов. Плюс отправка сведений об инциденте в ФинЦЕРТ.

В России в активной стадии проработки находится проект сервиса быстрых межбанковских платежей (СБП) – осуществление межбанковских переводов между клиентами с использованием номера мобильного телефона, что значительно упрощает процедуру перевода. Подключение кредитных организаций к СБП на данный момент является добровольным, но уже большое число банков заявили о намерении. ЦБ РФ, в свою очередь, уже ввел часть нормативно-организационных понятий, касающихся этой системы, в Положение 672-П, то есть требования безопасности к такому виду переводов также уже активно прорабатываются.

PCI DSS

Организация Payment Card Inductry Security Standards Council (PCI SSC) – это международный регулирующий орган по стандартам безопасности индустрии платежных карт. Совет PCI SSC был создан коллективным решением международных платежных систем VISA, MasterCard, American Express, JCB, Discover. В компетенции совета PCI SSC входят разработка и поддержка стандартов обеспечения безопасности данных индустрии платежных карт. Основными документами являются:

  • Payment Card Industry Data Security Standard – PCI DSS – основной документ, определяющий требования безопасности к поставщикам услуг и торгово-сервисным предприятиям, использующим в обращении платежные карты.
  • Payment Card Industry Payment Application Data Security Standard – PCI PA-DSS – стандарт, определяющий требования по безопасности к платежным приложениям и процессу их разработки, обрабатывающим данные о держателях карт, тем самым минимизирующий атаки вида «цепочки поставки».
  • Payment Card Industry Point-to-Point Encryption – PCI P2PE – стандарт, содержащий требования к решениям по шифрованию данных платежных карт при передаче между участниками процедуры оплаты (от торгово-сервисного предприятия до банка-эквайера).
  • Payment Card Industry PIN Transaction Security – PCI PTS – стандарт, содержащий требования к обрабатывающим персональный идентификатор (PIN) устройствам: POS-терминалы, PIN-клавиатуры, аппаратные модули безопасного хранения и обработки действий с PIN (HSM).
  • Payment Card Industry Token Service Provider – PCI TSP – требования безопасности для поставщиков услуг токенизации.
  • Стандарт Card Production – стандарт для эмитентов платежных карт (выпускающий карты организаций).
  • PCI 3DS Core Security Standard – стандарт безопасности для организаций, выполняющих или предоставляющих функции платежей без физического предоставления карты.

Ключевым активным стандартом сейчас является PCI DSS версии 3.2. Фокус внимания в нем, по сравнению с предыдущими версиями, ввиду роста популярности сервисных моделей в ИТ, смещен на расширение ответственности сервис-провайдеров и критерии оценки всех участников, вовлеченных в обслуживание транзакций, закреплены обязанности по регулярному тестированию систем платежей и требования к маскировке номера счета. Стандарт PCI DSS содержит в себе двенадцать разделов проверки безопасности систем:

  • Защита вычислительной сети.
  • Конфигурация компонентов информационной инфраструктуры.
  • Защита хранимых данных о держателях карт.
  • Защита передаваемых данных о держателях карт.
  • Антивирусная защита информационной инфраструктуры.
  • Разработка и поддержка информационных систем.
  • Управление доступом к данным о держателях карт.
  • Механизмы аутентификации.
  • Физическая защита информационной инфраструктуры.
  • Протоколирование событий и действий.
  • Контроль защищенности информационной инфраструктуры.
  • Управление информационной безопасностью.

NFC

Рынок подвижен, технологии постоянно трансформируются в сторону улучшения пользовательского опыта (usability). Так, бурное развитие получили технологии бесконтактной оплаты (NFC), которые несут в себе новые риски. Соответствующий набор стандартов регулярно обновляется и пересматривается. В частности, большое внимание в разрабатываемых версиях документов PCI SSC уделено устройствам «Сommercial off-the-shelf» (COTS) – коммерческим готовым устройствам, участвующим в платежах – это смартфоны, планшеты и другие устройства с NFC-чипом. В настоящее время производится обновление стандарта CPoC (Contactless Payments on COTS), которое затрагивает следующие вопросы:

  • Требования к платежам через NFC-интерфейс («Tap and Go»), в том числе аттестационные процедуры для программных и аппаратных компонент участников NFC-платежа.
  • Требования к бесконтактным платежам с помощью ленты (Magnetic Stripe Readers, MSR) и чипа («Europay + MasterCard + VISA», EMV, стандарт для операций по банковским картам с чипом).
  • Вопросы запрета на транзакции с вводом PIN и других процедур верификации пользователя карты – CVM (Cardholder Verification Method) – онлайн или офлайн PIN, подпись чека.

Что касается коммерческих платежных устройств (COTS), соответствующий им ранее стандарт безопасности платежных приложений PA DSS, основанный на требованиях VISA и Master Card, снимается с поддержки. На смену ему приходят новые стандарты для платежных приложений на устройствах «Software-Based PIN Entry on COTS» (SPoC, 2018 г.) и стандарт для устройств бесконтактной оплаты «PCI Contactless Payments on COTS» (CPoC, 2020 г.) под фреймворком «Software Security Framework» – программой сертификации PCI SSC для производителей платежных решений. Для производителей карт и считывающих устройств платежных транзакций и средств обеспечения работы платежных операций введен механизм сертификации. Сертифицированные лаборатории аккредитуются PCI SSC и осуществляют далее услугу проверки программного и аппаратного обеспечения, поданного на сертификацию. Таким образом, гарантируется выполнение программным и аппаратным обеспечением платежей требований структуры PCI SSC. В частности, вышедший в 2018 году стандарт «Software-Based PIN Entry on COTS» содержит в себе принципы и методологию оценки для мобильных платежных решений, в которых ввод PIN-кода осуществляется на мобильных устройствах (смартфонах, планшетах) и подразумевает шифрование данных PIN и аккаунта при отправке между считывающим терминалом, устройством оплаты и бэкендом, а также другие требования безопасности. Каковы тренды развития стандарта: в разработке сейчас обновление до PCI DSS v4.0, выход запланирован на 2020 год. Кроме актуализации стандарта, целью новой версии является выработка отношения к ИБ как к постоянному процессу (continuous process), усиление методов валидации и процедур.

Полный набор стандартов PCI SSC охватывает все процессы, связанные с платежными картами и платежами, – от производства программно-аппаратного обеспечения, до обеспечения защиты транзакций торгово-сервисного предприятия. При этом набор стандартов с 2012 года является обязательным для всех организаций, где присутствуют хранение, обработка или передача хотя бы одного номера карты какой-либо из пяти международных платежных систем-участниц Совета PCI SSC («МИР», Visa, MasterCard, American Express, JCB и Discover) в рамках какого-либо бизнес-процесса организации, с ежегодным контролем поддержания соответствия путем внутреннего или внешнего аудита.

В 2017 году к Совету PCI SSC присоединилась российская платежная система «МИР».

3D secure

Отдельно стоит отметить стандарт безопасности «PCI Three-Domain Secure Core Security Standard» (3DS). Он входит в пакет стандартов PCI SSC как стандарт безопасности для организаций, выполняющих или предоставляющих функции, определенные в EMV 3-D Secure Protocol and Core Functions Specification.

Стандарт определяет механизмы аутентификации участников платежа, безопасность и защиту от обмана (фрода) транзакций при отсутствии требования в физической демонстрации карты (Card-Not-Present, CNP), в частности, при платежах в Интернете. Стандарт добавляет дополнительный к CVV шаг аутентификации через одноразовый код подтверждения, предоставляемый банком пользователю карты в SMS-сообщении, Push-уведомлении или другим способом.

PSD2

Платежная директива Revised Payment Service Directive – PSD2 – распространяется на страны Европейского союза и затрагивает реализацию онлайн-платежей (чего не было в первой версии от 2007 года) и, что более важно, реализацию безопасности таких платежей.

Цель новой директивы PSD2 – создать систему «открытого банкинга» в Европе, создав равные условия для всех игроков рынка, крупных и мелких, и сделать платежи более безопасными, улучшив клиентскую защиту. Директива направлена на снижение вероятности мошенничества с электронными транзакциями. Она должна улучшить защиту клиентских данных за счет использования надежной аутентификации пользователей в электронных транзакциях: пароль или PIN-код, ПЛЮС данные карты, ПЛЮС данные биометрии, ПЛЮС динамический код из клиент-банка.

PSD2, в первую очередь, стандартизовала API передачи данных между банками и платежной системой при совершении клиентом онлайн-платежа, и, соответственно, между организацией платежа и целевым банк-клиентом. Директива ввела требования к безопасности: шифрование коммуникаций от/к организации-инициатору платежа, ограничение доступных полей запроса платежных данных.

Кроме этого, директива включает правило о безусловном праве на возврат дебетового списания до 8 недель после совершения платежа, контроль взимания дополнительных средств за совершение платежей по карте (комиссии), ограничение на максимальную сумму неавторизованного платежа (до 50 евро).

Выводы

Стандарты PCI SSC не закреплены на государственном уровне как обязательные, точнее, только некоторые штаты в США ввели их на законодательном уровне. Но, благодаря требованиям платежных систем, они выполняются в большом количестве организаций. Исследование компании Cisco по выполнению стандарта в США от 2011 года выявило следующее:

  • Из всех отраслей лучше всех выполняют требования PCI DSS предприятия розничной торговли и финансовые организации; розничная торговля самым серьезным образом отнеслась к внедрению и реализации этого стандарта.
  • При этом 85% опрошенных считают, что в настоящий момент их организации способны успешно пройти аудит PCI DSS, а 78% успешно прошли такой аудит с первого раза.
  • Наиболее высокие результаты в данной области показали государственные организации: 85% госучреждений успешно прошли аудит PCI DSS с первого раза. Хуже всего проходили такой аудит медицинские организации (72%).
  • 67% опрошенных руководителей компаний и членов советов директоров считают PCI DSS весьма важной инициативой; кроме того, 60% опрошенных подтвердили, что стандарт PCI DSS может стимулировать другие проекты, связанные с сетями и сетевой безопасностью.

10 лет назад компания «Verizon» начала отслеживание выполнения стандарта PCI DSS среди компаний. Отчет «Verizon PCI Report» от 2019 года показывает, что динамика поддержания соответствия ранжируется от 22% (2009 г.) до 7,5% (2011 г.) и 55,4% (2016 г.) – см. рисунок 1. И сейчас, спустя 15 лет после выхода стандарта, более 35% поддерживают системы защиты в полностью актуальном соответствии стандарту, многие компании находятся в процессе проработки подобных процедур.

Рис. 1 – Динамика поддержания систем защиты на соответствие стандарту PCI DSS по годам

В условиях технологического рывка финансовой сферы технология 3D Secure получила достаточно широкое распространение благодаря удобству для пользователя при высоком уровне защищенности.

В России, кроме того, с 2020 года становятся обязательными требования ЦБ РФ к финансовым организациям. А с июля 2016 года действует закон «О внесении изменений в 54-ФЗ «О применении контрольно-кассовой техники при осуществлении наличных денежных расчетов и (или) расчетов с использованием платежных карт» (контрольно-кассовая техника – далее «ККТ»), обязывающий, в том числе, все онлайн платежные операции осуществлять с использованием ККТ, подключенной к системе онлайн-передачи фискальных данных в ФНС. Для этого используются операторы фискальных данных (ОФД), которые располагают специальными техническими средствами обработки фискальных данных в режиме реального времени, формирования, проверки и хранения у себя базы фискальных данных, а также передачи их в налоговый орган. Для конечного пользователя этот закон полезен тем, что при любой онлайн-покупке он получает по почте или другим методом подтверждающий чек, являющийся полноценным фискальным документом. ОФД, в свою очередь, располагает техническими средствами защиты фискальных данных и необходимыми лицензиями ФСТЭК и ФСБ.

Рекомендации пользователю

В настоящее время наибольшую угрозу в сфере платежей представляет мошенничество на основе социальной инженерии. Поэтому важно воспитание технологической грамотности среди пользователей банковских услуг. Что можно порекомендовать в качестве мер цифровой гигиены для конечного пользователя платежных систем[2]:

  • Не сохранять платежные данные на сомнительных сервисах, сопоставлять риски и необходимость ввода платежных данных на ресурсах, не поддерживающих стандарт 3D Secure (он требует поддержи не только от платежной системы и финансовой организации, но также и от самого торгово-сервисного предприятия).
  • Нигде не сохранять код с обратной стороны карты (CVV-код)! И не сообщать никому следующие коды: CVV-код, код из SMS, Push-уведомления, PIN-код карты – их не имеет права запрашивать НИКТО – ни сотрудник банка, ни служба техподдержки, никто иной, вы используете эти коды только в процессе определенных платежных операций.
  • Избегать мошенничества: быть бдительными, не доверять телефонным звонкам. Не раскрывать свои персональные данные: ФИО, место и год рождения, данные паспорта. Сотрудники банка имеют доступ к этой информации при необходимости, и, если кто-то пытается узнать у вас эти данные,– это подозрительно, вешайте трубку и самостоятельно перезванивайте в банк.
  • В случае успешного мошенничества: оперативно сообщать банку о подозрительном платеже и выполнять все требуемые банком инструкции. Своевременное сообщение позволит временно заблокировать платеж для выяснения его легитимности. В случае потери или кражи карты необходимо поступать так же.
  • Не скачивать и не устанавливать программы на мобильные устройства по просьбе незнакомых людей, и, тем более, не сообщать им коды доступа к программам. Необходимо хорошо понимать, что вы устанавливаете и зачем. Желательно внимательно управлять правами, запрашиваемыми программами, и минимизировать их.

Автор статьи: Михайлова Анна Юрьевна.

Платежные системы и сервисы