Емелин Киберпреступность набирает обороты

[Гость Тимур Аитов]

9 июля 2013

Алина Оприско

России еще предстоит столкнуться с проблемой интернет-мошенничества в полной мере, но эксперты рынка уже сейчас понимают, что необходим комплексный подход: сочетание законодательных мер, активного использования систем информационной безопасности основными операторами транзакций – банками и телекомом, интеллектуальной аналитики, организованного взаимодействия всех участников рынка позволяют добиться высоких результатов. И конечно, грамотность простого пользователя.

Чем выше уровень информатизации в стране, тем большую угрозу представляет киберпреступность. Например, за 2012 г. потери от мошенничества в Великобритании, по оценкам National Fraud Authority, достигли 73 млрд ф.ст., в других развитых странах наблюдается аналогичная ситуация. России еще предстоит столкнуться с этой проблемой в полной мере.

20 июня Информационное агентство РБК провело конференцию «Защита от мошенничества: современные подходы», в ходе которой эксперты обсудили современные вызовы и угрозы, создаваемые ростом киберпреступности в мире, и сценарии реагирования на них в различных плоскостях: законодательной, технической и информационной.

Синхронизация законов

Преступники подрывают доверие граждан к информационным системам, в том числе к электронным госуслугам, и тем самым наносят ущерб государству – поскольку государство инвестирует значительные средства в создание информационных систем, прежде всего в развитие электронных госуслуг. Разрабатываемая в Совете Федерации стратегия кибербезопасности призвана поставить заслон хакерам, защитить секретную информацию и предотвратить преступления в интернет-пространстве.

«Киберпреступления сложнее заметить, поэтому считать их еще нужно учиться», – сказал Руслан Гаттаров, член Совета Федерации, председатель Комиссии по развитию информационного общества. По данным разных информационных агентств, в мире от действий киберпреступников пострадало от 1 % до 17 % жителей. Разработчики антивирусов называют большие цифры, правоохранители меньшие. Достоверная картина не складывается, потому что киберпреступления сложно обнаружить, а с точки зрения законодательства, которое не поспевает за развитием технологий, не все вторжения в информационные системы можно квалифицировать как преступления.

Сказывается и низкая информированность граждан о рисках при пользовании платежными системами и совершении иных действий в интернете. Например, после опроса, проведенного в Европе, в ходе которого хотели выяснить, что пользователи знают об угрозах в сети, 15 % опрошенных решили отказаться от интернет-банкинга.

Среди проблем, которые препятствуют развертыванию более действенной борьбы с компьютерными преступлениями на государственном уровне, можно упомянуть несовершенство законодательства, отсутствие механизма регистрации жалоб на кибермошенничество и необходимость широкого международного сотрудничества спецслужб – тогда как у мошенников международная кооперация налажена очень хорошо.

Борьба с киберпреступностью только в своих границах малоэффективна. Однако формирование международных механизмов идет очень тяжело: постоянно встает вопрос о предоставлении данных за рубеж. «Нужны не подпольные договоры между спецслужбами, а практика взаимодействия и относительная синхронизация национальных законов», – сказал Руслан Гаттаров.

ЦБ за превентивные меры

Как и в охране здоровья, профилактика лучше экстренных мер по исправлению ситуации – лечению больного или возмещению ущерба клиентам, пострадавшим от мошенников. Андрей Курило, заместитель директора департамента регулирования расчетов Банка России, отметил, что тенденция роста попыток мошенничества есть, но она пока небольшая, в пределах 20 % в год и банки в целом с ситуацией справляются. К числу наиболее острых проблем в борьбе с мошенниками относятся неопределенность правового поля и отсутствие механизмов влияния на производителей систем.

Первым рубежом в борьбе с кибермошенничеством должны быть превентивные меры, чтобы отразить возможные атаки. Если это не удалось, то нужно переходить ко второй фазе борьбы, проводить организационно-технические мероприятия по компенсации нанесенного вреда, восстановлению прав и возмещению денежных средств. На сегодняшний день, отметил Андрей Курило, нет механизма влияния на производителей ПО в части соблюдения требований по безопасности, многие текущие продукты имеют изъяны и терпеть это нельзя. Принятие продукта в эксплуатацию должно происходить после проведения испытаний на устойчивость к атакам.

Банкам нужно отказаться от использования устаревших технологий, которые уже не могут противостоять мошенникам, прежде всего от карт с магнитной полосой. Скимминг стал широко распространенным явлением. В Индии с этой поступили просто – к каждому банкомату приставили по офицеру безопасности, что возможно в этой стране из-за низкой заработной платы. Конечно, переход к картам с чипами потребует значительных инвестиций и займет какой-то период времени, поскольку связана также и с заменой оборудования, но это всё равно придется делать.

В целом проблема защиты от мошенничества носит многоплановый характер, поэтому и работа должна вестись по разным направлениям. Во-первых, банкам следует активно подключаться к системам фрод-мониторинга, уже доказавшим свою эффективность. Во-вторых, тщательно реализовывать требования по безопасности, изложенные в стандарте ЦБ. Только лишь формальное выполнение этих требований никому не нужно, это скорее создает питательную среду для киберпреступности.

Однако, задача номер один – повышение компьютерной грамотности пользователей, которые часто становятся жертвами мошенников исключительно вследствие своей беспечности. Пользователи должны сами позаботиться о своей безопасности и никакой специальный закон этого не сделает – ведь не нужен закон, чтобы чистить зубы.

Противодействовать сообща

В своем выступлении Андрей Емелин, президент некоммерческого партнерства «Национальный платежный совет», рассказал участникам о стратегических моделях предотвращения мошенничества, которые обсуждаются в рамках комитетов и рабочих групп НП НПС.

Одним из ключевых проектов в этой сфере является создание централизованной системы «Фрод-мониторинг», которая позволит банкам обмениваться информацией о фактах несанкционированных переводов. С точки зрения главы НП НПС, необходимо также, чтобы деятельность такой системы была отражена в нормативных актах.

Также комитетом НП НПС по безопасности завершена разработка предложений по нормативному закреплению прав банков по предотвращению совершения несанкционированных переводов. Для этого предлагается разрешить банку плательщика и банку получателя приостановить операцию при получении информации об отсутствии согласия владельца средств на осуществление перевода. В этом случае в порядке упрощенного арбитражного судопроизводства может быть установлен юридический факт отсутствия согласия на перевод, что будет служить основанием для осуществления возврата денежных средств.

«Предлагаемые Национальным платежным советом модели, конечно, не решат все вопросы киберпреступности, но в случае их реализации позволят эффективно снижать риски мошенничества», – отметил Андрей Емелин. Наряду с этим он напомнил о скором вступлении в силу закона №161-ФЗ «О национальной платежной системе», в котором до сих пор не решены ни вопросы уведомления об операциях, ни проблемы предотвращения мошеннических требовании о возврате средств. «Национальный платежный совет считает единственно приемлемой модель «обратной франшизы», которая позволит сразу возвращать суммы до 3 тыс. рублей, а по остальным проводить обязательное разбирательство», – считает глава НПС. Кроме того, в целях корректной реализации закона необходимо включить в него положения, отраженные в рекомендациях Банка России (письмо № 172–Т).

Системы ДБО – основная мишень

За последние 10 лет из области, где действовали энтузиасты, кибермошенничество превратилось в индустрию, работающую по принципам легального бизнеса, и, надо признать, мошенники достигают хороших результатов в планировании своих операций и в использовании современных технологий – ИТ-ландшафт мошенников не уступает корпоративным архитектурам. Поэтому компании должны использовать для противодействия мошенникам эшелонированную оборону, сказал Александр Чигвинцев, менеджер по работе с партнерами, EMC RSA.

Одной из излюбленных целей атак мошенников являются системы дистанционного банковского обслуживания (ДБО). Поэтому банковское сообщество проявляет наибольшую обеспокоенность вопросами борьбы с киберпреступлениями. В этой связи необходима комплексная защита каналов ДБО: нужно остановить фишинг и троянов вне ДБО, чтобы предотвратить хищение паролей и другой конфиденциальной информации, использовать двухстороннюю аутентификацию при входе в ДБО, проверять и защищать транзакции внутри системы ДБО.

Компания RSA поставляет набор сервисов для обнаружения и блокировки атак в реальном масштабе времени, создания и поддержки БД с элементами обнаруженных атак, а также поддержки инфраструктуры «акаунтов-ловушек» для оперативного выявления фродтсеров. Использование статистических моделей на основе байесовской сети позволяет блокировать 96–98 % подозрительных транзакций. Система является самообучаемой и поэтому может адаптироваться к новым угрозам, чтобы оставаться на острие борьбы с злоумышленниками.

Защита за разумные деньги

В то же время стоит помнить, что защита от угроз стоит денег, и поэтому банки должны тщательно взвешивать риски и стоимость мероприятий по повышению безопасности, не забывая также и об удобстве пользователей. Об этом напомнил Алексей Ермаченков, советник председателя правления «Промсбербанка»: «На все денег не хватит, нужно выделить угрозы, которые реально наносят ущерб. Иначе получится, что затраты на защиту превысят потери от мошенничества, а это было бы экономически неразумно».

Для моделирования операционных рисков в банковском бизнесе, совместно НПС и АРСИБ была создана межбанковская рабочая группа, куда в качестве экспертов вошли руководители служб информационной безопасности банков – всего 40 участников, но за которыми стоит активов на 6 трлн рублей. В результате деятельности группы была разработана актуальная модель угроз для ДБО и проведена оценка эффективности защитных мер. Оказалось, что применение 29 защитных мер обеспечивает снижение рисков не более чем в 10 раз. Самыми действенными из них были названы наличие в банке системы fraud-мониторинга, осуществление банком информирования клиентов обо всех операциях, совершенных от их имени, использование оборудования с неизвлекаемыми ключами и карантин на реальное исполнение операции (задержка от уведомления клиента до реального исполнения документа).

Алексей Ермаченков рекомендовал более взвешенно оценивать обещания поставщиков аналитических систем, поскольку реальных данных может попросту не хватить, чтобы статистические модели заработали. Например, для построения профиля злоумышленника при текущей статистике сбора подозрительных транзакций может уйти более десяти лет. Также может быть избыточно sms-информирование по всем операциям, затраты могут оказаться выше, чем возможные потери от мошенничества. В принципе, банки не должны проверять все транзакции, это будет избыточно дорого – фрод-мониторинг должен фокусироваться на больших транзакциях. При этом транзакции в пользу надежных контрагентов должны меньше подвергаться дополнительной обработке и проходить быстрее.

Чем дольше клиент работает с банком, тем меньше проблем должен доставлять ему фрод-мониторинг: система не должна нагружать добропорядочных людей лишними действиями. «Мы не должны жить так, как хочется мошенникам», – заключил он.

Начиная с аппаратного уровня

Для противодействия мошенникам нужно выстраивать эшелонированную систему защиты, и первый рубеж должен быть обеспечен на аппаратном уровне. Даже ПО низкоуровневого шифрования дисков на самом деле шифрует не весь диск – у злоумышленников остается шанс перехватить управление на стадии загрузки системы. Между включением компьютера и запуском антивирусной программы существует окно, когда никто не контролирует загружаемые драйверы и приложения. Boot-kit и root-kit приложения активно используют его для заражения системы. О том, какие риски вследствие этого возникают и как обеспечить защиту от взлома на аппаратном уровне, рассказал Ренат Юсупов, старший вице-президент Kraftway.

Производители компьютеров потенциально могут обеспечить такую защиту на аппаратном уровне при помощи специальной микросхемы – криптопроцессора. На аппаратном уровне также может быть организовано хранилище корневых сертификатов и открытых ключей. К сожалению, российским потребителям эти технологии недоступны в силу ограничений на импорт криптосредств. Компания Kraftway разработала собственную концепцию доверенной платформы с использованием отечественных СЗИ, обеспечивающую комплексную защиту от взлома системы начиная с самого нижнего уровня.

Однако в долгосрочном плане причины для беспокойства не исчезнут: дело в самой архитектуре компьютеров. Многие функции, которые раньше реализовывались программно, сегодня «уходят в кремний» и у специалистов по безопасности не будет возможности анализировать этот код, при том, что гарантий отсутствие уязвимостей и недекларированных возможностей также никто не даст. По оценке Рената Юсупова, это может произойти уже в ближайшие 5 лет. Таким образом, проблема приобретает стратегический для страны характер и выход видится только в производстве собственных процессоров для доверенных сред, что уже сделал Китай.

Операторы связи против мошенников

Операторы связи, возможно, чаще всех сталкиваются с мошенниками, как в отношении себя, так и в отношении своих клиентов, а также в отношении клиентов своих партнеров – тех же банков, например, поскольку мошенники используют каналы связи для своих атак. Сергей Хренов, директор по предотвращению мошенничества компании «Мегафон», рассказал о сложной правовой ситуации, в которой сегодня находятся операторы связи: многие по сути мошеннические действия, например связанные с использованием коротких номеров и списанием непомерных сумм за эти «услуги», с формальной стороны мошенничеством не являются – в силу пробелов в законодательстве. Если оператор пресекает действие мошенников и блокирует их номера, бывает, что мошенники идут в суд и выигрывают дело.

Хотя мошенничество против клиентов на бизнес оператора не влияет, операторы предпринимают все возможные меры, чтобы защитить своих клиентов от мошенников, которые становятся все более и более изобретательными и организованными. В Барселоне недавно была задержана преступная группа: мошенники использовали украденные телефоны, чтобы сгенерировать фиктивный трафик в Сомали и Сьерра-Леоне, за что абоненты получали порой астрономические счета, рекорд был зафиксирован на уровне 1 млн 250 тыс. евро.

Действуя в интересах своих клиентов, «Мегафон» в случае обнаружения неправомерных списаний возвращает деньги даже тем клиентам, которые к нему не обращались за возмещением ущерба. В Италии, например, ситуация другая: если нет полицейского отчета, нет и факта мошенничества, значит, и потери никто возмещать не обязан. Естественно, что люди не готовы тратить свое время, чтобы вернуть 5–10 евро на счет, и это играет на руку мошенникам. Сотрудничество оператора с банками в расследовании мошеннических действий против клиентов очень важно, хотя бы потому, что sms используется как часть схемы двухфакторной аутентификации для доступа к ДБО.

Аналитика как превентивная мера

Мировой опыт показывает, что предсказательная аналитика может с успехом применяться для раннего обнаружения неправомерных действий: с введением единой зоны платежей в евро стала возможной новая мошенническая схема, так называемая «карусель НДС», когда одни и те же товары многократно перемещаются через границу. НДС-разрыв в ЕС оценивается на уровне 70–100 млрд евро в год. Использование аналитических инструментов от компании SAS позволило сократить сроки выявления подозрительных операций с нескольких месяцев или даже лет до 1–2 дней, сообщил Виталий Угольков, руководитель направления по противодействию мошенничеству, SAS Россия/СНГ.

Данные решения построены на основе статистических и прогнозных моделей, которые помогают выявить случаи «нестандартного поведения» и обратить на них внимание оператора системы. Например, если средний размер транзакции для клиента 5000 руб., тогда транзакция на 35 тыс. будет «нестандартной» для клиента. Дальнейший сценарий может настраиваться в зависимости от требований клиента и оценки рисков – можно блокировать подозрительные операции, запросить у клиента дополнительное подтверждение или ограничиться уведомлением.

Недостатками этого метода является риск ложных срабатываний, когда блокируются законные операции, и трудность сбора статистических данных о поведении мошенников для построения прогнозной модели. Здесь на помощь могут прийти технологии Text Mining, применяемые для анализа полей анкетных данных, таких как профессия, должность, сфера деятельности, графа «другое», информация из внешних баз, социальных сетей, комментарии менеджеров по продажам и т. д. Использование неструктурированных данных в составе предикторов может повысить точность моделей на 20 %.

Особо стоит сказать о мошеннических сетях. Киберпреступления часто совершаются организованными группами, которые координируют свою деятельность по интернету. Здесь аналитические инструменты могут оказать помощь в проведении расследований и в предупреждении преступлений. Два человека связаны, если у них есть общие «характеристики»: например они указали один и тот же телефон, живут по одному адресу или рядом, работают в одной компании, переводят деньги друг другу или оба переводят деньги на один и тот же счет. Это часто актуально для страховщиков и интернет-торговли.

Безопасность электронной коммерции

В организации безопасного эквайринга важную роль играет инспекционная проверка торгово-сервисных предприятий с позиций экономической безопасности и легальности их деятельности, т. е. отсутствия запрещенных товаров / услуг, включая «развлечения / товары для взрослых», казино, лотереи, знакомства и эскорт-сервисы, лекарственные препараты и табачные изделия. Это позволяет заранее исключить риски повышенного количества отказов от платежей, дополнительных накладных расходов, штрафов платежных систем и судебных дел и способствует укреплению доверия клиентов к банку и платежным системам, сказала Галина Соболь, главный специалист компании «Газкардсервис».

Исключение подозрительных точек еще не гарантирует полной безопасности, все равно нужна проверка самих транзакций, при том что до 50 % платежей совершается без предъявления карты. Отсутствует также и возможность поведенческого анализа клиента, платежи совершаются на условиях анонимности.

Для решения задачи необходимо получить достоверный идентификатор, максимально соответствующий по своим свойствам клиенту и позволяющий "привязать" его к конкретной операции и набору операций для проведения поведенческого анализа. Это достигается применением патентованной методики сбора и анализа "ДНК" компьютера клиента совместно со стандартными технологиями геолокации.

Источник: cnews.ru

Изменено 15 июля 2013 пользователем Тимур Аитов