logo search
Платёжные системы

5.3. Методы обеспечения безопасности в платежных системах

Меры обеспечения безопасности банковских расчетов можно разделить на две большие группы - меры пассивной безопасности и меры активной безопасности (рис.1).

Рис. 5.1. Системы безопасности банковских электронных операций.

Как видно из рис.5.1, меры пассивной безопасности направлены на то, чтобы затруднить саму возможность получения третьими лицами доступа к клиентским счетам и совершения с ними мошеннических операций. Системы активной безопасности, напротив, предназначены для мониторинга операций управления счетом и выделения подозрительных транзакций.

К мерам пассивной безопасности банковских расчетов можно отнести, прежде всего, способы идентификации клиентов, среди которых в свою очередь можно выделить кодовые, программные и аппаратные. Наиболее распространенными являются кодовые способы идентификации. К ним в частности относятся:

Основным преимуществом средств кодовой идентификации является удобство, низкая стоимость, простота реализации и возможность многократного изменения, дублирования и передачи кодов доступа. Однако это же определяет основной недостаток таких средств – низкую защищенность от несанкционированного получения средств доступа к счету. Тем не менее, кодовые способы идентификации в настоящее время являются наиболее распространенными в системах электронных платежей.

К программным средствам идентификации можно отнести:

В большинстве случаев программные средства идентификации представляют собой некоторый программный код (цифровой сертификат), записанный на электронный носитель информации. Пользователь системы принимает этот код по электронной почте и устанавливает его на своем компьютере, после чего получает возможность полноценного доступа к счету. Как правило, программные средства идентификации используются совместно с кодовыми. Несмотря на более высокий уровень защиты, программные средства идентификации не так распространены, как кодовые, из-за сложности и меньшего удобства в использовании. В качестве примера системы, использующей программные средства идентификации можно привести систему электронных денег WebMoney, популярную на территории СНГ. Анализ материалов по данной проблеме, представленных в Internet, позволяет сделать вывод, что успешных попыток получения несанкционированного доступа к счетам WebMoney, с установленным максимальным уровнем безопасности, еще не было.

Однако наиболее высокий уровень безопасности обеспечивают аппаратные средства идентификации клиентов, к которым относятся:

При использовании этих средств обеспечивается жесткая привязка возможности пользования системой к одному терминалу. Таким образом, несанкционированный доступ к счету может быть осуществлен только при наличии у третьего лица возможности физического доступа к терминалу с установленным аппаратным средством идентификации. Однако, поскольку подобные системы, как правило, используются совместно с программными и кодовыми средствами защиты, возможность несанкционированного доступа к ним практически отсутствует и может являться только результатам несоблюдения элементарных правил безопасности. В то же время системы с аппаратной идентификацией клиентов имеют существенные недостатки, такие как низкая мобильность, сложность тиражирования средств доступа и высокая цена, что обуславливает их применение преимущественно в системах управления банковскими операциями, ориентированных на юридических лиц.

В табл.5.1 приведены характеристики средств пассивной безопасности банковских электронных операций.

Таблица 5.1.

Характеристики средств пассивной безопасности электронных операций

п.п.

Средства

Характеристика средств идентификации

Кодовые

Программные

Аппаратные

1

2

3

4

5

1

Уровень безопасности

Низкий

Код может быть украден в момент ввода, либо при наличии у злоумышленника программного доступа к терминалу пользователя

Средняя Сертификат может быть скопирован при возможности физического доступа к терминалу

Высокая. Несанкциониро-ванный доступ возможен только при несоблюдении пользователем элементарных правил безопасности.

2

Мобильность пользователя

Высокая.

Пользователь может получить доступ к счету с любого терминала без ограничений.

Средняя.

Доступ к счету с других терминалов, возможен только после установки специального ПО и при наличии сертификата на электронном носителе.

Низкая.

Точка доступа к счету аппаратно привязана к одному терминалу, либо каналу связи.

3

Стоимость реализации и обслуживания.

Низкая.

Требует затрат только в процессе создания

Средняя.

Требует затрат в процессе создания, а также затрат на передачу сертификатов клиентам.

Высокая

Требует дополнительных затрат на изготовление, передачу и установку каждого устройства идентификации

4

Возможность тиражирования средств доступа

Высокая.

Средства доступа могут передаваться без ограничения, в.т.ч в устной форме.

Средняя.

Средства доступа могут быть растиражированы на электронном носителе

Низкая.

Дополнительные средства доступа могут быть изготовлены только по документальной просьбе владельца счета.

5

Уровень удобства использования

Высокий.

Возможность быстрого получения доступа к счету с любого терминала.

Средний.

Для получения доступа к счету требуется установка дополнительных программных продуктов.

Низкий.

Получение доступа к счету требует совершения ряда дополнительных действий

Пассивные методы обеспечения безопасности являются наиболее распространенными в банковской практике. В большинстве своем они обладают такими неоспоримыми преимуществами, как незначительный процент ложных срабатываний, прозрачность для клиентов, возможность включения в стоимость банковских услуг. Но в то же время пассивные меры безопасности не в состоянии обеспечить адекватную защиту при незаконном получении третьими лицами средств доступа к счету. В этом случае система безопасности, получив от третьего лица те же идентификационные признаки, что и от владельца счета, будет нейтрализована и не сможет препятствовать дальнейшим операциям по перемещению денежных средств.

Для того чтобы противодействовать несанкционированным операциям третьих лиц со счетами клиентов банка, в случае если система пассивной безопасности нейтрализована, применяются меры активной безопасности.

Действие систем активной безопасности основано на мониторинге операций клиентов со счетами, с целью выделения и блокирования подозрительных транзакций. Поскольку надежность работы активных систем безопасности во многом определяется тем, насколько потенциальные мошенники знакомы с её структурой, признаки транзакций, попадающих в категорию подозрительных, являются «ноу-хау» банковских служб безопасности. Однако можно выделить некоторые основные категории таких транзакций.

1. Транзакции в торговых точках, которые были замечены в мошеннических операциях.

2. Транзакции, связанные с оплатой товаров, потенциально подходящих для «отмывания» денег (например, ювелирных изделий).

3. Большое количество транзакций, совершенных за короткое время.

4. Совершение транзакций на необычно большие для данного клиента суммы.

5. Получение доступа к счету за короткое время из разных точек, физически удаленных одна от другой на большие расстояния.

6. Подбор сумм транзакции.

Очевидно, что категории транзакций 2-5 можно обобщить одним понятием – «необычные». Именно выделение необычных, нехарактерных транзакций является основной задачей активных систем безопасности. Это связано с тем, что третьи лица, получив доступ к счету, обычно пытаются вывести с него деньги как можно быстрее и для этого вынуждены совершать транзакции на большие суммы. Цель функционирования активных систем безопасности –предотвращение несанкционированных списаний средств в течении первых часов, максимум – суток после утери клиентом ключевых средств доступа к счету. Как только клиент сообщает в банк о возможном переходе этих средств к третьим лицам, либо подтверждает банку подозрения, выявленные активной системой безопасности, происходит немедленная блокировка счета и замораживание средств на нем. После этого получить доступ к средствам на счете становится возможным только при личном визите в банк и предъявлении официальных документов, удостоверяющих личность.

К основным недостаткам существующих систем активной безопасности можно отнести высокий уровень ложных срабатываний и статичность правил выделения подозрительных транзакций. Поэтому дальнейшее совершенствование таких систем должно быть направлено на преодоление указанных недостатков. Наиболее перспективным представляется применение интеллектуальных методов идентификации подозрительных транзакций.