5.3. Методы обеспечения безопасности в платежных системах
Меры обеспечения безопасности банковских расчетов можно разделить на две большие группы - меры пассивной безопасности и меры активной безопасности (рис.1).
Рис. 5.1. Системы безопасности банковских электронных операций.
Как видно из рис.5.1, меры пассивной безопасности направлены на то, чтобы затруднить саму возможность получения третьими лицами доступа к клиентским счетам и совершения с ними мошеннических операций. Системы активной безопасности, напротив, предназначены для мониторинга операций управления счетом и выделения подозрительных транзакций.
К мерам пассивной безопасности банковских расчетов можно отнести, прежде всего, способы идентификации клиентов, среди которых в свою очередь можно выделить кодовые, программные и аппаратные. Наиболее распространенными являются кодовые способы идентификации. К ним в частности относятся:
-
секретные коды, которые печатаются в единственном экземпляре и выдаются лично клиенту;
-
защита передачи данных при помощи паролей;
-
динамическая генерация паролей и секретных кодов;
Основным преимуществом средств кодовой идентификации является удобство, низкая стоимость, простота реализации и возможность многократного изменения, дублирования и передачи кодов доступа. Однако это же определяет основной недостаток таких средств – низкую защищенность от несанкционированного получения средств доступа к счету. Тем не менее, кодовые способы идентификации в настоящее время являются наиболее распространенными в системах электронных платежей.
К программным средствам идентификации можно отнести:
-
защиту передачи данных при помощи программных сертификатов;
-
системы шифрования данных.
В большинстве случаев программные средства идентификации представляют собой некоторый программный код (цифровой сертификат), записанный на электронный носитель информации. Пользователь системы принимает этот код по электронной почте и устанавливает его на своем компьютере, после чего получает возможность полноценного доступа к счету. Как правило, программные средства идентификации используются совместно с кодовыми. Несмотря на более высокий уровень защиты, программные средства идентификации не так распространены, как кодовые, из-за сложности и меньшего удобства в использовании. В качестве примера системы, использующей программные средства идентификации можно привести систему электронных денег WebMoney, популярную на территории СНГ. Анализ материалов по данной проблеме, представленных в Internet, позволяет сделать вывод, что успешных попыток получения несанкционированного доступа к счетам WebMoney, с установленным максимальным уровнем безопасности, еще не было.
Однако наиболее высокий уровень безопасности обеспечивают аппаратные средства идентификации клиентов, к которым относятся:
-
идентификация посредством программных кодов на нетиражируемых носителях;
-
биометрическая идентификация;
-
использование выделенных каналов связи.
При использовании этих средств обеспечивается жесткая привязка возможности пользования системой к одному терминалу. Таким образом, несанкционированный доступ к счету может быть осуществлен только при наличии у третьего лица возможности физического доступа к терминалу с установленным аппаратным средством идентификации. Однако, поскольку подобные системы, как правило, используются совместно с программными и кодовыми средствами защиты, возможность несанкционированного доступа к ним практически отсутствует и может являться только результатам несоблюдения элементарных правил безопасности. В то же время системы с аппаратной идентификацией клиентов имеют существенные недостатки, такие как низкая мобильность, сложность тиражирования средств доступа и высокая цена, что обуславливает их применение преимущественно в системах управления банковскими операциями, ориентированных на юридических лиц.
В табл.5.1 приведены характеристики средств пассивной безопасности банковских электронных операций.
Таблица 5.1.
Характеристики средств пассивной безопасности электронных операций
№п.п. | Средства | Характеристика средств идентификации | ||
Кодовые | Программные | Аппаратные |
1 | 2 | 3 | 4 | 5 |
1 | Уровень безопасности | Низкий Код может быть украден в момент ввода, либо при наличии у злоумышленника программного доступа к терминалу пользователя | Средняя Сертификат может быть скопирован при возможности физического доступа к терминалу | Высокая. Несанкциониро-ванный доступ возможен только при несоблюдении пользователем элементарных правил безопасности. |
2 | Мобильность пользователя | Высокая. Пользователь может получить доступ к счету с любого терминала без ограничений. | Средняя. Доступ к счету с других терминалов, возможен только после установки специального ПО и при наличии сертификата на электронном носителе. | Низкая. Точка доступа к счету аппаратно привязана к одному терминалу, либо каналу связи. |
3 | Стоимость реализации и обслуживания. | Низкая. Требует затрат только в процессе создания | Средняя. Требует затрат в процессе создания, а также затрат на передачу сертификатов клиентам. | Высокая Требует дополнительных затрат на изготовление, передачу и установку каждого устройства идентификации |
4 | Возможность тиражирования средств доступа | Высокая. Средства доступа могут передаваться без ограничения, в.т.ч в устной форме. | Средняя. Средства доступа могут быть растиражированы на электронном носителе | Низкая. Дополнительные средства доступа могут быть изготовлены только по документальной просьбе владельца счета. |
5 | Уровень удобства использования | Высокий. Возможность быстрого получения доступа к счету с любого терминала. | Средний. Для получения доступа к счету требуется установка дополнительных программных продуктов. | Низкий. Получение доступа к счету требует совершения ряда дополнительных действий |
Пассивные методы обеспечения безопасности являются наиболее распространенными в банковской практике. В большинстве своем они обладают такими неоспоримыми преимуществами, как незначительный процент ложных срабатываний, прозрачность для клиентов, возможность включения в стоимость банковских услуг. Но в то же время пассивные меры безопасности не в состоянии обеспечить адекватную защиту при незаконном получении третьими лицами средств доступа к счету. В этом случае система безопасности, получив от третьего лица те же идентификационные признаки, что и от владельца счета, будет нейтрализована и не сможет препятствовать дальнейшим операциям по перемещению денежных средств.
Для того чтобы противодействовать несанкционированным операциям третьих лиц со счетами клиентов банка, в случае если система пассивной безопасности нейтрализована, применяются меры активной безопасности.
Действие систем активной безопасности основано на мониторинге операций клиентов со счетами, с целью выделения и блокирования подозрительных транзакций. Поскольку надежность работы активных систем безопасности во многом определяется тем, насколько потенциальные мошенники знакомы с её структурой, признаки транзакций, попадающих в категорию подозрительных, являются «ноу-хау» банковских служб безопасности. Однако можно выделить некоторые основные категории таких транзакций.
1. Транзакции в торговых точках, которые были замечены в мошеннических операциях.
2. Транзакции, связанные с оплатой товаров, потенциально подходящих для «отмывания» денег (например, ювелирных изделий).
3. Большое количество транзакций, совершенных за короткое время.
4. Совершение транзакций на необычно большие для данного клиента суммы.
5. Получение доступа к счету за короткое время из разных точек, физически удаленных одна от другой на большие расстояния.
6. Подбор сумм транзакции.
Очевидно, что категории транзакций 2-5 можно обобщить одним понятием – «необычные». Именно выделение необычных, нехарактерных транзакций является основной задачей активных систем безопасности. Это связано с тем, что третьи лица, получив доступ к счету, обычно пытаются вывести с него деньги как можно быстрее и для этого вынуждены совершать транзакции на большие суммы. Цель функционирования активных систем безопасности –предотвращение несанкционированных списаний средств в течении первых часов, максимум – суток после утери клиентом ключевых средств доступа к счету. Как только клиент сообщает в банк о возможном переходе этих средств к третьим лицам, либо подтверждает банку подозрения, выявленные активной системой безопасности, происходит немедленная блокировка счета и замораживание средств на нем. После этого получить доступ к средствам на счете становится возможным только при личном визите в банк и предъявлении официальных документов, удостоверяющих личность.
К основным недостаткам существующих систем активной безопасности можно отнести высокий уровень ложных срабатываний и статичность правил выделения подозрительных транзакций. Поэтому дальнейшее совершенствование таких систем должно быть направлено на преодоление указанных недостатков. Наиболее перспективным представляется применение интеллектуальных методов идентификации подозрительных транзакций.
- Содержание
- Тема 1. Общая концепция платежной системы.
- 1.2. Классификация и характеристика видов платежных систем:
- 1.3. Виды платежных инструментов.
- Тема 2. Электронные межбанковские расчеты.
- 2.2. Система электронных межбанковских переводов нбу, ее участники.
- 2.3. Внутрибанковская платежная система.
- 2.4. Виды систем межбанковских расчетов
- 1. На валовой основе или система «брутто».
- 2. На чистой основе или система «нетто».
- Тема 3. Системы массового обслуживания и небанковские платежные системы.
- 3.1.2. Терминология карточных расчетов
- 3.1.3. Осуществление расчетов с использованием платежных карт
- 3.1.4. Классификация платежных карт
- 3.2. Системы срочных денежных переводов.
- 3.3. Виртуальные платежные системы.
- Тема 4. Технологическая инфраструктура платежных систем
- 4.1. Необходимость автоматизации банковской деятельности:
- 4.2. Оборудование и инструменты, применяемые для автоматизации платежных операций.
- 4.3. Электронные системы передачи банковской информации.
- Тема 5. Безопасность платежных систем.
- 5.2. Основные угрозы информационной безопасности
- 5.3. Методы обеспечения безопасности в платежных системах
- Тема 6. Основы организации международных расчетов.
- 6.1. Сущность международных финансов.
- 6.5. Текущие валютные операции торгового и неторгового характера.
- 6.3. Основные субъекты и участники международного финансового рынка. В соответствии с законодательством участники валютных операций делятся на:
- 6.4. Виды международных финансовых операций. Международные финансовые операции: с юридической точки зрения – сделки, связанные с переходом права собственности на валюту.
- 6.5. Текущие валютные операции торгового и неторгового характера.
- Тема 7. Документы и условия поставок во внешнеторговых операциях.
- 7.1. Типовая структура внешнеэкономического контракта. Валютно-финансовые и платежные условия внешнеэкономических соглашений. Валюта цены и валюта платежа.
- 7.2. Базовые условия поставки инкотермс. Обязательства покупателя и продавца при различных условиях поставки.
- 7.3. Товарораспорядительная документация.
- 7.1. Типовая структура внешнеэкономического контракта. Валютно-финансовые и платежные условия внешнеэкономических соглашений. Валюта цены и валюта платежа
- 7.2. Базовые условия поставки инкотермс. Обязательства покупателя и продавца при различных условиях поставки.
- 7.3. Товарораспорядительная документация
- Тема 8. Способы платежей в международных расчетах.
- 8.1. Особенности использования основных форм расчетов и способы платежей в международной сфере
- 8.2. Расчеты по открытым счетам.
- 8.3. Использование банковских переводов.
- 8.4. Расчеты с использованием векселей и чеков.
- 8.5. Аккредитивная форма расчетов
- 8.6. Расчеты с использованием инкассо
- Тема 9. Конверсионные валютные операции.
- 9.1. Общая характеристика конверсионных валютных операций.
- 9.2. Операции с немедленной поставкой валюты.
- 9.3. Фьючерсные валютные операции.
- 9.4. Форвардные валютные операции.
- 9.5. Опционы.
- 9.6. Операции своп.
- Тема 10. Межбанковские валютные рынки.
- 10.2. Международный валютный рынок forex: структура, принципы работы.
- 10.3. Прогнозирование валютных курсов.
- Тема 11. Депозитные валютные операции.
- 11.2. Валютирование депозитных соглашений.
- 11.3. Процентные ставки на рынке межбанковских депозитов в иностранной валюте.
- 11.4. Котировка процентных ставок.
- 11.5. Депозитная позиция.
- Темы рефератов (контрольных работ).
- Вопросы для самоконтроля.
- Критерии оценки знаний студентов.
- Литература
- Дополнительная литература