академия информационных систем

30 Июля 2012    27

Академия Информационных Систем приняла участие в круглом столе «Дистанционные банковские услуги: под прицелом киберпреступников»

27 июля 2012 года Академия Информационных Систем приняла участие в круглом столе по теме "Дистанционные банковские услуги: под прицелом киберпреступников", которую организовал и провел Международный банковский клуб.

На вопросы присутствующих отвечали Курило А.П. (Банк России), Сумманен К.Т. (Банк ВТБ), Голенищев А.А. (Альфа-Банк), Конявский В.А. (МФТИ), Лайков А.Г. (Система денежных переводов BLIZKO Связь-Банка), Черноморов С.А. (HandyBank), Шумский Л.С. (Связной Банк) и ведущий круглого стола Аитов Т.Н. (АРБ).

Тема безопасности ДБО очень актуальна в последнее время. Примерно 5-8 лет назад основной акцент делался на технических мероприятиях и необходимости внедрения технических средств. Позже акцент перешел на орг.мероприятия, в частности, упор тсал делаться на отраслевые Стандарты. Однако, даже после разработки целого комплекса Стандартов в области ИБ ситуация в корне не поменялась. Еще позже акцент перенесся на необходимость разработки адекватной нормативной базы и неотвратимости наказания. На круглом столе, одним из основных докладчиков Курило А.П., акцент был сделан на системности решения проблемы безопасности не только ДБО, но и всех дистанционных банковских услуг.

Из наиболее интересного:

1. Курило А.П.:

- Альтернативы ДБО сейчас нет. Соответственно речи о упразднении данного вида услуг для клиентов не идет.

- Объем операций по денежным переводам превышает десять миллионов транзакций в сутки. При этом нет статистики, сколько из этих транзакций мошеннические.

- Стандартные решения для обеспечения безопасности ДБО не применимы и нужно проблему решать системно.

- Примеры эффективных решений есть у PCI Council, в частности переход с магнита на чип позволил снизить число мошеннических транзакций на 90%.

- Банковскому сообществу нужно оперативно информировать друг друга о произошедших инцидентах и мошеннических операциях.

- Нужно применять меры по блокированию мошеннических переводов. Если все же деньги уже сняты, то нужно плотно взаимодействовать с правоохранительными органами.

- Порядка 50% атак происходит с использованием методов социальной инженерии и нужно информировать и воспитывать общество.

- Нужно создать банковский CERT.

- Банки не охотно делятся информацией о компрометации карточек, т.к. это негативно играет на их репутации. В Нидерландах провели исследование и выяснилось, что после того, как пресса публикует информацию о компрометации карточки того, либо иного банка, то сразу обороты этого банка падают на 3%.

- Создание базы инцидентов поддерживается, но есть ряд серьезных вопросов, на которые пока нет четких ответов. В частности, как обеспечить безопасность этой самой базы, нужно установить ответственность всех лиц имеющих к ней доступ за разглашение, где взять деньги на финансирование этой большой работы. Банк России не готов финансировать.

- Что касается статистики инцидентов, то пока ее нет. Выпущено указание БР 2831-У по которому участники обязаны писать отчеты и предоставлять их в БР. Через пол года будет данная система отработана и появится статистика.

2. Шумский Л.С.:

- Есть проблемы по взаимодействию между банками при возникновении инцидентов ДБО.

- Существует рабочая группа, которая разработала рекомендации для клиентов, как действовать при инциденте, как получить деньги назад. Рекомендации содержат более 10 форм заявлений в банк, в правоохранительные органы и т.п.

Основная цель этих рекомендаций, это остановка транзакций, пока деньги не обналичились.

- На сайте НП "НПС" будет закрытый раздел по обмену информацией по инцидентам между банками.

3. Сумманен К.Т.:

- Должен действовать принцип неотвратимости наказания.

- Риск в ДБО может быть сведен к минимуму, если клиент будет выполнять все указания банка.

- Нужно создать базу по инцидентам и мошенникам по аналогии с кредитованием и Бюро Кредитных Историй.

- Нет системы обучения и информирования клиентов (общества). Это обучение, ликбез нужно вводить в школах.

4. Голенищев А.А.:

- В Альфа-Банке создана система on-line-мониторинга каналов ДБО. Можно видеть и отсекать мошеннические операции во время самой операции. После введения этой системы во втором квартале потери от инцидентов составили всего порядка 100т.р.

5. Черноморов С.А.:

- Многие инциденты банками скрываются, чтобы не терять репутацию.

В Академии Информационных Систем проводятся практические тренинги по обеспечению безопасности ДБО по теме «Предотвращение мошенничества и расследование инцидентов при дистанционном банковском обслуживании» – http://infosystems.ru/services/informacionnaya/avtorskie_kursy_149/fraud_prevention.html