Защита системы интернет-банкинга (Best Practice)

В настоящее время дистанционное банковское обслуживание клиентов - физических лиц в Связь-Банке осуществляется посредством системы дистанционного обслуживания «МЕГАПЭЙ» на базе программного продукта «ДБО BS-Client. Частный Клиент» компании ООО «БСС» Доступ в систему «МЕГАПЭЙ» предоставляется клиенту только после его идентификации, которая происходит на основании идентификатора и пароля. Идентификатор и пароль передаются банком клиенту при личном обращении в банк на логин-карте (пластиковая или ламинированная карта, содержащая идентификатор и пароль, скрытый под защитным слоем скретч-карты).

Подтверждение поручений на проведение финансовых операций производится клиентом при помощи средств подтверждения - сеансовых ключей, получаемых клиентами на скретч-карте или в SMS-сообщениях. Вместе с тем данные способы обеспечения безопасности доступа клиентов в систему и проведения финансовых транзакций не позволяют защититься от компрометации средств подтверждения платежей.

Защита сервисов ДБО на стороне банка традиционными методами и средствами (на уровне систем, приложений и сетей) не может обеспечить достаточно высокий уровень информационной безопасности в условиях пренебрежения со стороны клиента требованиями информационной безопасности: мошенникам удается проводить банковские транзакции от имени клиента, используя украденные данные (с помощью вирусов-троянов и через подложные сайты) или путем осуществления атак типа Man-in-the-Middle, Man-in-the-Browser.

Однако защита системы интернет-банкинга может быть эффективно выстроена на уровне бизнес-процессов, на котором осуществляется анализ логики финансовых операций. Для этого применяются системы фрод-мониторинга, которые собирают события из различных источников, в том числе используют для анализа данные средств защиты информации (межсетевых экранов, антивирусных систем, DLP-систем, средств авторизации и аутентификации, криптографических средств, систем контроля вторжений и т. п.).

Системы фрод-мониторинга, используя статистические методы анализа, а также проводя постоянный мониторинг случаев совершения неправомерных операций, позволяют выстраивать схемы защиты, обеспечивающие предотвращение мошеннических действий, а также осуществлять прогнозирование тех или иных событий.

Основным преимуществом подобных систем является контроль нескольких каналов обслуживания (в том числе не относящихся к ДБО), поскольку в большинстве случаев мошенничество начинается в одном канале, а заканчивается в другом. Например, идентификационные данные клиента были украдены в системе интернет-банкинга, а обналичивание или вывод денежных средств со счетов этого же клиента осуществляется через процессинговый центр банка.

Системы фрод-мониторинга позволяют осуществлять контроль всех банковских транзакций в системах ДБО в режиме online. Анализ того, является ли банковская транзакция мошеннической, проводится по предустановленным правилам, а также путем проверки соответствия логики действий клиента его профилю, который составляется заранее на основе исторических данных. Любая совокупность данных об операциях клиента, информация о способе, месте совершения операции (т. е. точке доступа в систему ДБО) и адресате платежа является характеристикой пользователя. В общем виде набор этих параметров характеризует поведенческую модель клиента. По итогам такой оценки система фрод-мониторинга позволяет предотвращать мошеннические атаки в соответствии с принятыми в банке процедурами реагирования на инциденты.

Задачу по анализу логики осуществляемых клиентом транзакций эффективно способны решить системы, которые имеют трехуровневую функциональную архитектуру, состоящую из: • уровня интеграции, обеспечивающего сбор, обработку и нормализацию данных из тех источников, которые необходимы для осуществления анализа операций. Обработка данных и возвращение результата в ту или иную прикладную систему должны происходить в режиме online; • уровня анализа данных, на котором происходят корреляция событий, профилирование клиентов, связывание различных категорий данных и, наконец, самое главное, обнаружение мошеннических действий с применением двух основных методик: на основе правил и с использованием поведенческих моделей; • уровня представления данных, который автоматизирует управление решением вышеназванных задач, обеспечивает проведение расследований, реагирование на инциденты. Процесс управления инцидентами мошенничества интегрируется с существующими в банке системами управления рисками.

На первом этапе фрод-система анализирует платежные документы на соответствие построенной поведенческой модели, учитывающей как минимум следующие показатели: • суммы платежей; • получатели платежа (физические и юридические лица); • назначение платежей; • среднее/общее количество операций и их сумма за интервал времени; • тип канала; • IP/MAC-адреса и их география; • идентификационный номер устройства (Device ID); • используемые ресурсы (например, тип и наименование браузера); • временной режим работы; • «черный» список получателей и т. п.

На втором этапе система фрод-мониторинга осуществляет оценку операций на основании заданных правил выявления мошенничества. Анализироваться могут действия клиента, являющиеся как платежными, так и неплатежными операциями (вход в систему интернет-банкинга, запрос о состоянии счета, изменение своих данных и т. д.). Дополнительно в область действия системы мониторинга могут попадать события, связанные со сменой сертификата доступа для дистанционного банковского обслуживания, с добавлением пользователей в ДБО или изменением их реквизитов, т. е. напрямую не относящиеся к операциям ДБО.

Критерием оценки при обработке операции в системе фрод-мониторинга является результирующий скоринговый балл (показатель вероятности мошенничества), который сравнивается с определенными банком порогами значений для подозрительных операций. Каждое правило в процессе работы осуществляет проверку заложенной в него логической последовательности совершаемых транзакций и изменяет оценку скоринга обрабатываемой операции.

В системе фрод-мониторинга реализуются три класса правил: • анализирующие выявления типовых признаков мошенничества - создаются на основании экспертных оценок параметров рассматриваемой операции; • осуществляющие анализ на основании профиля клиента, под которым понимается совокупность данных о совершенных им операциях, определяющая поведенческую модель, - любая новая транзакция может автоматически категорироваться относительно профиля клиента, что позволяет выявлять отклонения от поведенческой модели; • выявляющие последовательность операций на основании данных о мошеннических схемах среди всего объема информации.

На этапе представления данных на основании полученного показателя итогового скорингового балла в зависимости от настроек системы фрод-мониторинга реализуются следующие механизмы реакции: • разрешение на выполнение транзакции или ее блокировка; • задержка операции для осуществления дополнительных действий, например, передачи на анализ эксперту; • внесение изменений в параметры обработки транзакций в информационных системах (АБС, интернет-банкинг, процессинг и т. п.); • оповещение уполномоченных лиц (экспертов, службы безопасности и т. п.) или передача принятия решения уполномоченному специалисту банка; • дополнительная/повторная аутентификация и - в случае неудачи - блокировка транзакции; • дополнительный анализ данных по транзакции, субъектов и объектов, связанных с ней.

В случае, если действие клиента оценивается как подозрительное (например, вход пользователя осуществляется с нестандартного IP-адреса), используется подсистема, которая автоматически предложит ему аутентифицироваться по более сложному алгоритму (SMS, e-mail).

Для защиты операций в ДБО на практике используются как «самописные» системы мониторинга, разработанные внутренними подразделениями банков, так и промышленные.

Принимая во внимание необходимость минимизации рисков в области обеспечения бесперебойности функционирования системы, в банке успешно реализуется проект по внедрению системы фрод-мониторинга операций на базе промышленного программно-технического решения. Внедрение данной системы уже в ближайшем будущем позволит минимизировать риски совершения несанкционированных операций в системе интернет-банкинга, исключить возможность некорректных и ошибочных действий работников банка, своевременно выявлять уязвимости системы «МЕГАПЭЙ» и, как следствие, существенно снизить репутационные риски и финансовые потери.