Алексей Сизов, руководитель группы FM&RA решений компании «Инфосистемы Джет»Алексей Сизов, руководитель группы FM&RA решений компании «Инфосистемы Джет»

Материал подготовлен в соавторстве с Юрием Черкасом, руководителем направления Центра информационной безопасности компании «Инфосистемы Джет»

Дежавю, или Традиции нормативного регулирования ИБ

Положения закона «О национальной платежной системе» (№ 161-ФЗ) широко обсуждаются банковским сообществом уже длительное время. В связи с ними у «банкиров» возникает множество вопросов, и, к сожалению, далеко не на все имеются ответы даже у регуляторов. В свое время практически аналогичная ситуация складывалась вокруг вопросов по закону о защите персональных данных: вспоминается неоднократный перенос сроков полноценного вступления в силу закона «О персональных данных». Сегодня мы снова оказываемся в состоянии дежавю: № 267-ФЗ от 25 декабря 2012 года перенес срок вступления «скандальной» 9-й статьи закона «О национальной платежной системе» ровно на 1 год. И теперь банковское сообщество задается уже традиционным вопросом: «А надо ли торопиться выполнять регуляторные требования?».

Пора бояться?

ИБ в банковской отрасли регулируется уже давно, и перечень нормативных актов в этой сфере, пожалуй, самый внушительный (даже защита государственных информационных ресурсов не регламентируется таким количеством документов). Банки уже свыклись с необходимостью выполнять требования по защите ПДн и стандарта PCI DSS. Не стоит преуменьшать и значение стандарта СТО БР ИББС. Многие банки приняли его как обязательный, невзирая на то, что он носит рекомендательный характер.

Требования же к защите информации при осуществлении переводов денежных средств разрабатывались авторами как раз на основе СТО БР ИББС. Вот и получается, что с точки зрения технической защиты многие банки уже достаточно хорошо подготовлены. В большинстве случаев потребуется демонстрация соответствия уже построенных систем защиты требованиям Банка России. Но у медали 2 стороны, и обеспечение формального соответствия – это лишь одна из целей. Не стоит сбрасывать со счетов и необходимость решения сопутствующих бизнес-задач. Одной из них является построение эффективной системы противодействия мошенничеству. Потребность в ней обусловлена высокими рисками совершения мошеннических операций, которые в соответствии с 9-й статьей № 161-ФЗ с 1 января 2014 года будут возложены на банки. Опыт показывает, что средний срок создания системы fraud-мониторинга составляет около года, а ведь надо же еще инициировать проект, определить исполнителя и т. п. Таким образом, получается, что времени, увы, как обычно, в обрез.

Очевидный шаг

28 ноября прошлого года в Москве прошла конференция, посвященная состоянию и перспективам национальной платежной системы, во время которой представители Банка России заявили, что планируют начать официально запрашивать результаты оценки соответствия (форма 0403202) до установленного Банком России срока (1 июля 2014 года). Это означает, что затягивать с проведением оценки и оформлением ее результатов банкам не стоит.

Провести такую оценку операторы могут самостоятельно или привлекая внешних аудиторов. Причем единственное требование, которое обычно предъявляется к проверяющему, – наличие лицензии ФСТЭК России на ТЗКИ. Выбор того, чьими силами проводить оценку, остается за оператором. Правда существенное влияние на это решение оказывает наличие у оператора собственных квалифицированных специалистов и, конечно же, их текущая загрузка. Банк России обязывает предоставлять результаты оценки раз в два года. Проведение подобного аудита в среднем требует от 2 до 3 человеко-месяцев. Оторвать специалистов от выполнения непосредственных обязанностей на такой срок по понятным причинам невозможно, а расширять штат при этом далеко не всегда целесообразно. Именно в такой ситуации становится разумным привлечение внешнего аудитора. Кроме того, форма 0403202 предусматривает указание сведений о компании, проводившей проверку. А это позволяет банкам и аудиторам в некоторой мере разделить ответственность за достоверность результатов оценки.

А риски в чем?

Какие риски для кредитно-финансовой организации таит 9-я статья закона «О национальной платежной системе», а главное, какие необходимо предпринимать действия для их минимизации?

Во-первых, и это наиболее очевидно, банкам придется в обязательном порядке уведомлять ЦБ обо всех фактах мошенничества. Причем количество обращений самих граждан в ЦБ по причинам неправомерного использования средств с банковских счетов уже достаточно велико и позволяет регулятору оценивать соответствие данных о фактах мошенничества, получаемых из банковской отчетности и прямых обращений граждан.

Во-вторых, банки должны будут полностью пересмотреть подход к урегулированию финансовых претензий со стороны клиентов, возникающих в результате неправомерного использования денежных средств счетов в рамках сервисов национальной платежной системы. Ранее большая часть этих споров разрешалась условиями договора между клиентом и банковской организацией, но сегодня эти договоры уже пересмотрены в силу их противоречия законодательству. А те банки, которые в решении финансовых споров делали ставку именно на договор с клиентом, будут вынуждены пересматривать подход к расчету операционных рисков в рамках НПС.

Пропорциональный выбор

Расчет карты рисков уникален для каждой банковской организации. При этом очевидно, что общие банковские риски никак не должны превышать доходности организации (лучше, чтобы риски конкретного вида деятельности не превышали доходности этого сегмента). Сегодня почти каждый банк имеет собственную статистику по мошенническим операциям, а значит, может оценить объемы обращений, потенциальных выплат и даже сформировать прогноз возможных прямых финансовых потерь в результате мошенничества. С другой стороны, не каждое обращение клиента о неправомерной операции является результатом осуществления мошеннических действий. Его причинами могут быть технические ошибки процессирования операций, а иногда и корыстный умысел самого клиента.

В этой связи существует несколько основных путей контроля рисков и минимизации подобных обращений. Например, банки могут усиливать процедуры проверки новых клиентов, менять тарифы обслуживания в сторону увеличения их стоимости и наращивать средства аутентичности совершаемых операций, а также внедрять независимые от клиента средства противодействия мошенничеству, усиливать и автоматизировать структурные подразделения, проводящие претензионную работу и административные расследования мошеннических операций.

Кроме этого часть банковских организаций, вероятно, пойдет по пути страхования рисков мошенничества, тем самым определяя абсолютную величину риска и закладывая ее в расходы конкретного вида обслуживания клиентов.

Любой из приведенных подходов к оценке и минимизации рисков имеет право на существование, а эффективность каждого в отдельности зависит от специфики банковских услуг, клиентской базы и текущих процессов контроля рисков. При этом оптимальный вариант распределения усилий между приведенными направлениями заключается в применении всех способов в разных пропорциях. Причем более независим подход (как от клиента, так и от сотрудников банка), тем более гибким он оказывается. Ввиду этого системы fraud-мониторинга, уже зарекомендовавшие себя на поле борьбы с мошенническими операциями в различных сегментах обслуживания клиентов, становятся неотъемлемой частью эффективного функционирования комплексной системы контроля рисков, в том числе и в рамках № 161-ФЗ.

А был ли fraud?

Исторически fraud можно подразделить на мошенничество со стороны третьих лиц (кража карт или их реквизитов, skimming, хищение ключей доступа и аутентификации ДБО), так называемый friendly fraud – мошенничество со стороны родственников или друзей, и мошенничество со стороны клиента (оспаривание совершенных самим клиентом операций). По статистике некоторых банков доля friendly fraud и мошенничества со стороны клиента составляет до 50% от общего количества обращений, связанных с нелегитимным использованием платежных инструментов и сервисов. Зачастую достаточным для завершения рассмотрения претензии без компенсирующих выплат доказательством о совершении данной операции родственником владельца карты (или им самим) является предъявление видео, реквизитов доставки заказанного товара или услуги и т.п.

При этом сам факт обязательного возмещения при совершении неправомерных операций приведет к увеличению обращений от недобросовестных клиентов. И именно в этом случае российские банки будут наиболее уязвимы в текущий момент. Поэтому, скорее всего, рынок ждет многократное усиление проверок новых клиентов, развитие общих баз данных клиентов (аналогичных базам кредитных историй), повышение тарифов обслуживания, развитие средств аутентификации и их усложнение.

Зарубежная статистика подтверждает, что такой подход к быстрому возмещению может быть эффективным. Например, в Великобритании он применяется повсеместно, однако установленный факт мошенничества со стороны клиента, даже после возмещения средств, приводит к судебным искам и последующей практической невозможности получения кредита или выгодного финансового сервиса в любом банке Великобритании.

От тотального контроля к интеллектуальному поиску

Сегодня традиционные механизмы проверки клиентов или стандарты ведения претензионной работы являются лишь передним краем защиты организации от наступления финансового ущерба. В таких условиях первостепенную значимость получают механизмы, предоставляющие функции интеллектуального поиска точки наступления финансового ущерба. Класс этих систем довольно широк, но большинство из них ориентированы на online-анализ текущих событий: от проверки новых заявок на открытие счета или доступа к платежному сервису до анализа каждой совершаемой клиентом операции (как финансовой, так и административной). Гибкость и масштабируемость подобных систем позволяют осуществлять мониторинг событий, инициированных клиентами, в режиме реального времени. Это предоставляет возможность не только оперативного выявления мошенничества, но и активного предотвращения фактов хищений, вплоть до полного запрета проведения высокорисковых операций. Внедрение таких систем не только способствует минимизации рисков возмещения сумм неправомерных операций, но и позволяет удовлетворять потребности бизнеса по контролю операционной деятельности организации.

Как показывает практика, объемы мошеннических атак, например, для каналов ДБО в крупном финансовом учреждении, могут составлять до 300 млн. рублей в год. Что на порядок ниже стоимости решения противодействия мошенничеству и работ по его внедрению и поддержке. Гибкость многих решений позволяет их масштабировать с наиболее критичных областей на иные зоны. Например, связанные с каналами обслуживания клиентов, контролем операционной деятельности сотрудников организации и эффективности работы подразделений и др. Именно по этой причине большинство кредитно-финансовых организаций уже сегодня внедряют высокотехнологичные инструменты контроля клиентских операций, не только способствующие решению задач в рамках ответственности по № 161-ФЗ, но и позволяющие комплексно удовлетворять запросы бизнеса.