Как банки защищают данные клиентов и контролируют безопасность платежей

Финансовый сектор может столкнуться с проблемами при использовании иностранного ПО
Максим Стулов и Евгений Разумный / Ведомости

В 2021 г. объем российского рынка онлайн-торговли составил 4,1 трлн руб. и 1,7 млрд заказов, подсчитало в марте этого года агентство Data Insight. За 2021 г. количество онлайн-заказов выросло на 104% (рекорд за все время наблюдений), а объем рынка в рублях вырос на 52%. В связи с этим возросла и доля онлайн-платежей в общей структуре оборота: например, в Москве она достигла 51%. На фоне этого активизировались и злоумышленники, открывшие охоту за данными банковских карт онлайн-покупателей.

С начала 2022 г. только ВТБ предотвратил 700 000 попыток украсть деньги со счетов клиентов – это почти в 1,5 раза больше, чем за аналогичный период 2021 г. Объем спасенных средств клиентов банка составил почти 7 млрд руб. В Альфа-банке и Газпромбанке сообщали о снижении активности мошенников в I квартале этого года. В «Почта банке» отметили снижение доли социальной инженерии и рост числа хищений с ранее скомпрометированных карт.

По данным Газпромбанка, на фоне санкций киберпреступники стали чаще использовать поддельные сайты интернет-магазинов или маркетинговых сайтов, которые собирают персональные данные или реквизиты банковских карт. В Альфа-банке рассказывали, что также используется схема со «спасением» вклада или валюты с помощью перевода на специальный счет.

Зоны ответственности

Может ли банк гарантировать безопасность данных и денежных средств? В первую очередь, нужно разобраться, кто несет ответственность за данные клиента при совершении им онлайн-платежа. Если говорить о безопасности, то в данном случае ответственность за компрометацию персональных данных и банковских реквизитов клиента несет сервис-провайдер, который осуществляет процессинг операций интернет-магазина, объясняет архитектор проектов по информационной безопасности компании R-Vision Артем Гольцов.

Когда клиент, совершая покупку, нажимает кнопку оплаты, он попадает на страницу платежной формы сервис-провайдера для ввода своих банковских реквизитов. Далее система передает полученные данные в банк-эквайер, обслуживающий этот интернет-магазин. А он, в свою очередь, уже направляет информацию о платеже, планируемом клиентом, банку-эмитенту, который выпустил и выдал ему карту. Банк-эмитент проверяет информацию о клиенте, карте и наличии свободных средств на ней, а затем либо одобряет, либо отклоняет операцию. Поэтому в случае оплаты картой на сайтах банк сможет только предотвратить мошенническую операцию, но не утечку персональных данных, говорит Гольцов.

Мошеннические операции в таких случаях предотвращаются с помощью следующих инструментов:

  • ОTP (one time password) – временный код, который необходимо ввести на сайте для подтверждения оплаты. Этот код высылает банк владельцу карты на телефон через SMS или PUSH-уведомление. Действие кода также может быть ограничено во времени. Преимущество одноразового пароля по сравнению со статическим в том, что злоумышленник, перехвативший данные из успешной сессии аутентификации, не может использовать скопированный пароль для получения доступа к защищаемой информационной системе.

  • Антифрод-системы. С их помощью банк отслеживает подозрительные операции, в частности проводимые из другой страны или с суммой, превышающей определенный лимит. Для выявления случаев мошенничества антифрод-система сегментирует клиента, а также получает сессионную информацию: кто, когда, какие действия, в каком регионе, в какое время выполнял, какие обороты и т. д. На основе данных о частоте (за единицу времени) и размерах алгоритм может принять решение о блокировке той или иной транзакции. Среди отечественных антифрод-решений в пример можно привести FraudWall от «Фродекс» или «FRAUD-Анализ» от Bank Software Systems (BSS).

Использование одноразовых проверочных кодов – элемент двухфакторной аутентификации пользователя при совершении покупок через интернет, часть протокола 3D-Secure для CNP-операций (без присутствия карты). На первом шаге используется: номер карты, срок ее действия, имя держателя карты и код проверки ее подлинности (например, CVC2). На втором – как раз отправка проверочного кода. Изначально протокол был предложен платежной системой Visa, но потом с некоторыми изменениями был принят и другими системами. Платежная система «Мир» также поддерживает данный протокол: с 2016 г. «Мир» самостоятельно реализует поддержку 3D-Secure 2.0 и предоставляет ее под названием MirAccept.

Не все онлайновые магазины и банки поддерживают 3D-Secure, так как этот инструмент не является обязательным. Проверенные сервисы можно узнать по логотипу Verified by Visa, однако и здесь нужно быть внимательным, предупреждают опрошенные «Ведомостями» эксперты.

О том, как мошенники научились подделывать страницу проверки платежа, рассказывал в интервью порталу New Retail директор по информационной безопасности и противодействию мошенничеству QIWI Алексей Юдин. Сначала пользователь заходит на страницу ложного интернет-магазина и попадает на поддельную страницу подтверждения платежей. На ресурсе мошенников пользователи вводят данные карты. Одновременно с сервера злоумышленников инициируется обращение к настоящему серверу 3-D Secure, поэтому для банка операция выглядит как перевод средств с карты на карту по инициативе самого пользователя. Поэтому антифрод-система пропускает платеж и высылает покупателю настоящий проверочный код. Последнему бывает сложно распознать поддельные страницы, поскольку они могут содержаться верифицирующие логотипы платежных систем.

Банковские системы

В части обеспечения защиты информации вообще и информации, содержащей персональные данные в частности, большая работа проведена и продолжает проводиться Банком России как регулятором, утверждает заместитель управляющего директора по технологиям кибербезопасности Positive Technologies Павел Кузнецов. Два основных документа – положение Банка России 382-П и отраслевой стандарт СТО БР ИББС – описывают набор требований к организации защиты как платежной, так и иной охраняемой законом информации, включая требования к техническим средствам, объясняет эксперт.

Традиционно защита персональных данных полагается на набор организационно-технических мер, таких как сегментация сети, строгий контроль доступа к системам, в которых происходит обработка персональных данных, при возможности обезличивание этих данных, контроль сроков хранения и процедуры уничтожения по истечении срока. Технически защита именно персональных данных (оставляя за скобками более «общую» эшелонированную защиту инфраструктуры) осуществляется как правило с помощью средств криптографической защиты в целях обеспечения зашифрованного хранения, а также специализированных решений класса DLP – Data Loss Prevention (Leakage Protection, существует некоторый набор возможных расшифровок), продолжает Кузнецов.

Что такое DLP

DLP – технология предотвращения утечек конфиденциальных данных из информационной системы вовне, а также технические устройства (программные или программно-аппаратные) для такого предотвращения утечек. Она контролирует максимальное количество коммуникационных каналов, анализирует файлы в системе, предотвращает утечки данных во время хранения, использования и передачи информации, шифрует данные, делая их нечитаемыми на внешних носителях, гарантирует безопасный удаленный доступ в соответствии с внутренним регламентом.

По его словам, это делается это в целях обеспечения мониторинга доступов, носителей информации и каналов обмена ей на предмет обнаружения персональных данных там, где их, грубо говоря, быть не должно, либо подключения неучтенных носителей/организации нелегитимных каналов передачи и иных, скажем так, аномалий. Работать с потенциальными утечками персональных данных необходимо по тем же принципам, что и с любыми другими недопустимыми для организации событиями, отмечает Кузнецов: необходимо контролировать и защищать через инфраструктуру все пути, по которым потенциальный злоумышленник сможет достичь системы, в которой данные обрабатываются, и организовать их утечку. «И для выстраивания подобной защиты необходимо использовать полный спектр соответствующих решений – от систем анализа событий до классических антивирусов и межсетевых экранов», – заключает представитель Positive Technologies.

Последствия санкций

С конца 2020 г. правительство обсуждает необходимость перехода объектов критической информационной инфраструктуры (КИИ) на отечественное ПО и оборудование. Сроки перехода несколько раз переносились. На сегодняшний день переход на отечественное ПО запланирован до 2024 г., а на оборудование – до 2025 г. Но западные санкции могут ускорить этот процесс.

К концу марта реестр Минцифры насчитывал почти 13 000 отечественных программных продуктов – еще в начале прошлого года их было около 9000. В сфере информационной безопасности процесс перехода на отечественный софт начался намного раньше и активно стимулировался со стороны государства, на рынке уже много российских игроков, предлагающих решения в этой сфере.

Ряд банков (особенно крупные) в своих системах уже давно используют отечественное ПО и оборудование, программы собственной разработки или ПО с открытым исходным кодом (open-source software).

Но далеко не всех устраивает качество российских аналогов. По словам начальника департамента информационных технологий банка «Держава» Вадима Жилина, их возможности, например в средствах виртуализации, ограничены – порой не хватает производительности, надежность тоже временами вызывает сомнения.

Не для каждого замещаемого ПО или оборудования можно найти сопоставимый по параметрам производительности и функциональности аналог, соглашается старший вице-президент по информационным технологиям и цифровой трансформации бизнеса банка «Ренессанс кредит» Денис Сотин. И если в части ПО ситуация лучше, то в части оборудования подобрать замену бывает сложно или даже невозможно. «По ряду направлений приходится полностью пересматривать архитектуру применяемых решений, чтобы снизить зависимость от оборудования ушедших с рынка поставщиков», – говорит он.

На состоявшемся 15 апреля совещании ЦБ с банками и разработчиками решений информационной безопасности обсуждался вопрос необходимости оперативной замены иностранных HSM-модулей отечественными, писал «Коммерсантъ». 

Аппаратный модуль безопасности (HSM)

Еще одно решение, с помощью которого банки защищают информационные системы, применяющие криптографию, от раскрытия данных. Они защищены от несанкционированного доступа, физического вскрытия, съема информации техническими средствами. Российские банки, как правило, используют модули Thales. Также их выпускают российские CryptoPro и Infotecs. Стоимость HSM-модулей начинается от 3 млн руб.

Как и практически все программные решения и оборудование, HSM-модули попали под санкционные ограничения. В связи с этим иностранные вендоры перестали поставлять новые модули в Россию и отключили доступ к обновлениям ранее приобретенных. Это создает риск некорректной работы. «В частности, это может привести к тому, что банковские карты пользователей перестанут работать», – заявил в  разговоре с «Коммерсантом» директор АО «Синклит» Лука Сафонов. При этом переход на отечественные модули займет несколько месяцев, так как сейчас на российском рынке попросту нет необходимого количества устройств.

Если раньше банки должны были противостоять мошенникам, пытающимся подменить клиенту страницу оплаты заказа и вывести деньги с его карты, то теперь перед ними стоят куда более серьезные угрозы. С одной стороны, они столкнулись с невозможностью приобретать иностранное оборудование и отсутствием у него отечественных аналогов, а с другой – с мощнейшими кибератаками на сайты и системы. И если противостоять атакам банкам пообещали помочь Минцифры и Банк России, то сохранять безопасность информационных систем и пользовательских данных банкам, увы, придется самостоятельно и на том оборудовании, которое будет доступно.