Академия Информационных Систем приняла участие в круглом столе «Дистанционные банковские услуги: под прицелом киберпреступников»
27 июля 2012 года Академия Информационных Систем приняла участие в круглом столе по теме "Дистанционные банковские услуги: под прицелом киберпреступников", которую организовал и провел Международный банковский клуб.
На вопросы присутствующих отвечали Курило А.П. (Банк России), Сумманен К.Т. (Банк ВТБ), Голенищев А.А. (Альфа-Банк), Конявский В.А. (МФТИ), Лайков А.Г. (Система денежных переводов BLIZKO Связь-Банка), Черноморов С.А. (HandyBank), Шумский Л.С. (Связной Банк) и ведущий круглого стола Аитов Т.Н. (АРБ).
Тема безопасности ДБО очень актуальна в последнее время. Примерно 5-8 лет назад основной акцент делался на технических мероприятиях и необходимости внедрения технических средств. Позже акцент перешел на орг.мероприятия, в частности, упор тсал делаться на отраслевые Стандарты. Однако, даже после разработки целого комплекса Стандартов в области ИБ ситуация в корне не поменялась. Еще позже акцент перенесся на необходимость разработки адекватной нормативной базы и неотвратимости наказания. На круглом столе, одним из основных докладчиков Курило А.П., акцент был сделан на системности решения проблемы безопасности не только ДБО, но и всех дистанционных банковских услуг.
Из наиболее интересного:
1. Курило А.П.:
- Альтернативы ДБО сейчас нет. Соответственно речи о упразднении данного вида услуг для клиентов не идет.
- Объем операций по денежным переводам превышает десять миллионов транзакций в сутки. При этом нет статистики, сколько из этих транзакций мошеннические.
- Стандартные решения для обеспечения безопасности ДБО не применимы и нужно проблему решать системно.
- Примеры эффективных решений есть у PCI Council, в частности переход с магнита на чип позволил снизить число мошеннических транзакций на 90%.
- Банковскому сообществу нужно оперативно информировать друг друга о произошедших инцидентах и мошеннических операциях.
- Нужно применять меры по блокированию мошеннических переводов. Если все же деньги уже сняты, то нужно плотно взаимодействовать с правоохранительными органами.
- Порядка 50% атак происходит с использованием методов социальной инженерии и нужно информировать и воспитывать общество.
- Нужно создать банковский CERT.
- Банки не охотно делятся информацией о компрометации карточек, т.к. это негативно играет на их репутации. В Нидерландах провели исследование и выяснилось, что после того, как пресса публикует информацию о компрометации карточки того, либо иного банка, то сразу обороты этого банка падают на 3%.
- Создание базы инцидентов поддерживается, но есть ряд серьезных вопросов, на которые пока нет четких ответов. В частности, как обеспечить безопасность этой самой базы, нужно установить ответственность всех лиц имеющих к ней доступ за разглашение, где взять деньги на финансирование этой большой работы. Банк России не готов финансировать.
- Что касается статистики инцидентов, то пока ее нет. Выпущено указание БР 2831-У по которому участники обязаны писать отчеты и предоставлять их в БР. Через пол года будет данная система отработана и появится статистика.
2. Шумский Л.С.:
- Есть проблемы по взаимодействию между банками при возникновении инцидентов ДБО.
- Существует рабочая группа, которая разработала рекомендации для клиентов, как действовать при инциденте, как получить деньги назад. Рекомендации содержат более 10 форм заявлений в банк, в правоохранительные органы и т.п.
Основная цель этих рекомендаций, это остановка транзакций, пока деньги не обналичились.
- На сайте НП "НПС" будет закрытый раздел по обмену информацией по инцидентам между банками.
3. Сумманен К.Т.:
- Должен действовать принцип неотвратимости наказания.
- Риск в ДБО может быть сведен к минимуму, если клиент будет выполнять все указания банка.
- Нужно создать базу по инцидентам и мошенникам по аналогии с кредитованием и Бюро Кредитных Историй.
- Нет системы обучения и информирования клиентов (общества). Это обучение, ликбез нужно вводить в школах.
4. Голенищев А.А.:
- В Альфа-Банке создана система on-line-мониторинга каналов ДБО. Можно видеть и отсекать мошеннические операции во время самой операции. После введения этой системы во втором квартале потери от инцидентов составили всего порядка 100т.р.
5. Черноморов С.А.:
- Многие инциденты банками скрываются, чтобы не терять репутацию.
В Академии Информационных Систем проводятся практические тренинги по обеспечению безопасности ДБО по теме «Предотвращение мошенничества и расследование инцидентов при дистанционном банковском обслуживании» – http://infosystems.ru/services/informacionnaya/avtorskie_kursy_149/fraud_prevention.html