Мошенничество в платежной сфере. Бизнес-энциклопедия
Шрифт:
Карта может быть утрачена вместе с ПИН-кодом либо без него. В первом случае, который означает совместное хранение карты и ПИН-кода держателем карты, злоумышленник скорее воспользуется картой для получения наличных денежных средств в банкомате. Если же ПИН-код неизвестен, то вероятно проведение мошеннических транзакций в ТСП. Также встречаются факты использования реквизитов физически утерянных карт в Интернете. Определим
При наличии у злоумышленника
Риск складывается из:
— риска, связанного с использованием персональных данных держателя карты или информации по его счету для открытия нового счета;
— риска, связанного с захватом уже открытого счета.
4.3.4. Расчет рисков для банка-эмитента
Для выявления мошенничества и принятия решений по подозрительным транзакциям в соответствии с полученными ранее результатами следует получить значения следующих величин:
— риск мошенничества по поддельным картам;
— риск мошенничества по транзакциям без присутствия карты;
— риск мошенничества по транзакциям, совершенным с помощью утраченных карт.
Установим следующие исходные предположения при получении количественной оценки рисков:
• имеется база данных совершенных мошеннических транзакций (как удачных, так и пресеченных, как с наличием ущерба, так и без такового);
• имеются данные по всем транзакциям со всеми банковскими картами в платежной системе конкретного банка-эмитента;
• по каждой карте банка-эмитента имеются данные по истории всех транзакций, истории движения средств по счету карты, история изменений статуса карты, история и параметры изменения ограничений операций с картой, дополнительные признаки карты;
• нет никаких специальных данных по уровню осведомленности держателя карты в вопросах информационной безопасности, соблюдения рекомендаций по безопасному использованию карты;
• каждая совершенная клиентом транзакция по карте увеличивает риск проведения мошеннических транзакций в дальнейшем за счет увеличения вероятности компрометации данных карты;
• вероятности обнаружения мошеннических операций с помощью системы мониторинга транзакций (далее — СМТ) в платежной системе зависят только от типа мошенничества.
Заданы критерии риска для оценивания:
Далее следует определить требования к СМТ при ее выборе и эксплуатации.
4.3.5. Системы мониторинга транзакций в платежной системе
Мошенничество с банковскими картами приводит к финансовым потерям и снижению доверия со стороны клиентов к данному банковскому продукту, поэтому важно осознать актуальность мер противодействия и разработать комплексный подход к решению проблемы для уменьшения рисков. Раннее обнаружение мошенничества и принятие адекватных и эффективных мер являются необходимыми условиями обеспечения безопасности платежной системе и должны проводиться в рамках мероприятий по управлению операционным риском в банке.
Характерной особенностью современной задачи защиты информации является комплексность защиты. Под комплексностью понимается решение в рамках единой концепции двух и более разноплановых задач (целевая комплексность), или использование для решения одной и той же задачи разноплановых инструментальных средств (инструментальная комплексность), или и то и другое (всеобщая комплексность). Так, MasterCard определяет следующие методы и средства защиты платежной системы от мошенничества и снижения рисков: юридические аспекты, взаимодействие участников, обучение, аналитическая работа, расследования, отчетность, мониторинг, продукты и сервисы. В смысле обеспечения защиты платежной системы от мошенничества следует говорить об инструментальной комплексности и рассматривать СМТ как один из применяемых инструментов.
Как было отмечено ранее (рис. 4.2, для проведения мошеннической транзакции необходимы компрометация данных, их использование злоумышленником и инициирование транзакции. Если эти три условия выполнены, то результат выполнения операции (в случае проведения операции в режиме реального времени — авторизации) определяется эмитентом. При этом следует учитывать способность эмитента до формирования ответа на запрос авторизации проводить его проверку на предмет возможного мошенничества (мониторинг в режиме реального времени).
СМТ предназначена для противодействия мошенничеству на самом последнем этапе, когда мошенническая транзакция уже инициирована и может быть завершена.
Далее сформулируем общие требования к СМТ и задачи мониторинга транзакций в платежной системе:
1. Мониторинг транзакций по банковским картам должен обеспечивать анализ всех авторизационных и клиринговых транзакций по банковским картам в платежной системе и принятие решений по подозрительным на предмет мошенничества транзакциям для уменьшения рисков.
2. Система мониторинга транзакций является инструментом уменьшения рисков, связанных с проведением мошеннических операций по банковским картам, и должна быть составной частью комплексного подхода к обеспечению безопасности платежной системы банка.
Выбор той или иной СМТ банком должен основываться на анализе рисков. Система должна использоваться для снижения финансовых потерь банка и держателей карт (в случае мониторинга эмиссии), снижения недовольства клиентов и повышения доверия к банку.
В стандарте СТО БР ИББС-1.0-2010 мониторинг информационной безопасности (ИБ) организации банковской системы РФ определяется как постоянное наблюдение за событиями мониторинга ИБ, сбор, анализ и обобщение результатов наблюдения. Событием мониторинга в данной терминологии является любое событие, имеющее отношение к ИБ. Мониторинг ИБ должен проводиться персоналом организации, ответственным за ИБ, с целью обнаружения и регистрации отклонений функционирования защитных мер от требований ИБ и оценки полноты реализации положений политики ИБ, инструкций и руководств обеспечения ИБ в организации. Основными целями мониторинга ИБ в организации являются оперативное и постоянное наблюдение, сбор, анализ и обработка данных под заданные руководством цели.