БЕЗОПАСНОСТЬ ЭЛЕКТРОННЫХ ПЛАТЕЖНЫХ СИСТЕМ


Содержание

Правила безопасности при электронных платежах

Согласно п.1 ст. 4 ФЗ от 27.06.2011г. № 161 «О национальной платежной системе» платежные услуги должны предоставляться на основе договора. Такие договоры обычно ссылаются на правила соответствующей системы и подразумевают автоматическое присоединение к ним при подписании. Перед использованием платежных услуг, до создания учетной записи в платежной системе и выполнения в ней первого платежа необходимо ознакомиться с правилами данной системы и с договором.

При этом платежная организация обязана:

— информировать клиента о совершении каждой операции с использованием электронной системы платежей (ЭСП);

— уведомлять клиента о невыполнении платежа не позднее дня, следующего за днем, когда было сделано распоряжение, а для электронных платежей незамедлительно;

— фиксировать направленные клиенту и полученные от клиента уведомления и хранить соответствующую информацию не менее трех лет;

— обеспечить возможность направления клиенту уведомления об утрате (незаконном использовании) ЭСП;

— возместить потребителю сумму операции, совершенной без его согласия или в случае нарушения правил информирования клиента об оспоренной операции.

При расчетах с использованием электронных платежей следует руководствоваться основными правилами безопасности:

1. Желательно подключить SMS-уведомления.

2. Вовремя обновлять контактные данные.

3. Не допускать посторонних к банковской карте, электронному кошельку, мобильному телефону и компьютеру (на которых имеется доступ для совершения электронных платежей).

4. PIN-код нужно помнить, не хранить на бумажном носителе в доступных местах, никому не говорить, никогда не вводить в интернете, прикрывать рукой при вводе через терминал.

5. Использовать сложные и разные пароли, регулярно их менять, никому не сообщать и не пересылать.

6. Не использовать функцию запоминания паролей и автоматической авторизации в платежных интернет-сервисах.

7. Желательно использовать режим «Инкогнито» (приватный) при совершении покупок через интернет. Удалять информацию о платежах с помощью очистки буфера файлов (cache) и файлов сохранения данных (cookies).

8. Избегать SMS-платежей на короткие номера для оплаты интернет-услуг и переводов непроверенным получателям.

9. Не реагировать на сообщения якобы от банка или оператора платежей,

если предлагается перерегистрироваться, повторно ввести данные,

перезвонить и т. п.

10. Совершать покупки в интернете нужно с помощью отдельной банковской карты и только на проверенных сайтах.

11. Незамедлительно сообщить в платежную организацию, если кошелек «взломан», карта потерялась, скомпрометирована или с нее без согласия держателя

12. При пользовании банкоматом проявлять осторожность, обращать внимание на посторонних вокруг, на подозрительные устройства и накладки в местах ввода PIN-кода и карты.

Если карта или данные о ней потеряны, а кошелек «взломан» — их нужно немедленно заблокировать, сообщив в платежную организацию. В случае ошибочного или несанкционированного платежа необходимо незамедлительно сообщить в платежную организацию до конца следующего дня, чтобы сумма этой операции была полностью возмещена. Если уведомление поступит позже, вернуть деньги будет гораздо сложнее. Чтобы платежная организация могла информировать клиента, он должен своевременно сообщать платежной организации актуальную контактную информацию.

При трансграничных покупках особенно высокое значение приобретает репутация продавца (это должна быть известная на рынке фирма с хорошей репутацией и отзывами людей, вызывающих доверие).

С недобросовестного иностранного продавца взыскать денежную сумму будет очень сложно. В проблемных ситуациях стоит обратиться к администрации интернет-магазина — иногда они готовы возмещать потери покупателей за свой счет. Во избежание потерь на конвертации — выяснить в платежной организации ее порядок и размеры комиссий.

Надежные системы безналичных платежей требуют при совершении платежа дважды пройти идентификацию по разным каналам. Например, банк может присылать клиенту на мобильный телефон дополнительный одноразовый пароль, который надо ввести в отдельную интернет-форму. В этом случае мошенник не может взять чужие деньги, даже если украл банковскую карту или узнал основной пароль.

Данный метод защиты называется 3 D Secure (или Secure Code ).

Неосторожность при пользовании интернетом может привести к утечке персональных данных. Злоумышленники также могут получить их путем обмана, взлома интернет-магазинов с данными плательщиков, установки шпионских программ.

1. Не кликать по ссылкам, предлагающим получить призы, подарки, льготы и пр.

2. Избегать сайтов с большим количеством рекламы, автоматически открывающимися окнами, переадресацией.

3. Новые программы и обновления брать только из проверенных источников. Регулярно обновлять антивирусные и антишпионские программы. Пользоваться платежными системами, которые требуют двойной авторизации (3D Secure).

4. Не реагировать на e-mail или оператора платежей, если предлагается перерегистрироваться, повторно ввести данные и т. п. Перезванивать в справочную службу банка или оператора платежей, чтобы перепроверить подлинность подобного запроса.

5. При использовании интернет-сервисов, запрашивающих персональную информацию (почтовые ящики, социальные сети и пр.), убедиться, что в адресной строке браузера текст начинается с https — это признак защищенного протокола.

(c) Федеральное бюджетное учреждение здравоохранения «Центр гигиены и эпидемиологии в Курской области», 2006-2020 г.

Адрес: 305000, г. Курск, ул. Почтовая, д. 3

Безопасность электронных платежных систем

Общее

На сегодня не возможно представить мир без банковский операций, без онлайн платежей или без пластиковых карт. Система безналичных расчетов называют электронной платежной системой.
Для эффективной работы, и спокойствии платежников, такая система должна быть защищена. С точки зрения ИБ в таких системах есть следующие уязвимости:

  • Пересылка данных между банками, между банкоматом и банком, между банком и клиентом
  • обработана данных внутри системы отправителя и получателя
  • доступ пользователей к средствам на счетах

Особенности пересылки платежных и других сообщений:

  • Системы получателя и отправителя должны реализовывать нужную защиту при обработке электронных документов
  • Взаимодействие получателя и отправителя реализовано через канал связи

Такие особенности создают следующие проблемы:

  • Взаимное опознание абонентов. Проблема установки подлинности абонентов при соединении
  • Защита электронных документов транспортируются по каналам связи. Проблема конфиденциальности и целостности
  • Защита действия обмена электронными документами. Проблема доказательства доставки и отправления документа

Для реализации защиты данных на конкретных узлах платежных систем, должно быть реализовано следующее:

  • контроль целостности сообщения
  • управление доступом
  • реализации конфиденциальности сообщения
  • невозможность отказа от авторства сообщения
  • взаимная аутентификация пользователей
  • гарантия доставки данных
  • регистрация последовательности сообщений
  • контроль целостности последовательности данных

Электронная пластиковая карта — это носитель данных, который идентифицирует владельца и содержит учетные данные. Существует два вида карт, кредитная и дебетовая.

Кредитная карта самая распространенный вид карт. Такие карты используют для оплаты услуг и товаров. При оплате, на ваш счет заносят сумму кредита, которую вы должны погасить. Дебетовая карта же определяет то, что на вашей карте уже есть некая сумма денег, которой вы можете распоряжаться. Такие карты могут быть корпоративными.

Для идентификации владельца на карту наносят:

  • логотип банка, платежной системы
  • имя владельца, номер счета и срой действия карты

Пластиковые карты различают на пассивные и активные. Пассивные карты хранят информацию, и к ним относят карты с магнитной полосой. Полоса состоит из 3 дорожек. Первые две хранят идентификационные данные, третья же может хранить текущее значения лимита. Такие карты уязвимы к мошенничеству. Для повышения защиты таких карт, используют дополнительные методы защиты.

К активным можно отнести карты с микропроцессором. Такие карты имеют характеристики:

  • микропроцессор с частотой 5МГц
  • ОЗУ 256 байт
  • ПЗУ 10 Кбайт
  • энергозависимое ЗУ 8 Кбайт

Смарткарта имеет широкий список функций:


  • разграничение прав доступа к внутренним ресурсам
  • шифрование данных
  • ЭЦП
  • ведение ключевой системы
  • режим самоблокировки

Существует два этапа: подготовки и применения пластиковой карты. Персонализация этап выдачи карты клиенту. На карту заносят данные, которые будут идентифицировать карту и ее владельца. К данному этапу также относят кодирование магнитной полосы и настройка микросхемы. Авторизация этап утверждения выдачи или продажи наличных на карте. При авторизации стандартным механизмом защиты является пин код. Также возможны дополнительные механизмы, такие как подтверждение по СМС или по email.

Алгоритм генерации значения PIN оказывает прямое влияние на безопасность электронно платежной системы. Если пин код назначается банком, то он генерируется из номера счета владельца криптографически. Шифр используется DES с секретным ключом. Главное клиенту НЕ ЗАПИСЫВАТЬ пин на карту или другое видное место.

При процедуре восстановление забытого пин кода, или генерации нового есть специальные методы. При идентификации клиента по пин кода есть алгоритмический и неалгоритмические способы.

Проблемы безопасности электронных платежей, осуществляемых в международных платежных системах

Воронцова С.В., кандидат юридических наук, доцент кафедры уголовного процесса Московского университета МВД России.

Вопросы обеспечения безопасности электронных платежей имеют большое значение для хозяйственной деятельности организации. В статье рассматриваются актуальные вопросы обеспечения подобной безопасности. Выводы автора могут быть использованы в правоприменительной практике хозяйствующих субъектов.

Ключевые слова: электронные платежи, ЮНСИТРАЛ, SWIFT, CHIPSW, фишинг.

The issues of ensuring security of electronic payments are of great importance for economic activity of organization. The article considers topical issues of ensuring such security. The author’s conclusions might be used in law-application practice of economic subjects.

Key words: electronic payments, UNCITRAL, SWIFT, CHIPSW, fishing .

Voroncova S.V. Problems of security of electronic payments effectuated in international payment systems.

Современное состояние мировой экономики характеризуется все более возрастающим влиянием международных (глобальных) банков, банковских групп, финансовых холдингов. Руководитель Института банковского управления США Крис Скинер заявил, что финансово-кредитная отрасль изменилась за последние 5 лет больше, чем за предыдущие 50 . Это в первую очередь связано с использованием новейших достижений науки и техники, в т.ч. электронных форм проведения расчетов и платежей.

См.: Скинер К. Будущее банкинга. Мировые тенденции и новые технологии в отрасли. Минск: Гривцов Паблишер, 2009. С. 18.

Информационные технологии в совокупности с информационными ресурсами и информационной инфраструктурой образуют информационное пространство современного общества. Это информационное пространство является системообразующим фактором всей общественной жизни. Традиционный рыночный тип хозяйствования, основу которого составляет индустриальный способ производства, трансформируется под влиянием достижений научно-технической и информационно-коммуникационной революции. В последние десятилетия мир переживает период перехода от индустриального общества к обществу информационному. Происходит кардинальная смена способов производства, мировоззрения людей, межгосударственных отношений. По своему значению и воздействию на общество это сравнимо с новой всемирной промышленной революцией, нисколько не уступающей по своему значению революциям прошлого. Фактически речь идет о развертывании и реализации очередной (второй) промышленной революции, получившей название информационной, которая приведет к созданию информационного общества .

См.: Щербавич И.А. Правовые вопросы связи. М.: ИГ «Юрист», 2007. N 1. С. 126.

Бурное развитие информационных технологий и их широкое использование банками в своей деятельности привели к появлению такого понятия, как «электронный перевод денежных средств» (electronic funds transfer, EFT). Чем сильнее зависимость отрасли экономики от информационных технологий, тем больше требуется специальных предметных нормативно-правовых актов. В настоящее время действует Правовое руководство по электронному переводу денежных средств, принятое ЮНСИТРАЛ в 1987 г. Электронный перевод определяется Правовым руководством (п. 6) как перевод, при котором одна или более операций осуществляются электронными методами, т.е. замена бумажного поручения перевода, подписанного собственноручной подписью, электронным сообщением, подписанным электронным способом, передаваемым по компьютерной сети. Позднее было принято два Закона — «Об электронной коммерции» 1996 г. и «Об электронных подписях» 2001 г., регулирующие общие вопросы придания юридической силы электронным сообщениям и подписям.

Комиссия ООН по праву международной торговли.

Главным международным оператором услуг электронного обмена финансовыми сообщениями является Сообщество международных интербанковских финансовых телекоммуникаций (Society for Worldwide interbank Financial Telecommunication, SWIFT), созданное в 1973 г. 239 банками из 15 стран в форме акционерного общества бельгийского права. Целью деятельности Сообщества является обеспечение надежного и безопасного электронного обмена стандартизированными финансовыми сообщениями, среди которых основное место занимают переводы денежных средств (50,3%). На начало 2009 г. пользователями SWIFT являются 8542 организации из 209 стран с объемом передаваемых через SWIFT финансовых сообщений почти 2 млрд. евро в год (15 млн. в день) .

См.: Шамраев А.В. Правовое регулирование международных банковских сделок и сделок на международных финансовых рынках. М.: КНОРУС; ЦИПСиР, 2009. С. 39.

Отношения SWIFT и пользователей регулируются Руководством пользователя SWIFT, где определены их взаимные обязательства и пределы ответственности. SWIFT не дает никаких гарантий того, что предоставление услуг и банковских продуктов будет бесперебойным, безошибочным, оставляет за собой право приостанавливать предоставление услуг полностью или частично в любое время по целому ряду причин, перечень которых не является исчерпывающим. На пользователя вышеуказанным Руководством возлагается обязанность по обеспечению безопасности данных, он несет ответственность за обеспечение конфиденциальности, целостности хранящихся у него данных. В случае возникновения несанкционированного доступа к информации третьих лиц именно на пользователя возлагается ответственность. Общая ответственность SWIFT перед всеми пользователями по искам, предъявляемым в течение года в связи с предоставлением или использованием услуг и продуктов SWIFT, ограничивается 10 млн. евро. В случае если общая сумма исков, предъявляемых SWIFT в течение года, превышает данную сумму, то сумма каждого удовлетворенного иска должна быть уменьшена пропорционально той части, в которой данный иск относится к сумме всех удовлетворенных исков, предъявленных SWIFT в течение года.

В соответствии с принятой международной терминологией платежные системы — это системы, предназначенные для перевода (поставки) ценных бумаг, других финансовых инструментов, как правило, на условиях встречного перевода денежных средств . Директива Европейского парламента и Совета от 19 мая 1998 г. N 98/26/EC «Об окончательности расчета в платежных системах и системах расчета по ценным бумагам» определяет платежную или расчетную систему как объединение трех или более участников с общими правилами и стандартизированными соглашениями по исполнению поручений перевода между участниками, регулируемое правом государства, избранного участниками, где один из них зарегистрирован. В качестве дополнительного требования является необходимость разрешения на деятельность в качестве системы со стороны государства, чье право применяется к участникам системы.

См.: Глоссарий терминов, используемых в платежных и расчетных системах // Платежные и расчетные системы. Международный опыт. Вып. 1. М.: Банк России, 2007.

Одной из крупнейших трансграничных платежных систем является американская система CHIPSW (Clearing House Interbank Payment Systems). В Европе действует аналогичная американской платежная система EURO1, созданная Европейской банковской ассоциацией. Крупнейшей мультивалютной трансграничной платежной системой является система CLS (Continuous Linked Settlement), включающая группу организаций, холдинговая компания которых зарегистрирована в Швейцарии. Европейским центральным банком создана расчетная система TARGET. Деятельность расчетных систем регламентируется решениями Гаагской конвенции «О праве, применимом к некоторым правам в отношении ценных бумаг, находящихся во владении у посредника» 2006 г.

Наряду с вышеуказанными расчетными системами действуют неформальные финансово-расчетные системы, используемые преимущественно на Среднем Востоке, в Африке и Азии. Система hawala сформировалась в Индостане задолго до появления западной банковской системы и до распространения западного банковского дела на мусульманском Востоке. Hawala существует вне или параллельно традиционным банковским или финансовым каналам. Используется эта система расчетов в основном иммигрантами, зарабатывающими на Западе и отсылающими деньги родственникам. Обычно данная система позиционируется как теневая, но это не совсем так, так как они в большинстве случаев действуют согласно закону.

Система hawala основана на переводе денежных средств путем однократных уведомлений по электронной почте, факсу или телефонными звонками. Материальные ценности в виде денег, золота и драгоценных камней перемещаются из страны в страну без сопроводительных финансовых документов. Учитывая, что все финансовые транзакции осуществляются в ходе своповых операций (методом взаимозачета) или при личных встречах (второе случается значительно реже), то отследить эти потоки государственные контрольные органы не в состоянии .

См.: Материалы Конференции Европол — МВД России «Борьба с преступностью в сфере мошенничества с платежными картами». М.: МВД России, 2009.

Как и всякое достижение науки, информатизация общества несет в себе как позитивное, так и негативное начало. Высочайшая степень автоматизации, к которой стремится современное общество, ставит его в зависимость от степени безопасности используемых информационных технологий от криминальных действий. В связи с массовой компьютеризацией информационных процессов, увеличением ценности и значимости информационных ресурсов особую остроту принимает проблема надежной защиты информации, циркулирующей в критически важных информационных системах, т.е. предупреждение ее искажения и уничтожения, несанкционированной модификации, криминального получения и использования.

В условиях роста зависимости каждого из нас от информации, циркулирующей в глобальных компьютерных сетях, развития информационных и сетевых технологий появилась так называемая киберпреступность. Термин российским законодателем юридически не определен, но в научной литературе этот термин используется для определения преступности в виртуальном пространстве, в котором находятся сведения о лицах, предметах, фактах, событиях, явлениях и процессах, представленных в локальных и глобальных сетях. Первым юридическим актом, в котором дана оценка значения киберпреступности, стали решения Конвенции о киберпреступности, проведенной Советом Европы 23 ноября 2001 г. Там была сделана попытка координации действий правоохранительных органов на международном и национальном уровнях по недопущению несанкционированного вмешательства в работу компьютерных систем.

Преступникам стал доступен новый вид преступлений, совершаемый в Сети, — сетевая преступность. Конечная их цель — получение дохода с помощью технологий и финансовых преступлений. Особое беспокойство онлайн-криминалистов вызывает так называемый фишинг — разновидность сетевого мошенничества, при котором пользователей заманивают на фальшивые сайты, где получают доступ к данным платежных карт с целью хищения денежных средств. Техника фишинга была подробно описана в 1987 г., а сам термин появился 2 января 1996 г. в новостной группе alt.online-service.America-Online сети Usenet. На этом этапе фишинг-атаки были направлены на орфографию содержания электронной почты и/или грамматические ошибки. Целью фишеров сегодня являются клиенты банков и электронных платежных систем.

Следующим этапом совершенствования способа преступления стал фарминг. Как и при фишинге, целью фарминга является получение персональных данных клиентов платежных систем. Разница заключается в том, что атака преследует цель перенаправления трафика к веб-сайту в другое место. В результате механизм перенаправления активизируется, когда пользователь набирает адрес, соответствующий его банку, и жертва попадает на один из ложных сайтов. Термин «фарминг» — это перенаправление жертвы на ложный IP-адрес. Для этого может использоваться некая навигационная структура (файл hosts, система доменных имен — domain name system, DNS). Фишинг не может быть осуществим без участия определенного количества лиц.

В 2005 г. каждый 20-й пользователь в Великобритании заявил о потерях, связанных с фишингом. С мая 2004 г. по май 2005 г. 1,2 миллиона пользователей в США понесли потери в связи с фишингом. В общей сложности потери составили 929 млн. долларов США. В 2007 г. в Германии зарегистрировано более 3500 случаев фишинга, по сравнению с прошлым годам возросли суммы похищенных денежных средств: если в 2006 г. в среднем они составляли от 2 до 3 тыс. евро, то в 2007 г. этот показатель вырос до 4 — 6 тысяч .

Специфика проблемы борьбы с киберпреступностью состоит в том, что отдельно взятая страна не в состоянии противостоять ей собственным государственным властным механизмом и только международное сообщество способно противостоять данному виду преступности. Традиционные представления о территориальной юриспруденции, об административных границах применительно к киберпреступности во многом теряют смысл.

Роль национального законодательства снижается, и на первый план выходят инструменты межгосударственного (международного) регулирования, международное взаимодействие стран, многостороннее межгосударственное сотрудничество, строящееся на основе договоров и соглашений.

Совершенствование противодействия транснациональной организованной преступности, действующей в сфере оборота электронных расчетов и платежей, может происходить в следующих направлениях:

  • создание международных антикриминальных центров по борьбе с киберпреступностью, которые смогли бы быстро реагировать на криминальные действия, активно сотрудничая с Интерполом;
  • разработка уголовно-правовых норм для борьбы в сфере информационной безопасности и внедрение их в национальные законодательства;
  • создание межгосударственных следственно-оперативных групп для расследования криминальных действий в этой сфере;
  • формирование единой политики европейских стран, в том числе и стран СНГ, в области противодействия преступности в сфере высоких технологий и создание модели руководящего и технического сотрудничества в этой области;
  • комплексное технико-программное и правовое регулирование отношений в сфере защиты информации.

Формирующееся информационное общество выдвигает новые требования к обеспечению национальной безопасности. Теперь она определяется в значительной мере «защитой интересов личности, общества и государства в информационной сфере» в соответствии с Доктриной информационной безопасности Российской Федерации.

Ликбез по защите информации в платежных системах

Федеральный закон № 161 от 27.06.2011 «О национальной платежной системе» (далее – ФЗ-161) определил участников национальной платежной системы и требования к ним.

При этом большинство организаций, подпадающих под действие закона, до сих пор находятся в затруднительном положении. Они не совсем понимают, что делать с новыми требованиями и как им соответствовать. Данная статья поможет получить представление о сложившейся ситуации в национальной платежной системе (далее – НПС), о требованиях ФЗ-161 и сопутствующих документах с точки зрения информационной безопасности. Представленная информация будет интересна специалистам по информационной безопасности, руководителям организаций, юристам и другим заинтересованным лицам.

При формировании требований к национальной платежной системе ставятся вполне определенные цели. Предполагается произвести унификацию безналичных денежных переводов. Теперь такие разные системы обращения денежных средств как Яндекс Деньги, MasterCard или WebMoney будут подчиняться одинаковым требованиям. Закон определяет регуляторов, которые будут контролировать образовавшуюся национальную платежную систему. Эти же регуляторы будут проверять выполнение требований по информационной безопасности.

Устанавливаются три регулятора, согласно ст. 27 ФЗ-161:

  • Банк России в лице трех подразделений:

— Департамент регулирования расчетов (далее – ДРР);
— Главное управление безопасности и защиты информации (далее – ГУБиЗИ);
— Департамент банковского надзора (далее – ДБН);

  • Федеральная служба по техническому и экспортному контролю России (далее – ФСТЭК России);
  • Федеральная служба безопасности России (далее – ФСБ России).

Предполагается, что ДРР и ГУБиЗИ будут заниматься нормотворческой деятельностью, а инспекционные проверки (плановые и внеплановые) будет проводить ДБН. Нормативные документы Банка России согласуются с федеральными органами исполнительной власти, этим пока и ограничивается роль ФСТЭК России и ФСБ России.

Рассмотрим основных участников НПС, введенных в ФЗ-161. Они представлены ниже (см. Табл. 1).

Табл. 1. Участники НПС

Оператор платежной системы

Определяет правила платежной системы (далее – ПС), организовывает и осуществляет контроль их соблюдения участниками платежной системы, а также выполняет иные обязанности согласно ФЗ

• VISA (ООО «Платежная система «Виза»);

• MasterCard (ООО «МастерКард»);

• WESTERN UNION (ООО «НКО «Вестерн Юнион ДП Восток»).

Оператор услуг платежной инфраструктуры

операционный центр (обмен платежными поручениями между участниками ПС);

платежный клиринговый центр (сверка расчетов между участниками ПС и вывод о достаточности денежных средств плательщика для совершения расчетов);

расчетный центр (расчет между участниками ПС)

• Visa International Service Association (Операционный центр);

• ООО «Платежная система «Виза» (Клиринговый центр);


• ОАО Банк ВТБ (Расчетный центр).

Оператор по переводу денежных средств

Осуществляет перевод денежных средств

• Кредитные организации (Банки);

Оператор электронных денежных средств

Осуществляет перевод электронных денежных средств без открытия банковского счета

• ООО НКО «Яндекс.Деньги» ;

• ООО НКО «Деньги.Мэйл.Ру».

Банковский платежный агент (субагент)

Некредитная организация, которая привлекается кредитной организацией в целях осуществления определенных видов услуг (согласно ФЗ)

• ОАО «Мегафон» (SMS);

• QIWI (Платежный терминал);

• Google Wallet (Приложение на телефоне).

Определения, данные в ФЗ-161, без особых проблем позволяют организации найти свою роль в рамках национальной платежной системы.

ФЗ-161 «О национальной платежной системе»

Нормативную документацию, регулирующую национальную платежную систему, стоит начать рассматривать с ФЗ-161. В нем акцентируется внимание на необходимости защиты информации и обеспечении бесперебойности функционирования платежной системы. В самом законе, с точки зрения информационной безопасности, нас интересуют следующие статьи (см. Табл. 2).

Статья 26. Обеспечение банковской тайны в платежной системе

Декларируется необходимость защиты банковской тайны участниками НПС.

Статья 27. Обеспечение защиты информации в платежной системе

Определяются органы государственной власти, которые будут устанавливать требования к защищаемой информации и осуществлять контроль и надзор за выполнением требований

Статья 28. Система управления рисками в платежной системе

Акцентирует внимание на том, что система защиты информации должна использовать риск-ориентированный подход. Определяются основные направления при построении системы управления рисками, которая позволит снизить вероятность возникновения неблагоприятных последствий для бесперебойности функционирования платежной системы.

Статья 32. Осуществление надзора в национальной платежной системе

Закрепляет за Банком России право проведения инспекционных проверок, а также определения форм и сроков предоставления отчетности, касающихся, в том числе, информационной безопасности.

Статья 34. Действия и меры принуждения, применяемые Банком России в случае нарушения поднадзорной организацией требований настоящего Федерального закона или принятых в соответствии с ним нормативных актов Банка России

Определяет полномочия Банка России в отношении поднадзорных организаций, нарушающих требования ФЗ или нормативных документов Банка России.

На основании ФЗ-161 различные подзаконные акты устанавливают требования к информационной безопасности, а так же средства и методы защиты информации.

Постановление Правительства РФ №584 от 13.06.2012 «Об утверждении Положения о защите информации в платежной системе» устанавливает требования к защите информации, подлежащей обязательной защите, в том числе персональных данных. Описывается ряд организационных и технических мер, направленных на защиту конфиденциальности, целостности и доступности защищаемой информации.

Банк России так же выпустил ряд документов, в которых детально описаны требования к защите информации в НПС.

Среди них выделяется Положение 382-П («Положение о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (утв. Банком России 09.06.2012 №382-П), содержащее перечень требований по ИБ, предъявляемых к участникам НПС. Документ содержит 129 требований, разбитых по ролям, выполняемым в платежной системе (см. Рис. 1). Больше всего требований предъявляется к операторам по переводу денежных средств и операторам услуг платежной инфраструктуры. На оператора платежной системы в основном возлагаются организационные обязанности.

Также выделяется перечень информации, подлежащей защите. Стоит заметить, что он включает в себя виды информации, составляющие банковскую тайну согласно ст. 857 ГК РФ. Таким образом, соответствие Положению 382-П помогает выполнять и требования ст. 26 ФЗ-161 «Обеспечение банковской тайны в платежной системе» (см. Рис. 1).

Рис. 1. Распределение требований по типам субъектов НПС

В ходе прочтения ФЗ-161 часто встречаются упоминания о бесперебойности функционирования платежной системы. Для ее обеспечения необходимо построить систему управления рисками согласно ст. 28. Банк России свои требования к бесперебойности изложил в Положении 379-П («Положение о бесперебойности функционирования платежных систем и анализе рисков в платежных системах» (утв. Банком России 31.05.2012 № 379-П)). В нем предъявляются требования к оператору платежной системы, который, самостоятельно или совместно с другими участниками, должен выработать политику управления рисками в ПС, распространить ее на всех участников платежной системы и контролировать ее исполнение.

Илон Маск рекомендует:  Faq запуск внешней программы и ожидание ее завершения

Банк России будет осуществлять наблюдение и надзор в порядке, установленном в двух документах:

  • «Положение о порядке осуществления наблюдения в национальной платежной системе» (утв. Банком России 31.05.2012 № 380-П) (далее – Положение 380-П);
  • «Положение о порядке осуществления надзора за соблюдением не являющимися кредитными организациями операторами платежных систем, операторами услуг платежной инфраструктуры требований Федерального закона от 27 июня 2011 года № 161-ФЗ «О национальной платежной системе», принятых в соответствии с ним нормативных актов Банка России» (утв. Банком России 09.06.2012 № 381-П) (далее – Положение 381-П).

Согласно Положению 380-П, Банк России осуществляет наблюдение за деятельностью участников НПС, за оказываемыми ими услугами, а также за развитием платежных систем и платежной инфраструктуры.

Положение 381-П устанавливает порядок надзора над операторами платежных систем и операторами услуг платежной инфраструктуры, не являющимися кредитными организациями. Согласно данному положению, деятельность Банка России по надзору включает в себя:

  • Дистанционный надзор;
  • Проведение инспекционных проверок;
  • Применение действий и мер в случае нарушения поднадзорной организации требований ФЗ-161.

В рамках надзора участники НПС должны отправлять периодическую отчетность в Банк России (см. Табл. 3).

Табл. 3. Перечень периодической отчетности

Сведения о выполнение требований Положения 382-П.

Сведения об инцидентах, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств.

Сведения о несанкционированных операциях, совершенных с использованием платежных карт.

От одного до шести месяцев, в зависимости от типа организации.

Сведения о деятельности кредитной организации, связанной с переводом электронных денежных средств.

Информация о банкоматах и платежных терминалах кредитной организации, предназначенных для оказания платежных услуг.

Стоит отметить, что практика отправки отчетов в Банк России еще только формируется. Ведь если отчетность по Указанию 2831-У отправляется с августа 2012 года, то Указание 2926-У только недавно вступило в силу. Это говорит о том, что существующие формы еще будут дорабатываться, а новые – вводиться.

Рассмотрим более подробно вопрос ответственности участников платежных систем. Какие действия и меры принуждения может применить к ним Банк России в случае нарушения требований ФЗ и нормативных актов Банка России? На этот вопрос отвечает ст. 34 ФЗ-161, которая определяет два типа нарушений. Первый тип нарушений непосредственно не влияет на бесперебойность функционирования платежной системы и на услуги, оказываемые участникам платежной системы и их клиентам, а второй – влияет.

При выявлении нарушений первого типа Банк России направляет рекомендации по устранению выявленного нарушения. При выявлении нарушений второго типа Банк России направляет предписание об устранении нарушения с указанием срока устранения, а также может ограничить оказание операционных и клиринговых услуг.

В случае неоднократного невыполнения предписаний Банка России в течение одного года со дня направления первого предписания, Банк России исключает оператора платежной системы из реестра операторов платежных систем. Если оператор платежной системы является кредитной организацией, к которой неоднократно в течение года применялись меры в рамках ст. 74 ФЗ-86 (Федеральный закон «О центральном банке Российской Федерации (Банке России)» № 86 от 27.06.2002), то Банк России также исключает оператора платежной системы из реестра операторов.

При исключении организации из реестра операторов платежных систем Банк России направляет организации уведомление об исключении. У организации есть один день после получения такого уведомления на то, чтобы вернуть Банку России свое регистрационное свидетельство. Если при этом оператор платежной системы является кредитной организацией, то со следующего дня после получения уведомления, прекращаются в рамках платежной системы переводы денежных средств, а переводы, которые уже были начаты, должны быть завершены не позднее трех дней. Срок прекращения осуществления и завершения переводов денежных средств может быть увеличен Банком России в случае со значимой платежной системой.

Помимо описанных мер воздействия, ч. 11 ст. 34 ФЗ-161 предусмотрена и административная ответственность. Согласно ст. 15.36 КоАП, должностные лица подвергаются наложению штрафа в размере от 30 тысяч до 50 тысяч рублей. А юридические лица могут быть оштрафованы на сумму от 100 тысяч до 500 тысяч рублей.

Выполнение требований ФЗ-161

Мы выявили основных участников НПС, определили регуляторов, и рассмотрели ответственность за нарушение требований нормативных документов. Теперь посмотрим, как можно выполнить установленные требования. Этот процесс можно разбить на три этапа:

  1. Оценка соответствия Положению 382-П;
  2. Модернизация или создание системы обеспечения информационной безопасности;
  3. Своевременная отправка периодической отчетности.

Положение 382-П устанавливает достаточно четкие требования, поэтому логично начать именно с него. Оценку выполнения требований нужно проводить каждые два года или по требованию Банка России. Для ее проведения можно прибегнуть к услугам сторонней организации, при этом нужно помнить, что у такой организации должна быть лицензия на техническую защиту конфиденциальной информации. Также допускается самооценка выполнения требований участниками платежной системы.


Первый шаг при оценке – это определение выполняемых в НПС ролей. Банк, например, всегда является оператором по переводу денежных средств, что накладывает на него сразу 120 требований.

Оценка происходит в 4 этапа (см. Рис. 2):

1. Анализируются существующие в организации нормативные акты и средства защиты информации, собирается информация от ответственных сотрудников путем проведения опросов. Создается перечень защищаемой информации и реестр информационных активов.
2. На основании полученных данных выставляется оценка по каждому из актуальных требований. Требования делятся на три категории:

  • первая — организационные меры защиты информации или технические средства защиты информации;
  • вторая – наличие в организации документа, освещающего определенный аспект информационной безопасности;
  • третья — осуществление определенной функции по защите информации.

3. Все требования разбиваются на две группы, и для каждой вычисляется обобщающий показатель, который является произведением среднего арифметического значения всех оценок группы на корректирующий коэффициент. Величина коэффициента зависит от количества нулевых оценок в группе. Таким образом, чем больше требований не выполняется, тем меньше этот коэффициент и групповая оценка.
4. За итоговое значение принимается наименьший из двух обобщающих показателей.

Рис. 2. Оценка по 382-П

Анализ Положения 382-П показывает, что необходимо уделить особое внимание организационно-распорядительной документации. Это позволит закрыть все требования второй категории, получить хотя бы минимальную оценку по смешанным требованиям (категория 1), тем самым избежать большинства нулевых оценок, которые могут снизить корректирующий коэффициент. Что касается технических требований, их поможет выполнить грамотное построение системы защиты информации.

При проектировании системы обеспечения информационной безопасности (далее – СОИБ) необходимо учесть немалое количество нормативных документов по защите информации, разработанных в рамках создания национальной платежной системы. Участник платежной системы должен применять организационные и технические меры для соответствия требованиям нормативных документов.

Подсистемы информационной безопасности

Технические требования в рамках нормативной документации не поделены на подсистемы информационной безопасности. Мы предлагаем один из вариантов компоновки требований защиты информации в платежной системе, который представлен ниже (см. Табл. 4).

Табл. 4. Подсистемы информационной безопасности

Подсистема информационной безопасности

Подсистема разграничения доступа

Идентификация и проверка подлинности пользователя при входе в систему, идентификация ресурсов, обрабатывающих защищаемую информацию.

Подсистема регистрации и учета

Сбор информации о событиях безопасности, происходящих в локальной вычислительной сети, и своевременное реагирование на инциденты и попытки реализации угроз безопасности

Подсистема антивирусной защиты

Защита информационных ресурсов на серверах и рабочих станциях, а также защита сетевого трафика от различного рода вредоносных программ

Подсистема анализа защищенности

Выявление уязвимостей рабочих станций, серверов, коммуникационного оборудования, а также средств защиты, установленных в локальной вычислительной сети

Подсистема межсетевого экранирования

Защита локальных вычислительных сетей или отдельных узлов от несанкционированного доступа путем фильтрации проходящих через него сетевых пакетов в соответствии с заданными правилами

Подсистема криптографической защиты

Криптографическая защита каналов связи, выходящих за пределы контролируемой территории

Подсистема резервного копирования и восстановления

Восстановления защищаемой информации при сбоях в системе, приводящих к потере данных.

Подсистема управления инцидентами информационной безопасности

Обработка инцидентов безопасности, мониторинг и конфигурирование устройств реализации сетевой политики безопасности.

Для реализации организационных мер создается или дорабатывается комплект организационно-распорядительной документации. Мы предлагаем возможный вариант иерархии организационно-распорядительных документов (см. Рис. 3), соответствующий требованиям Банка России.

Рис. 3. Организационно-распорядительная документация

Разрабатываемые документы можно разделить на локальные и глобальные. Оператор платежной системы создает глобальный документ, распространяющийся на всех участников платежной системы. Требования к данному документу определены в ст. 20 ФЗ-161. Остальные документы будут локальными, каждый участник платежной системы разрабатывает их для своих нужд. Главным документом является политика по информационной безопасности, в которой определяются основные методы и способы защиты информации. Далее идут регламенты и руководства, определяющие в том числе физический доступ, порядок доступа к защищаемой информации, обязанности отдела информационной безопасности, управление инцидентами ИБ, порядок действий при резервировании и восстановлении информации и т.д. Полный комплект ОРД формируется на основании ФЗ-161 и сопутствующих нормативных документов.

Немаловажным фактором при построении СОИБ является обеспечение бесперебойности функционирования платежной системы (далее – БФПС). Ответственность за ее организацию возлагается на оператора платежной системы согласно ФЗ-161 и Положению 379-П. Бесперебойность функционирования платежной системы основана на формировании системы управления рисками и порядке взаимодействия между участниками. Тут стоит обратить внимание на то, что управление рисками производится не в рамках отдельной организации, а для всей платежной системы в целом. Оператор платежной системы организует систему управления рисками самостоятельно либо создает координирующий орган.

Логично было бы предположить, что при построении системы защиты информации в платежной системе необходимо применять риск-ориентированный подход, но об этом нигде не говорится. Определены требования к организационным и техническим мерам защиты информации, а требования к управлению рисками представлены особняком. Об их связи можно только догадываться.

В терминах ФЗ-161 система управления рисками в платежной системе – это комплекс мероприятий и способов снижения вероятности возникновения неблагоприятных последствий для бесперебойности функционирования платежной системы с учетом размера причиняемого ущерба (ч. 1, ст. 28, ФЗ-161). Оценка рисков сведется к уже знакомой по стандартам Банка России экспертной модели, когда уровень риска определяется на основе вероятности негативного воздействия и тяжести последствий такого воздействия.

В целом, управление рисками в рамках одного участника платежной системы мы предлагаем производить по следующей схеме (см. Рис. 4):

  • Анализ. На этом этапе выявляются факторы, которые могут привести к нарушению БФПС, и вероятность их появления. Производится оценка рисков и проверяется соответствие установленному приемлемому уровню риска, определяемому оператором платежной системы;
  • Обработка. В ходе обработки рисков принимаются меры по уменьшению уровня риска для приведения его к приемлемому.
  • Мониторинг. Должны постоянно отслеживаться изменения достигнутого уровня риска. Очень важно проводить мониторинг постоянно, это позволит снизить последующие трудозатраты на повторный анализ и обработку рисков.

Рис. 4. Управление рисками

Координирующий орган, установленный в нормативных актах платежной системы, сводит величины рисков по всем участникам платежной системы в единую картину по всей системе.

В рамках своей деятельности, участники НПС должны периодически отправлять отчетность нескольких видов согласно Указаниям 2831-У и 2926-У. Формирование отчетности является непростой задачей. Учет банкоматов и платежных терминалов, сбор статистики о переводах из систем электронных платежей и случаях мошенничества с платежными картами производится довольно легко. Но при составлении отчетов об инцидентах возникают значительные сложности.

Инцидентов может быть очень много. Не зря Банк России вводит требование в Положение 382-П, предполагающее использование технических мер для управления инцидентами, которые помогут хотя бы частично автоматизировать данный процесс путем внедрения, например, SIEM-системы. Обычно такие системы гибко настраиваются, что позволяет получать информацию со всех интересующих источников, отсечь ненужные события и автоматически генерировать отчетность по инцидентам за выбранный период времени.

Защита информации в электронных платежных системах

Понятие электронной платежной системы

Электронная платежная система (ЭПС) – совокупность субъектов и методов, которые обеспечивают использование банковских пластиковых карт в системе в качестве платежного средства.

Пластиковая карта – это индивидуальный платежный инструмент на материальном носителе, который предоставляет пользователю карты возможность безналично оплачивать товары и услуги, получать наличные средства в банкоматах и отделениях банков.

Практически полную безопасность ЭПС с использованием микропроцессорных карт обеспечивается высокой степенью защищенности кристалла с микропроцессором и реализацией полной дебетовой схемы расчетов. Такие ЭПС в сущности являются транзитным счетом и непосредственно содержат информацию о состоянии счета клиента. Все операции происходят в режиме оффлайн в процессе взаимодействия между картой и терминалом или картой клиента и картой торговца.

Микропроцессорные карты дороже обычных, но эксплуатация ЭПС дешевле, т.к. в режиме оффлайн не используются телекоммуникации.

Попробуй обратиться за помощью к преподавателям

Безопасность в электронных платежных системах

Сегодня популярны банкоматы и автоматизированные торговые POS-терминалы (Point-Of-Sale – оплата в точке продажи). При взаимодействии с POS-терминалом реквизиты пластиковой карты считываются с ее магнитной полосы встроенным считывателем POS-терминала. Клиент вводит собственный PIN-код (Personal Identification Number – персональный идентификационный номер), который знает только он. Элементы PIN-кода используются в общем алгоритме шифрования записи на магнитной полосе и являются электронной подписью владельца карты.

Запросы на авторизацию или проведение транзакции от банков-эквайеров или из самих точек обслуживания поступают в процессинговый центр – специализированную сервисную организацию, которая обеспечивает их обработку. Процессинговым центром ведется база данных, в которой содержатся данные о банках и владельцах пластиковых карт.

Уязвимые места информационной безопасности в системе электронных платежей:

  • процесс пересылки платежных сообщений между банками, между банком и банкоматом и между банком и держателем платежной карты;
  • процесс обработки информации в организации отправителя и получателя сообщений;
  • процесс доступа клиентов к средствам, которые аккумулированы на счетах.

Задай вопрос специалистам и получи
ответ уже через 15 минут!

Особенности процесса пересылки платежных сообщений:

  • системы организаций отправителя и получателя сообщений должны обеспечивать необходимую защиту отправки, получения и обработки электронных документов внутри организации (защита оконечных систем);
  • использование для взаимодействия отправителя и получателя электронных документов канала связи.

Механизмы защиты, которые должны быть реализованы для обеспечения функций защиты информации на отдельных узлах ЭПС:

  • обеспечение управления доступом на оконечных системах;
  • контролирование целостности и обеспечение конфиденциальности сообщения;
  • обеспечение взаимной аутентификации абонентов;
  • обязательное указание автора сообщения;
  • гарантированная доставка сообщения;
  • обязательное принятие мер по сообщению;
  • ведение регистрации и контролирование целостности последовательности сообщений.


Обеспечение достаточного уровня защиты прежде всего зависит от рационального выбора криптографических средств.

Электронные пластиковые карты

При использовании банкоматов и POS-терминалов пластиковые карты используются в качестве носителя информации, который позволяет идентифицировать пользователя и хранить учетные данные.

Одной из главных функций пластиковых карт является идентификация субъекта платежной системы. С этой целью на карту наносится логотип банка-эмитента и платежной системы, которая обслуживает карту, фамилия и имя владельца карты, номер карты, срок ее действия и т. п. Для более надежной защиты на карту наносится фото и подпись держателя карты. Часто такие данные, как имя владельца, номер счета, срок действия карты и др., эмбоссированы, т.е. наносятся рельефным шрифтом. Это позволяет быстро перенести данные на чек посредством специального устройства-импринтера, который осуществляет «прокатывание» карты.

Пластиковые карты классифицируют по принципу действия на пассивные и активные пластиковые карты.

Пассивные пластиковые карты, к которым относятся пластиковые карты с магнитной полосой, только хранят информацию. Они являются наиболее распространенными и относительно уязвимыми для мошенников. Для улучшения защиты таких карт иногда используются дополнительные средства защиты (например, голограммы и применение нестандартных шрифтов для эмбоссирования).

Активные пластиковые карты отличаются наличием встроенных в них электронных микросхем. Наблюдается тенденция скорого вытеснения картами на интегральных микросхемах карт магнитной полосой.

По различным классификациям различают карты-счетчики, карты с памятью, с микропроцессором (смарт-карты), карты с контактным и индукционным считыванием.

Для защиты информации процесс использования пластиковых карт проходит этап:

  • персонализации карты при выдаче карты владельцу;
  • авторизации карты.

Кроме эмбоссирования, указания номера карты, срока действия карты, фамилии и имени владельца важными способами персонализации карты является:

  • кодирование магнитной полосы;
  • программирование микросхемы, отдельные операции которого разнесены территориально с разграничением прав сотрудников, которые участвуют в процессе программирования, во избежание возможного злоупотребления и для повышения безопасности.

Авторизация может проводится «вручную» кассиром или автоматически через POS-терминал, когда с карты считываются данные, кассир вводит сумму платежа, а владелец карты – секретный PIN-код.

Методы и способы защиты карт от несанкционированного использования и подделки:

  • размещение на карте фото владельца карты;
  • нанесение подписи владельца карты на специальную полоску на карте;
  • голограммы на обеих сторонах карты.

Так и не нашли ответ
на свой вопрос?

Просто напиши с чем тебе
нужна помощь

Вопрос 29. Обеспечение безопасности электронных платежей через сеть Internet

Некоторая задержка в развитии электронной торговли была обусловлена отсутствием надежной системы защиты Пока платежная информация передается по открытым сетям с минимальными предосторожностями или вовсе без них. Это является благоприятной почвой для автоматизированного мошенничества (например, использование фильтров для всех сообщений, проходящих через какую-либо сеть, с целью извлечения номеров счетов кредитных карточек из потока данных), а также мошенничества «ради озорства», характерного для некоторых хакеров.

2. Традиционный и проверенный способ электронной торговли, который ведет свое начало от обычной торговли по каталогам, представляет собой оплату товаров и услуг кредитной карточкой по телефону] В этом случае покупатель заказывает на Web-сервере список товаров, которые он хотел бы купить, и потом сообщает по телефону номер своей кредитной карточки продавцу коммерческой фирмы. Затем происходит обычная авторизация карты, а списание денег со счета покупателя производится лишь в момент отправки товара по почте или с курьером

Для того чтобы покупатель — владелец кредитной карточки — мог без опасений расплатиться за покупку через сеть, необходимо иметь более надежный, отработанный механизм защиты передачи электронных платежей. Такой принципиально новый подход заключается в немедленной авторизации и шифровании финансовой информации в сети Internet с использованием схем SSL и SET.

Протокол SSL (Secure Socket Layer) предполагает шифрование информации на канальном уровне.

Протокол «Безопасные электронные транзакции» SET (Secure Electronic Transactions), разработанный компаниями Visa и Master Card, предполагает шифрование исключительно финансовой информации. Главное его требование — обеспечение полной безопасности и конфиденциальность совершения сделок. На сегодняшний день технические условия протокола, обеспечивающие безопасность, признаны оптимальными. Ввод этого протокола в действие даст владельцам пластиковых карт возможность использовать компьютерные сети при проведении финансовых операций, не опасаясь за дальнейшую судьбу своих платежных средств.

Стандарт SET существенно увеличивает объем продаж по кредитным карточкам через Internet. Обеспечение безопасности электронных транзакций для такого вида покупателей может привести к заметным изменениям, выражающимся в уменьшении себестоимости транзакции для банков и процессинговых компаний.

  • 3. Для того чтобы обеспечить полную безопасность и конфиденциальность совершения сделок, протокол SET должен гарантировать непременное соблюдение следующих условий:1
  • * абсолютная конфиденциальность информации. Владельцы карточек должны быть уверены в том, что их платежная информация надежно защищена и доступна только указанному адресату. Это является непременным условием развития электронной торговли;
  • * полная сохранность данных. Участники электронной торговли должны быть уверены в том, что при передаче от отправителя к адресату содержание сообщения останется неизменным. Сообщения, отправляемые владельцами карточек коммерсантам,

содержат информацию о заказах, персональные данные и платежные инструкции. Если в процессе передачи изменится хотя бы один из компонентов, то данная транзакция не будет обработана надлежащим образом. Поэтому во избежание ошибок протокол SET должен обеспечить средства, гарантирующие сохранность и неизменность отправляемых сообщений. Одним из таких средств является использование цифровых подписей; * аутентификация (установление подлинности) счета владельца карточки. Использование цифровых подписей и сертификатов владельца карточки гарантирует аутентификацию счета владельца карточки и подтверждение того, что владелец карточки является законным пользователем данного номера счета.

Владелец карточки должен быть уверен, что коммерсант действительно имеет право проводить финансовые операции с финансовым учреждением. Использование цифровых подписей и сертификатов коммерсанта гарантирует владельцу карточки, что можно безопасно вести электронную торговлю.

4. Протокол SET изменяет способ взаимодействия участников системы расчетов.1 В данном случае электронная транзакция начинается с владельца карточки, а не с коммерсанта или эквайера.

Коммерсант предлагает товар для продажи или предоставляет услуги за плату. Протокол SET позволяет коммерсанту предлагать электронные взаимодействия, которые могут безопасно использовать владельцы карточек.

Эквайером (получателем) является финансовое учреждение, которое открывает счет коммерсанту и обрабатывает авторизации и платежи по кредитным карточкам. Эквайер обрабатывает сообщения о платежах, переведенных коммерсанту посредством платежного межсетевого интерфейса. При этом протокол SET гарантирует, что при взаимодействиях, которые осуществляет владелец карточки с коммерсантом, информация о счете кредитной карточки будет оставаться конфиденциальной.

Финансовые учреждения создают ассоциации банковских кредитных карточек, которые защищают и рекламируют данный тип карточки, создают и вводят в действие правила использования кредитных карточек, а также организуют сети для связи финансовых учреждений друг с другом.

Системы кредитных карт утвердились в значительной степени в качестве платежного средства для приобретения товаров непосредственно у продавца. Основное отличие использования кредитных карт в сети Internet заключается в том, что в соответствии со стандартом SET для защиты транзакций электронной торговли используются процедуры шифрования и цифровой подписи.

Сеть Internet рассчитана на одновременную работу миллионов пользователей, поэтому в коммерческих Internet-приложениях невозможно использовать только симметричные криптосистемы с секретными ключами (DES, ГОСТ 28147-89). В связи с этим применяются также асимметричные криптосистемы с открытыми ключами. Шифрование с использованием открытых ключей предполагает, что у коммерсанта и покупателя имеются по два ключа:

  • * открытый, который может быть известен третьим лицам;
  • * частный (секретный), известный только получателю информации.

Правила SET предусматривают первоначальное шифрование сообщения с использованием случайным образом сгенерированного симметричного ключа, который, в свою очередь, шифруется открытым ключом получателя сообщения. В результате образуется так называемый электронный конверт. Получатель сообщения расшифровывает электронный конверт с помощью своего частного (секретного) ключа, чтобы получить симметричный ключ отправителя. Далее симметричный ключ отправителя используется для расшифровки присланного сообщения.

Целостность информации и аутентификации участников транзакции гарантируется использованием электронной цифровой подписи.

Для защиты сделок от мошенничества и злоупотреблений организованы специальные центры <агентства) сертификации в Internet, которые следят за тем, чтобы каждый участник электронной коммерции получал бы уникальный электронный сертификат. В этом сертификате с помощью секретного ключа сертификации зашифрован открытый ключ данного участника коммерческой сделки. Сертификат генерируется на определенное время, и для его получения необходимо представить в центр сертификации документ, подтверждающий личность участника (для юридических лиц — их легальную регистрацию), и затем, имея «на руках» открытый ключ центра сертификации, участвовать в сделках.

5. Альтернативой безопасной передаче ключа служит использование доверенной третьей стороны — центра сертификации (агентства по сертификатам) для подтверждения того, что открытый ключ принадлежит именно владельцу карточки.’

Центр сертификации создает сообщение, содержащее имя владельца карточки и его открытый ключ, после предъявления владельцем карточки доказательств идентификации личности (водительские права или паспорт). Такое сообщение называется сертификатом. Сертификат снабжается подписью центра сертификации и содержит информацию об идентификации владельца, а также копию одного из открытых ключей владельца.

Участники протокола SET имеют две пары ключей и располагают двумя сертификатами. Оба сертификата создаются и подписываются одновременно центром сертификации.

Сертификаты владельцев карточек функционируют как электронный эквивалент кредитных карточек. Они снабжаются цифровой подписью финансового учреждения и поэтому не могут быть изменены третьей стороной. Эти сертификаты содержат номер счета и срок действия, которые шифруются с использованием однонаправленного алгоритма хэширования. Если номер счета и дата окончания действия известны, то связь с сертификатом можно подтвердить, однако эту информацию невозможно получить путем изучения данного сертификата. В рамках протокола SET владелец карточки представляет информацию о счете в тот платежный межсетевой интерфейс, где проводится данная связь.

Сертификат выдается владельцу карточки только с разрешения финансового учреждения — эмитента карточки. Запрашивая сертификат, владелец карточки указывает свое намерение использовать торговлю электронными средствами. Эти сертификаты передаются коммерсантам вместе с запросами о покупке и зашифрованными платежными инструкциями. Когда коммерсант получает сертификат владельца карточки, он может не сомневаться в том, что номер счета подтвержден финансовым учреждением.

Сертификаты коммерсантов являются электронным аналогом фирменной картинки, которая выставляется в витрине электронного магазине, Эти сертификаты снабжены цифровой подписью финансового учреждения коммерсанта и не могут быть изменены третьей стороной. Сертификаты служат гарантией того, что коммерсант имеет действующее соглашение с эквайером.

Коммерсант должен иметь по меньшей мере одну пару сертификатов, для того чтобы участвовать в операционной среде SET, но у одного коммерсанта может быть множество пар сертификатов — для каждого типа кредитных карточек, которые он принимает к оплате.

Сертификаты платёжных межсетевых интерфейсов выдаются эквайерам или их обработчикам для систем, которые обрабатывают авторизации и получают сообщения. Ключ шифрования конкретного интерфейса, который владелец карточки получает из этого сертификата, используется для защиты информации о счете владельца карточки. Сертификаты эквайеров выдаются для того, чтобы они могли принимать и обрабатывать запросы о сертификатах, инициированных коммерсантами. Эквайеры получают сертификаты от каждой ассоциации кредитных карточек;

* сертификаты титентов нужны для того, чтобы пользоваться услугами центра сертификации, который может принимать и обрабатывать запросы о сертификатах непосредственно от владельцев карточек по открытым и частным сетям. Эмитенты получают сертификаты от ассоциации кредитных карточек.

Сертификаты SET проверяются в иерархии доверия. Каждый сертификат связан с сертификатом подписи того объекта, который снабдил его цифровой подписью, Следуя по «дереву доверия» до известной доверенной стороны, можно быть уверенным в том, что сертификат является действительным. Например, сертификат владельца карточки связан с сертификатом эмитента (или ассоциации по поручению эмитента), который, в свою очередь, связан с корневым ключом через сертификат ассоциации.

Открытый ключ для корневой подписи известен всем программным средствам SET и может быть использован для проверки каждого из сертификатов, 1 Корневой ключ будет распространяться в сертификате с автоподписью. Этот сертификат корневого ключа будет доступен поставщикам программного обеспечения для включения в их программные средства.

Протокол SET определяет множество протоколов транзакций, которые используют криптографические средства для безопасного ведения электронной коммерции. Среди этих протоколов транзакиий наиболее распространенными являются:

  • * регистрация владельца карточки;
  • * регистрация коммерсанта;
  • * запрос о покупке;
  • * авторизация платежа;
  • * получение платежа.

Новые достижения в области безопасности использования кредитных карточек, реализованные в стандарте SET, способны удовлетворить самых недоверчивых клиентов электронных платежных систем, поскольку устраняются все их опасения путем внедрения средств шифрования для скремблирования кредитной карточки в таком порядке, чтобы ее могли читать только продавец и покупатель.

Системы указанного типа имеют ряд преимуществ:

  • * деньги клиента находятся под надежным присмотром банка. Если клиент потеряет карточку, то его счет все равно связан с его именем. В отличие от систем с использованием наличности, у банка есть возможность проверить остаток на счете клиента, поэтому деньги клиента не теряются;
  • * отпадает необходимость в открытии нового счета. В банке для обработки транзакций данного типа клиент может продолжать пользоваться действующим счетом и кредитной карточкой. Этот фактор имеет большое значение на начальных стадиях электронной торговли в WWW сети Internet.


Недостатком является отсутствие конфиденциальности. В отличие от транзакций с электронной наличностью, которые являются анонимными, в транзакциях с кредитными картами имя клиента жестко связано со счетом.

Илон Маск рекомендует:  Глава 7 редактирование исходных файлов

Как выбрать самую безопасную платежную систему?

Глобальные

Компания была образована в 1998 году в США и с 2002 года входила в структуру Ebay, но в 2005 году стала независимым предприятием. В Евросоюзе компания работает в качестве банка, в Австралии имеет лицензию на деятельность, связанную со ссудами и сбережениями, а в России зарегистрирована в качестве небанковской кредитной организации. Подразделение Paypal под названием Working Capital занимается кредитованием малого бизнеса.

В разных странах для того чтобы соответствовать местным законам, компания предоставляет разные пакеты услуг, где ограничены некоторые функции системы: от запрета на хранение средств пользователей на счетах Paypal в таких странах, как Индия и Украина, до предоставления исключительно бизнес-операций, без возможности переводов между частными лицами в Японии. В России средства пользователей нельзя вывести иным способом, кроме перевода на банковский счёт.

  • при платеже/переводе со счёта PayPal: 0%;
  • при переводе с банковской карты: 3,4% + 10 руб. за операцию;
  • перевод за границы РФ: дополнительно от 0,4% до 1,5%;
  • для продавцов. Продажи внутри РФ: от 2,9% до 3,9% + 10 руб. за операцию;
  • для продавцов. Продажи за границу: дополнительная комиссия за конвертацию валют.

Компания была основана в 2001 году в Великобритании под названием Moneybookers. В 2013 году завершился процесс ребрендинга, и далее развитие продолжилось под нынешним названием.

В 2015 году Skrill была куплена компанией Optimal Payments PLC, которая собрала под контролем целую линейку финансовых сервисов: NETELLER, Ukash, MeritCard, FANS Entertainment, payolution, paysafecard, Income Access. Вскоре после приобретения Skrill, Optimal Payments PLC изменила своё название на Paysafe Group Plc.

Одна из особенностей платёжной системы Skrill – денежный перевод можно сделать, зная только адрес электронной почты получателя. Пользователи сервиса имеют разные статусы, которые влияют на размеры комиссии и выводимых средств. Для повышения статуса клиенты должны пройти несколько ступеней верификации.

Skrill имеет особые отношения с индустрией гемблинга и азартных игр – многие онлайн-казино и букмекерские фирмы используют эту платёжную систему. Из-за этого к компании несколько раз предъявляли претензии российские власти.

Комиссии:
При внесении средств на счёт в системе:

  • через Neteller – 3%
  • через BitPay – 1%
  • через операторов сотовой связи – 15%;

При выводе средств:

  • банковский перевод – 5,5 евро
  • MasterCard – 7%
  • Visa – 7,5%;

Отправка денежных средств: 1,45% (минимум 0,5 евро)
Получение денежных средств: 0%.

Платёжная система начала работу в 2014 году и является сервисом американской компании Apple. В России появилась в 2020 году. Назначение системы – мобильные и онлайн-платежи с помощью устройств компании Apple, оснащённых технологией бесконтактной передачи данных NFC.

Чтобы воспользоваться Apple Pay, нужно зарегистрировать в своём устройстве банковскую карту, с которой и будут осуществляться платежи. Подтверждение оплаты происходит при помощи приложений, встроенных в устройства Apple: распознавание лица, отпечатка пальца и ввод кода.

В начале 2020 года в мире насчитывалось 2707 поддерживающих Apple Pay банков и 127 миллионов активных пользователей системы (это около 16% всех пользователей устройств компании).

Комиссии:
Для покупателей и продавцов комиссии не предусмотрены. Некоторые источники сообщают, что компания Apple взимает от 0,05% до 0,12% от суммы транзакции с банка и дополнительно 45 рублей в год за каждую подключенную карту.

Платёжная система, конкурирующая с Apple Pay, была разработана южнокорейской компанией Samsung и запущена в 2015 году, а через год появилась и в России. Приложение для пользования этой платёжной системой устанавливается и применяется на устройствах серии Galaxy и Gear.

Пользователю необходимо зарегистрировать банковскую карту в своём смартфоне или умных часах – снятие денег будет производиться бесконтактным способом в торговых точках, оснащённых устройствами для приёма оплаты с карт.

Кроме технологии NFC, которая ограничивает применение системы только терминалами с бесконтактными считывателями, Samsung Pay использует технологию MST, предоставляющую возможность платить через устройства, считывающие только магнитную полосу банковских карт.

Комиссии:
Для пользователей, продавцов и банков применение системы Samsung Pay бесплатно.

Платёжная система от американского интернет-гиганта Google появилась в 2020 году и является продолжением и преемником таких сервисов, как Android Pay (начал работу в 2015 году) и Google Wallet (запущен в 2011 году).

Характеристики, сферы применения и особенности работы мало отличаются от платёжных систем-конкурентов, выпущенных компаниями Samsung и Apple. Сервис Google Pay может функционировать на устройствах под управлением операционной системы Android 4.4 и выше, с системой NFC.

Чтобы совершать покупки в магазинах, оснащённых терминалами с системой бесконтактной оплаты, необходимо зарегистрировать банковскую карту – она будет привязана к аккаунту Google. После этого пользователю станет также доступна оплата в интернет-магазинах и других точках, принимающих онлайн-платежи.

Сервис предоставляет возможность совершать денежные переводы друзьям и родственникам. Но эта функция доступна только для жителей США и Великобритании.

Комиссии:
Компания Google не взимает комиссию за использование Google Pay с пользователей, продавцов и банков.

Российские

Самая популярная платёжная система России появилась в 2002 году как совместное предприятие Яндекса и Pay Cash. В 2007 году владельцами Яндекса была выкуплена доля компании партнёра, и предприятие полностью перешло под контроль российского интернет-гиганта.

Система развивалась и получала новые функции: привязку банковских карт, приложение для смартфонов, возможность оплаты налогов и штрафов, при помощи банка «Тинькофф.Кредитные системы» были выпущены банковские карты.

В 2013 году 75% уставного капитала Яндекс.Денег были выкуплены Сбербанком России. В 2015 году компания попала под санкции США.

Платёжная система продолжила развитие и получила множество функций в области платежей и переводов: Яндекс.Касса – сервис для продавцов и любых организаций, принимающих платежи онлайн; собственные банковские карты, выпущенные без поддержки других компаний; приложение для бесконтактной оплаты в торговых точках; интеграция с другими платежными системами и многие другие.

Для получения более широких возможностей сервиса пользователи должны пройти две ступени верификации: упрощённую или полную.

Комиссии:
Пополнение счёта

  • с банковской карты: 1%;
  • с банкомата: «Золотая Корона», МТС банк, Сбербанк – 0%;
  • наличные, салоны «Евросеть», «Связной», терминалы Сбербанка, российские отделения «Юнистрим», пункты системы «Город»: 0%;
  • наличные, Contact: 1,5% (минимум 60 руб.);
  • наличные, Почта России: 2% (минимум 40 руб.);
  • интернет-банк Сбербанк Онлайн, Альфа-Клик, ВПб: 0%.
  • погашение кредита: 3% + 15 руб.;
  • квитанции: 2% (минимум 30 руб.).

Переводы (возможны только для верифицированных пользователей)

  • комиссия зависит от типа перевода и типа адресата (на другой кошелёк, на банковский счёт, на банковскую карту): от 0,5% до 4,5%.

В каждом конкретном случае цифры могут быть разными, так как Яндекс.Деньги не ограничивают партнёров в их политике начисления комиссий.

Формально WebMoney – это не платёжная система, а универсальная система расчётов, операции в которой производятся не с денежными средствами, а с имущественными правами, выраженными в титульных знаках компании.

Управляющая компания системы зарегистрирована в Литве, компания-разработчик программного обеспечения, центр поддержки и главный центр аттестации находятся в России, а юридические лица-гаранты – по всему миру.

Webmoney основана в 1998 году. Тогда были запущены первые титульные знаки – эквиваленты долларов, и они назывались WM. В 2000 году появились единицы WMR, соответствующие рублям, а веб-доллары стали обозначаться WMZ. Постепенно в оборот были введены единицы WME, WMU, WMB, WMK, WMV, WMG, WMX, WMH и WML, соответствующие основным мировым валютам, денежным знакам многих стран бывшего СССР, золоту и некоторым криптовалютам (биткоин, биткоин кэш и лайткоин).

После появления в 2011 году в России закона о платёжных системах, владельцы Webmoney отказались регистрировать компанию в Центробанке согласно его требованиям, потому что юридически система не осуществляет денежных переводов. В 2015 году Webmoney получила лицензию FCA для стран европейской экономической зоны, согласно которой WebMoney Europe Ltd обрела статус эмитента электронных денег.

Пользователь при регистрации получает в распоряжение электронный кошелёк, соответствующий типу титульных знаков, которые будут использоваться. Для осуществления операций необходимо пользоваться приложениями компании для веб-браузеров, мобильных устройств или компьютеров.

Транзакции проводятся через специальные сервисы обмена, где участники выставляют свои заявки либо находят нужные им.

Все пользователи системы получают разные статусы и аттестаты, для повышения уровня которых нужно проходить верификацию, увеличивать оборот средств в своём кошельке, получать положительные оценки репутации у других клиентов Webmoney.

  • все транзакции в системе: 0,8% (не менее 0,01 WM);
  • транзакций между однотипными кошельками одного WM-идентификатора и между однотипными кошельками одного Аттестата не ниже начального: 0%;
  • ввод средств: комиссия устанавливается агентами, осуществляющими приём денег;
  • вывод средств: комиссия устанавливается агентами, осуществляющими выплату.

Компания была образована в 2007 году и стала преемницей двух операторов платёжных терминалов: E-port и ОСМП. Первый занимался продажей скретч-карт для оплаты услуг сотовой связи, а второй – переводами и платежами.

Появился Qiwi-кошелёк и фирменные терминалы. Рост популярности платёжной системы во многом связан с моделью распространения продукта компании, которая предоставляла высокотехнологичный сервис, а изготовлением и установкой терминалов – многочисленные предприниматели-партнёры.

Развитие сервиса происходило не только за счёт разветвлённой сети точек приёма платежей, но и благодаря разработке онлайн-инструментов, а также распространению за пределами России. В 2012 году Qiwi стала стратегическим партнёром компании Visa, и сервис стал называться Visa Qiwi Wallet.

Продолжалось расширение спектра услуг и направлений работы компании. Путем слияний, вхождения в группы и покупки других компаний, Qiwi приобрела банковские и высокотехнологичные направления деятельности: система денежных переводов Contact, Киви банк, банк «Точка» и «Рокет», QIWI Blockchain Technologies. В 2020 году стратегическое партнёрство Qiwi и Visa было завершено.


Комиссии:
Пополнение кошелька

  • с банковской карты от 3000 руб.: 0%;
  • с баланса телефона: 7,5–12%;
  • с интернет-банка: 0%;
  • займом онлайн: 0%;
  • банковским переводом: 0%.
  • на другой кошелёк с кошелька Qiwi: 0%;
  • с банковской карты без регистрации: 2%;
  • на банковскую карту с банковской карты без регистрации: 2% (не менее 100 руб.);
  • на банковскую карту с кошелька Qiwi: 2% + 50 руб.;
  • по email с кошелька Qiwi: 1% (не менее 50%).

В 2002 году российскими и украинскими разработчиками была основана компания RUpay, которая впоследствии стала частью холдинга РБК, и тогда сервис переименовали в RBK.money.

В 2012 году для соответствия российскому законодательству о платёжных системах была зарегистрирована небанковская кредитная организация «Электронный платежный сервис», владельцам которой в 2014 году были проданы 99% долей предприятия.

Для удовлетворения потребностей клиентов и максимального охвата рынка платежей, RBK.money предлагала пользователям сервис электронного кошелька и выпускала предоплаченные карты, но недавно все пользователи были уведомлены о необходимости расторжения договора с 29 июля 2020 года. Каждому пользователю будет предоставлена возможность открыть кошелек в новой платформе.

В настоящее время платёжная система сконцентрировала усилия на работе с бизнесом и предлагает предпринимателям линейку продуктов по приёму платежей: несколько тарифных планов, комиссия сервиса в которых зависит от оборота предприятия (от 3% до 3,9%), подключение онлайн-кассы согласно закону 54-ФЗ, платёжные терминалы и системы эквайринга.

Одно из малоосвоенных, противоречивых, но перспективных направлений развития платёжных сервисов – технологии блокчейн и криптовалют. Многие проекты уже пытаются закрепиться в этой области и активно работают над совершенствованием своего бизнеса, но пока будущее неопределённо: с точки зрения законодательства большинства стран – они работают в серой зоне, где нет регулирования, чётких норм и ясных правил; технологии развиваются и не доведены до совершенства; репутация криптовалютных проектов не позволяет говорить о доверии потребителей. Но многие эксперты считают, что будущее у этих проектов многообещающее, и в одной из следующих статей мы подробно рассмотрим криптовалютные платёжные системы.

Безопасность электронных платежных систем в интернет — диплом по программному обеспечению, программированию

  • Тип: Диплом
  • Предмет: Программное обеспечение, программирование
  • Все дипломы по программному обеспечению, программированию »
  • Язык: Русский
  • Дата: 3 мая 2020
  • Формат: RTF
  • Размер: 2 Мб
  • Страниц: 86
  • Слов: 15515
  • Букв: 118270
  • Просмотров за сегодня: 1
  • За 2 недели: 29
  • За все время: 517

Тезисы:

  • Российские платежные системы электронной коммерции и их безопасность.
  • Все указанные условия должны быть реализованы в платежной системе Интернет.
  • Платежная система Интернет.
  • Платежная система Интернет передает запрос на авторизацию традиционной платежной системе.
  • Результат авторизации передается платежной системе Интернет.
  • (ПэйКэш) — является платежной системой, построенной на использовании электронной подписи.
  • Это позволяет использовать «электронные платежные книжки» для проведения платежей в Интернете.
  • 2Безопасность платежных систем традиционной коммерции.
  • Безопасность электронных транзакций в системах B2C и С2С.
  • 5Безопасность платежных смарт-карт и электронных кошельков.

Похожие работы:

2 Мб / 34 стр / 5357 слов / 37557 букв / 23 мая 2020

716 Кб / 68 стр / 13000 слов / 88459 букв / 15 янв 2020

42 Кб / 32 стр / 6348 слов / 43155 букв / 11 сен 2010

510 Кб / 49 стр / 10749 слов / 74336 букв / 22 мар 2010

39 Кб / 34 стр / 9335 слов / 65554 букв / 24 дек 2014

15 Кб / 20 стр / 3160 слов / 22490 букв / 18 апр 2020

14 Кб / 18 стр / 3078 слов / 21880 букв / 28 ноя 2015

27 Кб / 33 стр / 6461 слов / 42789 букв / 14 мая 2014

2 Мб / 36 стр / 5977 слов / 43535 букв / 10 дек 2020

43 Кб / 31 стр / 6233 слов / 43084 букв / 18 авг 2010

БЕЗОПАСНОСТЬ ЭЛЕКТРОННЫХ ПЛАТЕЖНЫХ СИСТЕМ

Развитие информационных технологий оказывает непосредственное влияние на становление электронного бизнеса. Предприятия вынуждены непрерывно заниматься оптимизацией собственной деятельности и повышением конкурентоспособности. Данные задачи требуют разработки новых методологий ведения бизнеса, увеличения качества конечных результатов и, конечно, повышения гарантий безопасности проводимых финансовых операций.

Современные платежные технологии составляют основу электронного бизнеса, предоставляя возможность расчетов в цифровой форме. Электронные платежные системы условно можно классифицировать по трем основным типам: карточные системы (банковские карты), операторы цифровой наличности, платежные шлюзы (синергия карточных систем и операторов цифровой наличности).

Электронная платежная система обеспечивает ряд преимуществ использования цифровых денег. Переводы и платежи внутри электронной системы обладают следующими свойствами: моментальностью, анонимностью, относительно небольшими комиссиями, экстерриториальностью и делимостью.

К недостаткам электронных платежных систем в современных условиях следует отнести: неразвитую инфраструктуру хранения электронных средств, зависимость пользователей от аппаратных коммуникаций, недостаточный уровень безопасности.

Должное обеспечение информационной безопасности электронных платежных систем непосредственно влияет на востребованность и конкурентоспособность. В электронной коммерции платежи совершаются при соблюдении ряда условий, которые обеспечивают соответствующий уровень безопасности проводимых итераций: аутентификация участников информационного взаимодействия; обеспечение конфиденциальности и целостности; обеспечение юридической значимости пересылаемых электронных документов; авторизация проведения транзакций.

Каждая электронная платежная система характеризуется определенными методами, алгоритмами шифрования, протоколами передачи данных для выполнения безопасных операций.

Основные аспекты повышения безопасности электронных платежных систем: защита от кражи, подделки и повторного использования электронных купюр, а также обеспечение анонимности и неотслеживаемости платежей.

Для защиты прав владельца цифровой купюры производится хеширование номеров электронной наличности. Участник платежной системы, обеспечивающий данное решение – будущий владелец купюры.

Для защиты от повторного использования цифровой купюры стоит поддерживать список номеров ранее использованных купюр и производить его анализ при авторизации. Участник платежной системы, обеспечивающий решение – банк.

Третья задача состоит в защите от подделки номинала цифровой купюры. Метод решения – использование для каждого возможного номинала определенного ключа и электронной цифровой подписи. Исполнять данное решение должен банк-эмитент.

Обеспечение анонимности и неотслеживаемости платежей является четвертой задачей информационной безопасности. В данном случае приемлемо использовать схему слепой электронной подписи. Участники платежной системы, обеспечивающие решение: будущий владелец купюры и банк-эмитент.

При использовании электронных денег должна быть разработана и обеспечена слаженная система безопасности. Основное требование пользователей включает уверенность, что предлагаемые электронные деньги являются надежными и представляют реальную стоимость. Безопасность системы электронных денег включает в себя следующие уровни: идентификация, аутентификация, авторизация, обеспечение конфиденциальность и целостность информации.

Повсеместное внедрение и использование электронных денег является довольно привлекательным фактором развития электронного бизнеса. Цифровая наличность позволяет не только значительно сокращать временные и материальные затраты участников платежной системы, но и обеспечивают минимальную скорость совершения платежей. Необходимо учитывать, что для успешного развития электронных денег и применения их в банковской практике необходимо обеспечить их широкую применяемость к оплате, для этого электронные деньги должны соответствовать требованиям безопасности, предъявляемых потребителями, торговыми предприятиями и эмитентами.

Обратимся к аналитическому рейтингу лучших платежных систем 2015 года по версии компании в сфере интернет бизнеса – «SD Company». Оценка платежных систем проводилась по критериям, относящимся к техническому обеспечению информационной безопасности платежей. Данный параметр включает криптографические методы шифрования, аутентификации и доступ с помощью специального аппаратного обеспечения.

Первое место, согласно рассматриваемому ранжированию, занимает электронная платежная система «РауРа1», затем следует «WebMoney», на третьем месте система «Яндекс.Деньги», последнее место отведено платежной системе «QIWI».

Действительно, обращаясь к статистическим данным на 2015 год, стоит сделать вывод, что от организованной технологии безопасности зависит популярность использования платежных систем. Электронная платежная система «PayPal» имеет более 164 миллионов зарегистрированных пользователей. «WebMoney» декларирует регистрацию 29 миллионов аккаунтов. В платежной системе «Яндекс.Деньги» зарегистрировано 18 миллионов электронных кошельков. А платежная система «QIWI» имеет 17,3 миллионов пользователей.

Функционирование электронных платежных систем в интернете возможно только при обеспечении условий безопасности. Это понятие можно определить как состояние устойчивости информации к случайным или преднамеренным воздействиям, исключающее недопустимые риски ее уничтожения, искажения и раскрытия, которые приводят к материальному ущербу владельца или пользователя информации.

Следует отметить, что в настоящее время прогрессивные пользователи и компании любой отраслевой направленности электронной коммерции осознанно подходят к выбору электронных платежных систем, оценивая информационную перспективу использования новых технологий в своих владениях. От принятого решения зачастую зависит успешное сотрудничество и дальнейшее процветание электронной коммерции.

БЕЗОПАСНОСТЬ ЭЛЕКТРОННЫХ ПЛАТЕЖНЫХ СИСТЕМ

Безопасность электронных банковских платежных систем

Основная часть работы

Электронные банковские услуги


HOME BANKING (домашний банк)

Виды и методики осуществления мошенничества в сфере интернет-банкинга

Основные виды правонарушений

Технические приемы получения данных пластиковых карт

Этапы операции по обналичиванию денежных средств

Случай мошенничества и кражи денег в интернет-банкинге

Полный перечень мер безопасности для клиентов

Адаптированный перечень мер безопасности

Перспективы использования ДБО

электронный банковский интернет карта

Нашу жизнь сегодня уже сложно себе представить без Интернета. Поиск информации, обмен сообщениями, интернет-торговля и т.п. В частности, использования Сети для осуществления электронных платежей. Последнее время российские пользователи все чаще пользуются системами онлайн-банкинга и порой, в средствах массовой информации появляются сообщения о подстерегающих этих пользователей угрозах. Именно поэтому меня заинтересовала проблема безопасности работы с электронными банковскими платежными системами.

Актуальность данной проблемы обусловлена:

Развитием дистанционного банковского обслуживания;

Ростом мошенничества в сфере онлайн-банкинга;

Наиболее подвержены рискам при работе с ДБО как люди пенсионного возрастатак и далекие от ИT (информационные технологии).

Целью моей работы является создание адаптированногоперечнямер безопасности при работе с онлайн-банкингом для возрастной категории людей и людей, плохо разбирающихся вИТ. Данный перечень может послужить основой для краткого справочника (памятки), выдаваемого в банках. Использование такого доступного помощника позволит понизить степень недовериянаселения, расширить границы применения электронных банковских платежных систем и повысить уровень безопасности при работе с ними.

Для достижения поставленной цели я провела анализ услугДБО, предлагаемых банками, рассмотрела сопутствующие риски , масштабы и методы мошенничества в электронных системах, проанализировала меры безопасности, которые рекомендуют банки РФ при работе с онлайн-банкингом, и на основе этого анализа создала полный перечень мер безопасности для клиентов, который в последствии адаптировала дляцелевой аудитории. Так же в работе рассмотрены перспективы развития онлайн-банкинга в России.

Словарик.(сокр. от англ. DistributedDenialofService, Распределённый отказ от обслуживания) — изначально тип сетевой атаки, основанной на небезграничности ресурсов атакуемой службы, к которой организуется масса запросов, с которыми она заведомо не сможет справиться, и будет вынуждена отказать в обслуживании (либо заставить ждать неприемлемо долго), собственно, отсюда и название. Иногда слово применяется к аналогичным ситуациям в оффлайне.

Рис.1 DDoS атака

Дистанционное банковское обслуживание (ДБО) — общий термин для технологий предоставления банковских услуг на основании распоряжений, передаваемых клиентом удаленным образом (то есть без его визита в банк), чаще всего с использованием компьютерных и телефонных сетей.(англ. SecureSocketsLayer — уровень защищённых сокетов) — криптографический протокол, который обеспечивает установление безопасного соединения между клиентом и сервером. SSL изначально разработан компанией NetscapeCommunications.(англ. CardVerificationValue 2) — трёхзначный код проверки подлинности карты платёжной системы Visa. Другие платёжные системы имеют сходные технологии, к примеру аналогичный защитный код для карт MasterCard носит название CardValidationCode 2 (CVC2). Наносится на полосе для подписи держателя после номера карты либо после последних 4 цифр номера карты способом индент-печати. Используется в качестве защитного элемента при проведении транзакции в среде CNP (cardnotpresent).

Бот-сети — криминальные паразитные подсети внутри интернета, занимающиеся распространение вирусов, сбором конфиденциальной информации о пользователей, кражей электронных покупок, организацией атак на крупные сервера.Бот-сети состоят из небольшого количества нелегальных специальных серверов, но на большую часть — из обычных пользовательских компьютер, владельцы которых не подозревают о том, что их компьютер «работает налево», так как зараженспециальным «бот-вирусом»

Основная часть работы:

Свою работу я хочу начать с обзора электронных услуг, предлагаемых банками России.

Электронные банковские услуги

Глобализация мировой экономики не могла не затронуть банковскую деятельность, что привело к серьезным изменениям в банковской сфере, в том числе в обслуживании предприятий, организаций и частных лиц — клиентов банка.

Рост мирового платежного оборота и обусловленный им рост издержек обращения настоятельно диктует необходимость создания принципиально нового механизма безналичного и наличного денежного обращения, обеспечивающего быстро растущие потребности в платежах и ускорение оборачиваемости денежных средств при одновременном снижении издержек обращения и сокращении трудовых затрат. Основной путь решения данной проблемы — это использование так называемой безбумажной технологии на основе передового опыта индустриально развитых стран в сфере широкого применения на практике заменителей наличных денег и платежных инструментов и средств.

Именно поэтому все большее внимание банки уделяют уровню информационного и компьютерного обеспечения, количеству и качеству информационных услуг, предоставляемых клиентам, новым технологиям как важному фактору конкурентоспособности на рынке банковских услуг

Российские банки также сталкиваются с необходимостью устанавливать связи и производить расчеты через зарубежные банки, придерживаться стандартов, принятых в мировой банковской практике, в целях интеграции с мировой банковской системой. Однако для того, чтобы стать партнером зарубежного банка в обслуживании общих клиентов, российскому банку необходимо достичь высокого уровня развития, в том числе и в сфере новых технологий.
Автоматизированные банковские системы (АБС) на сегодняшний день являются одной из самых быстро развивающихся областей прикладного сетевого программного обеспечения (ПО). Нужно отметить, что АБС представляют из себя «лакомый кусочек» для любого производителя ПО. Поэтому почти все крупные компании-разработчики предлагают на этом рынке свои системы. В настоящее время АБС позволяют автоматизировать практически все стороны банковской деятельности. Функционируют программы, обеспечивающие расчеты, целиком ориентированные на Интернет, или так называемые виртуальные банки; банковские экспертно-аналитические системы, использующие принципы искусственного интеллекта, и многое другое.

BANKING (домашний банк)

Более 20 лет назад, а именно, в 80-х годах было положено начало развитию принципиально нового направления банковского обслуживания клиентов — homebanking. Оно заключается в проведении банковских операций на дому или в офисе клиента с использованием телефонной связи, модема и компьютера. Спектр банковских услуг, предоставляемых подобным образом, значительно расширил список традиционных услуг, предоставляемых клиентам. Они включают как обычные расчетные операции (причем валюта расчета не ограничена только национальной), так и информационные услуги.

В последние годы появилась возможность и необходимость предоставления дистанционного банковского обслуживания (электронных услуг) с использованием сети Интернет.

Преимущества использования подобных систем заключаются в следующем:

большая скорость по сравнению с традиционными методами зачисления средств и прохождения их между банками;

сокращение себестоимости операций и издержек для банка и клиента;

уменьшение трудоемкости операций при безбумажной технологии;

снижение рисков не прохождения платежей;

для банка исчезает необходимость трудоемкой работы с наличностью;

удобство в использовании (виртуальный банк может работать круглосуточно, у клиента имеется возможность не посещать банк, не нужно иметь наличные средства для небольших покупок, быстрота оформления сильно сокращает время от заказа до доставки товара и пр.).

Однако необходимо обратить внимание и на недостатки виртуального банка.

повышенный уровень риска клиента при работе с таким банком, если он не является подразделением невиртуального банка,

отсутствие наработанного авторитета на рынке, гарантий и участия в федеральных программах страхования вкладов

отсутствие разработанной правовой базы для такого рода бизнеса.

клиентам недостает личного общения с банковскими работниками, возможности индивидуального подхода.

В технологии «домашний банк» можно выделить три основные направления развития:

Мобильный банкинг (WАР-банкинг).

Началом подобных операций считают 1983 год, когда строительное общество NottingamBuildingSociety, британская телефонная компания BritishTelecom и Банк Шотландии стали использовать систему Homelink.

С помощью таких систем клиенты банка могут совершать разнообразные операции прямо из дома или своего офиса:

получение информации о состоянии счетов и некоторой другой банковской информации,

проведение платежей и оплата услуг с расчетного и других счетов и с пластиковых карт

Такие платежи могут совершаться не только в национальной, но и иностранной валюте. Использование данной системы банком дает преимущества при привлечении клиентов, уводя их из банков, не предоставляющих такие услуги. Сегодня подобные системы с удовольствием устанавливают как очень крупные организации, так и мелкие фирмы, которым нет необходимости иметь офис, они используют в качестве офиса свой дом. Объем банковских услуг, осуществляемый с помощью системы «Клиент-банк» растет с большой скоростью.

Интернет-банкинг — система получения банковских услуг через выход в Интернет. Клиент может наблюдать за ходом торгов и участвовать в них, следить за оформлением совершенных сделок и своей позицией, ведением архивов биржевой информации.

Такая система, в отличие от программы «Клиент-банк», не привязана к конкретному компьютеру с установленным ПО. Клиент может выходить в Интернет с любого компьютера, для этого ему необходимо только наличие электронного ключа Обычно это дискета, которая путешествует вместе с клиентом. Таким образом, он может получать банковские услуги в любом месте земного шара и на любом компьютере.

Частные лица должны хорошо знать современные технологии и доверять им, уметь считать собственную выгоду, быть динамичными, иметь свободные средства и хотеть эффективно их использовать.

АР-банкинг, мобильный банкинг (mobilebanking, m-bankmg) — получение банковских услуг непосредственно с помощью мобильного телефона или ноутбука при использовании технологии беспроводного доступа (WirelessApplicationProtocol). Такая технология позволяет передавать сокращенную информацию некоторых сайтов, поддерживающих WAP (например, Yahoo и др.), на мобильные телефоны и совершать некоторые действия. Она позволяет владельцам определенных модификаций мобильных телефонов выходить в Интернет непосредственно с телефона без дополнительного оборудования, обращаться к приложениям благодаря встроенному в телефон. WAP использует двоичный формат, что позволяет эффективно сжимать пакеты данных, протокол оптимизирован под длительный период ожидания и низкую пропускную способность каналов.

Преимуществами такой системы является еще большая свобода в доступе, недостатком является неудобство получения информации нанебольшом дисплее.

Таким образом, на рынке России представлены все, наиболее востребованные услуги в области ДБО. Услуги есть, есть банки, есть потребители этих услуг.От куда же риски?

Илон Маск рекомендует:  Javascript полезные функции часть iii

Основные причины резкого возрастания числа интернет-мошенничеств можно разделить на две группы:

. субъективные, связанные с недостаточной осведомленностью участников информационных отношений в области защиты своих интересов,

. объективные причины, связанные с применяемыми программно-техническими средствами.


Несмотря на многочисленные предупреждения и в договорах, и на сайтах банков, а также в СМИ, клиенты недостаточно глубоко и точно понимают, где и как у них могут украсть деньги и что делать, чтобы этого не произошло. Пользователи уделяют слишком мало внимания обеспечению собственной безопасности в Интернете. Например, для многих из них до сих пор не является аксиомой, что нужно применять и своевременно обновлять антивирусные средства.

Кроме того, среди клиентов бытует мнение, что использование нелицензионного программного обеспечения напрямую не вредит безопасности, а нарушает лишь авторские права. Однако «пиратские» операционные системы не загружают регулярные обновления безопасности, в то время как антивирусные средства рассчитаны на то, что средства безопасности Microsoft будут обновлены и выполнят свою задачу. В итоге из-за неправильного их взаимодействия в системах защиты остаются бреши.

Следующая причина — использование неадекватных уровней безопасности в системах ДБО(дистанционного банковского обслуживания). Уровень безопасности должен зависеть от сумм и типов операций: операции между своими счетами, предопределенные операции с ограниченными суммами требуют совершенно иного уровня безопасности, чем операции в пользу третьих лиц без ограничения суммы. При упрощенной системе безопасности можно разрешать только все операции по собственным счетам. Если в системе нет запрета на платежи в пользу третьих лиц, необходима криптография на компьютере пользователя и разовые пароли. Это позволяет хорошо защитить и банк, и клиента.

Встречаются и чисто технологические ошибки в разработке систем ДБО. Их должны создавать профессионалы в области безопасности, иначе в системах могут возникать алгоритмические «дыры». Например, в своем компьютере клиент вставляет USB-токен и начинает работу. В момент подписания платежного документа троян подкладывает фальшивое платежное поручение, которое подписывается правильными подписями и отправляется в банк. Это технологическая уязвимость: в некоторых системах существует незащищенный канал между микропроцессором шифрования и процессором компьютера, который недостаточно контролируется. Такая уязвимость закрывается профессиональными криптографами, так как простое применение сертифицированных криптографических библиотек эту проблему не поможет решить, потому что проблема в неверных алгоритмах применения библиотек.

Еще одна причина — использование в системах ДБО несертифицированных средств криптографической защиты информации, что создает условия правовой незащищенности участников информационных отношений. Случаи взлома криптографии очень редки: зачем взламывать шифр, если можно украсть ключи? Деньги пропадают с использованием собственных ключей пользователя. Если клиент будет пытаться доказать свои права в суде, то во внимание будут приниматься только сертифицированные средства.

Так же одной из важных угроз систем ДБО сегодня является недостаточно проработанная нормативно-правовая база отношений клиента с банком. Юридически грамотный злоумышленник,знающий технологию применения электронной цифровой подписи,может найти уязвимости в договорах и регламента, а затем используя систему ДБО провести поддельную транзакцию, отказаться от нее и подать исковое заявление в суд. Задача банка — доказать в суде обратное,т.е. доказать, что банк действовал правильно.

В большинстве случаев кредитная организация не несет юридической ответственности перед своими клиентами в рамках заключенного между ними договора. Компрометация данных, которые необходимы злоумышленникам, зачастую происходит именно по вине клиентов. Тем не менее даже в таких случаях большинство кредитных организаций, в случае обращения клиента стараются помочь ему вернуть утраченные средства, и это часто удается сделать.

С другой стороны, возможны ситуации, когда кредитная организация может понести юридическую ответственность за убытки своих клиентов. Речь идет о случаях, когда клиент не виноват в произошедшем, в том числе на основании решения суда, включая случаи, когда к списанию средств клиента причастны сотрудники кредитной организации.

Несмотря на то что большинство банков в рамках договора с клиентами формально не несет ответственности за утрату клиентами средств при использовании пин-кода пластиковой карты, суды в большинстве случаев встают на сторону клиентов. Такие риски могут быть застрахованы в рамках полиса страхования рисков эмитентов банковских карт.

Любой банк обязан выполнять требования по обеспечению защиты информации следующих внешних по отношению к финансовой организации нормативно-правовых актов:

Федеральный закон РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;

Федеральный закон РФ от 7 августа 2001 г. № 115-ФЗ «О противодействии легализации доходов, полученных преступным путем»;

Стандарт международнойплатежной системы VISA PA DSS (в контексте требований стандарта PCI DSS для программного обеспечения процессингового центра);

Рекомендации ЦБ РФ, направленные циркулярным письмом Московского ГТУ Банка России № 33-00-18/3183 от 25.01.2010 г. «О рекомендациях для кредитных организаций по дополнительным мерам информационной безопасности при использовании систем интернет-банкинга».

Виды и методики осуществления мошенничества в сфере интернет-банкинга

Мошенничество с картами и мошенничество с ДБО, соединенные в один технологический «узел», дают синергетический эффект для мошенничеств. Потери от таких действий в десятки раз превосходят отдельно взятые воровство из интернет-банкинга и кражи денег из банкоматов. Интернет-банкинг позволяет воровать деньги с банковских счетов, а банкоматные сети дают возможность украденные деньги обналичивать.

Как пластиковые карты вовлекаются в интернет-мошенничество? В первую очередь через расчеты за услуги через Интернет. Далеко не все онлайн-магазины предлагают защищенные сервисы для использования платежных карт. Используются порой совершенно незащищенные технологии. Как только клиент ввел на небезопасный сайт данные своей карты, он может быть уверен, что вскоре получит уведомление о совершенной с его карты покупке в каком-нибудь «левом» интернет-магазине.

С другой стороны, пластиковые карты служат для аутентификации клиента в системах дистанционного банковского обслуживания, в том числе даже без наличия электронно-цифровой подписи. Так для мошенников открывается путь в системы ДБО.

И еще: карты стали соединять с электронными деньгами и счетами в сотовой связи.

Основные виды правонарушений

Самый распространенный вид мошенничеств через ДБО — это хищение денежных средств со счетов клиентов с использованием краденых «ключевых» данных клиентов

Следующий вид правонарушения — кража персональных данных для изготовления персональной карты через специальные программы, скимминговые устройства, данные процессинговых центров.

Далеко не все онлайн-магазины предлагают защищенные сервисы для использования платежных карт

Теперь мошенники стремятся украсть персональные данные или данные пластиковых карт не только для непосредственного их использования, но и для управления банковскими счетами. Самое простое — когда секретные ключи лежат на носителе, который можно потерять. Либо воры могут украсть ключи с использованием троянов или просто могут получить мошеннический удаленный доступ к компьютеру клиента и использовать честно защищенные данные.

Прошли времена хакеров-одиночек. Сейчас чаще всего действует организованная группа или даже несколько различных функциональных групп или группировок.

Нынешнее мошенничество — это высокотехнологичная операция с очень специфическими функциями, где на каждом этапе нужна очень профессиональная подготовка. Универсалы-одиночки здесь не справятся. Работа таких групп сильно распределена по четко выраженным этапам, а также территориально.

Большинство мошеннических действий, связанных с интернет-банкингом, происходят в два этапа. Сначала преступник должен получить в свои руки информацию об учетной записи клиента, имя пользователя и пароль. После этого он, используя украденные данные, переводит деньги своей жертвы на другой счет или обналичивает их.

Для первого этапа — получение информации — злоумышленники чаще всего используют две популярных схемы мошенничества:

«Фишинг» схема: происходит от двух английских слов «пароль» и «рыбалка». Мошенники рассылают письма наэлектронные почтовые ящики, якобы, отлица банка, спросьбой предоставить личную информацию, такую, как номер социального страхования, имя пользователя в системе «Онлайн- банкинг» и пароль банковской карты.

«Троянский конь» схема: в рассылаемых мошенниками электронных письмах содержатся вредоносные программы, которые запускаются в компьютере потребителя без его ведома. Трояны часто входят в ссылки или вложения от неизвестных отправителей электронной почты. После установки такой программы автоматически определяется, когда человек-жертва мошенничества- пользуется сайтами банковских сервисов, при этом копируется имя пользователя и пароль, после чего троян передает эту информацию правонарушителю. Люди, использующие общедоступные компьютеры, в таких местах, как интернет-кафе, часто подвержены атаке подобных вирусов и других вредоносных или шпионских программ. Такие пользователи в большей степени рискуют стать жертвами кражи идентификационной информации.

Когда проведен подготовительный этап, определены цели, сроки, задачи, пути вывода наличных, средства прикрытия и блокировки сервисов ДБО, можно начинать собственно операцию: преступники получают доступ непосредственно к счету или карте клиента и осуществляют несанкционированный перевод на заранее подготовленный промежуточный счет. Затем нужна хорошая DDoS-атака, которая обрушит сервис, чтобы клиент не смог своевременно получить информацию о движении средств на его счете. DDoS-атака должна закончиться в тот момент, когда деньги будут обналичены.

Значит, атаку на систему ДБО можно представить как выполнение следующих этапов:

создание специального «инструментария» — программ-троянов для сбора данных;

создание специального «инструментария» — программ-троянов для организации DDoS-атак;

распространение троянов и создание БОТ-сетей;

создание центра управления (координации) «операцией»;

«зачистка» следов проведения «операции» — проведение DDoS-атак на системы ДБО.

Технические приемы получения данных пластиковых карт:

использование программ-«шпионов» в автоматизированных системах потенциальных жертв;

использование программ-«шпионов» в банкоматах;

использование накладок — «скиммеров» на банкоматы;

воровство пластиковых карт и данных с пластиковых карт;

изготовление пластиковых карт по подложным документам;

изготовление пластиковых карт, принадлежащих «третьим» лицам;

воровство персональных данных реальных граждан для использования в фиктивных «зарплатных» проектах.

Этапы операции по обналичиванию денежных средств:

создание специального «инструментария» — программ-троянов или технических средств (скиммеров) для банкоматов;

подготовка «пула» настоящих дебетовых карт, выпущенных на «третьих» лиц, либо подготовка «белого пластика» на основе краденых данных;

получение этих пластиковых карт заинтересованными лицами;

«зачистка» следов «операции» — DDoS-атака на системы ДБО.

Непосредственно обналичивание реализуется переводом со счета юридического лица на множество счетов пластиковых карт физических лиц с последующим снятием наличных в банкоматах. Как правило, происходит снятие небольших сумм в разных банкоматах. Это самое слабое звено: непосредственных исполнителей обналички можно найти

В «помощь» мошенникам появились «зарплатные карточные проекты» фиктивных компаний, основной смысл существования которых — массовое легальное «распыление» крупных сумм и обналичивание. Мошенники собирают персональные данные, пишут заявление в банк и получают определенное количество дебетовых карт, на которые можно регулярно и на законных основаниях переводить деньги, а затем их обналичивать.

Случай мошенничества и кражи денег в интернет-банкинге:

Попытки фишинга были замечены в интернет-банке Сбербанка. Один из таких случаев очень подробно описала пострадавшая клиентка крупнейшего банка России в одной из соц. Сетей. Так, 20 октября 2012 года девушка попыталась воспользоваться услугой «Сбербанк Онлайн». Но во время выполнения данной операции с ее карты Visa была снята крупная сумма в размере 30 тысяч рублей, их за четыре приема перевели на незнакомый ей QIWI-кошелек.

Когда девушке удалось подключиться к системе и зайти на сайт Сбербанка, то она увидела предупреждение о проведении технических работ. При этом там было отмечено, что владельцев счета или карты может получать смс-коды, однако их следует проигнорировать или отменить, так как они неверные и вызваны сбоями в работе интернет-банка. Практически сразу же ей перезвонил якобы сотрудник Сбербанка и подтвердил только что прочитанную информацию на официальном сайте. Девушка в точности следовала полученным рекомендациям, а затем ей на мобильный телефон поступило смс-сообщение о переводе 4-мя операциями денег с карты на кошелек виртуальной платежной системы. Представители Сбербанка не подтвердили кражу средств таким путем со счета ни одного клиента. По словам независимых экспертов, в случае с клиенткой «Сбербанк Онлайн» мошенники использовали метод так называемой социальной инженерии. Он стал очень популярным еще летом 2010-го года и по сей день не теряет своей актуальности среди наиболее эффективных способов мошенничества в интернет-банкинге.

Рис.3 Изображение фишингового сайта

Рис.4 Изображение мошеннического сообщения.

О ее сути рассказал глава департамента экономической безопасности Альфа-Банка Валерий Антонов, который досконально изучил эту технологию, дабы предупредить подобные случаи с клиентами своего банка. Оказывается, мошенники создают поддельные сайты и собирают личные данные держателей карт, вводя их в заблуждение.

Очень интересное мнение директора Центра вирусных исследований и аналитики при антивирусной компании Eset. В частности Александр Матросов отмечает всплеск подобных попыток завладеть деньгами честных клиентов в сфере в 2009 году, что стало настоящим шоком для руководителей крупнейших отечественных и иностранных банков. Именно тогда, стали высказываться первые мнения о том, что попытки внедрения системы дистанционного управления банковскими счетами будут необходимы. Тогда большинство решений по жалобам пострадавших клиентов решались не в их пользу, ведь в договоре об этом ничего не говорилось, причем клиент самостоятельно вводил пароли и коды, после чего остался без средств.

Однако мошенничество — не единственная проблема Интернет-банкинга, работа системы информационной безопасности периодически дает сбои: не работает сайт банка, возникают проблемы с качеством услуг, предоставляемых интернет-провайдерами. Впрочем, банки активно используют дистанционное обслуживание как альтернативный канал сбыта.


Иногда деятельность коммерческих банков испытывает интернет-атак. Сущность интернет-атак заключается в рассылке электронного письма с информацией о проблемах банка. Масштабы интернет-атаки могут быть довольно большими. Например, 30 web-ресурсов, каждый из которых характеризуется 10000 посетителей в день.

Точный расчет аудитории, которую может охватить интернет-атака, невозможен. Однако, приблизительная оценка может быть осуществлена на основании публичных данных рейтингов web-сайтов

Так на сколько же актуальна проблема? Может не всё так страшно и проблема надумана?

Актуальность проблемы поднятой в моей работе обуславливается также большим объемом киберпреступлений при использовании онлайн-банкинга.

Чтобы определить масштаб проблем я исследовала количество атак и урон от них с 2011 по 2012 год.

Наибольший урон современным организациям наносит почтовый спам и распространение вирусов, DDoS-атаки, фишинг, черви, аномалии в протоколах. В дополнение к этому у корпоративных клиентов все чаще появляется потребность ограничивать и контролировать действия своих сотрудников в сети, например заблокировать сайты, содержащие нежелательный контент, ограничить доступ к социальным сетям, предотвратить возможные каналы утечек информации.

Согласно статистике компании Symantec, в 2011 г. количество только заблокированных атак, совершенных с помощью вредоносного ПО, возросло на 81% и превысило 5,5 млрд. А количество уникальных кодов вредоносных программ достигло 403 млн, хотя в 2010 г. их было лишь 286 млн. Если говорить о web-атаках, их стало больше на 36%, в результате ежедневно совершается более 4,5 тыс. атак в день.

Давая предварительную оценку данным 2012 г., аналитики Symantec ожидают увеличения количества и сложности целевых атак. Используемые технологии и эксплойты станут доступны для массовых атак не столь высокого уровня сложности, а вирусописатели намного активнее будут использовать социальные сети для распространения вредоносных программ, что требует от компаний любого масштаба повышенного контроля периметра сети.

По данным Groub-IB, внешние угрозы в отношении корпоративных инфраструктур по-прежнему очень актуальны в связи с большим количеством атак на системы интернет-банкинга и инцидентов, связанных с хищением конфиденциальной информации. Например, возможность хищения денег с банковского счета зависит от получения злоумышленниками аутентификационных данных к системе дистанционного банковского обслуживания. Информация похищается внешними злоумышленниками, которые эксплуатируют уязвимости в периметре защиты организации. Таким образом, за первую половину 2012 г. компьютерным мошенникам удалось совершить 4588 хищений с банковских счетов российских компаний на общую сумму $474,1 млн.

Глава управления «К» МВД РФ Алексей Мошков заявил, что количество киберпреступлений, совершенных в РФ в 2012 году, выросло на 28% по сравнению с предыдущим показателем. Он отметил, что киберпреступность становится все более и более серьезной проблемой для страны.

Самыми распространенными в прошлом году киберпреступлениями стали интернет-мошенничество, кража денег из систем дистанционного банковского обслуживания и хищение средств со счетов физических лиц в банках. В 2012 году было зарегистрировано 3645 таких преступлений против 2123 преступлений в 2011 году.

По словам Мошкова, главным успехом в борьбе с киберпреступлениями стала ликвидация сети зараженных компьютеров, которые использовались для хищения денег из систем дистанционного банковского обслуживания. В сети было 6 млн компьютеров, ущерб составил 150 млн рублей.

Из полученной статистики следует что система безопасности электронного банковского обслуживания не совсем совершенна.

Рассмотрим предлагаемые методы противодействия.

Для написания данной работы я исследовала меры для повышения безопасности, предложенные в открытых источниках информации (Интернет) на сайтах банков России, предлагающих свои электронные услуги.

Самая основная и самая трудная мера — повышение осведомленности как самих клиентов в области собственной безопасности при использовании интернет-сервисов, так и сотрудников розничных отделений банков при продаже продуктов ДБО. Это могут быть различные наглядные пособия для клиентов, памятки, специализированные странички на сайтах банков, рекламные материалы.

Для сотрудников — проведение тренингов, создание систем мотивации. Врага надо знать, чтобы с ним бороться и применять меры самообороны. Банкам следует настойчиво оповещать клиентов — пользователей систем ДБО о мерах безопасности и давать им подробные рекомендации о применении защитных мер, в том числе антивирусного программного обеспечения с функциями антихакер и антишпион.

Следующие меры носят более технологический характер и могут быть отнесены к самим банкам. Считается, что чиповые карты более защищенные, чем магнитные, поэтому в качестве первой рекомендации банкам: пора переходить на чиповые карты. На данном этапе развития технологий чиповую карту можно скопировать, только если ее подержать в руках. Кроме того, нужно внедрять использование «электронных кошельков» или «виртуальных» карт для интернет-платежей.

Получение своевременной информации о состоянии своего счета — гарантия оперативного принятия мер по возврату похищенных средств. При краже счет идет на минуты. Если в течение двух часов клиент успеет сообщить в банк, что у него «увели» деньги, есть шансы вернуть всю сумму полностью. Чем больше промежуток времени между фактом пропажи средств и передачи сообщения в банк, тем меньше шансов остановить незаконную транзакцию. Поэтому sms-информирование — это обязательный элемент безопасности.

Хорошие результаты дают системы онлайн-анализа проведенных транзакций. Существуют признаки, по которым косвенно можно определить, что происходит что-то неладное:

нетипичное «поведение» клиента — операции производятся с другого IP-адреса, в странное время или списывается необычная сумма.

Могут производиться нетипичные переводы со счетов как юр. лиц, так и физ. лиц на карточные счета физ. лиц. Сразу после таких переводов производится массовое снятие наличных.

многократный отказ в проведении транзакции за короткий период и одновременное, либо за короткий промежуток времени, снятие наличных с одной карты в разных регионах.

кроме того, это уже упоминавшиеся переводы на счета электронных денег. Промышленные системы могут анализировать более 150 типов признаков аномального поведения клиентов, что позволяет выявлять и пресекать не менее 70% мошеннических операций.

Введение условий использования карточных продуктов вне мест постоянного проживания клиентов дает хороший эффект. Запрет на проведение операции без предварительного уведомления о том, что человек уехал в определенную страну, также помогает защитить держателей карт. Также хороший эффект дает так называемая IP-фильтрация адресов, с которых клиенты проводят операции в системах ДБО.

Полный перечень мер безопасности для клиентов

Проанализировав данные с сайтов банков Российской Федерации, я объединила рекомендации, предложенные для повышения безопасности при работе с ДБО, и создала полный перечень мер безопасности для клиентов:

Для доступа в личный кабинет требуется только идентификатор и пароль/одноразовый пароль. В случае,если от Вас требуется ввод любой другой персональной информации (номеров банковских карт, мобильного телефона, других личных данных), следует прекратить пользование услугой и связаться с банком.

Банк никогда не запрашивает пароли для отмены операций. Если Вам предлагается ввести пароль для отмены операции, то прекратите сеанс использования услуги и срочно обратитесь в банк.

При получении SMS с одноразовым паролем внимательно ознакомьтесь с его содержанием. Вводить пароль следует только в том случае, если операция инициирована вами и реквизиты получателя средств в обязательном порядке соответствуют реквизитам операции в полученном SMS-сообщении.Для отмены операций сообщения с паролями банком никогда не направляются.

Проверяйте, что установлено защищенное SSL-соединение с официальными сайтами услуги.

Ни при каких обстоятельствах не разглашайте свой пароль никому, включая сотрудников банка.Пароль для входа в систему это Ваша личная конфиденциальная информация.

Не используйте сомнительные места и компьютеры для работы с интернет-банком. Не пользуйтесь онлайн услугой непосредственно через Интернет-обозреватель мобильного устройства (телефона, планшета и пр.), на который приходят SMS-сообщения с подтверждающим одноразовым паролем. Для мобильных устройств существуют собственные версии системы.

При утрате мобильного телефона (устройства), на который Банк отправляет SMS-сообщения с подтверждающим одноразовым паролем или неожиданным прекращением работы SIM-карты, Вам следует как можно оперативней обратиться к своему оператору сотовой связи и заблокировать SIM-карту.

Пользуйтесь дополнительными возможностями системы по повышению уровня безопасности (SMS-информирование о входе в личный кабинет, настройка видимости карт и счетов, управление лимитами на операции и пр.).

Не устанавливайте на мобильный телефон, устройство, на который Банк отправляет SMS-сообщения с подтверждающим одноразовым паролем, приложения, полученные от неизвестных вам источников. Помните, что банк не рассылает своим клиентам ссылки или указания на установку приложений через SMS/MMS/Email — сообщения.

Требования к хранению одноразовых паролей, напечатанных на чеке банкомата, аналогичны требованиям к хранению ПИН-кодов банковских карт: никто, кроме Вас не должен иметь доступ к чеку с одноразовыми паролями. В случае их утери или кражи Вам следует незамедлительно обратиться в банк или запросить новый список паролей на банкомате.

Используйте лицензионное программное обеспечение, а также своевременно обновляйте антивирусные программы;

В официальных письмах банк всегда обращается к клиенту по имени и указывает конкретные реквизиты, в зависимости от типа письма (например — тип карты, номер счета). Мошенникам такая информация не известна и письма от них всегда будут выглядеть «обезличенными» (в обращении указаны только общедоступные данные, например адрес электронной почты) или содержать неверные (другого человека) данные.

Сообщение от мошенников о якобы имевшем место «выигрыше», для получения которого просят вписать данные по карте в указанную форму. После заполнения «формы» через некоторое время происходит хищение денежных средств. Такие реквизиты карты как: номер, срок её действия, CVV2, фамилия и имя владельца достаточны для списания с неё денежных средств, указывайте их только при осуществлении покупок или платежей на доверенных (известных, хорошо себя зарекомендовавших) Интернет-ресурсах.

Тестовый опрос представителей целевой аудитории показал, что большинство из них, не понимает и половины из вышеописанных рекомендаций. Получив из средств массовой информации, сведения о выявленных мошенничествах в этой сфере, ещё больше пугается и всячески старается избежать любых контактов с ДБО. На раз наблюдала очереди у банкоматов в дни получения заработной плати и пенсии (люди снимают всю сумму, что бы у них её не украли). О каком продвижении ДБО можно говорить в такой ситуации? Ниже представлен предлагаемый мной перечень мер по повышению безопасности операций с ДБО. Адаптированный для понимания целевой аудиторией.

Адаптированный перечень мер безопасности:

ПРАВИЛО 10 НИКОГДА:

НИКОГДА банк не требует ввода номеров банковских карт, мобильного телефона, других личных данных для доступа в личный кабинет;

НИКОГДА банк не запрашивает пароли для отмены операции;

НИКОГДА не разглашайте свой пароль;

НИКОГДА не используйте сомнительные места и компьютеры для работы с онайн-банком;

НИКОГДА банк не рассылает своим клиентам ссылки или указания на установку приложений через SMS/MMS/Email — сообщения;

НИКОГДА не используйте нелицензионное программное обеспечение;

НИКОГДА не забывайте обновлять антивирусную программу на своем персональном компьютере

НИКОГДА не используйте незнакомые банкоматы, расположенные в затемненных, немноголюдных местах;

НИКОГДА не используйте банкомат, если у него повреждена или имеет не стандартный вид клавиатура, картоприемник

НИКОДА не забывайте проверять баланс своих банковских счетов.

Перспективы использования ДБО

Перспективы развития и распространение ДБО показывают актуальность моей работы.

Развитие онлайн-банкинга сейчас достаточно перспективно. Все большее количество банков начинают внедрять системы, которые позволяют им взаимодействовать с клиентами через Интернет. Так, по мнению специалистов, около половины всех клиентов банков, внедривших подобные системы, могут в дальнейшем использовать глобальную мировую сеть Интернет для взаимодействия с банками.

На текущий момент, большинство потребителей услуг онлайн -банкинга — это бухгалтеры предприятий, которые ведут расчеты, получают выписки, отправляют платежные поручения через Интернет.

Следующей ступенью дальнейшего развития онлайн-банкинга может стать работа с конкретными отраслями промышленности.

Так, одним из перспективных направлений является предоставление клиентам механизмов, которые позволят быстро производить платежи, вне зависимости от места нахождения получателя и банка, услугами, которого он пользуется. Большинство банков, внедривших системы онлайн-банкина, находится в Москве, однако и региональные банки все чаще используют Интернет для обслуживания клиентов.

Ряд экспертов называют 2013-й «годом аутентификации», так как многие компании , осознав недостаточность традиционной защиты с помощью логина/пароля, станут разрабатывать развитые средства аутентификации. «Парольная модель защиты мертва,- заявляют в Fortinet.- Ей на смену придет двухфакторная аутентификация».

Как отмечают в «Лаборатории Касперского», хотя по-прежнему доминируют бессистемные атаки, направленные на кражу личной информации случайных пользователей, заметным явлением стали целенаправленные акции, попытки проникновения в корпоративную сеть конкретной организации. 16% компаний считают, что в будущем эта угроза станет для них самой актуальной. Нередко главной задачей является сбор конфиденциальных данных, которые можно с выгодой продать. Целевые атаки вовсе не обязательно связаны с применением изощренных методов: в большинстве случаев слабым звеном становится «человеческий фактор». В 2013 году еще более распространенным явлением станет кибершпионаж.

Согласно прогнозам Symantec в 2013 году атаки станут агрессивнее и будут проводиться не только с целью заработки или шпионажа, но и для демонстрации силы атакующих, а конфликты между государствами, организациями и отдельными лицами в значительной степени перейду в киберпространство.

Банковские специалисты отмечают высокий интерес к технологии онлайн-банкинга со стороны клиентов.

Чтобы узнать распространение ДБО, я решила провести опрос в своем городе. Среди 20 опрошенных только 25% не пользуются электронными банковскими услугами, а так же всего 15% подвергались атакам мошенников. Результаты опроса представлены на диаграммах:

Диаграмма 1. Использование электронных банковских платежных систем

Диаграмма 2. Возраст участников опроса

Диаграмма 3 Атаки мошенников

Как оказалось,электронные платежные банковские системы используют в основном люди в возрасте от 18 до 50 лет, люди же пенсионного возраста не доверяют ДБО по причинам сопутствующих рисков и отсутствия знаний банковских аббревиатур. Так же люди данной возрастной категории не пользуются электронными банковскими услугами, так как рекомендации по безопасному использованию банковских услуг зачастую им не понятны. Поэтому предложенный перечень мер безопасности не подходит для людей пенсионного возраста. Для того чтобы расширить круг людей, использующих ДБО, я решила адаптировать данный перечень мер безопасности.

На сегодняшний день одним из важных факторов успешного функционирования системы онлайн-банкинга является охват наиболее широкого спектра операций с клиентами и банковских продуктов. В своей работе я попыталась создать памятку для привлечения большего количества пользователей. Показала актуальность проблемы защиты онлайн-банкинга, исследовала сопутствующие риски и перспективы развития онлайн-банкинга в России.

Репетиторство

Наши специалисты проконсультируют или окажут репетиторские услуги по интересующей вас тематике.
Отправь заявку с указанием темы прямо сейчас, чтобы узнать о возможности получения консультации.

Понравилась статья? Поделиться с друзьями:
Кодинг, CSS и SQL