Редкая неделя проходит без сообщения об очередном крупном мошенничестве в сфере высоких технологий. Злоумышленники наносят бизнесу огромный ущерб: используя обман и подлог, они похищают у предприятий и их клиентов деньги или вынуждают к неразумным, часто несанкционированным тратам. Защититься от них только средствами ИТ не получится — также потребуются серьезные организационные усилия. Вместе с тем правильное использование средств ИТ делает противодействие мошенничеству весьма эффективным.
По данным МВД, интернет-мошенничество является самым распространенным видом преступлений в сфере ИТ, и число их продолжает расти. За шесть месяцев 2012 года зафиксировано 1443 таких преступления — рост составил 44% (впрочем, реальное число случаев интернет-мошенничества наверняка в несколько раз больше).
Наиболее подвержены рискам предприятия и организации, работающие с большим количеством розничных клиентов и применяющие для их обслуживания системы дистанционного обслуживания, электронные магазины, банковские карты, системы интернет-платежей, карты лояльности. В секторе B2B с электронным мошенничеством наиболее часто приходится сталкиваться финансовым организациям, телекоммуникационным компаниям, электронным торговым площадкам. Впрочем, большой ущерб в корпоративном секторе могут принести и мошеннические сделки с участием инсайдеров.
Поскольку в разных отраслях и секторах мошенничество принимает разные формы, модели рисков, связанных с ним, и способы защиты от них существенно различаются от отрасли к отрасли и от сегмента к сегменту. Роднит их общее слабое звено — человеческий фактор: в очень многих инцидентах, связанных с мошенничеством, его влияние сыграло значительную негативную роль.
«Мошенники становятся все более грамотными. Как правило, они действуют организованными преступными группами. Это достаточно профессиональное сообщество, члены которого используют различные технические и социальные методы, нанося ущерб как компаниям, так и их клиентам», — комментирует Дмитрий Костров, главный эксперт департамента ИБ компании «МТС».
Согласно наблюдениям Даниила Пустового, ведущего менеджера по работе с партнерами компании DNA по направлению Thales, в России основной ущерб от мошенничества с применением ИТ — это прямые потери, а не штрафные санкции и репутационные издержки, как в странах с развитой экономикой. «В каждом банке идет постоянная борьба со злоумышленниками, отслеживание и пресечение их деятельности, — отмечает Пустовой. — Ущерб от их действий ложится либо на банк, либо на пострадавших клиентов. Общий объем этого ущерба значительный, его размеры полностью оправдывают обязательное содержание в банках сложной технической и организационной структуры безопасности».
По мнению Артема Ломакина, руководителя департамента исследований и научно-технических разработок B2B-Center, оператора электронной торговой площадки, наиболее распространенными видами атак в секторе B2B являются DDoS-атаки, взлом серверов и кража конфиденциальной информации, утечки корпоративных данных, информационные атаки, порочащие репутацию компании. «Мы, как оператор электронной торговой площадки, несем репутационные риски, если наша информационная безопасность оказывается недостаточно крепкой», — рассказывает Ломакин.
Руслан Нестеров, главный специалист по ИБ в банковском секторе в компании Advanced System Technologies, считает, что для организаций финансового сектора реальную угрозу представляют такие виды мошенничества, как инсайдерская деятельность сотрудников, умышленное раскрытие банковской тайны третьей стороной, атаки на системы ДБО на уровне клиентских автоматизированных рабочих мест (в том числе с применением вирусного заражения), атаки типа скимминг на платежные карты, банкоматы и платежные терминалы, а также подделка документов клиентами.
Костров отмечает три «базовых» способа защиты от мошенничества: внедрение систем автоматического контроля транзакций (использование ИТ-систем), повышение квалификации собственных сотрудников, а также контроль изменения тарифов и выстраивание прозрачных бизнес-процессов обработки платежей и осуществления различных расчетов.
«К сожалению, на рынке России и СНГ нет единой ассоциации или форума по борьбе с мошенничеством, поэтому, например, расследование таких инцидентов у одного оператора связи превращается в серьезную, бывает трудноразрешимую, задачу: мошенники нередко действуют через сети других операторов, в том числе зарубежных, и наши запросы к ним оказываются малорезультативными. Хороших учебных курсов по противодействию мошенничеству в сетях связи, в России, к сожалению, тоже нет, — сетует Костров. — Мы сейчас думаем над проблемой объединения ресурсов телекоммуникационных компаний, организаций кредитно-финансового сектора, правоохранительных органов и других заинтересованных сторон с целью скоординированного противодействия мошенничеству».
На что покушаются
Какие компоненты информационных систем наиболее подвержены риску воздействия мошенников? Ломакин убежден — это люди, и в первую очередь клиенты: «В январе 2012 года, сразу после новогодних праздников, некоторые участники системы B2B-Center, так же как и участники других торговых площадок, получили мошеннические письма от имени администрации нашей компании, извещающие об изменении условий участия в торгах и предлагающие для проведения верификации перечислить на реквизиты мошенников по 3 млн руб., которые всенепременно будут возвращены. Естественно, мы направили заявление в управление «К» МВД. В целях профилактики мы известили наших клиентов о возможности повторения подобных мошеннических действий. От данных действий мошенников никто из наших клиентов не пострадал».
По оценкам Нестерова, 80% всех инцидентов непосредственно связаны с человеческим фактором и лишь 20% имеют техническую природу.
«Общая безопасность системы равна безопасности наименее защищенного звена, — напоминает Пустовой. — На практике таким слабым звеном, как правило, выступают люди. Это могут быть сотрудники самой компании, вступившие в добровольный, принудительный или неосознанный сговор со злоумышленниками. Именно поэтому все решения по криптографической защите платежной информации в банках работают в рамках строгого регламента, подразумевающего коллегиальное, кворумное управление, когда все значимые изменения могут производиться только при одновременном присутствии всех офицеров безопасности, которых должно быть минимум два. В некоторых банках встречается до восьми, кое-где и больше. Клиенты компаний также являются слабейшим из звеньев, и организациям приходится продумывать аспекты безопасности за клиентов — скажем, использовать средства строгой аутентификации, например протокол Visa 3D-Secure».
С технической точки зрения системы, как правило, обеспечивают достаточно надежную защиту, преодолеть которую злоумышленникам куда сложнее, если не использовать методы социального инжиниринга, отмечает Пустовой. Самым слабым местом здесь оказываются ключи шифрования, на компрометацию которых и направлено основное количество атак. Современные стандарты и регламенты использования оборудования не допускают возможности утечки информации о ключах, и без определенной доли инсайда или ошибок риски минимальны.
Как отмечает Костров, у телекоммуникационных компаний наиболее уязвимыми являются незащищенные системы класса BSS/OSS, узлы коммутации, а также системы аутентификации. Нередко встречаются случаи обмана по тарифам. Иногда присоединенные операторы связи (особенно небольшие) занимаются обманом, подменяя исходный код страны, инициирующей звонок, на «0» или на номер местного оператора связи. Много хлопот доставляют и вредоносные коды, которые, попадая на мобильные устройства абонентов, инициируют несанкционированную рассылку сообщений Premium SMS.
Из внутренних угроз для электронных торговых площадок Денис Анциферов, директор по информационным технологиям торгового портала Fabrikant.ru, особо выделяет инсайдерство. Ключевым объектом атак со стороны инсайдеров, по его мнению, в том числе может явиться база данных, где хранятся сведения о пользователях, вся коммерческая информация о проводимых торгах, невскрытые заявки, ставки и т. д. Весьма опасными внешними угрозами Анциферов считает неправомерный доступ к системе и организацию DDoS-атак, которые уже были описаны.
Защита от жуликов
Нестеров убежден, что для успешного противодействия мошенничеству в финансово-кредитных организациях необходимо тесное взаимодействие департаментов операционных рисков, юридического, ИТ и ИБ. Также необходимо понимание руководством компании ключевых аспектов защиты информации и целей регуляторов. Выполнение требований регуляторов является обязательным (разумеется, с использованием взвешенного подхода). Также требуется обучение сотрудников.
Что касается средств защиты, по мнению Нестерова, необходима реализация системы противодействия как внешнему, так и внутреннему мошенничеству, так называемые решения класса антифрод, работающие в реальном времени и представляющие собой комплексы организационных и технических мер, обеспечивающих дополнительную защиту автоматизированных банковских систем и систем БДО. Такие системы содержат наборы правил, позволяющие с высокой долей вероятности обнаружить транзакции, сформированные мошенниками.
Нестеров также указывает на возможность создания пользовательского профиля, учитывающего различные параметры выполняемых операций (запрашиваемую сумму, дату и время, географию) и определяющего уровень риска для каждой транзакции по этому профилю. Транзакции с высоким уровнем рисков можно запрещать или ограничивать по сумме либо требовать дополнительной авторизации для выполнения операции.
«Только комплексный подход позволяет обеспечить высокий уровень защиты. И всегда нужно помнить, что самое слабое звено — это люди, — отмечает Пустовой. — Основной критерий для выявления мошенничества — «подозрительная активность»: для каждого типа транзакций, устройств, сервисов, бизнес-процессов формируются понятия нормальной активности и критерии подозрительного поведения — например, множественные переводы денег со счета клиента, осуществляемые из разных городов за короткий промежуток времени, на счета частных лиц».
Специалисты МТС различают «классическое» мошенничество, реализуемое организационными методами (договоры), и «техническое» — в сетях связи. С помощью отдельной BI-системы в компании осуществляется анализ с целью выявления мошеннических инцидентов, накапливается статистика о случаях организационного и технического мошенничества и затем на основе эмпирических моделей производится оценка ущерба, который мог бы быть нанесен компании в случае, если бы мошенничество не было выявлено.
По словам Елены Орловой, генерального директора компании PayU в России (эта международная процессинговая компания оказывает услуги эквайринга онлайн-платежей, производимых с помощью банковских карт и электронных кошельков), технологии компании, применяемые для противодействия мошенничеству, основаны на сборе и накоплении больших объемов статистики транзакций. Для каждого клиентского сайта (в России клиентами компании являются известная торговая площадка «Молоток.ру» и ряд интернет-магазинов) в зависимости от типов продаваемых через этот сайт товаров и особенностей круга покупателей используется свой набор фильтров. Также применяются внутренние «черные списки» карт, адресов электронной почты и т. д. Осуществляется и ручная проверка подозрительных сделок.
Как рассказали представители электронных торговых площадок, для предотвращения мошенничества здесь активно применяется электронная подпись, а также защищенные протоколы передачи информации (как правило, SSL). Участники торгов проверяются на благонадежность с помощью системы профессионального анализа рынков и компаний (СПАРК), которую ведет и совершенствует «Интерфакс». Для защиты от внешних угроз Fabrikant.ru использует систему обнаружения вторжений (Intrusion Detection System, IDS). «Для защиты от внутренних угроз применяются меры как организационного характера (соглашение о конфиденциальности, разграничение прав доступа к информации среди сотрудников компании и т. д.), так и технического, — рассказывает Анциферов. — Речь идет в том числе о DLP-системах, которые, например, позволяют отслеживать утечки информации по электронной почте, через службы мгновенных сообщений и т. д.». Чтобы исключить подлоги реквизитов в платежных документах, B2B-Center автоматизировал их формирование внутри этой электронной торговой площадки.
По мнению Дмитрия Пангина, генерального директора группы электронных площадок ОТС.RU, электронные торговые площадки сами по себе могут служить хорошим инструментом для предотвращения мошенничества в сегментах B2B, поскольку снижают риски взаимодействия с контрагентами. С одной стороны, они позволяют повысить прозрачность этих процессов и снизить издержки, а с другой — уменьшают риски, связанные со взаимодействием с контрагентами, за счет применения электронного документооборота, защищенного электронной подписью, и за счет возможности проверки контрагента средствами площадки.
В отношении сотрудничества с правоохранительными органами эксперты высказались единодушно — сотрудничать с ними полезно. «Если действия мошенников повлекли ущерб или репутационные риски, это просто необходимо, — уверен Ломакин. — Нужно содействовать правоохранительным органам для поиска преступников». Мошенник-покупатель оставляет достаточно следов для того, чтобы в большинстве случаев его можно было легко привлечь к ответственности, полагает Орлова. Пустовой добавляет: «Сотрудничать, безусловно, следует, но прежде необходимо соотнести размер ущерба и ожидаемые затраты на его взыскание».
Правда, как отмечает Костров, в телекоммуникационном секторе все не так просто: «Чтобы правоохранительные органы подключились к расследованию инцидента, необходимо, чтобы пострадавший абонент написал заявление в полицию. Потери от инцидента для отдельно взятого абонента, как правило, составляют не более 1 тыс. руб. — с точки зрения следственных органов, это не так много, поэтому полиция нередко отказывает абонентам в открытии дел по таким инцидентам».
Риски пластика
Рассказывает Александр Гуляев, директор департамента анализа и защиты информации компании «Ингосстрах»:
«Риски в сфере оборота пластиковых карт неоднородны. Наименее опасными с позиций страховых компаний или достаточно редко проявляющимися представляются так называемые форс-мажорные риски. Это серьезная группа рисков, так как совокупные потери в случае подобных убытков могут быть очень большими.
Более распространенными являются случайные ошибки сотрудников, сбои в каналах связи, в ПО. Следствием чаще всего становятся потеря средств при нарушении сроков предоставления информации, дополнительные расходы по восстановлению информации и прерванной деятельности, претензии или иски к банку со стороны клиентов — собственно держателей карт или торговых точек, которые терпят убытки из-за невозможности использования карточек. Ошибки банков при операциях с пластиковыми картами могут быть застрахованы по полису страхования профессиональной ответственности финансовых институтов (FIРI), он предоставляет защиту от претензий со стороны клиентов, которые могут понести убытки вследствие ошибок банка.
Наибольшую опасность представляет третья группа рисков. Эти риски связаны с умышленными противоправными действиями по изъятию денежных средств из терминалов посредством предъявления подложных пластиковых карт. В данном случае речь идет о материальном и интеллектуальном подлоге, так как носители могут быть подлинными, но использоваться лицами, не являющимися их владельцами или законными распорядителями. Соответственно степени опасности все эти риски страхуются отдельными программами.
Риски, связанные с экономическими преступлениями, включают убытки банка, ставшие следствием утечки информации, несанкционированного изготовления и подделки карточек, их кражи. Потенциальными мошенниками при этом могут быть как третьи лица, так и сотрудники банка.
Риск преступлений, связанных с операциями по пластиковым картам, покрывается по полису комплексного банковского страхования (BBB). Если мошенничество совершается с участием сотрудников банка, но обнаружить этих сотрудников и доказать их вину нельзя, то потери банка не смогут быть компенсированы по полису BBB.
Внешнее мошенничество страхуется по полису страхования эмитентов пластиковых карт. Этот вид страхования, так же как и BBB, был разработан на Западе и сейчас начинает применяться и в России. По данному полису страхуются убытки, связанные с несанкционированным списанием денег со счетов держателей в результате подделки карточек или незаконного использования утерянных карт, в том случае, когда эти убытки по правилам платежной системы относятся на банк.
Вопрос о распространенности таких ситуаций или о степени криминализации сферы оборота находится в компетенции правоохранительных органов. Убытки по данному виду страхования встречаются довольно часто, но, как правило, они небольшие — от нескольких десятков долларов до нескольких тысяч. Сумма убытка по одной карте обычно не превышает 20 тыс. долл. Совокупная сумма убытков зависит от величины программы банка. Однако и в компетенции, и в силах страховых компаний эти риски значительным образом минимизировать, в частности с использованием возможностей андеррайтинга.
Что касается квалификации противоправных деяний по изъятию денежных средств банковских и других организаций, а также частных лиц с использованием пластиковых карт, то реальная практика в этой части неоднородна. В зависимости от обстоятельств дела, сложившейся местной практики (например, на уровне региона), просто конъюнктуры, размера ущерба и иных привходящих обстоятельств, а также уровня правосознания сотрудников полиции и юстиции, эти преступления экономической направленности трактуются правоохранителями на местах в достаточно широком спектре статей УК РФ, а иногда и КоАП (в тех случаях, когда дело доходит до их применения)».
Усиление слабого звена
Как помочь пользователям не стать жертвами мошенничества, в частности социального инжиниринга? В первую очередь необходимы профилактические меры, отмечает Ломакин. Он рекомендует внимательно следить за обращениями клиентов и своевременно информировать их о возможных случаях мошенничества, регулярно проводить с клиентами разъяснительные мероприятия, обучая их, как правильно работать, не попадаясь на удочку мошенников, подготовить четкие инструкции по работе с документами, особенно с платежными, информировать пользователей о возможных случаях мошенничества и, конечно, своевременно реагировать на обращения пользователей.
«Не секрет, что мошенники — превосходные психологи, обладающие силой убеждения, — напоминает Ломакин. — Пользуясь ситуацией, они могут требовать выполнения своих условий. Вот пример. В сфере закупочной деятельности существует вид телефонного мошенничества, при котором злоумышленники, ведя запись телефонного разговора, могут спровоцировать организатора торгов на нарушение тех или иных норм законодательства, а затем начинают шантажировать собеседника. Как правило, требуемая сумма небольшая. Мошенники пользуются тем, что человеку проще заплатить, нежели через суд отстаивать свою невиновность. Чтобы не стать жертвами подобного мошенничества, необходимо знать свои права и обязанности, уязвимые места и стараться всячески избегать подобных ситуаций. Даже если собеседник в настойчивой форме требует немедленного ответа, не давайте никаких комментариев по телефону».
Защитить пользователей от мошенничества помогут и средства строгой аутентификации, они значительно снижают риски, связанные с платежами типа card not present, например через Интернет, рассказывает Пустовой. Строгая аутентификация позволяет защитить и корпоративных сотрудников от действий злоумышленников по овладению данными их учетной записи. «Лучшие средства помощи пользователям — это «защита от дурака», то есть средства, которые не позволят даже в случае неправильных действий скомпрометировать собственную информацию. Скажем, одноразовые пароли защищают от утери и хищения пароля, а строгая аутентификация — от потери или хищения кредитных карт», — добавляет Пустовой.
«Мы создали раздел сайта safety.mts.ru, на котором рассказываем абонентам, как противостоять мошенничеству, — говорит Костров. — Это важно, поскольку сотовому оператору трудно защитить всех своих абонентов, например, если они будут «подхватывать» на свои устройства вредоносные коды. Кроме того, мы развернули систему, позволяющую предотвратить загрузку вредоносных кодов на устройства абонентов через нашу сеть».
Как видим, компании активно пытаются противостоять мошенничеству. Думается, что именно в укреплении человеческого фактора заложен основной и пока еще слабо задействованный резерв борьбы с мошенничеством. Ее успех напрямую зависит от того, как скоро удастся сформировать правильных пользователей, не поддающихся на уловки жуликов.