Времена меняются, но суть «ремесла» мошенников, представителей одной из наиболее древних криминальных специализаций, остается прежней: они стремятся завладеть чужим имуществом и деньгами путем обмана
Продвинутые мошенники охотно атакуют массовые сегменты: телекоммуникационный, банковский, страховой, интернет-бизнес, ретейл и пр. Участники этих секторов несут немалые потери — и прямые финансовые, и репутационные, которые выливаются в косвенные потери, связанные со снижением активности клиентов и их оттоком.
«Основные угрозы мошенничества в массовых сегментах связаны с нарушениями идентификации клиентов — это самый главный риск. Он может реализоваться в виде разнообразных схем проведения атак, в том числе с применением различных технологий. Все остальное — это лишь следствия», — отмечает Василий Окулесский, начальник управления информационной безопасности «Банка Москвы». В частности, добавляет он, в любых системах дистанционного обслуживания существует проблема идентификации того, кто находится по другую сторону канала связи.
Чтобы определить, какие мошенничества являются наиболее серьезными для конкретной компании, Окулесский рекомендует применять в качестве одного из инструментов статистический анализ данных компании, строить на его основе модель угроз и поддерживать их актуальность: «Необходимо регулярно собирать статистику инцидентов, классифицируя данные различными способами: по клиентским сегментам, по финансовым показателям деятельности, по техническим характеристикам клиентского доступа, по применяемым механизмам защиты. Накопленные данные следует сопоставить между собой, после чего можно выявить группы риска и по каждой из них принимать меры — например, снижать лимиты транзакций или совершенствовать технологические компоненты взаимодействия с клиентами».
По мнению Алексея Сизова, руководителя группы противодействия мошенничеству Центра информационной безопасности компании «Инфосистемы Джет», определение уровня критичности рисков зачастую напрямую зависит от деятельности компании. Практически во всех случаях это непрерывный процесс, который нужен с момента начала деятельности компании. Пристальное внимание должно уделяться оценке рисков в случае выявления хищений, а также при запуске новой услуги, программы лояльности, при изменении бизнес-процесса и пр.
Методы и средства противодействия мошенничеству
К числу основных средств, позволяющих минимизировать риски от мошенничества, Алексей Сизов рекомендует отнести средства превентивного контроля, анализа текущих операций и фиксации нарушений.
Выполнять функцию превентивного контроля могут совершенно разные системы, в зависимости от типа компании. Во-первых, это системы противодействия самим хищениям. В банках такими системами могут быть средства аутентификации и верификации клиентов при совершении платежных операций в розничных сетях.
Во-вторых, роль средств превентивного анализа могут выполнять системы анализа деятельности сотрудников, контрагентов, клиентов. Они позволяют выявить неблагонадежных лиц, аффилированность субъектов и пр. В случае учета результатов их деятельности компания существенно снижает риск сотрудничества или найма на работу сотрудников с сомнительной репутацией, а значит, уже минимизирует риски мошенничества.
К средствам оперативного контроля относятся системы мониторинга операционной деятельности организации (например, операций по банковским картам клиентов банка, кассовых операций в торговом зале или учетных операций в ERP-системе), мониторинга звонков и подключения услуг сотовых операторов. Они позволяют оперативно детектировать факты: несанкционированного доступа к банковскому счету по совершаемым действиям со стороны клиента; появления вируса или трояна, осуществляющего кражу персональных данных с компьютера клиента банка; мошенничества со стороны кассира или менеджера магазина при осуществлении кассовых операций, логистических действий, проведении инвентаризаций; взлома АТС клиента и др. Как минимум такой класс систем позволяет оперативно детектировать мошеннические действия, что значительно снижает риски мошенничества, как максимум — выявлять мошеннические действия еще до причинения финансового ущерба компании или ее клиентам, тем самым полностью пресекая противоправные действия в режиме реального времени.
К средствам фиксации нарушений зачастую относят системы видеонаблюдения и иные системы, целью которых является предоставление информации для проведения проверок и административных расследований по факту совершения мошенничества, определения круга виновных и предоставления доказательной базы для последующих административных или процессуальных действий в отношении подозреваемых.
Виды угроз
Классифицировать угрозы мошенничества в массовых сегментах можно различными способами. Один из наиболее очевидных — по субьектам, от которых исходят угрозы. В рамках такой классификации, по мнению Сизова, можно выделить следующие группы субъектов: сотрудники организации (например, менеджеры магазина, сотрудники контакт-центра оператора связи и т. д.); клиенты организации (например, клиенты банка могут опротестовать совершенную ими операцию); третьи лица (например, злоумышленники, взломавшие аккаунт системы интернет-банка или «личного кабинета» телекоммуникационной компании со стороны злоумышленника).
«Следует дифференцированно рассматривать угрозы, исходящие от разных групп ИТ-персонала, и принимать необходимые меры, — добавляет Окулесский. — Кроме того, различными видами мошенничества могут заниматься инсайдеры — специалисты и менеджеры бизнес-подразделений банка. Исходящие от них угрозы также следует анализировать по отдельности».
Еще один вариант категоризации типов мошенничества, на который предлагает обратить внимание Сизов, подразумевает деление инцидентов на прямые хищения (денег, товаров, иных материальных ценностей) и злоупотребления (использование программ лояльности, бонусных программ компании и прочих механизмов, когда хищение отсутствует, но компания в значительном объеме недополучает прибыль). В качестве примера Сизов приводит схему мошенничества с перекрестными возвратами, наиболее распространенную в сфере ретейла. Суть ее в том, что менеджер продает товар покупателю по обычной цене, а после продажи делает фиктивный возврат товара (товар переходит в остатки) и его последующую фиктивную продажу, но уже с применением бонусной карты, купона на скидку и т. д. В этом случае если, например, первая цена продажи товара составляла 10 тыс. руб., а вторая — 7,5 тыс., то разницу в 2,5 тыс. руб. менеджер положит себе в карман.
Когда говорят о классических атаках на системы ДБО, часто рисуют некий обобщенный образ мошенника, однако это неправильно, считает Окулесский: «Можно выделить около полутора десятков основных классов угроз, и определять среди них какой-то ключевой для всех класс не совсем корректно. Следует по отдельности для каждого из банков оценивать значимость различных классов угроз: у банков имеются разные средства ДБО, разные клиенты, их численность тоже разная, соответственно, наиболее актуальными являются разные классы угроз. Общее в них то, что все классы угроз так или иначе связаны с нарушением идентификации клиента».
Что касается угроз мошенничества с применением банкоматов, то нужно понимать, говорит Окулесский, что дело в карточных технологиях в целом. Следует различать угрозы, связанные с атаками на сам банкомат (это в основном бандитские нападения), и те, что основаны на особенностях карточных технологий. В последнем случае весьма вероятны атаки с использованием скиммингового оборудования. Также новые возможности для мошенничества открываются по мере повышения функциональности самих банкоматов. Наконец, огромное число атак основано на мошенничестве с банковскими картами в Интернете.
В пользу мошенников
Телекоммуникациям — основным каналам взаимодействия с клиентами, через которые ведется их информирование, дистанционное обслуживание и пр., сегодня свойственны серьезные недостатки, уверен Окулесский: «Эта среда взаимодействия не является доверительной, к тому же она не гарантирует доставку информации. Эти два фактора сильно затрудняют взаимодействие с клиентами. Было бы замечательно, если бы телекоммуникационные компании, во-первых, решили проблему гарантированной доставки информации и, во-вторых, обеспечили бы ее защиту (конфиденциальность, целостность и т. д.). Когда телеком сможет этого добиться, он станет полноправным участником банковского процесса. Пока же такого нет, к тому же тарифная политика операторов связи является, мягко скажем, недружественной по отношению к банкам, и взаимодействие их с телекомом крайне затруднено, хотя и очень нужно».
Немало проблем для законопослушных организаций создает и несовершенное российское законодательство. «Сейчас формально законодательство запрещает банкам предпринимать активные действия по пресечению мошеннических действий, по сути, защищая мошенников, — сетует Окулесский. — Когда законодательство будет больше защищать права клиентов и банков, а не мошенников, тогда появятся возможности для широкого взаимодействия участников рынка с целью борьбы с мошенничеством».
В своем недавнем интервью (см. «Директор ИС» № 12 за 2013 год) Сергей Прадедов, заместитель вице-президента по безопасности, директор департамента информационной безопасности компании МТС, заявил, что для эффективной борьбы с мошенничеством «необходимо наладить тесное взаимодействие служб ИТ и ИБ телекоммуникационных компаний, банков, интернет-компаний и прочих организаций, реализовать механизмы взаимного уведомления об инцидентах и оперативной реакции на них, обмениваться опытом и т. д.». Вероятнее всего, консолидация усилий станет естественным шагом в эволюции противодействия мошенничеству со стороны бизнес-сообщества.
Впрочем, заметно снизить риски и угрозы мошенничества можно уже сегодня, если уделить должное внимание профилактической работе с внутренними и внешними пользователями — клиентами и сотрудниками. Не случайно, например, так много внимания уделяют пропаганде мер безопасности ключевые участники банковского и розничного рынков, такие как Visa и MasterCard. Имея хотя бы общие представления об основных угрозах со стороны мошенников, зная и соблюдая ключевые правила и регламенты работы со своими информационными системами, пользователи вносят серьезный вклад в борьбу с мошенничеством, существенно ограничивая возможности для проведения такого рода атак.