2024/04/11 17:38:27

Безопасность электронных платежей

.

Содержание

Основная статья: Электронные платёжные системы в России

Мошенничество с банковскими картами

Основная статья: Мошенничество с банковскими картами и платежами

Основные тренды в сфере защиты банковских платежей

Основная статья: Основные тренды в сфере защиты банковских платежей

Безопасность бесконтактных платежей

Основная статья: Безопасность бесконтактных платежей

Хроника

2024: В МВД РФ выявили новую схему хищений через Систему быстрых платежей

У злоумышленников появилась новая схема хищения средств россиян – теперь они действуют через Систему быстрых платежей. Об этом 22 января 2024 года сообщила пресс-служба депутата ГосДумы РФ Антона Немкина со слов официального представителя МВД России Ирина Волк. Подробнее [[1]].

2022: Мошенники стали чаще обманывать людей и похищать деньги через «Систему быстрых платежей»

В России увеличилось число случаев мошенничества с использованием Системы быстрых платежей (СБП), которую развивает Центральный банк России (ЦБ). Об этом стало известно 19 апреля 2022 года. Подробнее здесь.

2020

Visa: Тренды в сфере безопасности платежей

29 декабря 2020 года стали известны прогнозы Visa о безопасности платежей в 2021 году.

Эвелина Нечипоренко, старший директор, руководитель департамента управления рисками Visa в России озвучила прогнозы.

В 2020 году, прошедшим под знаком пандемии, мы стали свидетелями серьезных изменений в мировой экономике, которые оказали влияние на поведение потребителей, что в свою очередь привело к изменениям мошеннических схем и методов, а также определило запросы на обеспечение безопасности. В подобных обстоятельствах в Visa продолжили уделять особое внимание безопасности клиентов, партнеров и держателей карт, чтобы помочь им сориентироваться в сложившихся условиях и противостоять злоумышленникам и киберпреступникам.TAdviser Security 100: Крупнейшие ИБ-компании в России 59.6 т

Текущие тенденции в сфере безопасности цифровых платежей останутся и в 2021 году. Но что более важно – опыт 2020 года позволит ускорить внедрение решений и поможет компаниям учесть ошибки 2020 года при развитии своего бизнеса в 2021 году.

Как будет развиваться сфера безопасности платежей в новом году? В Visa выделили три ключевых тренда.

Привычки потребителей, которые появились во время пандемии, станут нормой. Торговым предприятиям и финансовым организациям нужно учитывать это при обновлении стратегии по борьбе с мошенничеством.

В 2020 году, по данным компании, использование бесконтактных карт выросло на 41%, мобильных платежей – на 31%. Россияне стали также смелее покупать в онлайн-магазинах: каждый третий начал заказывать продукты онлайн, и почти четверть россиян – пользоваться доставкой. И люди по понятным причинам стали уделять больше внимания безопасности при оплате покупок и использовании финансовых сервисов.

Чтобы удовлетворить актуальные запросы потребителей, торговые предприятия и банки продолжат вкладывать ресурсы в развитие цифровых возможностей, позволяющих людям совершать покупки и пользоваться услугами. К ним относится оплата через сайт с помощью различных мобильных устройств и приложений, мгновенный перевод средств, бесконтактная оплата, оплата голосом, шопинг в магазинах без продавцов, оплата устройствами, подключёнными к интернету (IoT), которые в свою очередь также позволят привлечь клиентов, удержать существующих и увеличить продажи.

Важная задача, которую потребуется решить при реализации этих возможностей, – обеспечить безопасность цифровых платежей. Торговым предприятиям и финансовым организациям нужно будет обновлять стратегии по предотвращению мошенничества и противостоянию киберпреступности в омниканальной среде, а это сложная задача. И если у участников платёжной экосистемы нет необходимой экспертизы в обеспечении безопасности платежей, то помочь им это сделать быстрее и эффективнее могут партнеры, которые обладают хорошим опытом, инструментами и репутацией в данной области.

Модернизация платежной инфраструктуры потребует решений для предотвращения потенциальных угроз. Все больше участников платежного рынка разрабатывают решения, которые позволят еще быстрее и удобнее переводить деньги, проводить расчёты и обмениваться информацией. Денежные переводы в режиме реального времени, цифровые валюты, Open Banking поддерживают инновации, которые соответствуют ожиданиям потребителей, разбирающихся в цифровых технологиях, и будут способствовать развитию электронной торговли на десятилетия вперед. Очевидно, что более активный переход потребителей на электронные платежи может «подтолкнуть» злоумышленников на поиск способов мошенничества онлайн.

Всем участникам платёжной индустрии необходимо иметь механизмы, позволяющие выявлять нетипичные признаки, которые могут указывать на мошенничество, им также необходимо будет работать вместе над устранением обнаруженных уязвимостей, потребуются другие, ранее не используемые механизмы, которые помогут отслеживать подозрительное поведение и выявлять попытки компрометации данных. Также важно, чтобы принципы Open Banking и обмена данными использовались ответственно и этично во всех продуктах, услугах и технологиях. В 2021 году объемы платежей в режиме реального времени продолжат расти, цифровые валюты будут распространяться, конфиденциальность данных и потребителей будет в центре внимания.

Отказ от аутентификации на основе паролей и вопросов/ответов ускорится с принятием строгих стандартов аутентификации клиентов, таких как FIDO (Fast IDentity Online), который теперь доступен во всех основных браузерах и мобильных устройствах.

Планы государственных и банковских систем цифровой идентификации будут продвигаться вместе с повышением доверия и вместе с разработкой регулирования по взаимодействию и ответственности сторон. COVID-19 ускорил спрос на решения, которые помогают банкам и торговым предприятиям проверять и подтверждать электронно личность клиента. Цифровой профиль – один из ключевых элементов идентификации, поэтому для бизнеса очень важно обеспечить его безопасность.

Согласно исследованию Visa «Будущее биометрии в России», которое было проведено еще до начала пандемии, 92% потребителей в России считают идентификацию при помощи отпечатка пальца самым надежным способом защиты личных данных. Еще в начале года 41% россиян активно пользовались идентификацией по отпечатку пальца, 17% использовали свое лицо, чтобы получить доступ к своим данным, а 12% — свой голос. В условиях и после пандемии мы ожидаем, что спрос на использование идентификации при помощи биометрических данных продолжит расти[1].

Объем кибермошенничества в РФ с применением электронных средств платежа за 5 месяцев составил 1,6 млрд рублей

За пять месяцев 2020 года Центробанк зафиксировал около 165 тысяч мошеннических операций с использованием электронных средств платежа на сумму 1,6 млрд рублей. Об этом заявила глава регулятора Эльвира Набиуллина, выступая в Госдуме с отчетом, слова которой приводит «Российская газета». Об этом стало известно 24 июня 2020 года.

По данным ЦБ, средняя операция, которая совершается без согласия граждан, составляет около 10 тыс. руб., а без согласия юрлиц — 152 тыс. руб. Около половины мошеннических операций происходит с приобретении товаров и услуг по интернету, треть составляют операции, связанные с дистанционным банковским обслуживанием клиентов, менее 10% - в банкоматах и POS-терминалах.

При этом 69% мошеннических операций совершаются с помощью социальной инженерии, когда люди сами предоставляют свои личные данные мошенникам. Поэтому доля возврата таких средств небольшая[2].

Основные тренды в сфере защиты банковских платежей

Финансовые организации являются наиболее защищенной в плане информационной безопасности экономической сферой. Причины очевидны – риски именно экономических потерь в случае киберинцидентов – прямые и наблюдаемые. В то же время, финансовые организации обладают достаточными бюджетами и мотивацией для качественного развития ИТ- и ИБ-систем. Тем не менее, инциденты ИБ, связанные с нелегитимными транзакциями, в настоящее время распространены и не теряют актуальности. Автором статьи "Основные тренды в сфере защиты банковских платежей" рассматривается, какие именно процессы сейчас находятся в зоне риска, а какие уже достаточно продуманы, и их риски на текущий момент минимизированы. Подробнее здесь.

2019

МВД: Число мошенничеств с применением электронных средств платежа выросло более чем на 400%

Как стало известно 13 ноября 2019 года, МВД РФ опубликовало статистику мошенничеств с использованием электронных средств платежа.

В соответствии со статистикой ведомства, за 9 месяцев 2019 года в России было зарегистрировано 10,3 тыс. мошенничеств с использованием электронных средств платежа, квалифицированных по ст. 159.3 УК. Это на 417,3% больше, чем в аналогичный период 2018 года.

Всего с января по сентябрь 2019 года МВД зафиксировало более 205 тыс. преступлений, которые были совершены с использованием информационно-телекоммуникационных технологий. Это на 69% больше прошлогодних показателей.[3]

МВД: число уголовных дел о мошенничестве с электронными платежами увеличилось в 8 раз

Как следует из статистики Главного информационно-аналитического центра МВД России, в первой половине 2019 г. количество зарегистрированных дел о мошенничестве с использованием электронных средств платежа (статья 159.3 УК) достигло 6613. Это почти в 8 раз больше по сравнению с аналогичным периодом 2018 г.

В первой половине 2019 г. в производстве находилось 157 297 уголовных дел по статьям о мошенничестве (статья 159 УК). Из них зарегистрировано в I полугодии 105 681 дело (рост на 5,4% по сравнению с прошлым годом). Остальные дела относятся к предыдущим периодам.

Число дел, переданных в суд, уменьшилось на 5,8% (22 195). Количество дел, приостановленных по причине проблем с установлением обвиняемого, возросло на 6,3% (65 221).

В первом полугодии 2019 г. существенно увеличилось число зарегистрированных преступлений по статье 159.2 УК (мошенничество при получении выплат). Всего зарегистрировано 4441 такое дело, что на 27,6% больше, чем в прошлом году.

Житель Челябинска приговорен к 10 месяцам за взлом платежных систем

20 июня 2019 года стало известно, что суд приговорил жителя Челябинска к 10 месяцам ограничения свободы за взлом личных кабинетов в платежных системах. Приговор был вынесен Центральным районным судом Челябинска. Подробнее здесь.

2018

Потери от мошенничества с онлайн-платежами составили $22 млрд

Аналитики Juniper Research оценили убытки от мошенничества с онлайн-платежами в $48 млрд по итогам 2018 года. К 2023-му эти потери удвоятся и достигнут $48 млрд. Об этом говорится в докладе исследовательской компании, выдержки из которого были опубликованы 20 ноября 2018 года. Подробнее здесь.

В РФ появятся собственные сервисы для защиты данных и платежных систем

25 декабря 2018 года стало известно о том, что в РФ появятся собственные сервисы для защиты данных и платежных систем. До 2024 года на информационную безопасность планируется выделить свыше 30 млрд руб.

Информационной безопасности в России будет уделено особое внимание. В частности, будут предприняты меры по созданию отечественных сервисов для защиты персональной информации и платежных систем. Об этом 25 декабря 2018 года, сообщил премьер-министр РФ Дмитрий Медведев во время заседания правительственной комиссии по цифровому развитию.

По словам премьера, информационной безопасности посвящен четвертый проект в рамках программы «Цифровая экономика». Согласно проекту, до 2024 года на ИБ планируется выделить свыше 30 млрд руб., из них 18 млрд руб. будут выделены из федерального бюджета.

«
Здесь главную роль играет российское программное обеспечение, будем принимать меры, чтобы у нас свои сервисы рождались, которые могут гарантировать защиту персональных данных, защиту платежных систем.

Дмитрий Медведев, премьер-министр РФ
»

Премьер подчеркнул важность и актуальность вопроса информационной безопасности. Медведев отметил, что на декабрь 2018 года киберпреступность и кибервойны являются серьезной угрозой, поэтому необходимо принять все меры по защите как обычных граждан, так и государственных структур, бизнеса и критической инфраструктуры.[4]

2017: Требования ЦБ к защите платежей в интернете

Банк России предложил в сентябре 2017 года расширить список требований к защите информации при переводе денежных средств в интернете. Соответствующий проект поправок в положение ЦБ размещен на портале раскрытия проектов нормативно-правовых актов.

В частности, требования необходимо повысить для операторов по переводам денежных средств, которые должны обеспечить безопасность проведения операций в интернете.

«Оператор по переводу денежных средств на основании заявления клиента… определяет ограничения по параметрам операций, которые могут осуществляться клиентом с использованием системы интернет-банкинга», — говорится в документе.

Операторам необходимо повысить безопасность с помощью определенных технологических мер, которые обеспечивают идентификацию клиента, аутентификацию его электронных сообщений при переводе средств и возможность контролировать реквизиты.

Также поправки регулируют возможность оператора подтверждать право клиента на проведение операции или устанавливать ограничения, среди которых: максимальная сумма перевода, перечень возможных получателей денежных средств, время совершения операции, географическое местоположение устройств, с помощью которых клиенты проводят операции.

Операторы должны сообщать в Центробанк случаи выявления инцидентов, а также «о планируемых мероприятиях по раскрытию информации об инцидентах».

Кроме того, поправки устанавливают необходимость и обязанность операторов ежегодно тестировать системы на проникновение угроз информационной безопасности.

Изменения предлагается внести в положение Банка России от 9 июня 2012 года № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»[5].

2013: 16 рекомендаций по безопасности онлайн платежей от Центробанка

5 августа 2013 года было опубликовано письмо Банка России № 146-Т, содержащее ряд рекомендаций кредитным организациям по повышению безопасности предоставления розничных платежных услуг в Интернете.

Рынок интернет платежей наряду с рынком электронной коммерции еще несколько лет назад существовал в «параллельной реальности» относительно российского финансового рынка, Центробанка и изменений российского законодательства. Однако ежегодный рост рынка e-commerce более чем на четверть и возрастающий интерес россиян к безналичным платежам в Интернете и использованию банковских карт в целом изменили ситуацию.

В Письме № 146-Т ряд пунктов описывает стандартные функции системы fraud-мониторинга организации, занимающейся обеспечением безопасности платежей. Актуализировать механизмы системы fraud-мониторинга рекомендуется не реже, чем раз в два года, а при появлении новых факторов риска и внесении кардинальных изменений в систему защиту информации – своевременно и оперативно адаптировать под них систему анализа рисков.

Для повышения уровня безопасности платежей в Интернете и снижения риска возникновения мошеннических операций рекомендуется использовать многофакторную аутентификацию плательщика. Как поясняют составители Письма, к факторам аутентификации относятся «обладание предметом или устройством (например, персональным идентификатором), знание определенной информации (например, пароля), обладание определенными постоянными неотъемлемыми свойствами (например, отпечатками пальцев)».

В тех же целях рекомендуется использовать динамическую аутентификацию клиента - аутентификацию, при которой на одном из этапов используется пароль с ограниченным сроком действия и ограничением на число использований. Рекомендации по подтверждению платежных операций с помощью одноразовых паролей, доставляемых клиенту по альтернативному каналу связи, соответствуют формату работы XML-протокола 3-D Secure (3D-Secure) и практике международных платежных систем: Verified by Visa, MasterCard SecureCode и J/Secure. Также внимание уделяется важности использования механизмов мониторинга платежей, в том числе в целях анализа рисков. В качестве критериев мониторинга указаны частота, сумма, место совершения и получатель платежа.

Все рекомендации по обеспечению безопасности предоставления розничных платежей должны учитываться как при передаче функций оператора по переводу денежных средств на аутсорсинг, так и при составлении договоров с субагентами, предоставляющими электронные средства платежа, позволяющие получить розничные платежные услуги через Интернет.

И, конечно же, значительное внимание в Письме уделяется мерам повышения грамотности физических лиц – плательщиков. Операторам по переводу розничных средств рекомендуется информировать клиентов о возможной приостановке получения услуг, о неудачных попытках получения доступа к ним, о возможности управления лимитами на совершение платежей через Интернет. Данные рекомендации направлены на повышение уровня доверия населения к безналичным формам денежных средств и мотивации к их активному использованию. Один из инструментов популяризации безналичных денежных операций среди населения - это возможность страхования рисков плательщика.

Таким образом, Письмо № 146-Т – это сборник базовых рекомендаций по повышению уровня безопасности при предоставлении розничных платежных услуг через Интернет, направленных как на развитие систем управления рисками и защиты информации на стороне операторов по переводу денежных средств, так и на повышение грамотности и информированности пользователей розничных платежных услуг в Интернете.

Платежные системы и сервисы



Примечания