Текст книги "Мошенничество в платежной сфере. Бизнес-энциклопедия"
Автор книги: авторов Коллектив
Жанры:
Личные финансы
,сообщить о нарушении
Текущая страница: 18 (всего у книги 22 страниц)
2.18.8. Оператор по переводу денежных средств определяет требования к обеспечению привлеченными к деятельности по оказанию услуг по переводу денежных средств банковскими платежными агентами (субагентами) защиты информации при использовании ТУ ДБО. Банковский платежный агент (субагент) обеспечивает выполнение указанных требований.
То есть требования распространяются на банковских агентов и субагентов.
Помимо регулирования вопросов безопасности банкоматов, Банк России в настоящий момент собирает различную статистику, связанную с противоправными действиями, в том числе с использованием банкоматов. В первую очередь это Указание ЦБ РФ от 09.06.2012 № 2831-У «Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств». В частности, Приложение 2 «Сведения о выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств». Рассмотрим заполнение данной формы (Код формы по ОКУД 0403203) применительно к банкоматам.
8. В графе 2 раздела 3 Отчета указывается один из следующих кодов:
код «2.2» указывается, если инцидент привел к осуществлению переводов денежных средств по распоряжению лиц, не обладающих правом распоряжения этими денежными средствами;
– под действие данного кода попадают операции снятия наличных денежных средств в банкоматах с использованием поддельных, утраченных, временно выбывших из владения карт (несанкционированные операции).
код «2.3» указывается, если инцидент может привести к осуществлению переводов денежных средств по распоряжению лиц, не обладающих правом распоряжения этими денежными средствами;
– под действие данного кода попадают действия по установке скимминговых устройств и вредоносного кода.
10. В графе 4 раздела 3 Отчета указывается один или несколько (без пробелов, через запятую) следующих кодов:
код «4.1» указывается, если инцидент произошел при использовании клиентом отчитывающегося оператора, являющегося оператором по переводу денежных средств, платежной карты в банкомате;
код «4.6» указывается, если инцидент произошел при использовании клиентом отчитывающегося оператора, являющегося оператором по переводу денежных средств, банкомата или электронного терминала, и платежная карта использована не была;
коды «4.11.1» – «4.11.6» указываются, если инцидент произошел при эксплуатации отчитывающимся оператором, банковским платежным агентом (субагентом) или операционным центром, находящимся за пределами Российской Федерации, объекта информационной инфраструктуры; при этом код «4.11.1» указывается, если инцидент произошел при эксплуатации банкомата, платежного терминала или электронного терминала.
11. В графе 5 раздела 3 Отчета указывается один или несколько (без пробелов, через запятую) следующих кодов:
код «5.1» указывается, если инцидент произошел при эксплуатации отчитывающимся оператором, являющимся оператором по переводу денежных средств, автоматизированной системы, реализующей технологии дистанционного банковского обслуживания клиентов с использованием банкоматов, платежных терминалов, электронных терминалов.
12. В графе 6 раздела 3 Отчета указывается один или несколько (без пробелов, через запятую) следующих кодов:
код «6.1» указывается, если причиной инцидента является воздействие вредоносного кода;
код «6.3» указывается, если причиной инцидента является использование электронного средства платежа без согласия клиента вследствие противоправных действий, потери, нарушения конфиденциальности информации, необходимой для удостоверения клиентом оператора по переводу денежных средств права распоряжения денежными средствами (далее – аутентификационная информация); (снятие наличных).
код «6.7» указывается, если причиной инцидента является размещение на банкоматах и платежных терминалах специализированных средств, предназначенных для несанкционированного получения (съема) информации, необходимой для осуществления переводов денежных средств, в том числе аутентификационной информации;
код «6.8» указывается, если причиной инцидента является распространение информации (например, с использованием ресурсов сети Интернет, в том числе электронной почты, а также услуг, предоставляемых операторами связи), побуждающей клиента оператора по переводу денежных средств сообщать информацию, необходимую для осуществления переводов денежных средств от его имени, в том числе аутентификационную информацию; (фишинг, социальная инженерия).
Форма отчета ежемесячная.
Другим документом, предусматривающим отчетность по противоправным действиям в отношении банкоматов, является Указание Банка России от 12.10.2009 № 2332-У «О перечне, формах и порядке составления и представления форм отчетности кредитных организаций в Центральный Банк Российской Федерации». В частности, Приложение 4 «Сведения о несанкционированных операциях, совершенных с использованием платежных карт». Код формы по ОКУД 0409258. Отчетность включает:
Раздел I. Сведения о количестве платежных карт, с использованием которых были совершены несанкционированные операции.
Подраздел I. Операции, совершенные на территории Российской Федерации с использованием платежных карт, эмитированных кредитной организацией.
Подраздел II. Операции, совершенные за пределами территории Российской Федерации с использованием платежных карт, эмитированных кредитной организацией.
Подраздел III. Операции, совершенные на территории Российской Федерации с использованием платежных карт, эмитированных за пределами территории Российской Федерации.
Количество и сумма несанкционированных операций
из них совершенных:
посредством банкоматов (платежных терминалов).
Раздел II. Сведения об инфраструктуре, в которой были совершены несанкционированные операции с использованием платежных карт.
Порядок составления и представления отчетности по форме 0409258:
Сведения о несанкционированных операциях, совершенных с использованием платежных карт:
1. Отчетность по форме 0409258 «Сведения о несанкционированных операциях, совершенных с использованием платежных карт» (далее – Отчет) составляется в целях получения сведений о количестве и сумме несанкционированных операций, совершенных с использованием платежных карт, и инфраструктуре, используемой при их совершении.
2. Отчет составляется в целом по кредитной организации (включая небанковские кредитные организации) (за исключением небанковских кредитных организаций, осуществляющих депозитно-кредитные операции) и представляется в территориальное учреждение Банка России:
кредитными организациями (включая небанковские кредитные организации) (за исключением небанковских кредитных организаций, имеющих право на осуществление переводов денежных средств без открытия банковских счетов и связанных с ними иных банковских операций) – не позднее 10-го рабочего дня месяца, следующего за отчетным.
Представляется, что требование направления отчета не позднее 10-го рабочего дня месяца, следующего за отчетным, повлечет неполноту данных. Тем более это будет касаться операций с использованием платежных карт, эмитированных за пределами территории Российской Федерации. То есть эквайринговых операций, так как эквайрер узнает о таких операциях, как правило, от эмитента, через платежную систему и гораздо позднее.
Общие рекомендации по обеспечению банкоматов даны в приложении к письму Банка России от 01.03.2013 № 34-Т «О рекомендациях по повышению уровня безопасности при использовании банкоматов и платежных терминалов»:
Кредитным организациям, в том числе при привлечении специализированных организаций, рекомендуется:
классифицировать места установки устройств по степени риска подвергнуться попыткам физического взлома, установки скиммингового оборудования и (или) воздействия вредоносного кода, а также совершения несанкционированных операций (далее – атаки);
пересматривать классификацию мест установки устройств по мере развития технологий, в том числе технологий атак;
оснащать устройства защитным оборудованием и специальным программным обеспечением, при этом их тип, комплектацию и функциональные возможности рекомендуется выбирать с учетом классификации места установки (предполагаемой установки) устройства;
осуществлять на регулярной основе, в зависимости от классификации места установки устройства, контроль внешнего вида устройства, включая его целостности и отсутствия несанкционированного оборудования, а также действий обслуживающих данное устройство организаций;
использовать системы удаленного мониторинга состояния устройства, обеспечивающие контроль надлежащего функционирования защитного оборудования и специального программного обеспечения;
оборудовать устройства системами видеонаблюдения (минимум двумя видеокамерами) со сроком хранения записей видеосъемки не менее 60 календарных дней. Требования к типу и качеству систем видеонаблюдения, хранению информации, а также местам их установки (внутри или вне устройства) должны обеспечивать получение видеоизображения надлежащего качества;
обеспечить обнаружение, фиксацию фактов атак и попыток их совершения и информирование о них заинтересованных участников рынка розничных платежных услуг, а также Банка России;
проводить анализ и устранять выявленные уязвимости в случаях, когда используемое устройство подверглось атакам или попыткам их совершения;
совершенствовать применяемые решения и процедуры, направленные на обнаружение, фиксацию, идентификацию и предотвращение атак или попыток их совершения;
осуществлять сотрудничество с иными кредитными организациями, а также осуществлять на регулярной основе обмен информацией в целях развития и совершенствования безопасности устройств;
размещать на экране устройства либо в пределах прямой видимости от него предупреждающие сообщения о необходимости соблюдения мер предосторожности при наборе персонального идентификационного номера при использовании устройства;
устанавливать устройства в безопасных местах (например, в государственных учреждениях, своих подразделениях, крупных торговых комплексах, гостиницах, аэропортах и тому подобное) с учетом настоящих Рекомендаций;
осуществлять крепление устройства к стене или к полу в помещениях и к фундаменту вне помещений, если это допускает его конструкция;
устанавливать устройства с антивандальным исполнением корпуса и панелей;
предусматривать при установке устройства возможность его безопасного использования маломобильными группами населения, людьми, с ограниченными возможностями здоровья;
страховать устройства и (или) наличные денежные средства, находящиеся внутри данных устройств.
Относительно физической безопасности банкоматов интерес представляет Письмо Отделения № 1 Московского Главного Территориального Управления ЦБ РФ от 10.08.2011 № 51-52-7/21227 «О направлении информации ГУ МВД России по г. Москве»:
Управление уголовного розыска ГУ МВД России по г. Москве предлагает:
1. Закреплять банкоматы с помощью анкерного крепления.
2. Оборудовать банкоматы фронтальным видеорегистратором со звукофиксацией.
3. Устанавливать в банкоматах GPS-трекер, с помощью которого можно определить местонахождение похищенного банкомата.
4. Использовать химловушки.
5. Усилить ригель замков хранилищ банкоматов.
6. Осуществлять постановку банкоматов на пультовую охрану УВО ГУ МВД России по г. Москве.
В последнее время органы МВД РФ проявляют большой интерес к обеспечению физической безопасности банкоматов. Учитывая парк банкоматов (на 1 июля 2013 г. – 137 865), постановка их на пультовую охрану вневедомственной охраны представляет большой финансовый рынок. В связи с этим МВД разработаны различные документы. В качестве примера в сети Интернет можно найти «Инструкцию по организации комплексной безопасности банкоматов кредитно-финансовых учреждений Краснодарского края (разработана для частных охранных организаций и мониторинговых компаний, осуществляющих охрану банкоматов)», которая является Приложением к Распоряжению ГУ МВД России по Краснодарскому краю от 20.12.2012 № 351.
Для банкоматов существуют рекомендации международных организаций, например Рекомендации по антискимминговым решениям для банкоматов для региона SEPA (Approved by Plenary – 17 December 2008).
1. Минимальные требования для антискимминговых решений с независимым тестированием.
Все поставщики банкоматов и многие их продавцы в состоянии обеспечить антискимминговые решения. Европейская группа безопасности банкоматов (European ATM Security Team – EAST) определила и поддерживает базу данных антискимминговых решений и их функциональных возможностей. Некоторые решения более эффективны, чем другие, однако в настоящее время нет никакого свидетельства или независимой оценки этих решений. Это делает выбор решения трудным, также преступники успешно обошли многие антискимминговые меры. Поэтому Рабочая группа по картам Cards Working Group рекомендует определить минимальные требования для антискиммингового решения и предоставить их для независимого анализа, тестирования и оценки.
Антискимминговое решение может использовать различные подходы, которые должны включать некоторые из ниженазванных:
• Устройство ввода карты в считыватель должно предотвратить крепление скимминговых устройств и (или) сделать такие устройства заметными.
• Необходимо обнаруживать, создавать помехи или нарушать работу скимминговых устройств, когда они присоединены к банкомату.
Везде, где возможно, эти решения должны быть в состоянии обнаружить скимминговые атаки и любое вмешательство
в устройство должно привести к закрытию банкомата или к генерации тревожного сообщения.
Кроме того, рекомендуется, чтобы система контроля банкоматов была в состоянии удаленно обнаружить, находятся ли электронные антискимминговые устройства в рабочем состоянии.
2. Операторы банкоматов должны также рассмотреть дополнительные меры, которые можно использоваться в зависимости от конкретных обстоятельств и экономических обоснований:
• Защитные экраны, чтобы скрыть руку клиента.
• Демонстрация на банкомате предупреждения, просящего клиентов «закрывать и заслонять свой ПИН».
• Демонстрация на банкомате предупреждения о скимминговых устройствах и телефон поддержки клиентов, чтобы сообщить об инцидентах.
• Общие рекомендации относительно безопасного использования банкоматов, которые будут изданы для повышения уровня образования клиентов.
• Предусмотреть неиспользование платежных (ATM) карт в системах контроля доступа, например, для прохода к банкомату.
• Регулярный визуальный осмотр банкоматов обслуживающим персоналом, обученным на предмет поиска скимминговых устройств.
• Использование экранов банкоматов для демонстрации того как должны выглядеть банкомат и считыватель карты.
• Контроль доступа при обслуживании банкоматов с отслеживанием людей, осуществлявших доступ к банкомату.
3. В случае установки нового банкомата в помещении с высоким риском и (или) при межстенном расположении антискимминговое устройство должно быть установлено как стандартная опция поставщиком банкомата или третьим лицом (сервисной службой).
Необходимо провести градацию мест установки банкоматов по категориям риска. Например, к зонам повышенного риска можно отнести межстенные банкоматы, банкоматы вне зоны наблюдения, с 24-часовым доступом. Категории риска места установки банкомата должны периодически пересматриваться.
4. Если банкомат подвергся нападению, антискимминговое устройство должно быть модернизировано.
Так как не все банкоматы или места их расположения одинаково уязвимы, то необходимо дополнительно рассмотреть рекомендации пункта 2 для банкоматов, которые подверглись нападению.
5. Операторы банкоматов, эмитенты и производители карт должны совершенствовать системы и процедуры определения скимминговых атак и мошеннических операций. Необходимо развивать сотрудничество и обмен информацией, чтобы свести потери к минимуму.
PCI Security Standards Council в январе 2013 г. выпустил документ Information Supplement: ATM Security Guidelines, который носит рекомендательный характер. В данном документе говорится, что нужен глобальный стандарт по безопасности банкоматов, регламентирующие документы PCI PTS POI Security Requirements и PCI PIN Security Requirements являются превосходными отправными точками для необходимого стандарта. При этом указывается, что они применяются только для ПОС-терминалов и возможность их применения для ATM только рассматривается PCI SCC. Во-первых, непонятно, что подразумевается под SCC. Возможно, это опечатка и имелся в виду SSC – Security Standards Council? Во-вторых, получается, что регламентирующих документов в отношении безопасности банкоматов со стороны PCI SSC нет, в том числе не подлежат обязательному исполнению PCI PTS и PCI PIN. Хотя в данных документах имеются прямые указания на требования в том числе и к банкоматам. Например, PCI PIN просто начинается с упоминания о банкоматах – в этом документе содержится полный комплект требований по безопасному управлению, обработке и передаче данных персонального идентификационного номера (ПИН) в процессе транзакции платежной карты в режимах онлайн и офлайн в банкоматах и терминалах для производства платежей в месте совершения покупки (ПОС-терминалах). В PCI PTS также говорится, что он распространяется на банкоматы, например ПИН-клавиатура банкомата должна быть сертифицирована по данному документу. Недостаточная проработанность данного документа (ATM Security Guidelines) проявляется в пункте 3.2, в котором говорится, что похищенная на банкоматах информация ПИН и трек (account data) применяются криминалом для изготовления поддельных карт и используется по всему миру, включая снятия в банкоматах, покупки в ПОС с ПИН, а также покупки без ПИН в операциях без присутствия карты. Такое утверждение свидетельствует о полном непонимании технологии мошенничества. Если у злодея есть трек и ПИН, зачем ему нужно в торговом ПОС-терминале осуществлять покупку (с использованием ПИН-кода), вместо того чтобы просто снять наличные в банкомате? Если есть только трек, но ПИН-кода нет, то изготавливают поддельную карту и используют в торговом ПОС-терминале, а не в card-not-present, так как нет CW2/CVC2 и 3D Secure.
Положение ЦБР от 24.04.2008 № 318-П «О порядке ведения кассовых операций и правилах хранения, перевозки и инкассации банкнот и монет Банка России в кредитных организациях на территории Российской Федерации» указывает, что в качестве средств безопасности кредитные организации могут применять специальные кассеты для банкоматов, которые в случае несанкционированного их вскрытия окрашивают купюры специальной краской.
7.3. При перевозке наличных денег, инкассации наличных денег кредитная организация может использовать специальные устройства для упаковки наличных денег, в случае несанкционированного вскрытия которых происходит окрашивание банкнот Банка России специальной краской, обладающей устойчивостью к воздействию растворителей, химических реактивов и другими отличительными характеристиками, позволяющими идентифицировать ее наличие на банкноте Банка России. В этом случае, а также при страховании наличных денег, перевозимых или инкассируемых в автотранспорте, требования, установленные в абзаце первом пункта 7.2 настоящего Положения, к оборудованию автотранспорта могут не применяться.
7.2. Для перевозки наличных денег, инкассации наличных денег кредитные организации, ВСП применяют технически исправный автотранспорт, оборудованный броневой защитой.
Условия приема ЦБ РФ окрашенных купюр от банков определены в Указании ЦБР от 05.06.2009 № 2248-У «Об условиях и по рядке приема на экспертизу и обмена банкнот Банка России, окрашенных специальной краской, на территории Российской Феде рации».
1. Головные расчетно-кассовые центры Банка России (далее – ГРКЦ) принимают на экспертизу от кредитной организации (филиала) (далее – кредитная организация) банкноты Банка России, окрашенные специальной краской в результате срабатывания специальных устройств для упаковки наличных денег (далее – спецконтейнеры).
Кредитная организация принимает от юридического лица, не являющегося кредитной организацией (далее – юридическое лицо), использующего спецконтейнеры, банкноты Банка России, окрашенные специальной краской в результате срабатывания спецконтейнера (далее – окрашенные банкноты) для их передачи на экспертизу в ГРКЦ.
2. Прием на экспертизу и обмен окрашенных банкнот осуществляется ГРКЦ только при наличии у них информации об используемых кредитной организацией (юридическим лицом) спецконтейнерах, а также характеристик специальной краски.
3. Кредитная организация не менее чем за 30 рабочих дней до начала использования спецконтейнеров и специальной краски направляет в Банк России (Департамент наличного денежного обращения Банка России) образцы специальной краски и техническую документацию на спецконтейнеры и специальную краску.
Юридическое лицо не менее чем за 30 рабочих дней до начала использования спецконтейнеров и специальной краски направляет в кредитную организацию образцы специальной краски и техническую документацию на спецконтейнеры и специальную краску.
Кредитная организация не позднее 3 рабочих дней со дня получения от юридического лица образцов специальной краски и технической документации на спецконтейнеры и специальную краску направляет их в Банк России (Департамент наличного денежного обращения Банка России).
По результатам исследования представленных образцов специальной краски и технической документации на спецконтейнеры и специальную краску Департамент наличного денежного обращения Банка России в течение 15 рабочих дней со дня получения образцов специальной краски и технической документации на спецконтейнеры и специальную краску направляет в территориальные учреждения Банка России письменное сообщение, содержащее: характеристики специальной краски, позволяющие идентифицировать ее наличие на банкнотах Банка России, а также полное фирменное наименование кредитной организации (юридического лица), использующего эту специальную краску и спецконтейнеры (далее – сообщение).
4. Прием ГРКЦ на экспертизу окрашенных банкнот осуществляется в порядке, установленном Указанием Банка России от 27.08.2008 № 2060-У «О кассовом обслуживании в учреждениях Банка России кредитных организаций и иных юридических лиц».
7. Направление юридическим лицом окрашенных банкнот в кредитную организацию осуществляется в порядке, установленном Положением Банка России от 24.04.2008 № 318-П «О порядке ведения кассовых операций и правилах хранения, перевозки и инкассации банкнот и монеты Банка России в кредитных организациях на территории Российской Федерации».
8. В случае признания экспертизой окрашенных банкнот платежеспособными их сумма возвращается: ГРКЦ кредитной организации в порядке, установленном Указанием Банка России № 2060-У для сомнительных денежных знаков, кредитной организацией юридическому лицу в порядке, установленном Положением Банка России № 318-П для сомнительных денежных знаков. В случае признания экспертизой окрашенных банкнот имеющими признаки подделки или неплатежеспособными, не содержащими признаков подделки, работа с ними осуществляется в порядке, установленном Указанием Банка России № 2060-У, Положением Банка России № 318-П.
В июле 2014 г. экспертная ATM-группа Ассоциации участников «МастерКард» (АУМ) выпустила «Рекомендации по защите банкоматов от несанкционированного доступа»:
В целях повышения безопасности и защиты от несанкционированного доступа к программному обеспечению банкоматов, работающих под управлением операционной системы Windows, а также для защиты от вредоносных программ рекомендуется произвести следующий комплекс мероприятий:
1. Произведите настройки BIOS.
А. Отключите загрузку с внешних устройств.
После запуска BIOS происходит поиск устройств хранения информации для запуска операционной системы – обычно это жесткий диск. Различные типы BIOS могут использовать разную технику выбора устройств хранения. Некоторые требуют полностью отключить загрузку с внешних устройств. Также есть BIOS, которые имеют способность обходить нормальную процедуру загрузки через PC-клавиатуру, например нажатием клавиши ESC во время загрузки. Такую возможность тоже нужно отключить. В BIOS возможность загрузки с USB при отсутствии загрузочного USB-устройства может не отображаться и, следовательно, при настройке это устройство по факту может оказаться первым. Если в BIOS запрещена загрузка со всех устройств, кроме HD, возможен вариант игнорирования запрета на запуск с CD, рекомендуется установить загрузку с CD второй, то есть когда неисправен HD.
Б. Установите пароль в BIOS.
После того как сделаны все настройки BIOS, доступ к нему должен быть защищен паролем. Большинство BIOS имеют два пароля: Supervisor и User. Нужно использовать только Supervisor. Пароль User должен быть выключен (disabled). Длину и корректные символы для ввода пароля определяет тип BIOS.
2. Осуществляйте инсталляцию ПО на банкомате при отключенном сетевом кабеле.
3. Произведите настройку учетных записей в Windows.
Для доступа к рабочему столу нужно использовать не менее двух учетных записей: администратор и рабочая.
4. Установите парольную политику и измените пароли по умолчанию у всех учетных записей.
Необходимо установить/изменить все пароли, установленные по умолчанию, в том числе для удаленного доступа, установки обновлений и т. п.
5. Отключите функцию автозапуска (autoplay, autorun).
6. Используйте стойкое шифрование каналов связи.
7. Установите межсетевой экран или используйте изолированную сетевую инфраструктуру.
8. Удалите неиспользованные службы и приложения.
9. Установите политику обновлений программного обеспечения (по согласованию с поставщиком ПО).
10. Задайте различные учетные записи пользователя прикладного ПО.
Прикладное ПО должно работать под учетной записью с минимальными полномочиями.
11. Обеспечьте мониторинг сигнала оповещения при открытии верхнего кабинета банкомата.
12. Используйте в диспенсере функцию шифрования.
13. Используйте программное обеспечение контроля запускаемого на исполнение ПО («белый» список).
14. Используйте систему удаленной загрузки терминальных мастер-ключей (Remote KeyManagement).
15. Используйте промышленную операционную систему, поддерживаемую производителем.
16. Используйте прикладное ПО, сертифицированное по стандарту PA-DSS.
17. Банкоматное программное обеспечение должно устанавливаться с инсталляционных дисков по технологии и регламентам, рекомендованным поставщиками банкоматов и ПО.
18. Используйте EPP клавиатуру, сертифицированную по стандарту PCI PTS.
19. Используйте режим ЕРР клавиатуры, соответствующий стандарту PCI PTS (защищенный ввод криптографических ключей).
20. Для неконсольного административного доступа к банкомату используйте программное обеспечение, обеспечивающее стойкое шифрование аутентификационных данных.
21. Заблокируйте или отключите не используемые для обслуживания порты ввода/вывода.