Владимир Теплыгин, консультант по IT-услугам в сфере банковских карт компании «Синимекс»

 

В современном мире для того, чтобы успешно вести бизнес, необходимо смотреть на несколько шагов вперед, предугадывать и противостоять грядущим проблемам, минимизируя потери и получая конкурентные преимущества. Тот же принцип, по моему мнению, должен применяться в индустрии платежных карт, тем более что она повсеместно развивается, и почти каждый современный человек в нашей стране имеет пластиковую карту.

 

Основной угрозой для всех участников индустрии платежных карт, без сомнения, является мошенничество. Только в Великобритании ущерб от мошеннических операций с пластиковыми картами за 2011 год составил 341 млн фунтов (по данным Британской ассоциации по предотвращению мошенничеств FFA). Все основные типы мошенничеств, так или иначе, основываются на краже персональных данных клиента – держателя карты. Если остановиться на наиболее распространенных из них в порядке убывания популярности среди мошенников, наблюдается следующая картина.

 

Сard not present fraud – осуществление операций, не требующих непосредственного присутствия держателя карты, что позволяет мошенникам, которым удалось завладеть данными, напечатанными на карте клиента, производить от его имени покупки, например, в интернет магазинах.

 

Skimming – незаметное для клиента копирование данных его карты для последующего изготовления дубликата и осуществления операций.

 

На третьем месте по распространенности окажется кража или утеря карт.

 

К счастью, с 2004 года ответственность за стандартизацию и консолидацию мер по защите данных держателей карт взяла на себя организация Payment Card Industry Security Standards Council, был разработан стандарт PCI DSS. Сам стандарт на данный момент включает в себя 12 требований, выполнение которых позволяет противостоять краже и недобросовестному использованию данных держателей карт, хранящихся в системах процессингового центра или любой другой организации, которая тем или иным образом эти данные обрабатывает. В нашей стране платежная система VISA для своих членов сделала разработанный стандарт обязательным к сертификации. Поэтому ежегодно перед большинством российских организаций, занимающихся обработкой или хранением карточных данных, возникает задача подготовки своих систем к PCI DSS аудиту. Но беда в том, что, даже выделив на задачи, связанные с подготовкой к аудиту, львиную долю ресурсов и средств, организация, получившая сертификат соответствия PCI DSS, не обеспечивает себе должного уровня защиты от основных типов мошеннических действий.

 

По статистике, основной ущерб приходится на операции электронной коммерции и изготовление поддельных карт. Текущие же требования PCI DSS не позволяют в большинстве случаев их предупредить. В свою очередь, участники индустрии платежных карт разрабатывают механизмы защиты от подобного рода преступлений. Разработан протокол 3-D Secure, который призван обеспечить дополнительный уровень безопасности при осуществлении online-операций по кредитным и дебетным картам. При осуществлении онлайн-платежей использование этого протокола позволяет реализовать принцип двухфакторной аутентификации – «что-то имею и что-то знаю», а это существенно уменьшает риски банка эквайера, предлагающего услуги электронной коммерции.

 

Все больше выпускается чиповых карт с поддержкой динамической аутентификации данных (DDA), на основе которых изготовление поддельных карт является трудноосуществимой задачей. Если рассмотреть пример все той же Британии, которая является наиболее активным участником сообщества государств, уделяющих противодействию преступлениям в индустрии платежных карт особое внимание, то начало перехода большинства банков этой страны на эмиссию чиповых карт в 2004 году позволило уменьшить потери, связанные с изготовлением поддельных карт, в четыре раза!

 

Также, говоря о современных средствах противодействия угрозам, необходимо упомянуть активно развивающиеся системы фрод-мониторинга (Fraud prevention systems), которые по своей идеологии способны распознать мошенническую операцию непосредственно в момент попытки ее осуществления за счет заранее определенных правил. Основной ценностью такого рода системы является эффективный набор этих правил. Он может быть получен как на основании опыта сотрудников процессингового центра, использующих систему, так и с помощью усвоения данных по уже пройденным транзакциям самой системой, что является более автоматизированным подходом, исключающим возможные ошибки.

 

Для того чтобы стать по-настоящему эффективными, подобным технологиям предстоит еще много развиваться, в долгосрочной перспективе экономический эффект от их использования окажется, на мой взгляд, действительно серьезным.

 

Увы, даже при наличии у заинтересованных организаций подобных инструментов защиты случаев мошенничеств у нас в стране пока меньше не становится. Особенно острой данная проблема видится в связи с активным ростом рынка электронной коммерции. Очевидно, что если не предпринимать активных усилий, то объем мошеннических операций будет расти в лучшем случае теми же темпами. В действительности так и происходит: по статистике, объем преступлений в 2010 году по сравнению с 2006 годом вырос в разы! Сохранение подобной тенденции может поставить под угрозу дальнейшее развитие направления в целом.

 

Причиной такой удручающей статистики, скорее всего, является довольно низкий процент операций, осуществляемых с применением современных средств по противодействию мошенничествам. На нашем рынке достаточно весома доля карт с магнитной полосой, уязвимых для клонирования, и велика доля банков, которые позволяют своим клиентам (интернет-магазинам) осуществлять операции электронной коммерции, аутентифицируя покупателя только по CVV2/CVC2.

 

На мой взгляд, стандартизацию и консолидацию усилий всех участников индустрии платежных карт по разработке и внедрению подобных средств защиты логично возложить на PCI DSS сообщество, поскольку задачи их внедрения полностью соответствуют идеологии стандарта. Что еще более важно, в таком виде сертификация PCI DSS получит статус процедуры, которая действительно позволит банкам и другим участникам сообщества значительно уменьшить собственные издержки и повысить доверие клиентов. На сегодняшний же день затраты на доработки процессинговых систем, которые требуются для прохождения сертификации (например, в части шифрования данных), позволяют эффективно бороться с меньшей по масштабам проблемой внутреннего фрода и хакерских атак извне.

 

Очевидно, что внедрение современных мер защиты потребует еще больших затрат на их реализацию, что особенно усложнит задачу для небольших организаций. Но выделение в стандарте особого уровня соответствия с включением в него требований использования основных вышеописанных технологий привело бы к их большей популяризации и постепенной стандартизации, позволило бы более эффективно противостоять возникающим вызовам, а значит, повысить безопасность платежей с использованием пластиковых карт.