Банковское обозрение

Финансовая сфера

28.01.2019 Best-practice
Compliance vs удобство

На протяжении нескольких лет в кулуарах мероприятий по информационной безопасности ходили слухи о том, что антифрод-системы станут обязательными



27 июня был опубликован Закон № 167-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части противодействия хищению денежных средств». Давайте проанализируем, что изменится со вступлением в силу нового закона и как можно максимально эффективно построить бизнес-процессы, не нарушая новых требований.

Новое фродовое законодательство

В новом Законе № 167-ФЗ написано следующее. Операторы по переводу денежных средств (банки) обязаны оперативно блокировать платежи, которые соответствуют признакам совершения без согласия клиента (фродовый платеж). После блокировки необходимо незамедлительно запросить у клиента подтверждение легальности платежа. Обязательные признаки фродовых платежей устанавливает Центробанк, дополнительные — банк самостоятельно в рамках системы управления рисками.

Фактически, регулятор обязывает банки использовать антифрод-системы, так как иными способами оперативно оценить и заблокировать платеж невозможно. В случае несвоевременной блокировки/исполнения фродового платежа оператором по переводу денежных средств пострадавший клиент получает 100%-ную гарантию компенсации суммы банком (через суд), так как выходит, что банк не выполняет требования Федерального закона…

При проверке ЦБ банки, не использующие антифрод-системы, могут получить предписание об устранении нарушений законодательства, а за невыполнение предписаний — санкции от регулятора, вплоть до штрафов.

Для соответствия новым требованиям законодательства банк может пойти одним из трех путей. Первый путь — самостоятельно написать правила проверки в ДБО либо воспользоваться ресурсом проверки платежей в АБС. Мы объединяем эти варианты в один, так как они имеют схожее влияние на бизнес-процессы. Из плюсов данного решения можно отметить отсутствие значительных денежных затрат. Из минусов — маленькое количество данных для анализа, что приводит к запредельному уровню ложноположительных срабатываний. Вряд ли клиенты банка обрадуются задержке платежей и звонку по каждому случаю отправки денежных средств новому получателю.

Второй путь — воспользоваться предложением от вендоров, работающих на рынке информационной безопасности. Из плюсов можно выделить высокий уровень защищенности и универсальность данных решений. Как правило, предлагаемые продукты покрывают большой объем задач. Из минусов можно отметить большие затраты на реализацию проекта. Также минусом можно назвать зачастую отсутствие прямой интеграции с системой ДБО, что несет с собой определенные риски. Некоторые решения требуют установки дополнительного программного обеспечения на стороне клиентов, что неудобно для клиентов банка и может вызвать их недовольство. Некритично, но все же...

Третий путь — антифрод от вендора ДБО. Схема работы клиента при выборе первого или второго варианта может выглядеть следующим образом:

1) клиент заходит в ДБО;

2) возможно, вводит код подтверждения, полученный при помощи СМС;

3) создает платежку;

4) подписывает платежное поручение;

5) подтверждает платежное поручение кодом из СМС либо устройством подтверждения;

6) платеж направляется в банк, где проходит проверка набором самописных правил, набором правил в АБС или антифрод-системой;

7) по результатам проверки принимается решение: пропустить или остановить.

Есть и другие подводные камни в случае выбора первого или второго варианта. При такой схеме работы клиент каждый день вводит пароли, переставая обращать внимание на текст сообщений, доводя свои действия до автоматизма. По информации от наших банков-партнеров, не использующих антифрод-системы, в 80% случаев хищений клиенты сами подтверждали фродовые платежки, несмотря на наличие реквизитов платежа в них. Именно из-за того, что все действия доведены до автоматизма. Теперь, учитывая, с появлением нового законодательства, нельзя будет возложить вину только на клиента. При отсутствии антифрод-системы ответственность за исполнение фродового платежа с высокой долей вероятности ляжет на банк.

Также, думаю, многие сталкивались с ситуацией, когда недовольный клиент звонит в банк и жалуется на то, что ему не приходят СМС. Вряд ли такую беседу можно назвать милой, и зачастую слова, которые использует клиент, нельзя произносить в приличном обществе. Про постоянно растущую стоимость СМС и говорить не нужно, это известный факт. Только за последний год стоимость СМС увеличилась у всех операторов в среднем в два раза. Итак, на выходе у нас есть несколько вариантов решения задачи с определенными недостатками, в целом позитивно не влияющими на удобство работы клиентов.

Как же быть?

Система фрод-мониторинга

Решить данную задачу можно с помощью фрод-мониторинга (Fraud-мониторинг) с адаптивным подтверждением платежей приложением «Весточка» или МАС-токен BIFIT с визулизацией. Фрод-мониторинг — это система противодействия мошенничеству в системе ДБО iBank. Она предоставляет набор инструментов для автоматической проверки платежей и действий клиента и вынесения решения на основании их результатов.

Проверка платежей основана на наборе правил. Каждое правило включает одно или несколько условий, которые являются индикаторами риска.

 

 

Условиями проверяются несколько типов входящих данных:

1) данные из встроенного в систему «iBank» модуля «Детектор угроз» — уникальное решение, разработанное компанией «БИФИТ», которое позволяет обнаружить сигнатуры вирусов и троянов характерных для зловредного программного обеспечения;

2) данные о действиях с документом и действиях клиента в системе iBank;

3) реквизиты платежа.

Для проверки условий применяются три типа данных, хранящихся в системе. Во-первых, статистика клиента, накапливаемые данные типичных реквизитов и параметров платежа. Во-вторых, профиль клиента, данные о типичном поведении и рабочем окружении клиента. В-третьих, справочники системы: предустановленные и накапливаемые справочники реквизитов, например черные списки, предоставляемые Центром мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России (ФинЦЕРТ).

При работе системы ДБО совместно с системой фрод-мониторинга возможно использование механизма «Адаптивное подтверждение». Изменения, внесенные функциональностью адаптивного подтверждения, лучше всего видны на следующей схеме.

 

 

Во время отправки клиентом в банк платеж анализируется в системе «Fraud-мониторинг». Система оценивает риск каждого платежа и выделяет незначительную часть наиболее опасных платежей, подлинность которых должна быть подтверждена. Большая часть платежей, имеющих низкую степень риска, направляется на исполнение в штатном режиме в АБС (ветка «Безопасно»). Для остальных платежей существует два варианта дополнительной обработки. Можно отправить платеж на ручной контроль (ветка «Опасно»), либо можно запросить дополнительно подтверждение при помощи приложения «Весточка» или МАС-токен БИФИТ с визуализацией. После успешного подтверждения клиентом платеж направляется на исполнение.

По статистике, собранной у наших партнеров, на дополнительное подтверждение в среднем отправляется не более 5% платежей, а на ручной контроль и того меньше.

Средства подтверждения платежей

Поговорим немного подробнее об используемых средствах подтверждения. Первое — МАС-токен BIFIT. Это простое, удобное и максимально безопасное устройство, разработанное нашей компанией для подтверждения критичных данных электронных документов с предварительной визуализицией. Мы тщательно проанализировали, какие именно данные важны для отображения, и пришли к выводу, что только четыре поля имеют значение, а именно: сумма, счет, БИК и наименование получателя.

Информация, которая, выводится на экран, не может быть подменена, так как наше устройство имеет секрет, не позволяющий злоумышленнику подключиться к устройству.

МАС-токен BIFIT — идеальное средство подтверждения для тех клиентов, кому важна безопасность.

Вторым предлагаемым средством подтверждения является сервис «Весточка». Это бесплатное мобильное приложение, разработанное компанией «БИФИТ». Его использование позволит банку существенно сократить расходы на отправку СМС с помощью отправления PUSH-уведомлений в мобильное приложение. PUSH-сообщения бесплатны как для банка, так и для клиентов.

Все передаваемые сообщения шифруются. Алгоритм шифрования — асимметричный. Сообщения шифруются на стороне банка и расшифровываются на клиентских устройствах. Секретный ключ никогда не покидает устройство клиента, по этой причине расшифровать сообщения на других участках передачи данных невозможно.

Также сервис «Весточка» можно использовать как средство подтверждения платежа. На экран выводятся критически важные поля платежа. Подтверждения проводятся в один клик.

При использовании наших решений банк снижает свои затраты на подтверждение платежей почти до нуля, при этом клиентам работать с системой станет намного удобнее.




Присоединяйся к нам в телеграмм