Максим Кузин, главный архитектор продукта, БПЦ, к.т.н.
В 2013 г. Россия заняла первое место в Европе по темпам роста убытков от мошеннических операций с платежными картами. Объем потерь за прошлый год увеличился на 27,6% по сравнению с показателем предыдущего года, в 10 раз по сравнению с 2006 г. и на 365% по отношению к 2008 г. Совокупные потери по 19 европейским странам составили 1,55 млрд евро, в России – 22,5 млн евро [1]. Общемировые потери за тот же год выросли на 19% и составили 14 млрд долл., причем 51% пришелся только на США с годовым приростом в 29% [2].
Многолетние исследования взломов автоматизированных систем, приводящих к утечке данных, также подтверждают привлекательность сферы платежных карт для злоумышленников [3]: это и проникновение в торговые сети, в которых обрабатываются данные карт через POS-терминалы, и компрометация данных через несанкционированное считывание магнитной полосы (скимминг) в POS-терминале или банкомате. Причем по сведениям за 2013 г. в 100% инцидентов со взломом систем POS-терминалов и скиммингом данные были скомпрометированы, что является исключительной особенностью именно систем, в которых обрабатываются данные платежных карт [3].
Мошенничество с платежными картами приобретает все более широкое распространение по причине явной ценности компрометируемой информации для злоумышленника. Так, в случае взлома некоторой автоматизированной системы и несанкционированного доступа к обрабатываемой в ней информации не всегда из этой информации злоумышленник может извлечь непосредственную выгоду. Если же скомпрометированы данные платежных карт, то с учетом уязвимостей платежных технологий эти данные могут быть использованы непосредственно для осуществления несанкционированного доступа к счету владельца карты, результатом чего может стать снятие наличных денежных средств в банкомате (при знании ПИН-кода) либо получение товара или услуги в результате несанкционированной операции в торгово-сервисном предприятии. В подобных случаях риск можно оценить как доступную сумму на счете держателя карты (стоимость актива – величина доступных средств) плюс косвенные убытки, обусловленные расследованием, претензионной работой и прочими процессами в связи с мошенничеством, причем, по данным международной платежной системы Visa, такие косвенные потери могут в два раза превышать прямые. Помимо упомянутого операционного риска следует учитывать репутационный риск эмитента карт, особенно в ситуации массового несанкционированного использования. Международные платежные системы Visa и MasterCard также предусматривают для своих членов запрет на деятельность в рамках платежной системы в случае нарушений установленных требований и правил, связанных с ущербом для репутации бренда, т. е. мошенничество может нести риск непрерывности бизнеса члена платежной системы.
Проблема безопасности платежных технологий осознана крупнейшими международными платежными системами и сообществом достаточно давно. Начиная с 1995 г. ведутся разработка и продвижение спецификаций и стандартов микропроцессорных карт EMV, а с 2001 г. – спецификаций и протоколов для защиты платежей в сети Интернет – 3-D Secure. Вместе с тем постепенно усиливались требования к защите отдельных аспектов платежных технологий – это и переход на использование 3DES-ключей шифрования в терминальных устройствах вместо DES, и применение кодов аутентификации карт CVC/CVV (Card Verification Code/Card Verification Value), CVC2/CVV2, iCVV. Казалось бы, все эти меры и новые средства защиты должны способствовать снижению уровня мошенничества. Однако приведенная выше статистика этих ожиданий не подтверждает. Основная причина заключается в том, что распространенность указанных технологий и средств защиты в мире неравномерна. В частности, очень многие страны начали миграцию на микропроцессорные EMV-карты достаточно давно, при этом количество карт и терминалов, как и уровень проникновения, в 2013 г. существенно различались по регионам (см. таблицу) [4].
Таблица
Регион | EMV-карты, млн | % от общего количества карт | EMV-терминалы, млн | % от общего количества терминалов |
Канада, Латинская Америка, страны Карибского бассейна | 471 | 54,2 | 7,1 | 84,7 |
Азиатско-Тихоокеанский регион | 942 | 17,4 | 15,6 | 71,7 |
Африка и Ближний Восток | 77 | 38,0 | 0,699 | 86,3 |
Европа 1 (Западная и Восточная Европа) | 794 | 81,6 | 12,2 | 99,9 |
Европа 2 (Албания, Армения, Азербайджан, Беларусь, Россия, Украина, Казахстан, Киргизия и др.) | 84 | 24,4 | 1,4 | 91,2 |
Во многих регионах и странах в рамках международных платежных систем приняты правила локального и глобального переноса ответственности (liability shift) по мошенничеству с платежными картами, т. е. эмитенты и эквайреры, не отвечающие требованиям EMV к определенной устанавливаемой дате, обязаны нести финансовые потери от проводимых мошеннических операций. На практике это означает, что мошенничество из стран, где EMV активно внедряется, мигрирует в сеть Интернет (это относится к мошенничеству без присутствия карты) и страны, где EMV внедрен слабо или не применяется вовсе. Среди перечисленных в таблице регионов и стран не указаны США, где долгое время EMV не внедрялся, что делало эту страну чрезвычайно привлекательной для злоумышленников (это подтверждают и приведенные в начале статьи цифры), так как здесь можно использовать скомпрометированные данные платежных карт путем изготовления поддельных карт с магнитной полосой. Поскольку и в других регионах не все терминалы способны принимать EMV-карты, для обеспечения совместимости со «старой» технологией на основе магнитной полосы приходится эмитировать карты одновременно и с чипом EMV, и с магнитной полосой, что не исключает возможности использовать уязвимости карт с магнитной полосой там, где чип не является обязательным. Только с 2012 г. платежная система Visa, а с 2013 г. и MasterCard начали начинать внедрение EMV в США [5]. Названные платежные системы планируют в 2015 г. создать совместную группу для обеспечения внедрения EMV в США [6]. При этом еще в 2009 г. потери от мошенничества с использованием платежных карт в США составили 6,89 млрд долл., а стоимость миграции на EMV на тот момент оценивалась всего в 8,6 млрд долл. Следует также отметить, что в ряде стран Азиатско-Тихоокеанского региона до сих пор не осуществлен переход на 3DES-ключи шифрования в терминальных устройствах, что оставляет весьма высоким риск компрометации ПИН-кодов при совершении операций по картам в них.
Указанные проблемы с распространением современных платежных технологий привели к вынужденной мере – попытке защиты устаревших платежных технологий, позволяющих проводить операции по поддельным картам с магнитной полосой в терминалах или операций по реквизитам карт без надежной аутентификации держателя в Интернете (3D Secure). Так в 2006 г. появился стандарт PCI DSS. Стандарт применим для автоматизированных систем, участвующих в авторизации и клиринге операций по платежным картам, в которых данные карт хранятся и обрабатываются. По мысли его создателей, путем сокращения мест хранения данных карт (номера карты, срока его действия, фамилии и имени держателя карты) и запрета хранения критичных данных авторизации (полных данных магнитной полосы карты, кодов CVC2/CVV2, ПИН-кодов и ПИН-блоков) можно обеспечить безопасность этих платежных технологий. Такой подход, выраженный в формулировании 12 групп требований по обеспечению безопасности указанных автоматизированных систем, требовании использования сертифицированных платежных приложений и регулярных проверок соответствия требованиям, должен способствовать достижению обозначенной цели. Однако есть ряд существенных недостатков и противоречий как в самом стандарте, так и в несоответствии его появления логике развития всей индустрии платежных карт:
- требовать сокрытия номера карты как идентификатора платежного инструмента в целях обеспечения его безопасности принципиально бессмысленно;
- затраты на соблюдение требований могут превышать риски от мошенничества – стандарт не предусматривает никаких метрик оценки эффективности внедряемых мер защиты;
- необходимо выполнить абсолютно все требования и соответствовать стандарту: очевидно, что в реальных, сложных системах это труднодостижимо вообще либо возможно только на момент проведения аудита, поскольку это просто невозможно или нецелесообразно в остальное время работы системы, главной целью которой является выполнение прежде всего первостепенных бизнес-задач проведения платежей, а не постоянное «соответствие» требованиям, т. е. средства защиты должны лишь способствовать достижению бизнес-целей, но никак не мешать им и тем более замещать их;
- затраты членов международных платежных систем на внедрение современных технологий, таких как EMV и 3D Secure, не приносят должного эффекта как лучшая защита от мошенничества, поскольку приходится поддерживать старые технологии для совместимости и нести затраты на их «спасение» через соответствие требованиям PCI DSS.
Следует упомянуть и класс специализированных средств защиты от мошенничества на последнем этапе его осуществления, когда данные карт скомпрометированы и использованы для совершения несанкционированных операций, – системах мониторинга транзакций. Такие системы предназначены для выявления в режимах реального времени (онлайн, с возможностью влиять на результат авторизации), псевдореального времени (после авторизации операции по карте, но в небольшом интервале времени после этого) или отложенном режиме (офлайн). Цель подобных систем – выявить подозрительную платежную операцию и обеспечить принятие в автоматическом режиме либо с участием оператора мер реагирования в целях снижения потерь от мошенничества. Если в реальном времени можно обеспечить отказ в авторизации подозрительной (и возможно, мошеннической) авторизации, то в других режимах есть шанс хотя бы снизить потери от последующих операций через своевременное ограничение возможности их проведения. Такие системы могут быть основаны и на формальных правилах анализа операций, и с привлечением различных статистических и/или аналитических моделей на основе нейронных сетей.
Таким образом, в настоящее время можно констатировать как активное внедрение современных платежных технологий, так и неравномерность их распространения в мире, что приводит к необходимости применять меры и средства защиты устаревших платежных технологий. В этих условиях проблема противодействия мошенничеству и обеспечения безопасности индустрии платежных карт представляется актуальной и в краткосрочной, и в долгосрочной перспективе.
Литература
- Объем потерь от карточного мошенничества в России вырос на 27,6% в 2013 г. / www.plusworld.ru
- The US sees more money lost to credit card fraud than the rest of the world combined / businessinsider.com
- 2014 Data Breach Investigation Report / verizonenterprise.com
- Worldwide EMV Card and Terminal Deployment / emvco.com
- Кузин М.В. Современные методы противодействия мошенничеству с банковскими картами / БИТ. 2012. № 3.
- Visa и MasterCard начнут работу по внедрению в США чиповой технологии EMV в 2015 г. / www.corp.cnews.ru