Число атак мошенников на наши пластиковые карточки растет из года в год. Скиминг, фишинг, специализированные вирусы – это всего лишь несколько видов мошенничества, которые используются для взлома наших карточек. Эксперты утверждают: в мире существует множество способов украсть деньги с карточки, поэтому нужно совершенствовать системы безопасности самих банков. Так, до 10 октября этого года все казахстанские банки, работающие с платежными системами Visa и MasterCard, должны пройти сертификацию и получить документ соответствия международному стандарту безопасности «PCI DSS v.1.2». Первым в Казахстане свидетельство о соответствии международному стандарту информационной безопасности получил Нурбанк.Подробно обо всем «Наши деньги ЦА» рассказывает советник председателя правления по информационным технологиям АО «Нурбанк» Андрей Чучелов.
– Все расходы, связанные с получением сертификата соответствия, оплачивает банк, поэтому клиенты никаких затрат не понесут и перевыпуска карточек не потребуется. Но в то же время клиенты банков, получивших сертификат безопасности, могут считать себя наиболее защищенными. Однако это не означает, что карты несертифицированных банков – участников платежных систем VISA и MasterCard не защищены. Сегодня все банки уделяют много внимания вопросам информационной безопасности, и, скорее всего, вопрос сертификации для них – просто дело времени.
– Что значит соответствовать международному стандарту безопасности?
– PCI DSS – стандарт защиты информации в индустрии платежных карт, разработанный международными платежными системами Visa и MasterCard, он распространяется на все компании, работающие с пластиковыми картами этих систем
Соответствовать такому стандарту – значит отвечать свыше 250 критериям и требованиям. Часть из них касается технических средств защиты, часть – вопросов организационной деятельности банка. По определенным критериям оценивается уровень информационной безопасности, способность системы противостоять известным на сегодня внешним и внутренним угрозам. Так, согласно этому стандарту банк должен обеспечивать защиту данных клиентов, использовать антивирусное программное обеспечение, разграничивать доступ сотрудников банка к данным в рамках служебной необходимости, обеспечивать постоянный мониторинг сеансов доступа к карточным счетам и многое другое.
– В связи с чем такое внимание уделено защите информации именно от сотрудников банков?
– Дело в том, что одна из самых распространенных из существующих на сегодня угроз информационной безопасности банков – это утечка информации через их же сотрудников. Например, уволившихся работников либо состоящих в штате и вступивших в сговор с мошенниками. Согласно требованиям стандарта PCI DSS должно быть разграничение прав доступа сотрудников банка к информационным системам, финансовой информации и операциям, совершаемым в банке. Это не позволяет сотрудникам в одиночку выполнять операции от начала и до конца, а также владеть полной информацией о клиентах.
– Как долго банки готовятся к получению такого сертификата и насколько наши банки готовы к такому шагу?
– Продолжительность подготовки сильно зависит от уровня готовности компании к сертификации и степени ее заинтересованности к прохождению сертификации. У кого-то это процесс может растянуться на годы. В нашем случае подготовка банка к сертификации заняла около шести месяцев. На первом этапе мы провели предварительный анализ состояния системы безопасности платежных карт и составили отчет о найденных недостатках, которые, конечно же, детально устранили. На втором этапе совместно со специалистами компании PACIFICA, оказывающей услуги по комплексному обеспечению информационной безопасности, провели ряд мероприятий по приведению информационной инфраструктуры, нормативных документов и процессов банка в соответствие требованиям стандарта PCI DSS. На третьем этапе представители компании IBM ISS провели аудит на соответствие стандарту, который показал, что все требования выполнены, и банк заслуженно получил сертификат PCI DSS Compliance.
– Получается, уже сам процесс подготовки к сертификации имеет для банков определенную ценность?
– Да, он выявляет те «подводные камни» в организационных, регламентных вопросах, в эксплуатации информационных систем, настройках телекоммуникационного и системного программного обеспечения, которые, к сожалению, зачастую становятся явными только после того, как произойдет какой-нибудь инцидент.
– То есть, получая стандарт безопасности, банк убивает сразу двух зайцев: налаживает внутреннюю работу и получает дополнительную защиту от мошенников?
– В целом получение сертификата соответствия требованиям PCI DSS изначально не было для нашего банка самоцелью. В течение последних трех лет мы целенаправленно и активно развивали направление информационной безопасности. Это было обусловлено, во-первых, подготовкой и выводом на рынок новых технологичных продуктов для клиентов банка, связанных с использованием интернет- и мобильных технологий. Во-вторых, мы неоднократно говорили, что одно из наших приоритетных направлений – это информационная безопасность. Поэтому получение Нурбанком такого сертификата международной безопасности я считаю закономерным промежуточным итогом, подтверждающим высокий уровень развития как системы информационной безопасности, так и всего информационно-технического комплекса банка. Промежуточным потому, что информационная безопасность – это не состояние, это трудоемкий процесс, требующий постоянного развития и контроля.
– Какой из существующих на сегодня методов взлома карт наиболее популярен среди мошенников?
– Злоумышленники часто используют различные устройства на банкоматах, позволяющие считывать определенную информацию с магнитной полосы карты для ее последующего дублирования. Так, скрытно установленная мошенником видеокамера позволяет зафиксировать и сохранить момент набора ПИН-кода клиентом. На сайте нашего банка (www.nurbank.kz) есть подробные инструкции, что нужно делать, чтобы самостоятельно обезопасить себя от мошеннических действий.
Вставка
В настоящее время в мире насчитывается свыше миллиарда банковских карточек. В Казахстане, по данным Нацбанка, на 1 апреля 2010 года выпущено около 8 млн платежных карточек.
Вставка 2
Что делать, если есть подозрения в мошенничестве
Если вы подозреваете, что стали жертвой мошенничества, немедленно сообщите об этом в банк. По первому вашему обращению сотрудник банка заблокируют ваш картсчет. При последующем обращении в банк и заполнении необходимых документов вам выпустят новую карточку.
Вставка
Что бы вы порекомендовали владельцам карт?
«Во-первых, всегда иметь под рукой телефон контакт-центра банка, занести его в список своего мобильного телефона.
Во-вторых, я бы настоятельно рекомендовал держателям пластиковых карт пользоваться услугой SMS-информирования по совершенным операциям. Помимо того что это очень удобно, это еще и недорогой и крайне действенный способ оперативного обнаружения несанкционированного использования карточного счета, дающий клиенту возможность своевременно заблокировать карту, уведомить банк о совершенном мошенничестве».
Эти и другие материалы читайте в новом номере журнала "Наши деньги Центральная Азия"
Алия Адамбаева
