На сегодняшний день в мире растет число взломов персональных данных держателей карточек. Взломщики, получив доступ к вашим данным, могут не только использовать их в своих интересах, но и осуществлять атаки на финансовые институты, тем самым значительно увеличивая масштабы ущерба.

О методах и инструментах предотвращения подобных случаев с нами поговорила директор по управлению рисками Visa по странам СНГ и Юго-Восточной Европы Лариса Макарова.

Сегодня, с развитием технологий на службе у человека, совершенствуются и методы мошенников, увеличивается число рисков, кибератак. Какие виды мошенничества в финансовой сфере наиболее распространены сегодня?

Глобальный уровень мошенничества по картам Visa за последние 60 лет постоянно снижается. Сейчас он находится на исторически минимальном уровне – менее одного процента. Этого удалось достичь благодаря новым технологиям, в частности, глобальной чипизации.

Однако есть другое направление – взлом персональных данных. Здесь речь идет не только о данных карт и счетов, но и о персональной информации в целом – о логинах, паролях, адресах, учетных записях в социальных сетях. Таким образом злоумышленники могут использовать информацию о клиентах и не только проводить операции по платежным картам, но взламывать банковскую систему, что гораздо масштабнее.

В нашем регионе (СНГ и Юго-Восточная Европа) наблюдается сдвиг парадигмы. Здесь взлом системы чаще направлен не на конечного потребителя, а на финансовый институт. За последний год в Восточной Европе, на Ближнем Востоке и в Африке было зарегистрировано восемь подобных взломов, четыре из которых произошли на территории стран СНГ. Для нас это серьезный показатель. Злоумышленники преследовали цель нанести ущерб финансовым институтам. В результате держатели карточек не пострадали, но банки понесли убытки.

А как бороться с подобными атаками?

Необходим многофакторный, комплексный подход. Сегодня, когда мы уже живем в мире новых технологий, новых решений, невозможно назвать какую-либо одну сферу, в которую надо вкладывать средства для обеспечения безопасности. Наступил момент, когда нужно инвестировать всюду – новые технологии не должны развиваться без совершенствования безопасности, иначе наступит дисбаланс, который может вызвать коллапс этих же технологий.

С другой стороны, когда новые технологии сделаны грамотно и безопасно, мы становимся свидетелями взрыва потребительского спроса на них. К сожалению, наши страны в области передовых технологий несколько отстают от того, что достигнуто, например, в США. Там уже есть холодильники, заказывающие еду, возможна оплата часами, кольцами, очками и так далее. Мы к этому идем, и хорошо, что перед нами есть ориентир. Но пока в наших странах еще не все банки внедрили такие простые технологии, как, например, Verified by Visa. Если вернуться к предыдущему вопросу о мошенничестве, то в целом его уровень падает, но если мы рассмотрим процент мошенничества по сегментам, то увидим, что наибольшее число случаев – в электронной коммерции. Мошенничество в электронной коммерции развито потому, что это удобная среда для преступников: легко замести следы и избежать своевременной идентификации. Так вот, сегодня не все банки инвестируют в технологию 3D-Secure[1], тогда как уже на подходе новый этап этой технологии – 3D Secure 2.0. Эта модификация позволит передавать больше данных.

Говоря об азербайджанском рынке, следует отметить, что здесь только 18% эмитентских операций в электронной коммерции осуществляется с использованием технологии Verified by Visa. В эквайринге 47% торговых точек поддерживают эту технологию. По этим параметрам мы отстаем, но, в то же время, по чиповым технологиям в наземном использовании Азербайджан занимает первое место в регионах СНГ и Юго-Восточной Европы. 99% операций проходит по чиповым картам, 100% банкоматов и терминалов обеспечивают использование карт в чип-среде.

А как вы в целом оцениваете уровень риск-менеджмента в Азербайджане?

Я бы сказала, что игроки азербайджанского банковского рынка разделились на две категории. Одни банки понимают, что в безопасность нужно инвестировать, и делают это качественно, другие еще не перешли на эту ступень, из-за чего имели место взломы.

Хотелось бы отдельно остановиться на качественном инвестировании и на реализации мер безопасности. Есть такие стандарты безопасности, которые называются PCI DSS (Payment Card Industry Data Security Standard). Это стандарты по обеспечению безопасности хранения, передачи и обработки данных, принятые всеми платежными системами. К сожалению, иногда какой-либо финансовый институт утверждает, что его параметры безопасности соответствуют стандартам, но после взлома данных оказывается, что это не так. То есть, в этом вопросе важно не только количество, но и качество. Сейчас бизнес понимает, что в безопасность нужно инвестировать. Раньше мы часто сталкивались с тем, что, говоря о бизнесе, люди подразумевали только бизнес-решения, а безопасность отходила на второй план. Это объяснялось тем, что мошенничество еще не было настолько развито и бизнесы не видели необходимости инвестиций в безопасность. Сейчас мы подошли к тому, что отсутствие инвестиций в безопасность на ранних этапах может привести к большим потерям впоследствии.

Что Visa предлагает для решения подобных проблем? Есть ли какие-то инструменты, которые вы могли бы рекомендовать? Какие из них уже работают в Азербайджане?

Есть целый ряд инструментов, которые мы предлагаем на наших рынках, в том числе и в Азербайджане. Это технологии Visa Advanced Authorization, когда на этапе проведения транзакции в режиме реального времени Visa проводит оценку каждой операции в зависимости от портретной характеристики конкретного держателя карточки. То есть за весь период действия карточки накапливается история поведенческих характеристик ее держателя – где он совершает покупки, в какие страны ездит, снимает ли наличные. И если операция выходит за рамки этого профиля, либо если карта побывала в торговых точках, которые плохо себя зарекомендовали, мы присылаем эту информацию банку в режиме реального времени, и банк решает, что дальше делать: созвониться с клиентом, отклонить операцию или сразу ее пропустить.

Существуют также программы геолокации. Система сравнивает данные о местонахождении держателя карты с местом проведения операции. Например, держатель находится в ОАЭ, а операция идет из Малайзии. Система это видит и сразу уведомляет эмитента о блокировке карты.

Есть ряд программ в сфере эквайринга. Программа устанавливается в банк-эквайер, который получает возможность в режиме реального времени отслеживать деятельность своих торговцев, особенно крупных, в частности – авиалиний, где уровень мошенничества достаточно высок. Специальные программы определяют, из какой страны, по какой карте и с какого адреса производится операция и все ли соответствует реальным данным.

Visa предлагает и новое решение, которое выходит на рынки стран СНГ. Это токенизация – в этом случае номер карты не фигурирует в транзакции, что предотвращает потенциальную возможность взлома. Если взлом и случается, то мошенники, которые получили токен вместо номера карты, ничего не могут с ним сделать. Как это работает? – К карте привязываются несколько токенов, в зависимости от типа устройства, при помощи которого можно провести оплату: бесконтактные платежи с использованием карты, телефона, колец, очков и так далее. К каждому устройству привязывается один токен, то есть у одной карты может быть несколько токенов. Если происходит компрометация какого-то токена, то, во-первых, мошенник никак не может его использовать, во-вторых, эмитент знает, на каком участке произошла компрометация. Это те технологии, которые сегодня обеспечивают безопасность платежей.

Сегодня многие банки в Азербайджане рассматривают возможности использования технологии блокчейн. Как Visa оценивает данную технологию?

Сама технология блокчейн очень интересна и хорошо себя зарекомендовала с точки зрения безопасности. Пока нельзя сказать, что это распространенная практика, однако мы рассматриваем возможности использования блокчейна для развития новых направлений платежей, причем не только между физическими, но и между юридическими лицами.

Нашим читателям было бы также интересно узнать о платежах через Google Pay и Apple Pay. Когда они заработают на рынке СНГ и, в частности, в Азербайджане?

Мы рады партнерству с компанией Google в Северной Америке, Европе и в странах Тихоокеанского региона. В Азербайджане мы тесно сотрудничаем с финансовыми организациями и готовы оказать им свою поддержку для запуска платежного сервиса Google Pay тогда, когда наши партнеры будут к этому готовы.

[1] 3D-Secure современная технология, разработанная международными платежными системами Visa (Verified by Visa) и MasterCard (Master Card Secure Code) для обеспечения безопасности платежей по картам в интернете, которая позволяет идентифицировать держателя карты, осуществляющего операцию, и максимально снизить риск карточного мошенничества.