Журнал ПЛАС » Архив » 2020 » Журнал ПЛАС №8 » 50 просмотров

Безопасность и новые технологии. Опыт COVID-19

О последних технологических и эпидемиологических трендах платежной индустрии, ситуации с безопасностью в России и в мире, а также о новых методах противодействия мошенничеству и киберпреступности мы беседуем с Эвелиной Нечипоренко, главой департамента управления рисками Visa в России.
 ПЛАС: Насколько критичной оказалась нагрузка на ИТ-инфраструктуру платежной системы Visa в период пандемии? Ваша оценка уровня безотказности ИТ-систем финансового сектора в целом?Э. Нечипоренко: ИТ-инфраструктура Visa обладает большими возможностями как с точки зрения мощности, так и с точки зрения безопасности, и имеет запас для обработки транзакций без ущерба для обоих этих показателей. В такой непредсказуемый период, как пандемия, особенно важна устойчивая платежная инфраструктура, поэтому мы сделали со своей стороны все возможное, чтобы сохранить высокий уровень обслуживания и сервиса, к которому привыкли наши клиенты, партнеры и держатели карт.Visa разработала план действий для обеспечения бесперебойного функционирования наших систем. Также были предприняты дополнительные меры, чтобы минимизировать влияние происходящего на жизнь наших сотрудников и способность компании в полной мере предоставлять услуги клиентам. Проведенные нами учения подтвердили, что Visa способна поддерживать непрерывность работы бизнеса при самых различных сценариях. В частности, Visa была готова оказывать поддержку авторизации в условиях недоступности эмитента, обеспечивать более высокую степень одобрения транзакций в электронной коммерции, а также предлагать экстренную помощь тем держателям карт, которым она понадобилась во время поездки, в том числе за границей. Благодаря своевременно принятым мерам Visa сохранила устойчивость своих систем, как, впрочем, и многие участники финансового сектора.ПЛАС: Как пандемия сказалась на ситуации с безопасностью в банковском и платежном секторе?Э. Нечипоренко: С ростом онлайн-­покупок и онлайн-­платежей в период пандемии мошенники и киберпрестуники также увеличили свою активность и в электронной коммерции. Например, увеличилось число мошеннических веб-сайтов, атак на веб-сайты торгово-­сервисных предприятий, компрометаций веб-сайтов ТСП, когда злоумышленники внедряют вредоносный код, чтобы собрать платежные данные их клиентов.Увеличилась активность во время пандемии и «социальных инженеров» — особого типа мошенников, которые выманивают личную и платежную информацию у держателей карт. При этом они не только продолжали использовать старые схемы (вроде звонков от якобы «сотрудника банка»), но и изобретали новые методы, чтобы воспользоваться обеспокоенностью людей ситуацией с коронавирусом. Например, размещали фальшивую рекламу товаров для защиты от коронавируса (антисептики, маски, и т. д.), товаров первой необходимости, обещая большую скидку, и по предложенной ссылке перенаправляли заинтересованных пользователей на фишинговый сайт, на котором мошенники не только собирали платежные данные, но и получали платежи за несуществующий товар.Увести людей на фишинговый сайт злоумышленники также пытались с помощью email-­рассылок, в которых они подделывали бренд и стиль авторитетных организаций (Всемирной организации здравоохранения и т. д.). Тема коронавируса использовалась мошенниками и в телефонных разговорах: социальные инженеры обзванивали банковских клиентов и обещали им помощь в получении отсрочки по выплате кредитов, пособия, возврат налогов, компенсации за авиабилеты и услуги по диагностике на наличие COVID‑19.Чтобы обезопасить владельцев карт от социальных инженеров, в апреле 2020 года Visa продолжила образовательную кампанию с чат-ботом, который проигрывает с пользователями наиболее распространенные мошеннические сценарии — с продажей товара на популярном сайте объявлений, арендой квартиры, кредитом на автомобиль, розыгрышем призов, звонком лжесотрудника банка, рекламой товара первой необходимости в условиях карантина. Мы надеемся, что с помощью такого подхода потребители смогут лучше понять приемы социальных инженеров, а также ценность своей личной и платежной информации и правила ее защиты. Думаю, такого же мнения придерживаются и многие банки, включая наших партнеров, которые активно делились ссылкой на данный чат-бот в своих информационных каналах.
Стать жертвами злоумышленников могут даже сотрудники компаний, входящих в платежную экосистему
ПЛАС: Какую роль в целом играет сегодня человеческий фактор в рисках, связанных с безопасностью? Какие шаги, на ваш взгляд, необходимо предпринимать для развития культуры риск-менеджмента в этом направлении?Э. Нечипоренко: К сожалению, несмотря на наличие все более продвинутых технологий для обеспечения безопасности, человеческий фактор остается самым уязвимым звеном для мошенников. Практика показывает, что стать жертвами злоумышленников могут умышленно или непреднамеренно не только обычные потребители, но и сотрудники компаний, входящих в платежную экосистему (банков, платежных агентов, ТСП и т. д.), в результате чего может произойти утечка персональной и платежной информации их клиентов, с помощью которой мошенники могут вывести средства с карт. Предоставить злоумышленникам ценные данные могут и сами пользователи, которых ввели в заблуждение с помощью методов социальной инженерии.Тем не менее минимизировать влияние человеческого фактора можно. Во-первых, с технической точки зрения необходимо построить эффективную систему информационной безопасности, фрод-мониторинга и риск-менеджмента, которая поможет своевременно выявлять попытки неправомерных действий со стороны киберпреступников и мошенников.Во-вторых, техническая задача в свою очередь связана с вопросом выделения компаниями достаточного бюджета на построение эффективной системы безопасности и риск-менеджмента.В-третьих, нельзя забывать, что мошенники не стоят на месте, поэтому необходимо регулярно обновлять существующие процессы и процедуры по обеспечению информационной безопасности, риск-менеджменту и фрод-мониторингу.В-четвертых, чтобы помочь клиентам из числа физлиц противостоять манипуляциям злоумышленников, стоит также проводить постоянную образовательную работу среди сотрудников компаний и держателей карт, разъясняя им основные правила безопасности и уловки, которые используют мошенники.И наконец, в‑пятых, нужно использовать лучшие практики и опыт, существующие в России и в мире. Например, помимо собственных правил по управлению рисками, мы также берем за ориентир международные практики и регулирование в этой области.Я считаю, что сформированная на сегодня культура риск-менеджмента в России находится на достаточно высоком уровне и способствует укреплению безопасности в платежной сфере. 
Даже самые продвинутые мошенники используют все те же базовые методы для атаки на продавцов, держателей карт и банки
ПЛАС: Социальная инженерия в РФ — настоящий бич нашего времени. Насколько эта проблема актуальна для других стран? И как с ней можно эффективно бороться? Какую роль здесь может играть омниканальный фрод-мониторинг?Э. Нечипоренко: Статистика действительно показывает, что социальная инженерия представляет серьезную угрозу для российских потребителей. По данным Банка России, в 2019 году объем всех операций, совершенных без согласия клиентов — физических лиц, составил 5,7 млрд. руб­лей, при этом на социальную инженерию пришлось 69% мошеннических операций.Обезопасить население от социальных инженеров может регулярное информирование о самой проблеме и способах ее предотвращения. При этом просто рассказывать о том, как людей могут обмануть и как этого избежать, недостаточно, потому что мошенники постоянно изобретают новые схемы обмана сразу же после того, как старые перестают работать. Защитить пользователей банковских карт от действий социальных инженеров могут образовательные кампании вроде нашего проекта с чат-ботом, о котором я рассказала ранее.Омниканальный фрод-мониторинг, конечно, также может помочь в борьбе с мошенничеством, в том числе и с социальной инженерией, поскольку
Если у вас есть подписка, нажмите
Подписывайтесь на наши группы, чтобы быть в курсе событий отрасли.

Читайте в этом номере:


Перейти к началу страницы

Подпишитесь на новости индустрии

Нажимая на кнопку "подписаться", вы соглашаетесь с


политикой обработки персональных данных