180
13 диалогов сMasterCard Борьба с карточным мошенничеством
Взавершение 4-th Fraud Management Conference присутствовавшим на мероприятии журналистам специализированных изданий (в числе которых был и журнал “ПЛАС”) представился уникальный шанс задать ряд вопросов, касающихся различных аспектов борьбы с карточным мошенничеством, сразу трем представителям MasterCard International, являющимся на сегодняшний день наиболее компетентными экспертами в этой области. Несмотря на то, что ряд вопросов был поставлен достаточно остро и порой затрагивал такие весьма “деликатные” темы, как, например, объем потерь от мошенничества по карточкам, практически на каждый из них Джоул Лискер, директор по вопросам корпоративной безопасности MasterCard Europe Питер Уорнер (Peter Warner) и руководитель подразделения оценки рисков Департамента корпоративной безопасности MasterCard Europe Франсуа Адант (Franqois Adant) смогли дать подробный и вполне откровенный ответ, что лишний раз заставляет убедиться в доверительном характере проводимого MasterCard мероприятия как по отношению к участвующим в нем представителям карточного бизнеса, так и к прессе. Полагая, что нашим читателям было бы небезынтересно ознакомиться с мнениями, высказанными в ходе беседы с журналистами этими признанными специалистами в области борьбы с мошенничеством, предлагаем вашему вниманию наиболее интересные, на наш взгляд, “диалоги”, прозвучавшие под занавес конференции.
Как, на ваш взгляд, закон США “Об обеспечении средств для предотвращения терроризма и борьбы с ним” может повлиять на деятельность частных лиц, торгово-сервисных предприятий и компаний, имеющих деловые отношения с партнерами в США?
Ясно, что этот закон дает правоохранительным органам США гораздо больше возможностей, чем они имели до 11 сентября 2001г. Так, если раньше для получения доступа к той или иной финансовой информации им была необходима судебная повестка или соответствующее решение суда, теперь он может быть получен по обычным правительственным каналам, без обращения в судебные органы и органы прокурорского надзора.
Я не могу дать официальную экспертную оценку, но, по имеющейся у меня информации, сейчас идет переговорный процесс, задача которого – наладить обмен соответствующей информацией между правоохранительными органами разных стран. Однако в любом случае очевидно, что этот закон не влечет какой-либо ответственности или обязанностей для европейцев – ясно, что его положения распространяются лишь на граждан Соединенных Штатов и предприятия, действующие на территории этой страны.
Но ведь он может затрагивать интересы европейских компаний, заключающих сделки со своими американскими партнерами?
В этом случае они действительно могут попасть под действие данного закона, однако лишь в той мере, в какой эти предприятия действуют на территории США либо тем или иным образом участвуют в деловых операциях, совершаемых в пределах этого государства. Сегодня мы начинаем осознавать реальные возможности этого закона и видим, что они оказываются гораздо шире, чем мы изначально предполагали.
Не могли бы вы прокомментировать рост объемов мошенничества в мировом карточном бизнесе?
Мне кажется, этот вопрос следует рассматривать в соответствующем контексте. Объемы карточного мошенничества за последний год выросли, но вырос и объем оборота самого бизнеса. Оба эти процесса идут параллельно, и мы стремимся учитывать данное обстоятельство при оценке реального масштаба потерь от карточного мошенничества.
Итак, рассмотрим вопрос в контексте: мы говорим, что средние потери от мошенничества по всем странам мира составляют 8 центов на каждые 100 долл. оборота. Заметим при этом, что в результате неплатежеспособности держателей карточек – когда клиенты не в состоянии оплатить свою задолженность по карточным счетам – теряется 3-5 долл. на 100 долл. Мне кажется, эти цифры могут служить наглядной иллюстрацией для понимания истинного соотношения объемов потерь. Для сравнения: потери от подделки карточек, или скимминга, считающегося достаточно серьезной проблемой, составляют примерно 2 цента на 100 долл. Бесспорно, это крупная проблема, но не в плане реальных финансовых потерь. Реальные же убытки, наносимые карточным мошенничеством, сегодня, как и всегда, связаны в первую очередь с подрывом репутации, имиджа брэнда, доверия клиентов к продукту. Именно поэтому банки выделяют на борьбу с мошенничеством такие значительные финансовые средства, а наша ассоциация затрачивает на эту работу столько сил, времени и энергии. Повторюсь: речь идет не об убытках финансового характера – они, без сомнения, также важны, – но прежде всего это вопрос уверенности клиентов в предложенном им продукте.
 |
Джоул Лискер (Joel S. Lisker)
Старший вице-президент MasterCard International, курирующий проблематику безопасности и управления рисками. Он является высшим должностным лицом компании, ответственным за решение вопросов, связанных с противоправным использованием ее продуктов во всех странах мира.
Дж. Лискер осуществляет общее руководство разработкой технических методов борьбы с различными типами мошенничества, включая методы надежной верификации держателей карточек, используемых в банковских операциях, а также ведет пилотные проекты, связанные с внедрением соответствующей технологии в предприятиях торгово-сервисной сети.
Дж. Лискер родился в шт. Филадельфия, США, окончил университет шт. Пенсильвания. Получив в дальнейшем степень доктора права, он стал членом коллегии адвокатов округа Колумбия и был допущен к юридической практике в этом округе.
Дж. Лискер работал в Уголовном департаменте Министерства юстиции США, где возглавлял ряд крупных расследований, связанных с вопросами внутренней безопасности. В 1981 г. он был назначен ведущим консультантом и директором сенатской подкомиссии по безопасности и борьбе с терроризмом и занимался разработкой важных разделов соответствующего законодательства.
Дж. Лискер являлся сотрудником центрального аппарата ФБР, где принимал непосредственное участие в таких громких операциях, как дела против ку-клукс-клана, нацистских группировок США и других преступных сообществ. Он также отвечал за проектирование и внедрение систем, обеспечивающих защиту каналов связи между центральным аппаратом и зарубежной сетью этого ведомства и, в частности, за разработку методов, применяемых в системе внешней контрразведки.
Свою работу в MasterCard International Дж. Лискер начал в 1987 г., заняв должность вице-президента по вопросам безопасности и противодействия мошенничеству.
Причины столь значительного роста уровня мошенничества с пластиковыми карточками в Великобритании?
Великобритания отличается высоким уровнем активности в противодействии мошенничеству. По платежной отрасли в целом уровень мошенничества очень высок, так как это чрезвычайно активный рынок, но подобная статистика отражает то обстоятельство, что большинство пластиковых карточек в Европе выпускается именно в Великобритании. На эту страну приходится 50% всей европейской эмиссии карточек.
Очевидно, что в стране, где в обращении находится 20 млн. кредитных карт, совокупные обороты по которым весьма высоки, а платеж с карточки является обычным видом платежа в нескольких сотнях тысяч торгово-сервисных точках страны, создается рынок, на котором действительно есть условия для деятельности мошенников. В ряде других европейских стран кредитные карточки распространены в меньшей степени. В связи с этим мошенничество там – менее типичное явление для торгово-сервисных предприятий, потери от которого составляют небольшой процент от их оборотов.
Таким образом, учитывая, что объемы мошенничества зависят от объемов оборота по карточкам, логично было бы предположить, что половина всего мошенничества также имеет место в Великобритании. Однако в действительности степень остроты и актуальности этой проблемы по странам и регионам мира, как правило, в значительной мере зависит от активности организованной преступности. Конечно, было бы некорректно рассматривать какую-то одну страну в отрыве от остальных, например, жители Северной Европы, как правило, проводят свои отпуска на юге Европы, а бизнесмены часто совершают поездки в другие европейские страны, летают в США или на Дальний Восток. Мошенничество имеет место во всех регионах мира, и его характерные черты меняются по мере того, как преступные группы мигрируют из одного региона в другой. Поэтому одной из важных задач MasterCard International является контроль за миграцией “карточного” криминала, отслеживание и выявление этих миграций. При этом обмен информацией на международном уровне позволяет сделать борьбу с мошенниками более действенной.
 |
Питер Уорнер (Peter Warner)
Питер Уорнер начал работу в Europay International с 1994 г. и в настоящее время является директором по вопросам корпоративной безопасности MasterCard Europe. Его задачей является разработка и внедрение целостной стратегии внутренней безопасности и противодействия мошенничеству, а также подготовка планов соответствующих мероприятий, направленных на минимизацию потерь от мошенничества при проведении платежей.
Управление корпоративной безопасности MasterCard Europe разрабатывает, реализует и сопровождает различные продукты и услуги в области управления рисками для европейских банков, а также консультирует банки по вопросам выбора и внедрения оптимальных программ противодействия мошенничеству. В число его задач также входят расследование конкретных случаев мошенничества, консультации по вопросам оценки уровня рисков, информационная и физическая безопасность всех Интернет-ресурсов Europay
П. Уорнер родился в Англии, получил образование бухгалтера и в течение значительного периода времени работал в английской полиции, однако основная часть его профессиональной деятельности связана с индустрией платежей. Его карьера в этой области началась в британской компании Access в 1974г. К 1991г., когда Access была приобретена компанией FDR, П.Уорнер занимал должность заместителя директора по разработке систем.
В 1992 г. П. Уорнер был переведен в центральный офис FDR и работал в США. В 1994 г. он вернулся в Европу и перешел в Europay International на должность старшего руководителя отдела управления проектами.
Какие конкретные шаги предпринимает MasterCard International в сфере борьбы с преступными сообществами, специализирующимися на незаконном использовании пластиковых карт в мире? Какую роль в этом процессе играет фактор миграции криминала?
На сегодняшний день можно выделить практически любую форму карточного мошенничества и проследить ее миграцию по миру. Так, еще до применения современных средств защиты MasterCard первой в отрасли ввела практику записи контрольных кодов на 1 и 2-ю дорожки магнитной полосы. Мы стали применять запись значений CVC, наносящиеся только на поле для подписи уникальные защитные знаки, которые размещаются на лицевой стороне карточек, и другие средства защиты. Все это было сделано еще до того, как мошенничество в странах Азии приобрело действительно крупные масштабы. Когда же некоторое время спустя все эти средства были успешно применены в странах Азии с целью нанести удар по расцветшему там мошенничеству, преступники мигрировали – сначала в Европу, затем в Канаду и, позднее, в США.
Таким образом, проблема заключается не в той или иной форме мошенничества самой по себе, будь то скимминг или что-либо другое. Как только принимаются жесткие защитные меры, люди, занятые этим преступным бизнесом, поступают так же, как поступают, собственно говоря, любые, в том числе и легальные, предприниматели, деятельность которых ущемляется, – они мигрируют в те регионы, где могут продолжать свою “работу” с меньшими проблемами. И, как мне кажется, главное преимущество MasterCard состоит в том, что мы постоянно ищем новые решения. Никто не в состоянии построить бизнес на одной-единственной технологии. Да, мы считаем, что будущее за микропроцессором, и всецело поддерживаем этот подход, но при этом прекрасно понимаем, что в течение определенного времени магнитные и микропроцессорные карточки будут сосуществовать. Микропроцессор, например, можно блокировать, а если под рукой нет микропроцессорного терминала, позволяющего пользоваться микросхемой карточки, и кто-то хочет снять информацию с магнитной полосы, он все еще может это сделать. В связи с этим сегодня в Малайзии мы испытываем технологию, называемую magniprint, которая позволяет фиксировать уникальные характеристики магнитной полосы с тем, чтобы эмитент, получая запрос на авторизацию, имел возможность установить, совершается ли операция с магнитной полосы конкретной карточки или с какой-то другой магнитной полосы.
Какова ситуация с карточным мошенничеством по американским карточкам?
По нашим оценкам, основной объем мошенничества по карточкам, выпущенным в США, совершается непосредственно на территории этого государства, причем в этом плане особенно выделяются 5 штатов. Дело в том, что большинство американских держателей карточек не выезжают за пределы США. Что же касается Европы, то почти 75% мошенничества, совершающегося по европейским карточкам, имеет место в Европе, 10% – в США и остальная часть – в других странах света. Таким образом, мы видим, что мошенники действуют в основном в пределах своего региона.
 |
| Практически на каждый вопрос журналистов Джоул Лискер, Питер Уорнер и Франсуа Адант смогли дать подробный и вполне откровенный ответ, что лишний раз заставляет убедиться в доверительном характере проводимого MasterCard мероприятия |
Какова реальная доля мошенничества, связанного с организованной преступностью?
Исторически примерно четверть случаев карточного мошенничества (или даже около 30%) относится к категории “потеря и кража карточки”, которая не считается связанной с организованной преступностью. Примерно четверть мошеннических операций, о которых я говорил выше, – 2 цента из 8 центов на каждые 100 долл. – приходится на фальшивые карточки. Однако очевидно, что большая часть операций по подделке карточек по самой своей природе совершается организованными преступными группами, и здесь есть что обсуждать. Так, например, в этом году мы проводим не только нынешнее мероприятие – нашу IV ежегодную конференцию. Не далее как на будущей неделе мы принимаем участие в ежегодной конференции Интерпола, посвященной вопросам борьбы с мошенничеством в области платежных карточек. Как видите, мы очень тесно взаимодействуем с международными правоохранительными ведомствами. Мы знаем, что последние в силу специфики своей работы обладают обширной информацией, связанной с деятельностью мошенников, специализирующихся на карточках. Такое сотрудничество, а также использование информационных ресурсов, которые могут предоставляться нам Интерполом, ФБР (США) или Европолом, дает нам мощную поддержку в противодействии этому виду преступной деятельности.
Ни для кого не секрет, что организованные преступные группы, которым необходимы средства для финансирования других видов их деятельности, очень часто прибегают к краже денег с кредитных карточек. Следует отметить, что эти группы далеко не всегда имеют четкие национальные характеристики. Преступники различных национальных групп, даже если они не всегда ладят в повседневном общении, очень слаженно и эффективно работают в составе синдикатов подобного рода. Они могут быть выходцами из стран или территорий, находящихся в данный момент в состоянии конфликта, но очень хорошо понимают друг друга, когда речь идет об организации тех или иных преступных акций и о необходимости финансирования каких-либо иных операций.
Совместная работа с Интерполом и другими организациями включает в себя создание постоянно действующей базы данных, позволяющей, по сути дела, классифицировать фальшивые карточки на основе их связи с конкретными преступными группами, устанавливаемой на базе материалов следствия. Когда у подозреваемого лица обнаруживают поддельную карточку, сличение ее реквизитов с информационными массивами, содержащимися в такой базе данных, позволяет получить подробную информацию по какой-либо, скажем, болгарской или польской, группировке и узнать, на чем она специализируется – на торговле оружием, людьми, наркотиками и т. д.
Но доступ к информации о такой группе через обнаруженную у члена банды фальшивую кредитную карточку становится возможен лишь благодаря тому, что ее участник был когда-то ранее замешан в подделке карточек.
Возможно ли, что в результате перехода Европы на карточки EMV, а также повсеместного использования ПИН-кодов при совершении транзакций в торговой сети проблема мошенничества перетечет в Соединенные Штаты?
Раньше это происходило именно так. Будут ли это сначала США или другой регион, заранее предугадать невозможно, но преступники, идя по пути наименьшего сопротивления, безусловно, будут мигрировать на ближайшие рынки, куда еще не пришли микропроцессорные карточки и транзакции в торговой сети с использованием ПИН-кодов. Вероятнее всего, будет наблюдаться та же ситуация, что имела место в Азиатско-Тихоокеанском регионе, когда мы ввели дополнительные средства защиты: мошенники сначала перебрались в Европу и Канаду, а затем в Соединенные Штаты.
Однако необходимо учесть, что в Соединенных Штатах уже сегодня есть эмитенты, выпускающие EMVсовместимые карточки. Мы очень активно работаем и с биометрическими технологиями в качестве одного из возможных методов удостоверения личности держателей карточек, который станет следующим шагом после введения обязательного использования ПИН-кодов.
 |
| Несмотря на высокую интенсивность программы 4-th Fraud Management Conference, гости Дублина временами могли позволить себе небольшую передышку в борьбе с мошенничеством |
Кроме того, в США будет действовать еще один стимул. Вы, наверное, знаете о правиле, которое уже сейчас применяется в Европе, причем аналогичные правила будут введены, ориентировочно к 2005г., и в других регионах мира: ответственность за потери от мошенничества несет сторона, не обеспечившая переход на микропроцессорную технологию выполнения транзакций. Что за этим стоит? Буквально это правило означает, что если Великобритания целиком перейдет на микропроцессорные карточки, что, без сомнения, случится задолго до 2005г., и мошенник, похитивший реквизиты карточки, эмитированной на ее территории, произведет по ней мошенническую операцию в другой стране, где еще не установлены EMV-совместимые терминалы, то страна, в которой совершился данный платеж, будет обязана взять на себя ответственность по убыткам от такого мошенничества. Таким образом, если в дальнейшем мошенники перенесут свою деятельность из Великобритании в соседние страны – скажем, во Францию, Италию, Германию или Грецию, – то последние станут нести огромные потери, и для них уже сегодня возникнет прямой финансовый стимул внедрить у себя такую же технологию, чем, собственно, и объясняется целый ряд инициатив по переходу на микропроцессорные карточки среди европейских стран. После того как этот рубеж – 2005г. – будет пройден (причем мы установили аналогичный срок для Латинской Америки – там это 2004г.; такой же срок установлен и для Дальневосточного региона), преступники начнут мигрировать в другие регионы. Но, как сегодня уже отмечалось, американцы тоже не сидят сложа руки, и микропроцессорная технология в ближайшее время повсеместно начнет внедряться и в США.
Что вы можете сказать в этом отношении о других карточках, в частности, о карточках, выпускаемых предприятиями розничной торговли, может ли мошенничество мигрировать в эту область?
Платежные карточки, выпускаемые многими широкоизвестными торгово-сервисными сетями, защищены гораздо лучше. Предприятие или любая торгово-сервисная сеть имеет больше возможностей контроля, поскольку это закрытая система, обеспечивающая одинаковое признание продукта и его качества в любой точке света. Поэтому я не думаю, что розничным карточкам грозит превратиться в легкоуязвимую мишень для мошенников.
Что предпринимается MasterCard в плане борьбы с мошенничеством при совершении транзакций в Интернете?
У нас есть ряд решений и в этой области. Первое из них, которое было выпущено недавно, называется SPA – Secure Payment Application. При использовании SPA держатель карточки проходит идентификацию у участника этой системы, благодаря чему реквизиты транзакции становятся известны только торгово-сервисному предприятию. Они передаются вместе с идентификатором в момент ввода держателем карточки ПИН-кода при аутентификации, после чего эта информация направляется банку-эквайеру в той форме, которая уже не может быть оспорена недобросовестным держателем карточки. Таким образом, смысл данной операции в том, что она защищает эквайера, установившего у себя систему SPA.
В настоящее время разрабатываются и другие системы – в частности, мы предлагаем сервис, который позволяет защищать web-сайты торгово-сервисных предприятий от различных форм мошенничества, связанных с кражей информации о клиентских счетах. Имеется две компании (одна из них – Predictive Systems), которые, по нашей оценке, в состоянии провести соответствующую работу на базе новых стандартов, принятых в Великобритании. Эксперты этих компаний определяют примерный уровень защищенности web-сайта той или иной торговой компании и проверяют надежность средств его защиты путем моделирования различных мошеннических приемов или даже попыток взлома. Это позволяет торгово-сервисному предприятию принять дополнительные меры для защиты себя и своих клиентов от атак, связанных с кражей информации, о которых немало сообщалось в последнее время.
Решается ли вопрос обеспечения безопасности транзакций в Интернете на пользовательском уровне?
Я считаю, что, в конечном счете, подключение ридеров для смарт-карточек к ПК – это достаточно перспективный путь. Функции аутентификации при помощи ПИН-кода или биометрики будут, по-видимому, реализованы несколько позднее – этот процесс будет происходить постепенно, поскольку он связан с дополнительными затратами. Пока многие компании, разрабатывающие такие устройства, способны предложить лишь ограниченный набор функций. Мы же хотели бы видеть действительно полнофункциональную карточку, способную поддерживать целый ряд приложений. Только в этом случае, учитывая соответствующие финансовые затраты, защита карточек может иметь какой-то экономический смысл.
Возможно даже предусмотреть такую специфическую меру, как предварительное уведомление клиентов по электронной почте о каждой транзакции электронной коммерции – подобного рода решение видится весьма эффективным.
Будет ли решена проблема борьбы с мошенничеством после миграции карточной индустрии на микропроцессорную технологию?
Дело в том, что переход на микропроцессорную технологию осуществляется отнюдь не только для того, чтобы ограничить объемы мошенничества. Последнее, безусловно, также является немаловажной мотивацией, однако, с точки зрения банка, использование микропроцессора – это, в конечном счете, возможность реализовать новые функции, имеющие привлекательность для клиента, создать возможности электронных платежей для клиентов электронной и мобильной коммерции, пользователей спутникового телевидения и т.д.
Хотелось бы сделать еще одно замечание по поводу Интернет-мошенничества и махинаций в сфере электронной коммерции. Похоже, пользователи опасаются, что вероятность такого мошенничества очень высока. По-моему, здесь необходимо выделить ряд важных моментов. Во-первых, насколько мне известно, не было ни одной доказанной транзакции, совершаемой в мошеннических интересах, основанной на перехвате на каналах связи информации о реквизитах платежных карт. Такую операцию слишком сложно организовать для получения практических данных о единичных картах, номерах и окончании срока действия. Пока реальной угрозой выступали взлом и нарушение целостности баз данных операторов Интернет-коммерции. Именно этот момент вызывает у нас наибольшую обеспокоенность, и именно по этой линии необходима надежная защита данных. Собственно говоря, в рассматриваемом случае проблемы возникают не только для эмитентов кредитных карточек, поскольку предприятие розничной торговли – а именно такие предприятия хранят номера карточек в своих компьютерах – хранит на том же компьютерном диске и другую информацию, например, данные сотрудников магазина, финансовую и банковскую информацию и т.д. Вся информация такого рода может быть похищена и затем использована преступными элементами. Таким образом, наш способ решения этой проблемы – это предоставление сервиса, позволяющего эквайерам и торгово-сервисным предприятиям находить лазейки в собственных сетях, через которые злоумышленники могут обходить используемые ими средства защиты и проникать в их системы.
Примерно год назад мы также столкнулись с прецедентом, когда преступники использовали порнографические сайты для проведения наиболее крупных на тот момент мошеннических операций в Интернете. В результате целой серии инициатив, предпринятых нами как самостоятельно, так и во взаимодействии с другими ассоциациями (не последнюю роль среди которых сыграли чрезвычайно высокие штрафы, заставившие различные сайты отказаться от использования порнографических материалов), целый ряд крупных международных компаний, поставлявших подобную продукцию, перестали существовать. В прошлом году источником аналогичной проблемы стали международные сайты, предлагающие различные азартные игры. Примечательно, что хотя при использовании этого сценария объемы мошенничества также были относительно высоки, значительная часть преступных по сути операций фактически таковыми не являлись, поскольку люди вообще отрицали, что они заключали какие-либо Интернет-сделки. Это можно было бы назвать “дружеским” или “семейным” мошенничеством – и такое мошенничество также широко распространено, причем в нем используются не только азартные игры, но, опять-таки, порнографические web-ресурсы.
Таким образом, мы принимаем активные меры в этих двух областях, на которые приходится в общей сложности, вероятно, свыше 50% наших потерь от Интернет-мошенничества, и реализуем здесь целую серию инициатив. В результате объемы Интернет-мошенничества оказываются даже ниже, чем при “обычном” мошенничестве, связанном с потерей либо кражей карточек и т. п.
Вы упоминали инициативы, направленные на ограничение мошенничества, совершающегося через сайты, предлагающие азартные игры и т. д. Собираетесь ли вы участвовать в новых программах в этой области, которые проводит ассоциация Visa? Как отмечали некоторые представители сферы торговли, возможно, что проблема состоит в недостаточной координации усилий международных платежных ассоциаций, направленных на борьбу с мошенничеством?
У нас есть решение UCAF SPA, Visa параллельно разработала свое решение. Совершенно ясно, что платежная индустрия находится сегодня в поисках единой платформы. Стоит напомнить, что у нас уже есть единая платформа стандартов микропроцессорных карточек в виде спецификаций EMV, на базе которой MasterCard стремится создать еще более передовое решение. Поэтому, думаю, будет справедливо сказать, что подобные вопросы в области безопасности электронной коммерции обсуждаются, и весьма активно. Обе ассоциации весьма заинтересованы в выработке единого решения. И, как мне кажется, правомерным будет также заявить, что мы надеемся найти такое решение в не слишком отдаленном будущем. Подобный подход в полной мере соответствовал бы как интересам потребителей, так и интересам наших банков-участников, которым также нет никакого резона инвестировать средства во внедрение двух различных технологий.
Полный текст статьи читайте в журнале «ПЛАС» № 6-7 (76-77) ’2002 стр. 5
