Обеспечение экономической безопасности электронных платежей в Интернете
С каждым днем электронная торговля становится все более актуальной формой ведения бизнеса. В силу объективных экономических причин, характеризующих развитие России на протяжении последнего десятилетия, вступление нашей страны в Интернет-бизнес несколько запоздало по сравнению с развитыми зарубежными странами, однако это отставание не столь велико, как в других отраслях народного хозяйства, а сама отрасль развивается опережающими темпами, что обуславливает скорейший выход национальной информационной индустрии на общеевропейский уровень. Это влечет за собой как отрицательные, так и положительные моменты, связанные уже сегодня с развитием этого интересного и перспективного направления в Российской экономике. Некоторое отставание по времени востребованности технологий, используемых в электронной коммерции, позволяет не допускать нами повторения ошибок рубежных компаний, занимающихся разработкой программного обеспечения для электронной коммерции. С другой стороны, прошедшее время успешно использовано и различного рода мошенниками, накопившими значительный опыт программного взлома закрытых сетей и хранилищ информации.
Принимая решение об организации электронного бизнеса, необходимо быть готовым к тому, что использование пластиковых карт в качестве основного платежного инструмента может спровоцировать попытки различного видов мошенничеств, наложенных на передовые Интернет технологии. Однако как устрашающе не выглядит такая перспектива, практика показывает, что успешная борьба с мошенниками возможна. При этом необходимо непременное объединение усилий и знаний специалистов служб безопасности и технических экспертов (специалистов по защите информации).
Сами по себе противоправные действия, связанные с использованием пластиковых карт начались задолго до появления Интернет, поэтому к настоящему моменту в службах безопасности банков накоплен достаточный опыт по решению данной проблемы. Для успешного его применения достаточно только небольшая его коррекция с учетом реалий электронного бизнеса.
Переходя к рассмотрению комплекса задач, решаемых для предотвращения мошенничества с использованием пластиковых карт интересно рассмотреть основные виды мошеннических действий, совершаемых в электронной коммерции.
Покупки в электронных магазинах относятся к так называемым заказам по почте/телефону (МОТО Mail Order/Telephone Order), т.е. продавец не может увидеть непосредственно покупателя и подержать в руках его кредитную карту.
Основные виды мошеннических действий злоумышленников:
-
Приобретение товаров и услуг по реквизитам пластиковых кредитных карт;
-
Взлом БД, содержащих информацию по пластиковым картам;
-
Организация мошеннических электронных магазинов.
Приобретение товаров и услуг по украденным реквизитам кредитных карт наиболее распространенный вид неправомерного деяния. Попытки получить товар, услуги или доступ к информационным ресурсам, данным способом, рассматриваются многим, как невинную шалость. Ведь фактически деньги как таковые никто не крадет, да и самого покупателя не видно (всегда есть возможность спрятаться за многочисленными зарубежными прокси-серверами).
Широкое распространение данный вид злоумышленничества получил потому, что он не требует больших финансовых вложений и фактически любой пользователь персонального компьютера, имеющий доступ в Интернет, обладающий продвинутыми знаниями в области вычислительной техники и построении компьютерных сетей, потенциально может совершить подобные деяния. В настоящее время, с помощью поисковых серверов Интернет можно получить описание пластиковых карт, их генераторы а, зачастую, и некоторые сведения о технологии функционирования отдельных платежных систем. Фактически это все, что необходимо для осуществления попыток совершения подобных преступлений. В данном случае основные убытки несет непосредственно электронный магазин.
Организация мошеннических Интернет-магазинов - данное деяние является менее распространенным, в силу необходимости достаточно больших финансовых вложений, привлечения квалифицированных программистов и приобретения дорогостоящих средств вычислительной техники. Целью создания данных Интернет-магазинов является перевод денежных средств со счетов держателей пластиковых карт на расчетные счета мошенников с последующим их обналичиванием. Ущерб, причиняемый действиями подобными "предпринимателями", может исчисляться миллионами рублей. В данном случае весь груз финансовой ответственности перед держателями пластиковых карт, чьи номера были использованы в мошеннических целях, ляжет на платежную систему, зарегистрировавшую данный Интернет-магазин.
Взлом баз данных, содержащих сведения о держателях пластиковых карт, осуществляющих покупки в электронных магазинах - наименее распространенный вид противозаконных действий, требующий высочайшей квалификации лиц, совершающих данные действия.
Основной целью при подобных действий (взлома компьютерной системы) ставится формирование базы данных кредитных карт, с последующей ее продажей или использованием в организованном этими же мошенниками электронном магазине.
Как показала практика, основными объектами для нападения злоумышленников являются Интернет-магазины зарубежных торговцев. В первую очередь это связано с тем, что за рубежом Интернет-магазины хранят у себя данные по кредитным картам покупателей (номер карты, имя держателя, срок действия карточки), совершивших оплату за товар или услугу.
Взлом баз данных платежных систем и коммерческих банков существенно затруднен и потребует огромных организационных затрат, финансовых вложений и привлечения квалифицированных специалистов. Как правило, банки уделяют огромное внимание защите подобных информационных ресурсов и привлекают высоко квалифицированных специалистов по защите информации, с целью недопущения проявления подобных фактов мошенничества.
Эффективность построения системы безопасности во многом зависит от максимально полного учета и задействования всего множества факторов, влияющих на ее решение. Ниже представлены основные направления деятельности службы безопасности платежной системы (интернет-магазина) решение которых необходимо учесть при разработке мероприятий, направленных на выявление и предотвращение мошеннических действий с использованием пластиковых карт в среде Интернет.
К таковым можно отнести следующее:
· контроль за разработкой и реализацией технологии, обеспечивающей безопасное проведение электронных платежей (выработка рекомендаций и предложений);
· сопровождение всех этапов подготовки, согласования, внесения изменений и подписания договоров (только для работы СБ в платежных системах);
· организация всестороннего мониторинга транзакций и отслеживание деятельности предприятий (клиентов) но различным параметрам;
· организация особого внутреннего контроля в подразделениях, где по роду своей деятельности сотрудники имеют доступ к конфиденциальной информации и базам данных, содержащим сведения но пластиковым картам, использованным в системе при совершении покупок.
Технологические аспекты обеспечения безопасности проведения платежей в среде Интернет являются одними из основных направлений, которые приходится решать при создании платежной системы или электронного магазина.
Применительно к платежным системам к ним можно отнести:
-
разработка идеологии функционирования платежной системы, выбор протоколов взаимодействия между ее участниками (определение методов защиты информации от перехвата и изменения);
-
подготовка технических заданий и написание программного обеспечения; тестирование программного обеспечения, выявление ошибок его доработка;
-
поддержание беспрерывного функционирования платежной системы, организация технической поддержки работы клиентов;
-
совершенствование технологии.
Основным документом, регулирующим взаимоотношения между участниками платежной системы, является договор на обслуживание юридического лица. В целях исключения возможности подключения к системе магазинов мошенников, служба безопасности должна сопровождать все этапы, предшествующие подписанию договора и влиять на результат его подписания. Необходимо выработать процедуру по проверке сведений, представленных предприятием при регистрации, сформулировать критерии их предварительной оценки, результатом которой будет являться выработка рекомендаций о целесообразности подключения того или иного клиента.
Следующим этапом по предотвращению мошеннических действий, является организация мониторинга функционирования электронного магазина с целью раннего выявления мошеннических действий, совершаемых при осуществлении покупок его клиентами (или самими организаторами). Эта задача может быть решена только путем организации автоматического анализа транзакций по различным параметрам за определенный промежуток времени. Какие именно параметры, и за какой промежуток времени необходимо анализировать, зависит от конкретной платежной системы, количества клиентов (электронных магазинов).
Например, разработанный программный продукт может осуществлять анализ показателей работы по следующим параметрам:
-
магазин получил отказ покупателя от подтверждения платежа (chargeback), a товар ему не был возвращен;
-
пластиковая карта была использована “X” раз, за “Y” промежуток времени;
-
данные, введенные пользователем, содержат заведомо неверные сведения об имени и адресе;
-
соответствие между номером телефона покупателя, адресом доставки счета, адресом доставки товара и другие данные вызывают подозрение;
-
соответствие между e-mail клиента, его IP-адресом вызывает подозрение; ввод покупателем непристойных слов;
-
покупатель, использующий данную пластиковую карту, вводил более двух раз неверное имя на карте;
-
покупатель, использовал “X” карт за последнее “Y” промежуток времени;
-
покупатель заказывает определенный (дорогой) товар гораздо чаше, чем это можно ожидать.
Организация внутреннего контроля в подразделениях компании направлена на предотвращение несанкционированного доступа к массивам информации, содержащим сведения о клиентах, их платежах и используемых пластиковых картах, ее модификации, копирования и уничтожения. Успешное решение данной задачи возможно только с привлечением различных категорий специалистов. Основные направления работы включают в себя:
-
работу с персоналом при приеме на работу; поддержание корпоративной культуры в компании;
-
выполнение всего комплекса мер по защите информации;
-
организация пропускного режима и контроля за соблюдением трудовой дисциплины сотрудниками.
Отсутствие законодательных актов, направленных на регулирование различных аспектов деятельности в Интернет существенно замедляет развитие электронной коммерции и способствует росту экономических преступлений, совершению мошеннических действий с использованием пластиковых карт.
На открытых Думских слушаньях было принято решение об объединении усилий комитетов, занимавшихся подготовкой проектов Законов, регулирующих правовые отношения в среде Интернет, что позволит перейти электронному бизнесу в России на следующую ступень развития и расширит законодательную базу, позволяющую более эффективно бороться с мошенническими действиями, совершаемыми с использованием пластиковых карт.
Источник bre.ru
Дополнительная информация
Посмотреть каталог антивирусов, обеспечивающих безопасность при проведении платежей >>
Посмотреть каталог программного обеспечения для Бизнеса >>
Бухгалтерские программы >>
CRM-системы >>
Посмотреть каталог оборудования для обеспечения безопасности Вашего Бизнеса >>
