«Мир» вне опасности: НСПК усилила контроль за скомпрометированными картами
В платежной системе «Мир» появилась новая функциональность, предназначенная для обмена информацией о скомпрометированных нацкартах между их эмитентами и платежной системой, а также между самими участниками системы. Об этом «Известиям» рассказали в НСПК — операторе карт «Мир». В крупнейших банках сообщили, что уже начали использовать новую технологию. Она поможет более эффективно отслеживать «утекшие» данные и позволит снизить число мошеннических действий. Впрочем, в Visa и Mastercard аналогичные сервисы работают уже давно.
Техника без опасности
Новую функциональность платежной системы «Мир», предназначенную для обмена информацией о скомпрометированных картах, уже поддержали более 180 банков, сообщили «Известиям» в Национальной системе платежных карт (НСПК), которая выступает оператором карт «Мир». С 20 октября технология была запущена в опытно-промышленную эксплуатацию.
— Новый функционал «Скомпрометированные карты» реализован на базе диспутной платформы НСПК, предназначенной для обмена информацией как между участниками платежной системы «Мир», так и между банками и платежной системой. Это позволит более быстро и адресно предоставлять участникам информацию о скомпрометированных платежных инструментах, а также оперативно реагировать на всех уровнях — как банков, так и платежной системы, — заявили в НСПК.
В компании уточнили, что нововведение позволит принимать необходимые меры по противодействию разным видам мошенничества.
Совладелец специализирующейся на кибербезопасности компании RuSIEM Максим Степченков пояснил «Известиям», каков в целом принцип работы сервиса. По его словам, банки присылают в платежные системы информацию по эмитированным ими и впоследствии скомпрометированным картам. Эксперт добавил, что это могут быть как карты пострадавших, так и карты «дропов» — лиц, через которых мошенники выводят украденные средства. Платежные системы обрабатывают эту информацию и рассылают по остальным участвующим в обмене банкам, которые используют полученные данные в своих антифрод-системах, разъяснил Максим Степченков.
Новый функционал НСПК уже подключили, в частности, Райффайзенбанк, ПСБ и МТС Банк, сообщили «Известиям» их представители. В Росбанке только планируют использовать его в своей работе, а в «Зените» собираются изучить возможности технологии.
Информацию о скомпрометированных картах НСПК рассылала и ранее, но теперь это будет происходить не по почте, а через веб-сервис, пояснил вице-президент и директор по безопасности Почта Банка Станислав Павлунин. По его словам, это удобный и востребованный механизм, который позволит оптимизировать и ускорить обмен информацией между платежной системой и банками и снизить риски мошенничества.
— Эта функциональность направлена на информирование эмитентов о компрометации карт в устройствах, находящихся на эквайринговом обслуживании сторонних банков. Если сторонний банк-эквайер оперативно выявил факт компрометации, а нас как эмитента проинформировали о нем через указанный функционал, это позволит более эффективно противодействовать злоумышленникам, — подчеркнули в Газпромбанке.
В «Зените» добавили, что новая функциональность поможет в предотвращении мошенничества, касающегося утечки данных о реквизитах платежных карт в торговых точках. Однако для выявления преступных действий, связанных с тем, что клиент сам предоставляет конфиденциальные данные своей карты под воздействием социальной инженерии, сервис будет малоэффективен, опасаются в кредитной организации.
Данные — сила
Аналогичные сервисы обмена данными о мошеннических действиях есть и у международных платежных систем, рассказали «Известиям» в крупнейших банках.
В Mastercard сообщили, что такая система обмена информацией о скомпрометированных картах функционирует уже давно. Она позволяет эффективно минимизировать риски мошенничества.
Представитель платежной системы Visa подтвердил, что и у Visa имеется система обмена информацией о случаях компрометации данных ее платежных карт.
— Такая система действует давно и позволяет эффективно и оперативно обмениваться информацией с участниками платежной системы для принятия ими необходимых мер, включая перевыпуск скомпрометированных карт, расследование инцидентов и их предотвращение в будущем, — сказал представитель Visa.
По самым свежим данным ЦБ, число операций без согласия клиентов во втором квартале 2021 года выросло до 237 тыс. инцидентов объемом более 3 млрд рублей. В самом Банке России не ответили на запрос «Известий» о новом функционале по защите карт «Мир».
Вместе с тем у подразделения ЦБ по кибербезопасности (ФинЦЕРТ) действует система обмена информацией об инцидентах в банках. Кредитные организации должны сообщать регулятору через автоматизированную систему обо всех операциях, обладающих признаками того, что они совершены без ведома клиентов. Регулятор же аккумулирует данные об атаках и возвращает их банкам в консолидированном виде. Ранее «Известия» писали, что банки предлагали ЦБ организовать прямое взаимодействие между участниками рынка для обмена данными о подозрительных операциях через ФинЦЕРТ.
Опрошенные «Известиями» специалисты по кибербезопасности считают, что любой обмен информацией о потенциальных мошенничествах полезен. Ведущий специалист департамента анализа защищенности Digital Security Александр Багов подчеркнул, что надлежащий уровень безопасности платежных систем определяется специально для этого созданными контролирующими и регулирующими органами. При этом необходимо тщательно подходить к безопасной разработке такого рода систем, чтобы избежать их компрометации.
