Тайные опасности электронных денег
Риски, которые мы делим с банком
Процесс распростарнения электронных видов платежей идет довольно медленно, но, тем не менее, – верно. Сейчас повсюду - по крайней мере в крупных городах – появилось множество разных банкоматов и автоматов, позволяющих снять деньги за счета, внести сумму для погашения кредита (в том числе ипотечного), обменять валюту, заплатить не только за мобильный, но и за городской телефон, а также внести коммунальные платежи.
Заплатить кредитной или дебетовой картой можно практически в любом крупном магазине, а иногда даже в небольшой палатке у рынка. Теперь уже и алименты заплатить можно в считанные секунды, нажав всего пару кнопочек на своем компьютере. Управлять своим счетом можно даже по телефону. Все это безумно удобно, соответствует европейскому стандарту жизни, но так ли безопасно?
Проблема эта носит отчасти социально-экономический характер (защита прав потребителя, конкуренция, доступность, широта применения), отчасти - политический, вызывая озабоченность центральных банков и других государственных органов.
Ответ экспертов прост и…расплывчат: все зависит от применяемых технологий переноса информации, а также от способа хранения электронных денег на устройстве клиента (микропроцессорной карте или программном обеспечении, установленном на жестком диске персонального компьютера). В силу быстрых изменений в информационных технологиях, на которых базируются системы ЭД, ни один список рисков не может быть всеобъемлющим: какие-то риски минимизируются, зато появляются другие. Под термином "информационные технологии" эксперты понимают систему методов и способов сбора, накопления, хранения, поиска и обработки информации на основе применения средств вычислительной техники.
Есть различные категории рисков, которые касаются банка-эмитента (операционные, риск потери репутации, стратегический и правовой), но пользователей электронных денег (ЭД) интересует в первую очередь операционный риск, который ему зачастую приходится разделить с финансовой организацией.
Многие кредитные организации рассматривают операционный риск как риск потерь, возникающих в результате различного рода технических ошибок. В редакции Базельского комитета по банковскому надзору это "...риск прямых и косвенных потерь, вызванных неадекватными внутренними процессами или упущениями, связанными с ошибками персонала или отказами систем, или связанными с внешними факторами".
Следует отметить, что в системах ЭД операционный риск проистекает из возможности понести убытки из-за значительных недостатков в их надежности и безопасности, которые в большинстве случаев связаны с человеческим фактором.
Проблема надежности электронных систем в банковском деле имеет особое значение, так как неполнота или недостоверность информации, несвоевременность или ошибки при обработке ведут не только к прямым финансовым потерям, но и к утрате доверия к банку.
Нарушения системы безопасности ЭД могут возникнуть на уровне потребителя (держателя ЭД), предприятия торговли (услуг) или эмитента и проявиться в попытке кражи ЭД как в процессе платежа, так и непосредственно с устройства держателя.
Отдельной темой является "электронное" мошенничество, а именно:
- несанкционированное изменение данных (суммы, валюты) при осуществлении платежа (например, во время оплаты товаров (работ, услуг), реализуемых через сеть Интернет);
- отказ держателей ЭД от совершенной операции (например, от оплаты ЭД за товары (работы, услуги)). Если у эмитента ЭД нет адекватных мер проверки совершенных сделок, держатели ЭД могут отрицать сделки, санкционированные ими ранее;
- совершение операций с ЭД под именем другого держателя с помощью чужих идентификаторов и паролей, позволяющий получить несанкционированный доступ к устройству законного их держателя;
- "подделка" ЭД вследствие незаконного проникновения в систему и несанкционированного выпуска карты.
Другим "слабым звеном" в цепи электронных платежей может оказаться собственно программное обеспечение. Эксперты классифицируют программные угрозы по поведению, по типу распространения и по типу активизации. В последние годы программные угрозы почти всегда ассоциируются с вирусами. Однако вирусы являются только небольшой частью вредоносных программ. К ним также относятся программы, которые открывают несанкционированный доступ в систему ("задние двери"), копируют самих себя для переполнения ресурсов ("бактерии"), проникают из компьютера в компьютер по сети ("черви") или в которых декларирована одна функция, а в действительности выполняется иная ("троянские кони") и пр.
Одна и та же программа в руках администратора защиты выступает в роли средства обеспечения информационной безопасности системы, а в руках злоумышленника — оружияя для осуществления атаки или сканирования сети при проведении подготовки к атаке. В настоящее время существуют программы, которые автоматически ищут слабые места в безопасности компьютера, сообщают об обнаружении проблем, чтобы затем эти проблемы могли быть решены. Указанные программы, к ним относятся, например SАТАN (Security Administrator Tool for Analyzing Networks) и СОРS (Computerized Oracle and Password System), могут быстро протестировать компьютер или компьютеры в сети на сотни известных слабых мест. Подобная функциональность делает эти средства очень полезными для тех, кто ищет в системе наиболее уязвимое место, чтобы затем ее "вскрыть".
Определенные операционные риски возникают в случае, если при эмиссии ЭД организация использует технологию, которая недостаточно хорошо разработана или внедрена. В случае, если технология систем ЭД базируется на технологии платежей, осуществляемых через сеть Интернет (E-cash, PayCash и аналогичные им), или отдельные платежи посредством ЭД осуществляются через сеть Интернет, то зависимость от сторонних провайдеров (организаций, оказывающие техническую и информационную поддержку) может иметь материальные последствия для эмитента и для держателя карты. Риск, связанный с отказом в функционировании как самой системы ЭД, так и устройств держателя ЭД, вследствие сбоев в работе программного и аппаратного компонентов средств вычислительной техники (компьютерные системы) эмитента ЭД и/или устройства держателя ЭД, также относится к операционным рискам.
Однако самым опасным все-таки остается риск незаконного проникновения злоумышленников в систему ЭД. Никакими превентивными мерами нельзя исключить возникновения несанкционированной эмиссии, поэтому единственно возможной мерой противодействия можно считать своевременное обнаружение этого факта в реальном времени, т. е. оперативно фиксировать момент возможного использования фальшивых электронных денег. Решение этой проблемы возможно только при использовании современных информационных технологий, включая методы математического моделирования. С целью выявления нарушений системы защиты операторы системы электронных денег на постоянной основе должны осуществлять мониторинг системы ЭД, применяя специально разработанную методику, базирующуюся на методах математического моделирования и современных информационных технологиях.
* Мнение Редакции MoneyNews может не совпадать с мнением авторов оригинальных материалов.
Источник: www.moneynews.ru