4. Необходимость защиты
систем ДБО
• Сбербанк за первые 10 месяцев 2012 года зафиксировал в
общей сложности 467 случаев хищения денежных средств со
счетов клиентов в рамках дистанционно-банковского
обслуживания (ДБО) на сумму более 362 миллиона рублей
• Из общего числа случаев хищения
• 305 пришлось на счета физических лиц на сумму более 138
миллионов рублей,
• 162 случая примерно на 224 миллиона рублей – на юридических
лиц.
5. Необходимость защиты
систем ДБО
• Ежедневно в России фиксируется 15-20 попыток хищения
денежных средств из систем дистанционного банковского
обслуживания - в среднем за один раз хакеры пытаются
похитить около 400 тысяч рублей
• Получили распространение все типы атак
• хищение криптографических ключей
• «Man in the Middle»
• «Man in the Browser»
• USB ключи, любые СКЗИ и хранилища ключевой
информации, работающие на клиентской рабочей станции не
столь эффективны
6. Ключевые требования
к СВМО
Чего мы хотим от системы выявления мошеннических
операций (далее СВМО) в первую очередь?
• Высокая эффективность выявления мошеннических
операций
• Низкий процент ложных срабатываний
• Обработка в режиме реального времени или близком к
нему
• Наличие функций самообучения
• Возможность проведения расследований инцидентов
7. Рынок решений
• Решения бывают
• От производителей SIEM систем
• не учитывают российскую специфику
• появляются дополнительные возможности за счет анализа данных
системы ДБО, сетевого оборудования, web сервера и пр.
• Специализированные системы выявления мошенничества
• «Собственной разработки»
• Можно получить эффективную систему
• Главная проблема - они не продаются, нужно все делать
самостоятельно
• От производителя системы ДБО
• зарубежные продукты обычно не учитывают российскую специфику
• не имеют опыта разработки решений по анализу и корреляции
большого количества различных событий
• не могут работать с несколькими ДБО
8. Условия внедрения СВМО
Почему мы представляем эту СВМО, а не другую?
• В банке уже действует ДБО, как правило российская, и
возможно не одна (филиалы Банка могут использовать
разные системы)
• В Банке уже функционирует АБС
• Вероятно банк прошел сертификацию PCI DSS, а
значит или имеет систему сбора и корреляции событий
или хочет ее иметь
11. Что мы предлагаем
• Набор правил для ведущей SIEM системы Arcsight,
учитывающих российскую специфику и опробованных в ряде
крупных банков
• Преимущества решения:
• Возможность интеграции с любыми ДБО и АБС, сетевым
оборудованием и другими источниками для получения информации о
действиях клиента ДБО
• Неограниченные возможности производительности системы – до 3-4
тысяч транзакций в секунду
• Наличие уже отработанных на практике наборов правил
• Наличие огромного опыта внедрения SIEM системы и внедрения
систем выявления мошеннических операций
12. Концепция решения
• Система выявления мошеннических операций осуществляет
анализ атрибутов каждого платежного поручения, условий в
которых совершается операция, в режиме реального
времени на основании данных получаемых из системы
дистанционного банковского обслуживании и других систем
Банка.
• На основании результатов такого анализа и в соответствии с
определенными правилами, СВМО осуществляет расчет
коэффициента характеризующего величину риска платежной
операции.
13. Концепция решения
• В общем случае, рассчитанный коэффициент риска
присваивается платежному поручению в БД системы ДБО.
Возможен вариант, когда указанный коэффициент
присваивается платежному поручению в системе АБС, в
системе СВМО или в иной системе.
• Система, осуществляющая обработку платежных операций
(ДБО, АБС, иная процессинговая система) должна проводить
транзакцию или отклонять ее с учетом величины риска
конкретной транзакции. Иными словами, функционал АБС
или ДБО должен иметь возможность отклонения транзакции
при превышении коэффициента риска транзакции
определенного порога.
14. Расчет коэффициента риска
платежной операции
Расчет риска платежной операции происходит на основании анализа
следующих характеристик:
• Наличие Получателя платежа в списках:
• Атрибутов получателя «белом списке»
• Имени получателя в «черном списке»
• Организации получателя в «черном списке»
• ИНН, номер счета в «черном списке»
• Тип платежа:
• Платеж в федеральный орган
• Внутрибанковский платеж
• 222-П
• Иной платеж
По этим признакам, квалифицируется большая часть операций: 70%-80% в
зависимости от Банка.
«Белый» список формируется автоматически: если операция перевода
определенному получателю прошла ранее и не была опротестована, то
получатель автоматически попадает «белый» список.
15. Расчет коэффициента риска
платежной операции
Расчет риска платежной операции происходит на основании анализа
следующих характеристик:
• Сумма платежа:
• Тип аутентификации и количество попыток аутентификации
• Сетевые атрибуты плательщика (в случае если доступно)
• Данные об использовании сервера ДБО пользователем
• Время проведения транзакции
• Другие характеристика платежа
16. Расчет риска платежной
операции
Алгоритм выявления мошеннических операций
Пользователь ДБО Система ДБО СВМО АБС Оператор
Обработка
Формирование и Получение данных
платежного
отправка платежного из БД СДБО
поручения
поручения
Платежное
поручение
Атрибуты ПП, Проверка
«Белые» санкционированно
сетевые
списки, макс. сти операции
атрибуты
платеж и др.
пользователя
ДА
Коэф. риска
операции в
БД КРО выше
порогового
Операция
Расчет значения
санкционирова
коэффициента на
риска операции
НЕТ
ДА
НЕТ
Передача данных в
АБС
Проведение
операции в АБС
Остановка
операции
Уведомление Проведение Останов операции
пользователя операции в СДБО в АБС
Оформление
необходимых
Получение данных документов
о результатах
Уведомление Останов операции операций
пользователя в СДБО из БД СДБО
Окончание
процесса
17. Схема интеграции СВМО
Клиентское
АРМ ДБО
Периметральное
сетевое оборудование
Платежное
поручение Платежное или МЭ
Ответственное лицо поручение
плательщика
Телефонное (или иное) Платежное
подтверждение платежа поручение
Данные о сетевых
сессиях
Исполнение платежа
АБС Коэффициент
риска операции ДБО
Уведомление о
подозрительной Данные о сетевых
операции сессиях ДБО
Атрибуты платежа из ПП
Данные идентификации/
аутентификации
Информации о порядке и
Система выявления
скорости загрузки страниц/форм
мошеннических операций
Оператор КЦ
Операционнист «Черные списки»
Анализ платежа, квалификация получателей
платежа, формирование
«белых списков», хранения
необходимых данных
21. Работы по внедрению
СВМО
Этапы проведения работ по внедрению СВМО
• Сбор информации о системе ДБО, АБС
• Разработка технического решения СВМО
• Установка СВМО и настройка подключений в ДБО, АБС
• Обучение СВМО путем анализа транзакций за 2-3 месяца
• Опытная эксплуатация СВМО, настройка пороговых
коэффициентов
• Запуск в промышленную эксплуатацию
22. Обучение системы
110
100
90
80
70
60
50
40 Выявление операций
30 Ложные срабатывания
20
10
0
1
2
3
4
5
6
7
8
9
10