НАДЕЖНЫЕ ПРОГРАММЫ
[Cyrillic (Win 1251)]
- Экономические аспекты
безопасности расчетов электронными пластиковыми картами
-
- Три основных технологии и безопасность.Последний год охарактеризовался
бумом в области мошенничества, связанного с электронными пластиковыми картами.
За последние 3 года в США
- сумма ежегодного ущерба увеличилась с 1 млрд. до 4 млрд. долл. 1996
год в России ознаменовался многократным ростом как числа случаев, так и
сумм похищенного. В ГУВД Москвы создано специальное подразделение по борьбе
с хищениями, связанными с кредитными картами. Не миновали мошенники и Беларусь:
в 1996-1997 г. имели место случаи хищения средств по картам как международных,
так и отечественных платежных систем.
- Существуют три основных технологии использования электронных пластиковых
карт в банках: слиповая технология, технология магнитных карт и технология
смарт-карт.
- При небольших потоках платежей слиповая (бумажная чековая) технология
с голосовой авторизацией позволяет проводить обслуживание по картам с минимальными
издержками. Слиповая технология позволяет быстро развить сеть точек платежа
и разорвать порочный круг, на котором терпят кризис немало новорожденных
платежных систем. На начальном этапе клиенты не спешат приобретать карты
из-за малочисленности точек платежа, банки не торопятся широко внедрять
недостаточно апробированные и чрезвычайно дорогие компьютерные технологии,
а магазины не приобретают электронные терминалы транзакций из-за малочисленности
карт, находящихся в обращении, и дороговизны оборудования. Примерно половина
точек платежа в странах Запада и их подавляющее большинство в других странах,
в том числе и в СНГ, работает по слиповой технологии и оборудовано
- не электронными терминалами транзакций, а механическими импринтерами,
что примерно в 40 раз дешевле. Смарт-карта обходится в 7-12 долл., а магнитная
карта, используемая в режиме online или обрабатываемая при помощи слиповой
технологии - в 1,5-2 долл., т.е. в 6 раз дешевле.
- Однако слиповая технология, помимо ее трудоемкости, содержит широкие
возможности для злоупотреблений со стороны персонала точек платежа. В арсенале
торговцев - изощренные способы подделки платежных документов и карт. Часты
хищения, совершенные совместными усилиями персонала точек платежа и преступных
групп. Известны даже случаи функционально полных подделок магазиновточек
платежа.
- Так, в одном из крупнейших российских банков автору поведали об
имевших место хищениях по международным картам. Мошенники открывали магазин,
который заключал с банком договор на обслуживание международных карт. Затем
в течение примерно месяца через магазин проходили
- серии крупных покупок, совершенных с помощью небольшой группы карт
с одними и теми же
- номерами (разумеется, якобы западных), которые в соответствии с договором
немедленно
- возмещались магазину банком. Когда банк спохватывался из-за отказа
возмещения денег банками-эмитентами карт, ни магазина, ни его владельцев
на месте уже не оказывалось. После ряда подобных случаев банком была разработана
и сегодня успешно применяется методика, позволяющая выявить фиктивные точки
платежа уже в первые дни их существования.
- Технология магнитных карт с online-авторизацией значительно защищеннее,
т.к. предполагает участие держателя карты в платежной операции. Для подделки
магнитной карты необходимо не только скопировать ее на специальном оборудовании,
но и знать секретный ПИН-код, известный только держателю карты. Однако
и в этом случае возможна подделка карт, банкоматов и мультимедиа
- киосков. Соответствующие случаи многократно описаны в прессе (см. журналы
«Банковские технологии», «Мир карточек» и др.).
- Наконец, считается практически невозможным подделать смарт-карты
со встроенной микросхемой. Тем не менее, автору известны два случая хищения
средств из платежных систем, использующих смарт-карты.
- В первом случае уязвимым местом стала недостаточная защищенность
технологии удаленного пополнения. Непосредственно после кризиса рынка межбанковских
кредитов в Москве летом 1995 г. («черного четверга») один из московских
банков, оказавшийся в затруднительном положении, решил поправить свои дела
нетривиальным способом. Для этого он нанял людей, которые получили на руки
смарт-карты одной известной платежной системы, членом которой являлся банк,
и поехали в другой город. Там они обратились в другой банк, являвшийся
членом той же платежной системы, и запросили удаленное пополнение на крупные
даже для банка суммы. Сотрудники банка выполнили запрос в режиме online.
Разумеется, банк-эмитент в Москве дал разрешение на выполнение операции.
Деньги, зачисленные на карту путем удаленного пополнения, были немедленно
сняты наличными за вычетом комиссии, и стороны остались довольны друг другом.
Однако уже к вечеру оказалось, что на корреспондентском счете банка-эмитента
нет и не предвидится поступления средств, необходимых
- для возмещения банку-эквайеру необходимой суммы. Слабое место системы
удаленного пополнения оказалось в отсутствии проверки состояния корреспондентского
счета эмитента, равно как и его финансового состояния.
- При обсуждении этого факта в дни работы I Всемирной конференции
партнеров Gemplus в Марселе был сделан вывод о принципиальной недопустимости
совершения крупных платежей по картам.
- В другой платежной системе клиент-держатель смарт-карты, снимая
крупную сумму денег, обнаружил ошибку в программном обеспечении банковского
пункта обслуживания карт. Разработчик не предусмотрел работу с очень крупными
суммами, поэтому происходило переполнение разрядной сетки. В результате
старшие разряды суммы усекались, и программа проводила по карте намного
меньшие суммы, тем не менее показывая на экране компьютера и в отчетах,
что проведена первоначально запрошенная сумма. Увидев это уже на следующей
операции, клиент поделился тайной с другом, также имевшим карту. На следующий
день оба пришли повторить трюк, однако были задержаны и предстали перед
судом. Дело в том, что ситуация была обнаружена банком уже вечером первого
дня из-за несоответствий в протоколах работы программ, поддерживающих обращение
карт.
- Но самое любопытное состоит в том, что сотрудники банка прекрасно
знали об ошибке в программе. Более того, фирма-разработчик программы исправила
ее за три месяца до хищения, однако исправленный вариант программы не был
установлен в банке. Дело в том, что в банке эту программу собирались снимать
и заменять продуктом другой фирмы, который, правда, еще не был вполне работоспособным.
Поэтому банке тихо, не афишируя, продолжал работать на старой программе
с ошибкой, ибо оплата договора с первым разработчиком должна была производиться
через год эксплуатации при продлении срока гарантийного сопровождения,
а год наступал всего через два месяца после выявления ошибки и за месяц
до попытки хищения. После многократных заявлений банка о снятии программы
и отказе банка принять исправленную версию разработчик полагал, что программу
уже сняли, хотя время от времени просачивались слухи о продолжающейся эксплуатации.
В банке же думали: авось пронесет. Не пронесло.
- Разумеется, руководство платежной системы публично возложило всю
вину на разработчика, в отличие от банка, который не имел к разработчику
никаких претензий. Так желание банка сэкономить любой ценой породило ситуацию,
которой могло и не быть.
- Большая часть рисков потерь от хищений по электронным пластиковым
картам ложится на банк. Кроме прямых, банк терпит и косвенные убытки, связанные
с уменьшением привлекательности для населения такого финансового инструмента,
как карты, ибо обычно даже самый незначительный случай хищения становится
достоянием гласности.
- Сравнительная оченка затрат и эффективности. Сравним основные
материальные затраты, необходимые для внедрения трех основных технологий,
приняв соотношение числа точек пла-те-жа к числу держателей карт равным
1:100.
- Задача оценки рисков платежей по картам в общем случае очень сложна,
а субъективные факторы практически не поддаются учету и прогнозированию.
Тем не менее, попробуем разработать простую эмпирическую модель рисков.
Пусть F (frauds) - сумма хищений за период t, c (cost) - средняя себестоимость
эмиссии и обслуживания одной карты за период t, s (sum) - средний оборот
по одной карте за период t, n - среднее число карт в обращении за период
t.
-
- Таблица. Примерная оценка стоимости оборудования, необходимого для
внедрения различных технологий расчетов с помощью электронных пластиковых
карт, долл. США
- Вид оборудования
|
- Слиповая технология
|
- Магнитная технология
|
- Смарт-технология
|
- Карты
|
- 2
|
- 2
|
- 12
|
- Оборудование точки платежа
|
- 50
|
- 800
|
- 1800
|
- Стоимость 1000 карт и 10 точек платежа
|
- 2 500
|
- 10 000
|
- 30 000
|
- Коэффициент "дороговизны"
|
- 1
|
- 4
|
- 12
|
- Предположим, что сумма хищений прямо пропорциональна числу карт
в обращении и оборотам, приходящимся на карты, т.е. F = r Ч s Ч n (1),
где r - коэффициент "опасности", зависящий от числа хищений за
период t, которое, в свою очередь, зависит от применяемой технологии.
- Тогда уменьшение сумм хищений при переходе от слиповой технологии
на online-авторизацию составляет DF = Dr Ч s Ч n (2).
- При этом доход не изменится, а затраты возрастут на DC = Dc Ч
n (3).
- Тогда использование слиповой технологии выгоднее, чем смарт-карты
и/или online,
- до тех пор, пока DF Ј DС (4).
- Выполнив необходимые подстановки и упрощения, получим критерий
выгоды слиповой технологии для платежной системы: Dc і Dr Ч s (5).
- Данная модель является простейшей, и автор, не претендуя на полноту,
считает ее лишь поводом к более серьезному исследованию.
- По статистике французской платежной системы GIE Cartes Bancaires,
при переходе на смарт-карты число хищений снизилось на порядок. К сожалению,
автор не располагает данными по слиповой технологии, однако, судя по направлению
деятельности ведущих международных платежных систем, смарт-карты при больших
тиражах окупаются именно за счет увеличения безопасности.
- В то же время использование слиповой технологии экономически более
рентабельно в случае
- резкого ограничения сумм платежей - как разовых, так и за определенные
периоды. В этом случае
- сумма возможных потерь резко ограничивается, и зависимость (1) перестает
действовать. Поэтому начальный этап развития платежных систем (тысячи и
десятки тысяч карт) имеет смысл проводить
- на слиповой технологии с резким ограничением сумм платежей и лишь после
получения первой прибыли вводить электронную авторизацию. По заявлениям
ряда банков, даже эмиссия
- международных карт по слиповой технологии окупилась лишь после 20 000-25
000 карт.
- Не секрет, однако, что в большинстве банков СНГ электронные пластиковые
карты
- рассматриваются высшим руководством банка в качестве некоего специфического
средства автоматизации платежей, самостоятельного финансового инструмента,
не связанного с общей кредитно-депозитной политикой банка (а нередко лишь
как средство маркетинга). Из-за этого карточный бизнес обычно отдается
на откуп управлению автоматизации, сосредоточенному прежде всего на технических
проблемах и не заинтересованному ни в финансовых результатах деятельности,
ни в увеличении числа клиентов. Часто для приема клиентов-держателей карт
в банке нет специального помещения, и приходится принимать их во внутренних
службах банка, что не только снижает безопасность, но и значительно осложняет
клиенту и персоналу банка процедуру обслуживания карты. Неудивительно,
что большинству населения часто неизвестен сам факт эмиссии карт банком,
а в рекламе, размещенной в холле отдела по работе с населением, ничего
не сказано о возможности получения карты. Карт-счета в подобных случаях
не связаны с основным текущим счетом клиента, и операции с картами «выпадают»
из общего контекста операций по вкладам граждан - зачисления и выплаты
заработной платы, приема коммунальных и иных платежей и т.д. А ведь только
интеграция в систему обслуживания всех счетов клиента и способна обеспечить
рентабельность карт, в конечном итоге образуя основную ресурсную базу банка
путем массового привлечения средств населения. В таких случаях огромные
средства, вложенные банком в платежные системы по картам, расходуются напрасно.
Из них львиная доля уходит именно на разработку и приобретение безопасных
программных и аппаратных средств совершения платежей.
- Прогрессу в этой области будет способствовать постепенное общее
понимание банками проблемы эмиссии карт как части банковского бизнеса,
связанного с привлечением ресурсов и интегрированного в другие технологии,
действующие в банке.
- Выводы.
- 1. Наиболее перспективными (и наиболее дорогостоящими) с точки
зрения безопасности
- платежей являются смарт-карты.
- 2. Затраты на внедрение платежных систем, основанных на слиповой,
магнитной и смарт-технологии, грубо соотносятся между собой как 1:4:12
соответственно.
- 3. Применение смарт-карт с точки зрения безопасности платежей окупается
лишь при массовом их выпуске (десятки и сотни тысяч карт).
- 4. Высшее руководство банка должно увязать бизнес, связанный с эмиссией
и обслуживанием карт, с кредитно-депозитной политикой банка, в частности,
с обслуживанием текущих счетов населения, иначе затраты на безопасность
платежей не окупаются.
- 5. На первоначальных этапах существования платежных систем целесообразно
использовать слиповую технологию и лишь по достижении массовости выпуска
и приема платежей переходить к использованию смарт-карт, минуя стадию магнитных
карт с авторизацией.
- 6. Для повышения безопасности платежей необходимо ограничить суммы
платежей по картам физических лиц, выданным или обслуживаемым в Белоруссии,
до размера потребительской корзины обеспеченных клиентов (порядка 500 долл.
США в день и 5000 долл. США в месяц). Более льготные условия могут устанавливаться
после 1-2 лет безупречной кредитной истории или при наличии ликвидного
залога.
- Юрий.Зиссер, фирма «Надежные программы»
-
Click Here
to Return Back
Webmasters,
contact Belarus.net support
Click Here
to visit Belarus.net
