Рекомендации Европейского банковского управления (ЕВА) по безопасности в сфере интернет-банкинга и Положение PSD2. Продукт IDENTIKEY Risk Manager от VASCO.

Выполнение требований ЕС в области борьбы с мошенничеством (FraudMonitoring): рекомендации Европейского банковского управления (ЕВА) и Положение PSD2

Банковская сфера все больше сталкивается со сложными схемами мошенничества. Каждый год объемы онлайн-мошенничества возрастают, а клиенты ежедневно подвергаются опасности от неизвестных сценариев атаки почти ежедневно. Мошенничество оказывает все большое влияние на экономику, становясь более организованным и изощренным. Платежные провайдеры должны быть уверены, что их решения надежно защищают клиентов во время осуществления платежей.

Европейское банковское управление (European Banking Authority, EBA) сообщает, что в 2013 году европейские банки столкнулись с ошеломляющим убытком от мошенничества в размере 1,55 млрд. евро, большая часть из которого пришлась на онлайн мошенничество. После тщательного анализа ситуации EBA принял решение о необходимости повышения уровня безопасности инфраструктуры интернет-платежей в ЕС.

Платежным провайдерам необходимо осуществлять мониторинг транзакций с целью предотвращения, обнаружения и блокирования мошеннических платежей. По мнению Дирка Хаубриха, главы направления EBA по защите потребителей, финансовым инновациям и платежному блоку: «Данная работа обеспечит увеличение доверия к интернет-платежам для частных клиентов и фирм в ЕС, и позволит этому сектору рынка платежей продолжать расти.»

Руководящие принципы EBA обеспечат прочную правовую основу безопасности интернет-платежей во всех государствах-членах ЕС, они пересмотрены в новой директиве по платежным услугам (Payment Services Directive II, PSD2), обязательной к исполнению с 13 января 2018 года.

В статье представлен обзор руководящих принципов по мониторингу транзакций и подробное объяснение, каким образом технические решения VASCO соответствуют новым требованиям.

1. Руководящие рекомендации ЕВА по мониторингу транзакций

Ниже приведен раздел из статьи 10 регламента ЕВА, в котором подробно описывается процесс мониторинга транзакций, состоящий из двух частей: первая касается мониторинга мошеннических действий, а вторая устанавливает, что операции по противодействию мошенничеству должны оказывать минимальное влияние на пользовательский опыт.

"Механизмы мониторинга транзакций, предназначенные для предотвращения, выявления и блокирования мошеннических платежных операций должны производиться перед исполнением платежа поставщиком платежных услуг (PSP, Payment Service Provider); подозрительные или высокорискованные операции должны быть отсортированы по специальной процедуре отбора и оценки.”

Мониторинг мошеннических действий

 «Поставщики платежных услуг должны использовать системы обнаружения и предотвращения мошеннических действий для выявления подозрительных транзакций до момента принятия решения об исполнении платежа. Такие системы должны опираться на параметризованные правила (например, черные списки скомпрометированных или украденных данных платежных карт), а также отслеживать нетипичное поведение клиента или устройства доступа клиента (например, изменение IP-адреса или IP-диапазона во время сеанса интернет-платежей, иногда определяемых геолокацией и т.д.). Такие системы также должны обнаруживать признаки заражения вредоносными программами в процессе работы клиента, а также определять известные сценарии мошенничества. Функциональность таких решений должна быть соразмерна результатам оценки риска».

Влияние на клиентский сервис

«Провайдеры платежных услуг должны выполнять процедуры проверки и оценки транзакций в течение всего периода времени осуществления платежа. Провайдеры в соответствии со своей политикой оценки рисков принимают решение о блокировке транзакции платежа, которая была идентифицирована как потенциально мошенническая. При этом время блокировки должно быть минимальным, но достаточным для выполнения процедур безопасности».

1.1. МОНИТОРИНГ МОШЕННИЧЕСКИХ ДЕЙСТВИЙ В РЕШЕНИЯХ VASCO

IDENTIKEY Risk Manager от VASCO использует различные правила принятия решений и машинное обучение для обнаружения аномального поведения пользователя, подозрительных транзакций и нетипичных действий в банковском приложении. Данное решение позволяет провайдерам платежных услуг обнаруживать сложные мошеннические действия перед окончанием авторизации транзакции. Аналитика в реальном времени, быстрый отклик системы и соответствующие незамедлительные действия эффективно уменьшают ущерб от мошеннических действий.

РАСШИРЕНИЕ КЛИЕНСТКИХ ДАННЫХ ДЛЯ МНОГОУРОВНЕВОЙ ЗАЩИТЫ

Данные, полученные от провайдеров платежей, включают IP геолокацию, навигацию по сеансам, признаки нелегального использования устройства, анализ прокси. С помощью полученных данных система фокусируется как на действиях пользователя, так и на уровне учетной записи.

БАНКОВСКИЕ ПАРАМЕТРЫ

Расширенная информация используется для агрегирования более 200 банковских параметров в базе данных. Они используются для описания нормального поведения пользователя (например, логины, используемые IP-адреса, устройства, среднее количество транзакций за период времени) и отслеживает связи между различными пользователями, использующими одно и то же устройство, или имеющими одних и тех же получателей средств.


Результаты расчета банковских показателей используются для составления эталонных правил и машинного обучения. Эталонные правила объединяют платежные и не платежные события, сравнивая их в режиме реального времени с данными из истории операций пользователя. Алгоритм машинного обучения автоматически проставляет оценку риска для того или иного события.

 

 

РАСШИРЕННОЕ МАШИННОЕ ОБУЧЕНИЕ

IDENTIKEY Risk Manager поддерживает контролируемую и неконтролируемую модели машинного обучения, основанные на принципиально различных методах. Чтобы выбрать подходящую, эксперт по машинному обучению анализирует собранные и отсортированные данные, учитывает их специфику и полученные результаты. Сначала применяется неконтролируемое машинное обучение на основании неклассифицированных новых данных, на основании которых в реальном времени производится оценка каждого платежного и не платежного события. Выходные данные могут быть добавлены в эталонные правила.

Для проверки результатов аналитики банка по борьбе с мошенничеством классифицируют данные по операциям как мошеннические или не мошеннические. Как только собрано достаточное количество классифицированных данных, алгоритм переводится на контролируемое обучение. Таким образом, алгоритм будет сравнивать все платежные действия с шаблонами, полученными на основе представленных образцов. Реагирование на обнаруженную мошенническую операцию производится немедленно, в системе применяются способы противодействия, установленные политиками или процедурами банка.

Используя многоуровневый подход, IDENTIKEY Risk Manager создает гибкие рабочие потоки, включающие, например, повышение или понижение уровня верификации определенного пользователя, прерывание рабочего сеанса, включение режима только для чтения или добавление IP или отпечатка устройства (device fingerprint) в списки правил (Hotlists).

 

 

 

ЭКСПЕРТНЫЕ ПРАВИЛА

Все параметры экспертных правил (эталонных правил) полностью настраиваются и могут быть созданы и обновлены в любое время. В IDENTIKEY Risk Manager доступны следующие типы правил:

Логическое правило - оценка записей с использованием базовой логики и определяемых критериев.

Правило истории - мониторинг событий в определенный промежуток времени. Анализирует записи с использованием базовой логики, и дополнительно применяются правила объема и/или правило скорости:

Правило скорости: оценивает, превышено ли в записи количество событий за определенный период времени;

Правило объема: оценивает, превысила ли запись эталонное значение за определенный период времени

Правило скорости/объема: объединяет оба правила скорости и объема

Правило однотипности - оценивает, является ли одно и то же событие выполняемым одним и тем же клиентом с использованием одного и того же ключа (например, отправка средств одному и тому же получателю).

Разностное правило - обращает внимание на разные ключи для одного и того же клиента (например, 3 разных устройства, используемые одним и тем же клиентом за один день).

Правило соответствия – оценивает многих клиентов одновременно для нахождения общего ключа соответствия, (например, 3 или более разных учетных записей, использующих одно и то же устройство за один день).

Правило рабочего процесса - оценивает записи на основе исполнения операций и их результатов работы.

Правило сравнения - сравнивает два поля в одном и том же событии или транзакции.

Правило памяти - объединяет два правила и связывает их с двумя независимыми событиями, которые затем образуют единое правило (например, при мониторинге входящих и исходящих платежей, они могут быть связаны вместе в качестве единого правила памяти).

НАБОРЫ ПРАВИЛ

Наборы правил для различных сценариев мошенничества могут быть созданы автономно системой IDENTIKEY Risk Manager:

Потенциальный фишинг - клиент заходит на сайт электронного банкинга путем перенаправления с ненадежной страницы.

Фишинг - учетная запись клиента используется из неизвестного местоположения/устройства, а пересылка средств осуществляется неизвестному получателю.

Высокий риск фишинга - комбинация из двух предыдущих правил в единое правило предполагает более высокую вероятность фишинговой атаки.

Помимо чистых фишинговых атак, существует также возможность запуска троянской атаки через зараженные электронные письма или другой СПАМ. В этом случае IDENTIKEY Risk Manager также защищает клиентов посредством специального набора правил, направленных на борьбу с вредоносными и троянскими программами:

Потенциальный троян – применяется, когда производится пересылка средств третьему лицу.

Обнаруженный троян - обнаружение известных элементов вредоносных программ во время сеанса электронного банкинга путем просмотра HTTP и анализа информации от сборщика данных с клиента пользователя (CDDC). Механизм встроен в веб-страницу онлайн-банкинга.

СПИСКИ ПРАВИЛ

IDENTIKEY Risk Manager использует списки правил, специфические для каждого конкретного канала, без ограничения размера или типа добавленных данных:

• Динамические белые, серые и черные списки (например, номера счетов, IP-адреса, отпечатки устройств, адреса электронной почты и т. д.)

• Списки известных счетов мошенников

• Санкционные списки

• Любые другие внешние данные

Используя эти правила, списки правил также могут быть обновлены автоматически.

ПРЕДУСТАНОВЛЕННЫЕ ПРАВИЛА

Для каждого канала (например, электронный банкинг или мобильный банкинг) VASCO предоставляет готовое решение «под запуск», которое легко развернуть в текущей ИТ-среде заказчика.

Каждое решение для определенного канала включает:

• Список из более чем 100 правил, адаптированный к специфике данных и потребностям конкретного провайдера платежных услуг.

• Списки правил по умолчанию

• Более 200 банковских параметров

• Алгоритм машинного обучения

• Настраиваемые рабочие процессы и отчеты

 

1.2. ВЛИЯНИЕ НА ПОЛЬЗОВАТЕЛЬСКИЙ ОПЫТ В РЕШЕНИЯХ VASCO

IDENTIKEY Risk Manager работает в полностью в фоновом режиме, не влияя на нормальную банковскую деятельность конечных пользователей. Благодаря использованию решения «под запуск», глобальному правилу принятия решений и расширенному машинному обучению, мониторинг транзакций производится быстро, точно и обладает высокой масштабируемостью, поскольку его производительность никак не зависит от объема собранных данных. Проверка транзакций выполняется в режиме реального времени и настроена таким образом, чтобы гарантировать ответ на запрос банковского приложения в течение запрошенного времени. Ответ может инициировать действие (например, предупреждение для ручной проверки и усиленной аутентификации).

Мониторинг в режиме реального времени и создание уведомлений обеспечивает мгновенную осведомленность аналитиков по безопасности платежей при получении любой подозрительной транзакции. После мониторинга события аналитиком, система использует встроенные процессы для автоматического продолжения транзакции, классифицированной как легитимная. Другие встроенные процессы могут включать блокирование IP адреса, устройства, или учетной записи после тайм-аута или неуспешной аутентификации. Каждое правило можно настроить с помощью отдельного рабочего процесса.

 

2. Положение PSD2

8 октября 2015 года Европейский парламент принял новую директиву по платежным услугам, также известную как PSD2. Директива включает и расширяет новые принципы EBA, охватывающие все виды электронных платежей, в том числе ранее не включенные мобильные платежи, совершаемые без использования браузера.

12 августа 2016 года Европейское банковское управление опубликовало окончательные руководящие требования для провайдеров интернет-платежей, они описаны в статье 1.3 (e):

«Предотвращать, обнаруживать и блокировать мошеннические действия по платежным операциям до финального одобрения транзакции поставщиками платежных услуг. ДОжны использоваться следующие механизмы, включая, но не ограничиваясь:

• параметризованные правила, например, черные списки скомпрометированных или украденных данных банковских карт;

• признаки заражения вредоносными программами в ходе работы и известные сценарии мошенничества;

• полная история транзакций плательщика для оценки его типичного платежного поведения;

• информация об используемом устройстве клиента;

• подробный риск-профиль плательщика и/или его устройства».

Требования EBA затрагивают в большей мере интернет-платежи в мобильном секторе. Правилами PSD2 также установлено, что провайдеры платежных услуг (PSP) обязаны оценивать риски для используемых устройств.

2.1. Как справиться с угрозами при использовании мобильных устройств

За последние два года провайдеры платежей вложили значительные средства в мобильный канал обслуживания клиентов. Это во многом обусловлено растущим спросом потребителей на инновации и современные технологии. Мобильные технологии сильнее всего меняют рынок платежей. В свою очередь, внедрение решений для защиты от мошенничества для мобильного канала позволяет провайдерам платежей сохранять свою текущую клиентскую базу и расширять ее новыми.

Использование смартфонов и планшетов стало настолько обычным явлением, что почти каждый может с ними обращаться. Однако, растущий спрос и использование мобильного банкинга вызвал нормативный вакуум в рамках существующих правил. В ответ на эту развивающуюся технологию ЕС ввел новые требования в PSD2.

Чтобы защитить как поставщика платежей, предлагающего услугу мобильного банкинга, так и пользователя, работающего с ним, Директива требует внедрения специального решения по мониторингу транзакций для обнаружения мошенничества. Такое решение должно иметь функциональность по созданию профилей пользователей и их устройств, а также блокировать мошеннические транзакции. Это позволяет поставщикам платежей внедрять гибкие рабочие процессы, предоставлять больше услуг и создавать большую ценность, сохраняя при этом все меры безопасности насколько возможно прозрачными для пользователя и обеспечивая высокий уровень защиты.

2.2. IDENTIKEYRiskManagerforMobile

Для анализа и управления угрозами существующих и возникающих мобильных возможностей VASCO создала пакет мобильного банкинга. Этот модуль собирает все сообщения и транзакции, поступающие с мобильного канала, что позволяет провайдеру платежей оценивать типичное платежное поведение. Кроме того, он также проводит обширный анализ для измерения угроз при использовании мобильного устройства.

Как работает механизм?

Первым шагом является интеграция нашего мобильного комплекта разработки программного обеспечения (SDK) в мобильное приложение провайдера платежей, чтобы он мог собирать информацию, поступающую из следующих модулей:

* Сборщика данных клиентских устройств (Client Device Data Collector, CDDC)

* Механизма самозащиты приложения (Runtime Application Self-Protection Shield, RASP)

* Многофакторной аутентификации

На втором этапе эта информация отправляется на сервер через зашифрованный канал безопасности.

Третий шаг – анализ в режиме реального времени, выполненный платформой IDENTIKEY Risk Manager, работающей на стороне сервера. Производится проверка, является ли действие мошенническим, и оценка риска использования устройства.

 

 

СБОРЩИК ДАННЫХ КЛИЕНСТКИХ УСТРОЙСТВ (CDDC)

Сборщик данных клиентских устройств объединяет информацию из разных источников для оценки угроз мобильного устройства, а также платежных и не платежных действий. Источниками для сбора информации с устройства – модель устройства, приложение, операционная система, геолокация, Wi-Fi, сеть, статус Bluetooth, список подключенных устройств и т.д.

МЕХАНИЗМ САМОЗАЩИТЫ ПРИЛОЖЕНИЯ (RASP)

Модуль RASP обеспечивает контрмеры против атак, нацеленных на запущенное приложение. Он не только защищает мобильное приложение от различных атак в реальном времени, но также проверяет целостность платформы. Если на устройстве имеется вредоносное ПО, RASP обнаружит и сообщит, какие действия производит этот тип вредоносного ПО, или блокировать вредоносные действия его.

МНОГОФАКТОРНАЯ И БИОМЕТРИЧЕСКАЯ АУТЕНТИФИКАЦИЯ

При работе с многофакторными и/или биометрическими структурами, IDENTIKEY Risk Manager предоставляет информацию об используемом методе аутентификации. Например, когда пользователь входит в систему с помощью «selfie» (распознавание лиц), предоставляется дополнительная информация (соответствующий балл, оценка обнаружения активности, оценка качества изображения).

 

3. Как VASCO может помочь вам

ЗАЩИТА ВАШЕГО БИЗНЕСА

Увеличение коэффициента переводов и улучшение работы пользователя. Снижение количества «ложных срабатываний», пропущенных случаев мошенничества и уменьшение связанных с ним потерь.

НАША ЭКСПЕРТИЗА

Профессиональные услуги, которые помогут вам в настройке. Пакеты «под запуск», охватывающие ваши сценарии мошенничества. Обучение, позволяющее вам быстро приниматься за работу, а также максимизировать результаты решений.

КОМПЛЕКСНЫЙ ОТЧЕТНЫЙ ИНСТРУМЕНТ

Выбор между большим количеством элементов и критериев для создания бизнес-отчетов клиента для любых бизнес-направлений внутри организации.

СТРАТЕГИЯ И СОБЛЮДЕНИЕ

Установление рабочих процессов для поддержки действий, соответствующих нормативным требованиям. Использование дополнительных методов аутентификации, таких как усиленная («step up») аутентификация.

МУЛЬТИ- И МНОГОКАНАЛЬНОЕ ОТСЛЕЖИВАНИЕ

Создание отдельных подходов к различным каналам и сервисам. Обнаружение неизвестных моделей мошенничества между каналами. Получите 360 ° обзор следов мошенничества.