А. Алексанов - Безопасность карточного бизнеса : бизнес-энциклопедия Страница 50

• расстояние между городами совершения операции;

• минимальное время, за которое можно переместиться между двумя точками проведения операций.

Если времени между операциями проходит слишком мало для того, чтобы настоящий держатель переместился из одной точки в другую, то имеет место мошенничество по поддельной карте.

2. Неуспешные мошеннические операции по поддельным картам. Неудачные попытки проведения операций по поддельным картам позволят избежать потерь — факт мошенничества может быть своевременно выявлен СМТ, после чего приняты меры.

3. Операции в банкоматах по зарплатным картам. По настоящее время объем операций получения наличных денежных средств в банкоматах в России составляет большую часть всех операций (свыше 90 %), при этом часто карты выдаются держателям в рамках зарплатных проектов. Поэтому денежные средства часто накапливаются на счете карты, а затем снимаются в банкоматах за небольшой интервал времени. Из-за такого нехарактерного поведения для держателя банковской карты эти операции могут быть расценены как мошеннические, хотя на самом деле таковыми не являются.

4. «Дружественное» мошенничество. Иногда мошеннические операции могут быть совершены лицами, известными держателю карты. В случае если держатель карты не предпринимает должных мер безопасности при хранении и использовании своей карты, к ней могут получить доступ его близкие, родственники или знакомые. Эти люди проводят мошеннические операции и возвращают карту держателю, при этом держатель карты утверждает, что карту никому не передавал, ПИН-код не сообщал и в настоящее время карта находится при нем. Обнаружить такой тип мошенничества можно по следующим признакам:

• произведены снятия наличных денежных средств, но не всех доступных на счете, в банкомате;

• операции по карте проходят в территориально близких ТСП по отношению к тем, в которых карту использует сам держатель; операции совершенно нехарактерны для держателя карты — например, оплата сервисов в Интернете с использованием реквизитов карты, хотя ранее держатель карты использовал ее только для получения наличных денежных средств в банкоматах.

В простейшем случае для вычисления риска производится оценка двух факторов: вероятность происшествия (Рпроисшествия) и тяжесть возможных последствий (ЦенаПотери).

РИСК = Рпроисшествия × ЦенаПотери.

Если переменные являются количественными величинами, то риск — оценка математического ожидания потерь.

Если переменные — качественные величины, метрическая операция умножения не определена и в явном виде эту формулу применять нельзя.

В зарубежных методиках, рассчитанных на более высокие требования, чем базовый уровень обеспечения безопасности, используется модель оценки риска по трем факторам: угроза (Ругрозы), уязвимость (Руязвимости), цена потери. При этом

Рпроисшествия = Руязвимости × Ругрозы,

тогда:

РИСК = Руязвимости × Ругрозы × ЦенаПотери.

Данное выражение необходимо рассматривать как математическую формулу, если используются количественные шкалы, либо как формулировку общей идеи, если хотя бы одна из шкал — качественная. В последнем случае применяются различные табличные методы для расчета риска в зависимости от трех факторов.

Для оценки угроз и уязвимостей применяются различные методы, в основе которых лежат:

• экспертные оценки;

• статистические данные;

• учет факторов, влияющих на уровни угроз и уязвимостей.

Один из возможных подходов к разработке подобных методик — накопление статистических данных об имевших место происшествиях, анализ и классификация их причин, выявление факторов, от которых они зависят. Однако при реализации такого подхода возникают следующие сложности:

• должен быть собран материал о происшествиях;

• если информационная система сравнительно невелика и эксплуатирует новейшие элементы технологии, оценки угроз и уязвимостей могут оказаться недостоверными.

Мошеннические операции в ПСБК с точки зрения эмитента могут быть оценены количественно, потому что они связаны с проведением несанкционированных операций по счетам клиентов банка с использованием банковской карты как инструмента доступа к нему. Как было отмечено ранее, мошенничество направлено на информационный актив (счет клиента), ценность которого имеет стоимостное выражение. Поэтому для отдельной карты риск будет равен

SFR = Рмош × Sсум, (1)

где Рмош — вероятность проведения мошеннической операции по карте;

Sсум — величина доступных средств на счете (в рамках дебетового или кредитного договора банка с клиентом).

Для получения величины риска по указанной формуле необходимо рассчитать вероятность проведения мошеннических операций, поскольку величина доступных средств на счете клиента банка известна.

На основе анализа особенностей проведения операций по банковской карте в ПСБК автор выделяет ряд необходимых условий для проведения мошеннической операции независимо от типа мошенничества:

1) данные карты должны быть скомпрометированы;

2) скомпрометированные данные использованы для попытки проведения несанкционированной операции;

3) попытка проведения несанкционированной операции была осуществлена.

Если все три вышеперечисленных условия выполнены, то результат выполнения операции (в случае проведения операции в режиме реального времени — авторизации) определяется эмитентом. При этом следует учитывать способность эмитента до формирования ответа на авторизационный запрос проводить его проверку на предмет возможного мошенничества (мониторинг в режиме реального времени).

Из вышеизложенного следует, что вероятность проведения мошеннической операции Рмош с учетом формул условной вероятности и (1) можно определить следующим образом:

Рмош = Р(кпр) × Р(исп|кпр) × Р(поп|кпр-исп) × (1 — Р(обн)), (2)

где Р(кпр) — вероятность компрометации данных карт, необходимых для проведения мошеннической операции;

Р(исп|кпр) — вероятность использования скомпрометированных данных для проведения операции;