Сейчас жертвами финансовых мошенничеств становятся не только физические, но и юридические лица. В 2019 году, по данным Центрального Банка России, было совершено 4609 операций без согласия юр лица, а общая сумма похищенных средств составила 701 млн рублей.
О том, как бизнесу защитить своё платежное оборудование от взломов и кибератак, расскажет Денис Кучаев, генеральный директор компании «АТМ АЛЬЯНС».
Закон гласит
Начнем с самого главного – к банковскому оборудованию государством предъявляются особые требования. При чем, помимо технических требований, закон уделяет особое внимание информационной безопасности. Так, банковское оборудование должно полностью соответствовать требованиям платежных систем по защите личных данных, а именно стандартам EMV и PCI. Первый (EMW level 1) подтверждает соответствие смарт-кардридера терминала или пин-пада требованиям по электрическим, механическим и функциональным параметрам. PCI, в свою очередь, содержит несколько разделов по конструктивной, программной и алгоритмической защите данных.
При получении сертификата PSI PED, платежное оборудование проходит проверку на попытки взлома, кражи ключей шифрования, личных данных, пин-кодов и так далее. Эти сертификаты должен получать производитель терминалов и предоставлять их лицам, приобретающим банковское оборудование для своего бизнеса. Помимо этого, сертифицированным должно быть и программное обеспечение.
Обязательным является сертификат EMV Level 2, который подтверждает соответствие программной библиотеки стандарту EMV по части функциональных текстов. Желательными, но не обязательными, являются также сертификаты хостовых вендоров, которые подтверждают соответствие программного обеспечения хостовым протоколам. Объясняя IT-подробности простым языком, эти сертификаты подтверждают безопасность передачи сообщения при осуществлении транзакции.
Эти стандартные условия должны быть соблюдены на уровне законодательства, но это не дает гарантий защиты платежного оборудования от кибератак и взломов.
Тренды и риски
Бизнесу любого масштаба нужна гибкость и компактность – это касается и банковского оборудования в том числе. Так, помимо привычных всем POS-терминалов, на рынке уже активно используются смарт-решения. Смарт-терминалы совмещают в себе платежную систему, компьютер и онлайн-кассу, а также дают возможность предпринимателю взаимодействовать с различными сервисами от кредитования до получения доступа к товарной аналитике. По данным Cnews Analytics, общий объем рынка смарт-терминалов и фискальных регистраторов на первые три квартала 2018 года составил ₽18,084 млрд и, по прогнозам, будет расти. Соответственно, взлом данного устройства будет сопровождаться потерей не только платежных средств, но данных о ведении бизнеса.
Риски взлома и кибератак одинаковы для всего банковского оборудования и хищение может быть произведено двумя способами. К первому и более сложному способу можно отнести жучки и другие перехватчики качественных данных, которые устанавливаются непосредственно в корпус оборудования. Ко второму и самому распространенному относят взломы, которые производятся без контакта с «железом». Так как практически все новые решения созданы на базе Android, растет угроза заражения вирусами и взлома ПО. В 2019 году взломы стали достаточно актуальной темой обсуждения в СМИ и новости о даже единичных случаях киберхищений всё чаще появляются в ленте.
Например, в июле 2019 года стало известно о вредоносной программе Badhatch, разработанной для атак POS-терминалов. С помощью этого вредоносного вируса злоумышленники перехватывают данные платежных карт, которые проходят через POS-терминалы. Уже в августе появилась программа RtPoS, которая позволяет сканировать оперативную память устройства, а не перехватывать данные единичных платежей. Стандартным способом взлома смарт-терминалов является намеренная перегруза сервера и перехват управления в момент уязвимости.
Стоит упомянуть, что 16% всех денежных хищений у юридических лиц за 2019 год, по данным Центрального Банка, были совершены в результате воздействия социальной инженирии. К способам такого мошенничества относятся психологические приемы, когда злоумышленники получают номера, коды и пароли непосредственно от человека.
Как защитить свои деньги?
Уязвимость банковского оборудования неминуемо приводит к финансовым потерям. Свои деньги можно и нужно защитить или хотя бы попытаться снизить риск их хищения до минимума, для этого есть несколько простых правил.
1. Будьте в тренде
Это не просто совет о том, как бизнесу стать современным, гибким и инновационным. Нововведения в банковском оборудовании могут защитить и спасти ваши финансы и репутацию. Следите за тем, какие новые прошивки появляются у вашей модели банковского оборудования, смотрите на зарубежные тренды (о них всегда пишут в СМИ и в короткий срок они появляются и в России), а также регулярно устанавливайте обновления программного обеспечения.
2. Доверяйте, но проверяйте
Данный совет касается более внимательного ведения бизнеса. Ответственно относитесь к приобретению банковского оборудования: выберите надежную компанию-продавца, прочитайте отзывы, запросите наличие всех необходимых сертификатов. Не забудьте проверить работоспособность самого терминала, чтобы было возможно сразу обнаружить проблему. Первостепенно нужно испытать: дисплей (нет ли проблем с картинкой), термопринтер (читабелен ли чек и нет ли подозрительных звуков в процессе печати), картридер (считывается ли карта и за сколько секунд), магнитный и бесконтактный считыватели, а также аккумулятор.
3. Повышайте финансовую грамотность
В связи с тем, что достаточно большой процесс хищений происходит по причине низкой осведомленности людей о работе банков и их взаимодействии с юридическими и физическими лицами, стоит повышать финансовую грамотность как вашу, так и вашего персонала. Вот несколько советов: никогда не сообщайте коды и пароли к вашим финансовым системам подозрительным лицам, обучите персонал обращению с банковским оборудованием и предупредите о секретности доступа к платежным системам. Мошенники связываются по телефону не только с физическими, но и с юридическими лицами. Помните, что сотрудники банка никогда не будут звонить и требовать у вас доступ к данным о платежах, поэтому не сообщайте никому конфиденциальную информацию. Регулярно читайте статьи раздела «финансы», чтобы быть в курсе мошеннических схем и приемов.