Нацбанк: Предотвратить все случаи мошенничества нигде невозможно
После выявления факта хищения крупной суммы через POS-терминал KICB управление платежных систем Национального банка ответило на вопросы "ВБ" относительно готовности бороться с киберпреступностью в банковской сфере и устойчивости платежной системы Кыргызстана.
Хищение могло произойти в любом банке
- Что послужило предпосылками к тому, что такой инцидент с хищением денег стал возможен? Есть ли какие-то пробелы в работе банка, законодательстве, взаимодействии между банковским сектором и госорганами, на которые стоит обратить внимание, чтобы в будущем предотвратить повторения таких случаев в будущем?
- Предпосылкой возникновения такого случая послужило нарушение правил безопасности и условий пользования пос-терминалом торговой точкой, которая передала терминал третьим лицам.
Что касается пробелов, то говорить о 100% предотвращении всех случаев мошенничества просто невозможно. Мошенники всегда пытаются "подобрать ключи", особенно к новым технологиям. Поэтому Национальный банк установил ряд требований, регулярно информирует и предупреждает банки о произошедших случаях, о необходимости обеспечения информационной безопасности и снижению риска мошенничества. Для минимизации таких рисков банки должны постоянно проводить работу по разъяснению и регулярному обучению своих клиентов правилам пользования карт, POS-терминалов, как распознавать мошеннические действия и что нужно делать.
Кроме этого, неотъемлемой частью требований к участникам платежной системы по расчетам банковскими платежными картами являются требования по проведению претензионной работы по операциям с картами, включающими и мошеннические транзакции.
В связи с этим минимизация рисков по карточным операциям является неотъемлемой частью карточного бизнеса банка. Соответственно, каждый банк, работающий с картами, уже имеет соответствующие подразделения и обученный персонал по управлению рисками и предотвращению мошеннических транзакций.
Что касается взаимодействия с правоохранительными органами, то в этом направлении будет дополнительно проводиться работа для обеспечения своевременного реагирования на такого рода обращения.
- В самом KICB полагают, что преступление было совершенно международной преступной группой. Следовательно, международные мошенники делали какой-то анализ банковской системы и платежной системы разных стран прежде, чем совершить преступление. Возможно, нашли слабое звено в платежной системе в КР и начали реализовывать свой преступный сценарий. Согласны ли вы с этим?
- Мошенничество присуще всем странам мира и мы не являемся исключением. Как только в нашей республике стал активно развиваться рынок банковских платежных карт, учитывая мировую тенденцию по росту мошенничества в международных платежных системах, Национальным банком в начале 2009 года было принято положение "Об основных требованиях к функционированию платежной системы Кыргызской Республики при возникновении нештатных ситуаций в платежной системе". В данном документе установлены требования к оператору и участникам системы расчетов с использованием карт и порядок их действий в случае возникновения мошенничества.
По каким признакам мошенниками выбирается тот или иной клиент, сказать сложно. Возможно, результаты следственных мероприятий позволят ответить на это вопрос более точно. Сейчас считаем, что слабой точкой является низкая финансовая грамотность не только населения, но и предпринимателей. Поэтому Национальным банком, совместно с коммерческими банками принимаются все меры для работы с населением и с торговыми точками.
- Есть у НБ КР предположения, почему мишенью был выбран именно KICB? Рассматривалась ли в качестве одной из версий то, что процессинг банка совершается в Кыргызстане, а у других крупнейших банков за рубежом?
- На наш взгляд, это могло случиться с клиентом любого банка, который работает с международными платежными системами, независимо от того, где находится процессинг.
- ГКНБ заявляет о хищении $700 тыс. в KICB. Нацбанк в своем предыдущем ответе не стал называть сумму ущерба. Когда НБ КР ее подсчитает?
- Точная сумма ущерба будет определена после завершения всех претензионных работ банка с банками-эмитентами зарубежных стран. У международных систем есть свои сроки подачи претензий. До этого момента говорить о сумме ущерба еще рано.
- В первом ответе НБ КР по факту мошенничества в KICB говорится: "По предварительной оценке, возможность проведения мошеннических транзакций была связана с грубым нарушением условий договора торгово-сервисной точкой, нарушением ею элементарных правил безопасности и условий пользования терминалом". Значит ли это, что никаких механизмов предотвращения подобных случаев, кроме договорных обязательств между клиентом (владельцем POS-терминала) и банком, нет?
- Механизмы есть. Каждая система имеет разные инструменты для настройки/донастройки правил, которые позволяют выявлять мошеннические транзакции. Есть дополнительные модули по безопасности. В банках и в процессинговых центрах есть системы риск-контроля, которые могут предотвратить или снизить риск мошеннических операций,
Но никаких мер не будет недостаточно, если держатель карт, например, сам отдаст свою карту и пин-код мошеннику. Или торговая точка разрешит проводить через свой терминал платежи незнакомым лицам. Поэтому предусмотреть все случаи, на которые ухищряются пойти мошенники, просто невозможно. Так же как нельзя полностью исключить вероятность, идя вечером по улице, стать объектом возможного грабежа, разбоя.
Поэтому меры безопасности должны предприниматься на каждом этапе и четко выполняться все правила системы.
- Ранее Нацбанк заявлял, комментируя хищение денег, что "это частный случай взаимоотношений банка со своим клиентом в рамках принятых на себя договорных обязательств и их нарушений, не влияющий на другие банки и платежную систему республики". На чем основано данное заявление? Гарантирует ли НБ КР, что такие случаи больше невозможны?
- Национальный банк подтверждает, что данные мошеннические операции не отразятся на клиентах самого банка, на других банках Кыргызстана и их клиентах. Дать какие либо гарантии, что такие случаи мошенничества никогда не повторятся – не может никто. Все зависит от слаженной работы банков, процессинговых центров и клиентов банков и неукоснительного выполнения каждой из сторон требований безопасности и правил систем.
Киберпреступники совершенствуют свои методы
- Какие уроки извлек НБ КР? Какие меры предпринял или планирует предпринять, чтобы отслеживать подобные сомнительные транзакции и принимать превентивные меры?
- Национальный банк получает информацию по мошенническим транзакциям в рамках периодической регуляторной банковской отчетности на регулярной основе. По каждому случаю проводится анализ влияния на банковскую и платежную систему, вырабатываются рекомендации для снижения повторения случаев в будущем.
Что касается последнего случая, первичные превентивные меры были приняты в виде информирования всех банков и направления им рекомендаций пересмотреть имеющуюся систему безопасности на предмет минимизации таких рисков. Также Национальный банк организовал встречи с каждым банком, работающим с международными картами, и пошагово проверил, какие мероприятия проводятся ими по обеспечению безопасности при работе с картами и торговыми точками, дал соответствующие рекомендации банкам. В настоящее время проводится анализ поступившей от них информации по выполнению данных рекомендаций. Дополнительные меры будут предприняты после получения результатов следствия.
- Есть ли какое-то взаимодействие между НБ КР и правоохранительными органами по мониторингу киберпреступлений? В чем такое взаимодействие заключается?
- Национальный банк на регулярной основе собирает от банков и анализирует информацию о мошеннических операциях. Данные отчеты предоставляются банка в рамках периодического регулятивного банковского отчета. В зависимости от характера мошеннической операции и степени риска для банковской и платежной системы принимаются незамедлительные меры.
В целом же результаты анализа мошеннических операций используются для выработки предложений и рекомендаций по совершенствованию регулирования банков и изменению правил безопасности при работе с платежными системами.
Что касается взаимодействия с правоохранительными органами, то мошенничество с картами ничем не отличается от обычного мошенничества. Со стороны правоохранительных органов должны применяться те же средства и методы. С заявлением в правоохранительные органы обращается та сторона, в отношении которой совершено мошенничество. В рамках своей компетенции НБ КР взаимодействует с правоохранительными органами по соответствующим вопросам.
- Какие бы рекомендации дал Нацбанк населению, чтобы клиенты банков не стали жертвой мошенников в тех случаях, когда схемы преступников связаны обычными клиентами?
- Внимательнее относитесь к своим картам: не доверяйте карты третьим лицам, не оставляйте их без присмотра, не записывайте ПИН-код на карте или в легкодоступных местах. Никогда никому не сообщайте свой ПИН-код. Его не вправе требовать ни работники вашего банка, выдавшего карту, ни сотрудники правоохранительных органов. Обязательно ставьте образец своей подписи на обратной стороне карты сразу же после ее получения.
Ни в коем случае не упускайте карту из виду, расплачиваясь в магазинах, супермаркетах, кафе, ресторанах или других точек обслуживания. Попросите, чтобы все операции с картой осуществлялись в вашем присутствии. Внимательнее смотрите, что делают с вашей картой. Не расплачивайтесь картой в сомнительных заведениях или через сомнительные устройства, храните у себя копии чеков.
Когда подходите к банкомату, внимательно посмотрите, не прикреплены ли к нему какие-то посторонние устройства (микрокамеры, дополнительные накладки над картридером или клавиатурой и др.). Если заметили что-то подозрительное, не рискуйте и найдите другой банкомат. Обязательно позвоните в сall-центр по номеру, указанному на банкомате, или сообщите в свой банк по номеру на вашей карте.
Проверяйте движения денег на вашем банковском счете. При появлении малейших подозрений о неправомерном списании денег со счета при оплате в интернете, обращайтесь в банк. У держателя карты есть определенный срок для того, чтобы отказаться или оспорить неправомерное списание денег со счета. Эти сроки указаны в договоре с банком. Продолжительность этого срока также уточните в банке, выдавшем карту.
Незамедлительно сообщайте в банк о потере или краже платежной карты для ее блокирования. Расследовать ситуацию и возместить денежные средства по "горячим следам" гораздо легче, чем спустя время.
Торгово-сервисным предприятиям нужно строго соблюдать правила безопасности, которые являются неотъемлемой частью договора с банком и ни при каких условиях не передавать терминал третьим лицам.
Оплата картой в сети Интернет: оплата в сети не предполагает ввода ПИН-кода карты. Для подтверждения необходимо указывать номер карты (16 цифр на лицевой стороне карты), код проверки (цифры на оборотной стороне карты), чем могут воспользоваться мошенники.
Поэтому не оставляйте данные о себе и своей карте на тех сайтах, о которых вы ничего не знаете, пользуйтесь только проверенными сайтами. Спросите об этих сайтах у своих друзей и знакомых, узнайте, где располагается сама организация, с которой вы собираетесь производить денежные операции.
При этом обращайте внимание на различные сертификаты, подтверждающие безопасность расчетов через данный сайт. Если адреса нет совсем или он не вызывает доверия, то прежде чем платить, подумайте, а стоит ли это делать и рисковать своими деньгами?
Не используйте для оплаты в Интернете карты, имеющие доступ к вашему банковскому счету, если на нем находится крупная сумма денег, и вы используете его для накопления. Лучше открыть для таких целей отдельную карту, можно в том же банке, и переводить туда деньги по мере необходимости и в размере объема покупки.
