Сергей Кузнецов: «Россия — лидер по росту уровня мошенничества с картами» - «Интервью»

Россия не отстает от Запада и тоже внедряет инновации на рынке финансовых услуг: технологию бесконтактных карт NFC, СМС-подтверждения финансовых манипуляций, многофункциональные карты. Параллельно с этим процессом мошенники осваивают новые способы кражи данных и даже преуспевают в этом деле. Как защититься от утечки информации, порталу Банки.ру рассказал генеральный директор SafeNet в России и СНГ Сергей КУЗНЕЦОВ.

— Насколько уровень мошенничества с банковскими картами в России выше, чем в Европе и Америке?

— Россия вышла на первое место в Европе по росту мошенничества с банковскими картами в 2012 году. Таковы результаты недавнего исследования компании FICO. Согласно статистике компании Euromonitor International, на Россию пришлось 6% от потерь по мошенническим операциям с банковскими картами, что в абсолютных величинах составляет 91,4 миллиона евро

. В 2006 году потери российских банкиров составляли не более 2% от общеевропейских, а теперь они больше, чем в Германии, и приблизились к уровню в Испании.

— Как банкам защитить счета своих клиентов от киберпреступников?

— Финансовые организации, помимо стандартных средств защиты, могут добавить дополнительные слои в систему безопасности. Например, шифрование данных и организацию специального хранения ключей шифрования. Затем осуществить вынос систем хранения ключей вне центра обработки данных. Такой подход обеспечивает надежную защиту данных, а если по какой-либо причине данные будут скомпрометированы, то они окажутся абсолютно бесполезными для киберпреступников.

— Есть ли в России какие-либо инновационные решения защиты данных?

— Сначала хочу отметить, что многие западные технологии защиты стали основой нашего быстрорастущего рынка. К таким решениям относятся, например, средства аутентификации eToken

, которые сейчас де-факто являются стандартом в сфере защиты доступа к информации. eToken — это физическое USB-устройство, которое может быть использовано как самостоятельное средство защиты или как часть системы. Широко известный eToken надежно защищает цифровой сертификат, используемый для строгой аутентификации при получении пользователем доступа в систему, например для удаленного интернет-банкинга. Разновидность еТокена — eToken Pass вместо сертификата генерирует одноразовый пароль, который также становится частью строгой аутентификации. В более продвинутых моделях eToken реализован механизм проверки совершаемой трансакции. Этот механизм защиты позволяет избежать популярного вида воровства, осуществляемого путем подмены счета получателя и сумм платежа. При этом ни одно из упомянутых решений не имеет высоких ценовых барьеров для широкого внедрения в финансовых организациях.

— Сейчас все больше развивается технология NFC. Эксперты и аналитики прогнозируют ей большую популярность в ближайшем будущем. В России же только начинает появляться так называемый NFC-кошелек. Это предустановленная программа в смартфоне, которая позволяет выпустить виртуальную банковскую карту, передать ее прямо в смартфон и расплачиваться ею в торговых точках за счет NFC-чипа, списывая средства с этой карты. Насколько надежно такое нововведение?

— Хочу сказать, что на последних конференциях эксперты показывали, как легко сломать NFC. Но это не означает, что продукт провальный и не найдет своего применения на рынке. Когда идет процесс создания новых технологий, вопрос безопасности не является для разработчиков ключевым. Внимание концентрируется на удобстве и полезности для потребителя. И уже потом производители обращаются к таким вопросам, как безопасность. В инновационных продуктах не предусмотрена встроенная система безопасности, она развивается как дополнительный компонент. Поэтому я убежден, что и технология NFC, находящаяся на начальных этапах внедрения, справится с этой задачей.

— Кто кого опережает — мошенник или производители средств по защите информации?

— Это риторический вопрос, кто кого опережает. Очень часто самые подготовленные и опасные мошенники — это бывшие «защитники». Именно поэтому защита от инсайдера так актуальна, а урон, причиняемый внутренними врагами, — один из наиболее существенных. Что касается узких мест в защите, возникших как результат борьбы с определенным видом угроз, то это, скорее, частность, и защита должна быть комплексной.

Тем не менее эра, когда можно было построить такую защиту, которую нельзя сломать, прошла. Если есть двери с замком, всегда найдется умелец, который попытается этот замок открыть. Главный вопрос — что злоумышленник найдет за этой дверью? Я вижу как одну из текущих задач информационной безопасности построение таких систем защиты, чтобы, даже потратив огромные усилия и средства и проникнув в хранилище информации, злоумышленник не получил бы никакой выгоды.

— Какие механизмы защиты данных распространены на Западе и какие из них вам кажутся наиболее надежными?

— В мировой практике существует несколько механизмов обеспечения безопасности информации. Можно выделить три основных. В первую очередь, это средство изоляции самих сетей с данными от несанкционированного проникновения. Второй — это классификация различных типов информации и соответствующая раздельная защита. Третий тип — это шифрование информации, и он, как мне кажется, является единственным, обеспечивающим реальную защиту данных. Данные — это то, что реально представляет ценность. Что может сделать среднестатистический хакер? Он может получить доступ к информации, но если она зашифрована, то в чьи бы руки данные ни попали, они всегда будут защищены от посторонних. Один из подходов к защите персональных данных — обезличивание, или токенизация. В этом случае каждому полю важной информации, например номеру кредитной карты, может быть сгенерирован взаимно-однозначный эквивалент, который не будет нести смысловой нагрузки. Далее все системы приложений и персонал будут работать с двойником информации. Даже если информация с «двойниками» будет скомпрометирована, злоумышленники ничего не получат.

— Большинство российских экспертов сейчас сходятся в одном: будущее за многофункциональными картами. Но чем больше видов трансакций совершается одной карточкой, тем больший существует риск утечки данных. Так ли это в действительности и что делать?

— То, что вы сказали, — это истина, лежащая на поверхности. Но уровень риска использования такой карты будет напрямую зависеть от способа разработки технологии. Разработка защиты таких карт должна протекать параллельно с развитием безопасности традиционных карточек. Механизмы тут одинаковы. Однако использование многофункциональной карты — это личное решение каждого человека. Клиент должен быть осведомлен о тех рисках, которые берет на себя. Хочу заметить, что люди обычно не отказываются от удобства ездить на автомобиле из-за того, что это несет риск попасть в аварию.

— Какие основные проблемы лежат в основе революционных способов совершения трансакций, которые сопряжены с биометрией, СМС-подтверждением, вышеупомянутой системой NFC?

— Специалисты по информационной безопасности говорят, что применение биометрии для подтверждения трансакций несет в себе дополнительный риск. В списке инструментов злоумышленников может появиться такая дополнительная «опция», как похищение людей. Злоумышленники будут принуждать людей открывать доступ к банковским счетам, причиняя им физические увечья. И уже тому есть печальные примеры в ряде стран. Основная же проблема в остальных механизмах — это управление системой аутентификации пользователей. Где гарантия, что клиент прошел аутентификацию должным образом? И здесь мы видим инновационное решение проблемы, которое не будет технически громоздким. Речь идет об авторизации самих устройств, а не пользователей. Так, при попытке зайти в личный кабинет со смартфона будет не только запрашиваться ваш пароль, но еще и система будет опознавать устройство. Это делается при помощи сохранения сертификатов в телефонах клиентов.

Беседовала Юлия ТИТОВА,