Кібербезпека банківських та комерційних структур
1. Система банкоматів
Банкомат (від банківський автомат, іноді ATM від англ. Automated teller machine) — програмно-технічний комплекс, призначений для автоматизованих видачі й/або приймання наявних коштів як з використанням платіжних карт, так і без, а також виконання інших операцій, у тому числі оплати товарів і послуг, складання документів, що підтверджують відповідні операції.
Історія
Прототип першого банкомата був винайдений американським ученим арм’янського походження Лютером Джорджем Симджяном (англ. Luther George Simjian) ще в 1939 році. Пристрій видавав готівку, але при цьому не міг списати їх з рахунку: апарат не був пов´язаний з банком. Симджян запропонував випробувати винахід City Bank of New York, але через півроку банкіри повернули машину, повідомивши, що не бачать у ній необхідності. Винахід Симджяна було майже на 30 років забутий й дороблений тільки наприкінці 1960-х років.
Перший банкомат по видачі готівки, Automated Teller Machine (ATM), був установлено 27 червня 1967 року у районі Енфілд на півночі Лондона (Великобританія) у відділенні британського банку Barclays. Винахідником його був шотландець Джон Шепард-Баррон, що працював на замовлення компанії De La Rue- британського виробника паперу для грошових знаків більш ніж 150 країн світу. На ідею створення банкомата Шепард-Баррон наштовхнула побачена їм робота автомата із продажу шоколаду. Через неможливість перевірити наявність грошей на рахунку клієнта сума готівки, що знімалася, була обмежено фунтами. ATM був «безкарточним» банкоматом і видавав готівку в обмін на спеціальний ваучер (чек), які треба було заздалегідь одержувати в банку. Для захисту від підробки на чеках була слаборадіоактивна, а тому безпечна для клієнтів, мітка (изотопС14).
В 1966 році шотландський інженер Джеймс Гудфеллоу одержав патент на секретний захисний код з 4 цифр, Персональний ідентифікаційний номер ( PinPIN-код). Згідно з легендою, спочатку винахідник планував Пін-код довжиною в 6 цифр, але пізніше скоротив довжину коду до чотирьох цифр, нібито саме стільки цифр могла запам´ятати його дружина. Згодом Пін-коди стали широко використовуватися для захисту від несанкціонованого доступу до банківських рахунків.
Впровадження банкоматів відбувалося поступово. В 1971 році перші типи банкоматів використовувалися приблизно в 35 американських банках. Першим банком, який в 1972 році почав повсюдно встановлювати банкомати, став американський Citibank. У тому ж році банк Lloyds увів у Великобританії перші онлайн-онлайн-банкомати за назвою Cash-Point, розроблені компанією IBM. Замість ваучера вони використовували пластикові карти з магнітною смугою, що було набагато зручніше для клієнта. Розвиток телекомунікацій дозволив будувати мережі банкоматів, які могли використовуватися відразу декількома банками. Уперше це відбулося в 1972—1975 роках у США. Кілька сотень банкоматів 18 банків у штаті Вашингтон були об´єднані в мережу за назвою Exchange. Пізніше були винайдені банкомати, здатні не тільки видавати готівку, але й приймати її.
У СРСР перші банкомати з´явилися в 1991 році, два в московському Центрі міжнародної торгівлі (ЦМТ) і один в офісі американської компанії American Express на вулиці Садово-Кудринский. Видавали вони не готівку, а дорожні чеки AmEx.
ДО 1975 році у світі працювало ледве більш 5 тис. банкоматів, з них близько 3140 — в 534 американських банках. Згідно даним дослідницької компанії RBR, наприкінці 2011 року в усьому світі налічувалося 2,4 млн банкоматів, а до 2017 році, за прогнозами RBR, кількість ATM виросте до 3,4 млн. В 2000 -х роках виробники банкоматів почали впроваджувати технологію Cash Recycling, що полягає в тому, що наявні гроші, внесені одним клієнтом у банкомат, можуть бути отримані на руки іншим клієнтом. Великий вплив на індустрію ATM в останні десять років виявляють розвиток Інтернету і мобільних технологій. На початку 2010--х років компанія KAL оголосила про розробку безготівкового банкомата, Retail Teller Machine (RTM). Замість готівки такий банкомат видає клієнтові рахунок, який той пред´являє касирові магазину для оплати придбаного товару. В 2012 році в японському банку The Ogaki Kyoritsu Bank (Огаки, префектура Г ифу) з´явилися банкомати, що здійснюють ідентифікацію клієнтів не по банківській карті й паролю, а по введеній даті народження й прикладеної до сенсорного пристрою долоні.
Принцип дії
Після завантаження карти в кардридер банкомата тримачу карти пропонується ввести секретний код (Пін-код) для авторизації картотримача. Далі пропонується вибір доступних операцій ( при виборі операції також може запитуватися Пін-код; це залежить від конкретних налаштувань конкретного банкомата). Після вибору операції банкомат шифрує отриману інформацію (уміст магнітної смуги/чипа, уведений Пін-код, запитану операцію) і передає дані в процесинговий центр банку-банка-екваєра.
Банк-Екваєр відправляє в платіжну систему запит на проведення операції. Платіжна система маршрутизує запит у банк-емітент (банк, що видав карту) і, одержавши згоду або відмову (код авторизації), передає банкомату команди на виконання або відхилення запиту. При цьому всі дії по відправленню запиту, обробці відповіді на запит, видачі/прийманню грошей з касет фіксуються, що дозволяє провести розслідування у випадку, якщо операція оскаржена.
Тому що Пін-код відомий тільки тримачу карти, операції, підтверджені Пін-кодом, уважаються виконаними безпосередньо тримачем карти.
Банкоматне шахрайство
В останні роки, одночасно з розвитком банкоматної мережі, росте кількість випадків банкоматного шахрайства - неправомірного використання банкоматів для крадіжки грошей з рахунків тримачів пластикових карт.
Способи
Існує кілька десятків різних по організації й технологічному рівню способів неправомірного заволодіння грішми з карткового рахунку іншої людини за допомогою банкоматів. По даним APACS (Association for Payment Clearing Services — Асоціація систем клірингових платежів - Великобританія), найпоширеніші наступні:
• Використання украденої карти й Пін-коду, розголошеного тримачем ( у тому числі випадки, коли Пін-код зберігається поруч із картою або записується на ній).
• «Дружнє шахрайство». Використання карти шляхом вільного доступу членами родини, близькими друзями, колегами по роботі. Також припускає розголошення Пін-коду.
• Величезна черга біля банкомата, повна відсутність таємності введення Пін-коду.
• Підглядання Пін-коду через плече з наступною крадіжкою карти - найпростіший, але широко розповсюджений метод.
• «Ліванська петля». Блокується вікно подачі карти так, щоб карта застрягла. При спробі вставити карту в банкомат вона застряє. Зловмисник, що попередньо підглянув Пін-код, співчуває й рекомендує терміново йти й дзвонити в банк або сервісну службу. Як тільки власник відходить, злочинець витягає карту, звільняє вікно банкомата й знімає гроші.
• Фальшиві банкомати. Досить рідкий спосіб, що вимагає технічної оснащеності. Шахраї виготовляють фальшиві банкомати, які виглядають як справжні, або переробляють старі, і розміщають їх у людних місцях. Такий банкомат приймає карту, вимагає введення Пін-коду, після чого видає повідомлення про неможливість видачі грошей ( під приводом відсутності грошей у банкоматі або технічної помилки) і повертає карту. У банкоматі відбувається копіювання даних з карти й Пін-коду, що дозволяє шахраям згодом виготовити дублікат і зняти з його допомогою гроші з рахунку клієнта.
• Копіювання магнітної смуги (skimming) за допомогою підставних
пристроїв зчитування. Такі пристрої встановлюють на банкомат (зчитувач — на щілину для приймання карти, додатковою клавіатурою накривають справжню). При користуванні таким банкоматом зчитувач зберігає дані з, що вставляються в банкомат карт, а клавіатура — Пін-коди. Як і в попередньому випадку, украдених даних досить для виробництва дубліката карти й зняття грошей з рахунку власника.
• Неправильний ПІН-ПАД (пристрій для введення Пін-коду в платі
жних терміналах), або додатковий елемент на електронному замку в приміщенні з банкоматом, що відкривається за допомогою карти.
• Установка поруч із банкоматом мініатюрних телекамер для злодійства Пін-кодів. Така камера може бути замаскована встановленим рядом або прикріпленим до банкомата або стіни поруч із ним предметом.
Деякі із цих методів є апаратними закладками у банкоматах.
В 2011 році з´явилися повідомлення про ще один теоретично можливий спосіб злодійства Пін-кодів за допомогою банкомата: за допомогою високочутливої інфрачервоної камери. Зловмисник, що чергує в черзі, робить знімок клавіатури, на якій попередній користувач набирав Пін-код. Клавіші, до яких доторкалися, трохи тепліші, причому остання натиснута клавіша тепліше передостанньої і так далі. Успішність даного методу, втім, залежить від типу клавіатури (металеві клавіатури мають більшу теплопровідність і температура їх клавіш швидко вирівнюється) і від того, чи набирав клієнт що-небудь ще на клавіатурі (наприклад, суму). Для запобігання зняття Пін-коду по тепловому відбиткові досить після роботи із клавіатурою на короткий час покласти на неї долоню.
Поширеність
Масштаби банкоматного шахрайства у світі вже зараз дуже великі, втрати від нього в США склали 2,79 млрд доларів за рік на кінець травня 2005 року (Gartner), у Великобританії за 2006 рік— 61,9 млн ф.ст. У країнах Латинської Америки кількість злочинів, пов´язаних з банкоматами, з 2001 по 2005 р. виросло на 15 %. У Східній Європі й колишньому СРСР проблема стоїть менш гостро через менший обсяг використання електронних платіжних засобів, але, проте, рівень пов´язаних з електронними картами злочинів також росте. За офіційним даними, втрати від шахрайства на Україні становлять до 0,06 % річного обороту по картах (90 млн гривень в 2006). За неофіційними оцінками фахівців Національного банку України в реальності ця величина становить до одного відсотка всього обороту по картах, тобто фактичний обсяг злодійства за 2006 рік склав близько мільярда гривень.
Банкоматна мережа - це сукупність ATM, установлених у філіях банків, торговельно-сервісних підприємствах або на території корпоративних клієнтів банків, і каналів передані даних, що зв´язують термінальні пристрої з процесин- говим центром банків.
Є два шляхи, яких може дотримуватися банк, обираючи стратегію використання банкоматів:
• експлуатація незалежної власної мережі обслуговування;
• участь у спільній мережі обслуговування.
Перевага власної системи в тому, що власник зберігає над нею повний контроль. Крім того, вона забезпечує фінансовій установі престиж і незалежність від загальнонаціональних систем.
Недоліком є те, що створення мережі банківських автоматів-касирів і маркетинг вимагають значних витрат, обсяг її операцій обмежений, оскільки вона здатна обслуговувати лише операції власників карток певного виду, які проходять через цю установу.
Для підвищення економічності використання банківських автоматів банки об´єднують свої мережі і надають можливість клієнтам користуватися автоматами різних банків на великих територіях.
Спільна мережа банкоматів - це спільне підприємство кількох фінансових установ.
Організаційну структуру цього підприємства і специфічні деталі функціонування мережі визначають банки-учасники.
Практика створення телекомунікаційного середовища із застосуванням банкоматів свідчить, що вигіднішою для банків є побудова загальних мереж банкоматів і об´єднання вже побудованих мереж. Результатом цього стає стандартизація кредитних карток, від якої виграють і банк і його клієнти.
Учасники спільної мережі ставлять перед собою такі цілі:
• поділ витрат і ризику між учасниками мережі в разі впровадження нових послуг;
• зменшення вартості операцій для учасників.
Тож і для клієнта є два можливі варіанти використання банківських автоматів для видачі готівкових грошей і здійснення стандартних фінансових операцій. Клієнт за допомогою своєї картки може отримати гроші в автоматі, установленому банком, який його обслуговує. У цьому разі банк несе витрати тільки на обслуговування свого автомата, а з клієнта за цю операцію стягує невелику плату. Або клієнт одержує гроші в автоматі, що належить іншому банку, якщо існують міжбанківські зв´язки в цій сфері; у цьому разі банк, який видав картку, платить комісійний збір за "міжбанківський обмін", а пізніше стягує цю суму зі свого клієнта.
Уже 1990 року 30% усіх операцій із БА проводились через автомати, що належали іншим банкам. Однак зростання колективних мереж породило і безліч проблем, що пов´язані з розробленням загальних стандартів безпеки, сумісністю обладнання, правилами врегулювання платежів тощо. Окрім того, обслуговування через спільні мережі банківських автоматів є дорожчим, оскільки три чверті всіх банків беруть плату з клієнтів за користування чужими банкоматами (від 0,75 до 2% за операцію і З долари США за операцію через банкомат в іншій країні). Ці кошти використовують для часткового покриття витрат на утримання колективних мереж.
Порівняльна статистика з банківських автоматів, які є в розпорядженні різних країн, дозволяє, зокрема, відзначити велику щільність автоматів у США і Японії та, навпаки, малу їх пильність в Італії, Німеччині та Нідерландах. Окрім того, у США, як і в Японії, парк автоматів дуже подрібнений між "приватними" мережами та мережами незалежних установ.
Щодо експлуатації національних мереж банківських автоматів у різних країнах можна навести такі дані. У США функціонують мережі: Plus і Cirrus, що об´єднують банкомати більшості штатів із кількістю клієнтів понад 60 млн. З 1991 року в мережі банкоматів Cirrus приймаються картки Euro- card!´MasterCard згідно з укладеною угодою між EuroCard International і Cirrus International. У Великобританії конкурують між собою мережі: Visa {Barclays bank) і ACCES (National Westminster Bank і Midlands Bank). Розподіл банкоматів за мережами виглядає так: мережа Barclays (49%) із банками Lloyds, Bank of Scotland і Royal Bank; мережа Natwest (33%) із банком Midland; мережі Building societies (будівельних об´єднань) Link та Matrix.
У Бельгії співіснують дві мережі: Mistercash і Bancontact У Франції всі карткові операції банкоматів обслуговує одна мережа, яка має назву "Банківські картки".
Банкомати Німеччини обслуговує загальнонаціональна мережа Eurocheque та спеціалізовані банківські мережі.
В Італії 70% автоматів належать до мережі Bancomat, решта 30% - до інших спеціалізованих банківських мереж.
У Нідерландах використовують міжбанківські мережі автоматичних банківських кас, де застосовується гарантійна чекова картка, та міжбанківські мережі ощадних кас.
В Японії співіснують дев´ять міжбанківських національних мереж та 51 спеціалізована банківська мережа. Одна з найбільших мереж NCS (Nippor cash service) нараховує 53 банки учасники.
Окрім національних угод за картками, укладено міжнародні угоди. Так, 1980 року близько 1 700 ATM, що належали емітентам карток Visa у Великобританії, були підключені до міжнародної мережі, в якій працювало близько 21 700 ATM у 22-х країнах світу. А вже через чверть століття грошовий обіг за картками системи Visa International перевищив суму в 2 трильйони доларів, а кількість точок, де обслуговують Visa, досягла кількості 28 мільйонів. Регіональні підрозділи охоплюють: Центральну і Східну Європу, Близький Схід, Африку, Латинську Америку, Азію і країни Тихого океану, США, Канаду.
Так, банки багатьох західноєвропейських країн створюють мережі банківських автоматів, дозволяючи резидентам інших країн, що мають картку Eurocheque, користуватися послугами автоматів на території будь-якої країни. З 1989 року 45 млн власників зазначених карток могли здійснювати операції через банківські автомати у Великобританії, Німеччині, Австрії, Італії, Данії та в інших країнах. Більшість банків Англії випускають міжнародні чекові картки Eurocheque, які можуть застосовуватись для отримання готівкових грошей через ATM єдиної мережі у понад 20 країнах, що випускають єврочекові чекові картки.
У Великобританії тільки ATM Midland-банку дозволяє здійснювати отримання готівки за допомогою єврочекових карток. Це можливо для карток, що випущені в Бельгії, Німеччині, Ірландії, Люксембурзі" Нідерландах, Португалії і самим Midland-банком. У 1987 році було укладено взаємну угоду між системами Link і Plus (Північна Америка), що дало власникам карток Link. на той час доступ до 11 000 ATM на території Північної Америки і 67 млн власників карток Plus - доступ до ATM Links.
EuroCard та MasterCard, діючи спільно, значно збільшили свої обороти після підписання угоди з компаніями Cirrus та Maestro, результатом якої стало придбання великої мережі банкоматів та електронних платіжних терміналів. У вересні 1992 року було утворено EuroPay International - як результат злиття EuroCard International, Eurocheque International, Eurocheque International Holdings. MasterCard International належать 100% капіталу Cirrus System (мережа банківських автоматів), 50% акціонерного капіталу Maestro International (всесвітня система електронних платіжних терміналів), 12,25% капіталу EuroPay International та 15% капіталу European Payment Systems Services - EPSS (Європейська система платіжних послуг). У свою чергу, EuroPay International володіє 86% капіталу EPSS і 50% капіталу Maestro International
Щодо рентабельності банківських автоматів слід зазначити, що за терміну окупності сім років автомати з видачі готівкових грошей можуть бути рентабельними в разі виконання не менше ніж 40 тис. операцій на рік; для банкоматів, розміщених усередині банку, межа становить 75 тис. операцій, поза банком - 126 тисяч. Як свідчить практика експлуатації банкоматів, автомати з видачі готівкових грошей уже всі рентабельні, а універсальні банкомати поки що ні. При цьому спостерігається зниження собівартості автоматів за налагодження їх масового випуску. Окрім того, якщо в деяких країнах видача грошей автоматом свого банку проводиться безкоштовно і лише за отримання грошей в автоматі іншого банку стягується певний комісійний збір за міжбанківський обмін, то в інших країнах, наприклад, у США, за кожне отримання грошей потрібно платити, що значно знижує межу рентабельності, а відповідно, і термін окупності.
Використання банкоматів вимагає великих інвестицій, тому їх використовують переважно великі банки. Показником для оцінки ефективності використання банкоматів можна вважати кількість використовуваних платіжних карток на один банкомат. Для найпопулярніших мереж банкоматів у Великобританії, США цей показник становить 2-4 тисячі карток на банкомат.
"Безкоштовні" мережі банкоматів. Наявність сьогодні розвинутої мережі банкоматів вимагає стратегічного плану подальшого розвитку цього напряму банківської діяльності. Банківський ринок суттєво змінився - сьогодні, окрім банків, кредитні спілки і супермаркети також розвивають власні мережі банкоматів. За прогнозами, уже найближчим часом відбудеться зниження обсягів трансакцій із розрахунку на один банкомат. Отже, надання послуг еквайрингу вже сьогодні не є великою конкурентною перевагою банків.
На противагу переважній кількості банків, які ввели комісійний збір для небанківських клієнтів для компенсації потенційних збитків, можна зіткнутися з принципом розгляду банкомата лише як зручності для клієнта, а не як джерела доходу або конкурентної переваги. Ідеться про "безкоштовні" мережі банко- матів - вигідні як для банків, так і для клієнтів.
Наприклад, клівлендський банк Key Bancorp розробив унікальний метод управління мережею своїх банкоматів без установлення плати за користування ними. Проект банку Agent Bank (агентський банк) - це програма, що передбачає здавання в оренду частини своїх банкоматів невеликим фінансовим установам, які хочуть розширити свою присутність та підвищити конкурентоздатність, водночас надаючи банкові більш суттєву вигоду від своїх каналів.
Споживачі - учасники програми Agent Bank, окрім банкоматів "свого" банку, можуть користуватися будь-яким банкоматом банку Key Bancorp. При цьому комісії не стягується ні після самої операції, ні наприкінці місяця. Ця програма підтверджує, що банки змінюють своє ставлення до комісійних зборів, мереж своїх банкоматів та каналів доставки і можуть отримувати набагато суттєвішу вигоду від своїх каналів. При цьому, як свідчать дані консультаційної компанії Dove Consulting, кількість фінансових компаній-орен-дарів швидко зростає (приблизно удвічі за рік).
Партнери (банки -агенти) Key Bancorp орендують банкомати і платять одноразову авансову комісію. Окрім цього, банк-агент платить банкові- орендодавцю за кожну трансакцію своїх клієнтів, здійснену банкоматом орендодавця - близько 20-25 центів за кожну операцію. Ця плата призначена для покриття витрат на підтримку мережі.
Сьогодні мережа SUM від нью-йоркської фондової біржі покриває північно-східний регіон США. Фінансова установа, що випускає картки під логотипом біржі, надає частину своїх банкоматів у загальну мережу. Клієнти фінансової установи отримують можливість безоплатного користування будь-яким банкоматом мережі SUM, яка сьогодні нараховує близько 3 000 автоматів, представлених 500 банками.