3.2. Проблемы внедрения и функционирования системы пластиковых карт
Верьте брахману больше, чем змее,а змее – больше, чем шлюхе, а шлюхе – больше, чем афганцу.
Р.Киплинг. «Ким».
Переход на новые, более надежные системы в западных странах замедляется и откладывается из-за огромных капиталовложений, которые банки в свое время сделали в традиционную, существующую сегодня технологию магнитных карт, инфраструктуру из сотен тысяч банкоматов, миллионов торговых терминалов и специализированных высококачественных сетей передачи данных. Эти системы отлажены, работают, а потери, связанные с мошенничеством, статистически вычисляются и учитываются как неизбежные эксплуатационные издержки.
Ситуация на Российском рынке абсолютно иная. С одной стороны, очень низкая кредитоспособность массового клиента, отсутствие высококачественных разветвленных и надежных средств коммуникаций (особенно на периферии) и высокий уровень криминальности делает практически невозможным применение стандартных западных систем в национальном масштабе. С другой стороны, находясь на начальном этапе своего развития, российские системы имеют уникальную возможность использовать все последние технологические достижения. Вот почему количество поставщиков платежных систем на Российском рынке столь велико. Многие из этих фирм, реально оценивая ситуацию, предлагают только микропроцессорные карты в качестве базового элемента систем.
Кроме того, и крупнейшие международные системы (VISA, EUROPAY и др.) перестраивают свою маркетинговую политику по мере осознания того факта, что борьба за будущий стандарт платежных систем уже развернулась и полигоном для этой борьбы становится российский рынок.
Оценка рисков – важный критерий при выборе платежной системы. Как и любая деятельность банка, создание и функционирование системы безналичных расчетов несет на себе определенные риски.
Общие риски функционирования платежной системы возникают из-за возможных технических отказов и возможностью хищения денежных средств банка или клиента. Другими словами природа данного риска лежит в области технических особенностей работы системы. Величина данного риска довольно значительна на сегодняшний день. Основная доля убытков от данного риска приходится на хищения. Крупные платежные системы закладывают в свои бюджеты расходные статьи с учетом возможных убытков от хищений, рассчитанные статистически на основе прошлых периодов. По данным зарубежных источников, потери от преступлений в сфере оборота банковских пластиковых карт составляют в среднем 10 % от прибыли. Причем, в последнее время отмечается рост таких потерь.
По данным опроса, проведенного Computer Security Institute (CSI) и FBI Computer Intrusion Squad (обработаны ответы 643 компьютерных специалистов из 273 американских корпораций, финансовых институтов, правительственных агентств и университетов), 90% респондентов отметили, что претерпели то или иное нарушение системы безопасности в 1997 году, ставшее результатом хакерских атак. 74% респондентов заявили, что понесли убытки в результате хакерских атак, но только 42% были в состоянии подсчитать все убытки.
По данным комитета Europay Int. по рискам и мошенничествам, потери европейских банков (в том числе и российских) от мошенничеств с пластиковыми картами за последний год выросли в десятки раз. По приблизительным подсчетам, в 1998 году они составили около $15 млрд.
Europay Int. пока не сообщает конкретных цифр о потерях банков. Но их легко подсчитать: согласно опубликованным в предыдущие годы данным, общие потери банков от деятельности карточных мошенников во всем мире составляли $600 млн. в год. Теперь же эта цифра выросла примерно в 25 раз. Причем, владельцы платежных систем не расположены обнародовать свои потери от обслуживания системы, боясь подорвать доверие к ней.
В России потери от действий мошенников по всем кредитным карточкам в 1996 г. оценивались в $2,3 млн., в т.ч. $90 тыс. – потери по карточкам Eurocard/MasterCard. Особая опасность таких преступлений состоит в высокой степени их латентности. Выявляется только одно из десяти криминальных проявлений
Самым распространенным мошенничеством (87%) в настоящее время является подделка карт. До 30 видов незаконных операций с картами осуществляется через Интернет. Например, оплата покупок несуществующими картами, создание фальшивых виртуальных магазинов и пр.
Хищения происходят как сторонними лицами, так и персоналом платежной системы. Персонал вообще является самым ненадежным, а часто просто опасным звеном любой автоматизированной системы. Нелояльные сотрудники, имеющие доступ к компьютерам, играют главную роль в большинстве финансовых преступлений. Статистика приводит очень печальные данные, утверждая, что лишь четверть сотрудников банка вполне лояльна. Четверть настроена безусловно враждебно к фирме и не имеет моральных ограничителей, лояльность же оставшейся половины зависит исключительно от обстоятельств. Процедуры безопасности могут обеспечить проверку паролей и строгий контроль доступа к ценным общим данным, но взломщика, хорошо знающего внутреннее устройство системы, практически невозможно остановить. Уволенные служащие иногда пытаются разрушить систему и оборудование. Известен случай, когда уволенный служащий воткнул сетевой коаксиальный кабель в электрическую розетку, чем вывел из строя полсотни компьютеров. В другом происшествии из окна в реку был выброшен файловый сервер. Даже законопослушные пользователи часто нарушают правила работы в сетях. Это проявляется в неправомочном использовании чужого компьютера, просмотре, копировании или модификации чужих файлов, а также преднамеренном саботаже чужих программ и вызове крушения или перезагрузки системы. Наиболее серьезный вид нелояльности можно ожидать от программистов, чьи модули, установленные в защищенной системе имеют неописанные в документации возможности.
Сторонние лица также проявляют хороший уровень знаний и изобретательности. Преступники действуют с размахом. Ими создаются фирмы прикрытия, “хакерские братства”, подпольные корпорации для совершения мошенничеств с помощью пластиковых карт. На “вооружении” таких преступных формирований находится самая современная техника, необходимые документы прикрытия, в них входят наиболее квалифицированные специалисты. Для осуществления преступной деятельности создаются фиктивные предприятия, банки, для затруднения работы налоговых и иных контрольных органов используются зарубежные оффшорные счета.
Примером может служить разоблачение фирмы, которая занималась оказанием посреднических услуг в оформлении карт зарубежных платёжных систем. Мошенники открывали корпоративный счёт (которым могут пользоваться несколько человек), выдавая его клиенту за индивидуальный. В нужный момент, когда ничего не подозревающий владелец, убедившись в том, что карта нормально функционирует в нашей стране и за рубежом, переводил на свой счёт крупную сумму денег, преступники, обладающие равными правами, распоряжались её по своему усмотрению.
Совместными усилиями сотрудников МВД, ФСБ и службы безопасности Сбербанка удалось пресечь преступную деятельность группы мошенников, пытавшихся похитить 1,5 млрд. рублей через банкоматы отделений Сбербанка в Перми, Москве и Санкт-Петербурге.
Работниками органов внутренних дел и службой безопасности банка “Российский кредит” выявлена группа лиц, пытавшихся выпустить пластиковые карты с реквизитами вышеназванного банка и использовать их в Южной Америке и Азии.
В сентябре 1997 года в Санкт-Петербурге были задержаны лица, пытавшиеся получить мошенническим путем в “Международном банке реконструкции и развития” 75 тысяч долларов США.
На сегодняшний день из известных видов мошенничеств “лидирует” полная подделка карты. Обычно, на ней указываются подлинные реквизиты, довольно точно воспроизводятся степени защиты, но фамилия владельца фиктивна. Этот вид мошенничества распространяется по миру со скоростью эпидемии. Первыми подделывать карты начали в Нигерии, но там поднять этот вид мошенничества "на должную высоту" не смогли, не хватило технологий. Миниатюрные устройства для копирования магнитной полосы, которые могут помещаться в ладони, были изготовлены уже в Восточной Европе. Скажем, владелец карты при посещении ресторана может даже не заметить, в какой момент с карты, находящейся в руке официанта, была считана магнитная полоса. Часто применяется установка в банкоматы специальных устройств, которые сохраняют в своей памяти и передают злоумышленникам данные с карты вкупе с введенными пользователями пин-кодами. Многие карты с магнитной полосой (включая, например, карты для проезда в Московском метрополитене) копируются вообще «на коленке» с помощью утюга, куска магнитной ленты от видеокассеты и мелких железных опилок.
Затем следуют преступления, которые можно объединить в группу “незаконное использование подлинной карточки”. Сюда можно отнести банальную кражу карты с последующими операциями по ней, так называемую “двойную прокатку” (когда продавец откатывает слип несколько раз, оставляя себе незаполненные экземпляры. Известны случаи, когда мошенники (в основном работники банков и фабрик по производству карт) пользуются задержкой между изготовлением и вручением её владельцу.
Совершают мошенничества и сами владельцы карт. Наиболее часто карта заявляется ими как украденная, после чего незамедлительно следуют операции (пока номер карты не попал в “стоп-лист”). Затем недобросовестный клиент предъявляет претензии банку. Также для избежания снятия денег со счёта карты частично подделывают, изменяя реквизиты путём физического воздействия.
Работниками торговли и других сфер обслуживания используется так называемый “белый пластик” (суррогат карты) с последующим “замыванием” (маскировкой) фальшивых слипов среди подлинных.
С развитием глобальной компьютерной сети Интернет и появлением “виртуальных магазинов”, где можно сделать заказ с персонального компьютера, получив товар по почте, расширилось поле деятельности для мошенников. Для оплаты в таких магазинах достаточно указать реквизиты карты. Следовательно, любая утечка такой информации (а это может произойти при любой операции) чревата для владельца большими потерями. А способов “выманить” у владельца реквизиты карты существует множество. Сейчас уже известно около 30 приёмов мошеннических действий с помощью Интернет, который в настоящее время находится, фактически, вне правового поля. Даже если магазин не преследует цели присвоить себе ваши деньги, номер карточки (и еще сотни тысяч других, накопленных в его базе данных) у него вполне могут украсть. Недавно в Интернет прошло сообщение о том, что у одного из крупных онлайновых магазинов были украдены 485 тыс. номеров карточек. Они были спрятана на веб-сайте одного из ведомств правительства США. Это тайное хранилище похищенных данных было обнаружено в ходе аудиторской проверки еще в январе 1999 года, но за прошедшее с тех пор время оповещенные финансовые институты не только не закрыли счета скомпрометированных кредитных карт, но даже не известили владельцев карт о происшедшем.
Российский хакер под кличкой Maxus внедрился в базу данных компании CD Universe, содержащей порядка 350.000 записей о клиентах и номерах их кредитных карточек. Он потребовал у компании $100.000 за неопубликование информации, и после того, как CD Universe отказалась, информация была опубликована на веб-сайтах. Через некоторое время ФБР обнаружило и закрыло сайты с этой информацией. Вскоре была установлена его личность. ФБР имеет достаточно данных и доказательств для ареста, однако вопрос об этом пока не решен до договоренности с российскими властями3.
Компания Expedia, ведущее интернет-агентство путешествий, заявила о том, что на третий финансовый квартал она запланировала увеличить средства, зарезервированные на убытки из-за поддельных кредитных карт. Если раньше этот резерв составлял около $500 000, то теперь он составит от $4 млн до $6 млн. Увеличение резерва связано с ростом числа мошеннических онлайновых операций с использованием поддельных кредитных карт. В минувшем квартале компания понесла из-за этого убытки, объем которых составляет около трети доходов, полученных от продажи билетов4.
По крайней мере 9 сайтов были взломаны хакерами с января этого года с целью воровства номеров кредитных карточек. Счёт ворованных номеров ведётся на сотни тысяч, причём большинство из них были размещены на хакерских сайтах. Как сообщает администрация сайтов-жертв, взлом стал возможен из-за "дыры" в ПО Microsoft Internet Information Server, которое предоставляет доступ к записям о клиентах и сделках.
Смарт-карты являются на сегодняшний день самым надежным вариантом пластиковой карты. Установленный на ней процессор может обладать весьма развитой логикой, чтобы, например, регулярно менять пин-коды по определенным правилам, что, правда, создает некоторые неудобства владельцам. Внутренние данные в карте могут быть зашифрованы или доступны только на чтение или только на запись с целью затруднить дублирование. Однако, эти все меры не являются препятствием для увлеченного человека. Пару лет назад в одной из телеконференций проходило сообщение, что в неком российском НИИ приспособили сканирующий электронный микроскоп, который позволяет фотографировать отдельные молекулы вещества, для изучения внутренней структуры микросхемы в смарт-карте. Вполне возможно собрать эмулятор некоторых карт на микроконтроллере за пять долларов и двух микросхемах обвязки. Этот эмулятор имеет размер пачки сигарет и ведет себя в точности как оригинальная карта. Одно время в Москве на рынках вовсю продавались и были очень популярными эмуляторы для телефонных карт, позволяющими бесплатно звонить с городских таксофонов хоть в Африку.
В 1998 г. в Омске, по сообщению ПРАЙМ-ТАСС, злоумышленник взломал защиту карт системы "Золотая Корона". Он открыл картсчета в Сибирском филиале Инкомбанка /Новосибирск/, Новосибирской дирекции Мосбизнесбанка, Омскпромстройбанке и Омск-банке. После этого, используя специальное оборудование, снял имеющуюся на них информацию и внес в нее изменения при помощи разработанного программного обеспечения. Внесенные изменения позволили получать в банкоматах сумму, находящуюся на картсчете неоднократно.
Затем, как сообщили, он изготовил поддельные пластиковые карточки системы "Золотая Корона", и внес на них данные о заводском серийном номере, идентификаторе банка-эмитента, номере счета, коде валюты, базовом остатке, платежных лимитах, а также другие данные, полностью соответствующие оригиналам, получив таким образом возможность совершать поддельные транзакции и получать деньги в банкоматах в неограниченном количестве5.
Использование современных устойчивых криптографических алгоритмов, позволяют значительно снизить вероятность несанкционированных платежных транзакций. Но прогресс не стоит на месте, и уже сегодня ведутся разработки в области повышения надежности смарт-карт.
Примером таких работ может служить научно-исследовательский проект, спонсируемый Европейской Комиссией – программа Esprit (EP8670) под названием Cascade. Перевод данной аббревиатуры на русском выглядит как «способы идентификации портативных “разумных” устройств». Способ повышения надежности специалисты данной организации видят в увеличении объема памяти (для работ с большим количеством данных), и в наращивании разрядности процессора. Данная организация ведет разработки технологии биометрической идентификации: по голосу, по отпечаткам пальцев.
При той открытости стандартов, к которой стремятся и которая требуется для совместимости оборудования и программного обеспечения, особые требование по безопасности возлагаются на операционные системы, чья декларируемая надежность давно уже под большими сомнениями.
Проблемы безопасности платежных систем носят не только частный характер, а представляют собой национальные интересы. С этой позиции государству необходимо разрабатывать процедуры сертификации систем платежей с точки зрения безопасности. Основная контрольная функция должна принадлежать Центральному Банку.
В России уделяется недостаточное внимание разработке национальной концепции безопасности платежных систем. К основным проблемам национального характера можно причислить:
·Отсутствие национального законодательства и других норм, регулирующих взаимоотношения между участниками платежных систем;
·Отсутствие в Уголовном кодексе статей, предусматривающих наказание за незаконное использование пластиковых карт (ст. 187 УК регламентирует только один вид мошенничества – подделку);
·Недостаток специалистов и специальных подразделений правоохранительных органов по борьбе с “карточным” мошенничеством;
·Слабое взаимодействие между банками и правоохранительными органами;
·Отсутствие единой национальной организации по противодействию мошенничеству с использованием пластиковых карт.
Риски, зависящие от вида оказываемых услуг, носят экономический характер. Оказывая услуги своим клиентам по краткосрочному кредитованию с помощью пластиковых карт, банк берет на себя все риски, присущие операциям кредитования. Основной вес приходится на кредитный риск – риск невозврата кредита в срок и не уплаты процентов. В операциях кредитования с использование пластиковых карт, кредитный риск носит более выраженный характер, учитывая небольшой размер кредита, неопределенность возникновения кредитных отношений. Процентный риск также более выражен, по причине несовпадения сроков заключения договоров на обслуживание пластиковых карт и моментом выдачи кредита.
Для уменьшения кредитного риска при выдаче кредитной пластиковой карты, банк должен разрабатывать рейтинговые методы оценки кредитоспособности клиента. Принимая во внимание, что выдача кредитной карты, носит поточный характер, рейтинг клиента не сможет в должной мере застраховать банк от данного риска. Наиболее надежным способом оценки кредитоспособности в данном случае является история взаимоотношений заемщика с банком. Сюда входит и кредитная история клиента и наличие вкладов у клиента. Банк более информирован о финансовом положении клиента, с которым он работает определенный промежуток времени, при привлечении клиента со стороны банк берет на себя повышенный риск. В условиях России использование рейтинговых методов оценки затруднено, из-за отсутствия надежных источников информации о клиенте.
Защищенность инвестиций коммерческого банка при создании платежной системы состоит из обоснованности затрат на создание платежной системы сегодня и неподверженность моральному износу завтра. С этих позиций коммерческий банк должен сделать выбор между современными технологиями, как правило, более капиталоемкими, и менее современными, но более дешевыми.
4. Цифровые наличные деньги
4.1. Общие сведения
Цифровые наличные, по своей сути, относятся тоже к дебетовым системам. Существует два типа цифровых наличных – хранящиеся на смарт-картах (Mondex) и хранящиеся на жестком диске компьютера. Со временем эти типы сольются в один.
Эти системы по существу аналогичны наличным деньгам. Грубо говоря, эти и есть наличные деньги. Цикл жизни электронных денег содержит следующие этапы: сначала клиент создает на своем компьютере электронные купюры, определяя их номинал и серийный номер. Они заверяются собственной цифровой подписью клиента. Затем он посылает их в банк, который, при поступлении реальных денег на счет, подписывает эти купюры, зная только их номинал и отправляет их обратно клиенту. Теперь мы имеем цифры, которые являются на самом деле деньгами. Их можно записать на бумажку и отдать кому-нибудь, это будет эквивалентно передаче наличности. Их можно записать на дискету и потерять, при этом вы потеряете все деньги. Их можно пересылать по каналам связи.
При покупке клиент посылает купюры продавцу, который предъявляет их банку. Банк проверяет подлинность и производит зачисления на счет продавца. Причем продавец не получает никаких сведений о покупателе, но покупатель всегда может доказать, что покупку совершил он, так как только он знает серийные номера своих купюр. Таким образом реализуется система “слепой подписи”, которая позволяет проводить операции анонимно, но с перспективой доказательства их действительности. Электронные деньги способны циркулировать вне банковских сетей, между самими клиентами или продавцами. Однако, для проведения расчетов необходимо открытие счета в каком-либо конкретном банке.
Цифровые наличные – это очень гибкий инструмент. С их помощью также легко оплатить покупку в интернете или устроить там свой собственный бизнес. Только цифровые наличные могут обеспечить микроплатежи – так необходимые для информационного бизнеса и продажи публикаций. Такие электронные деньги могут быть помечены для специального использования (только для кино, например), что весьма удобно для контроля денег в семье.
Стоимость транзакции с использованием цифровых наличных и их обработка и учет значительно дешевле стоимости обработки традиционных денег, кредитных карт и чеков и других средств платежа. Обработка цифровых наличных проще, и их использование может серьезно изменить структуру банков и сократить персонал.
Цифровые наличные, в отличие от чеков и кредитных систем, позволяют поддерживать анонимность транзакций (в той или иной степени), так как не требуют при их использовании удостоверения личности плательщика и его кредитоспособности.
В отличие от традиционных наличных денег оплата с помощью цифровых наличных не требует присутствия плательщика и получателя, так как передача может производиться дистанционно по Интернет или по телефону. В последнем случае, правда, у обеих сторон должен быть специальный телефон с приемным устройством для карты (они уже выпускаются).
4.2. Западные реализации
Поподробней рассмотрим одну из реализаций, созданных пионером в области подобных систем. DigiCash – голландская компания, разработавшая целый ряд систем с использованием цифровых наличных, например, систему оплаты проезда по платным дорогам Европы. Основной продукт компании – цифровые наличные –- полностью анонимная система. По лицензии этой компании из Голландии уже действуют два банка – Mark Twain Bank в США и Merita Bank в Финляндии, с помощью которых можно проводить любые операции с цифровыми деньгами, включая их конвертацию в уже реальные, соответственно, доллары США и финские марки.
Операции в цифровыми наличными деньгами DigiCash выглядят следующим образом:
1.Клиент, найдя интересующий его товар, если у него еще нет программного обеспечения DigiCash, скачивает его прямо из виртуального магазина;
2.С его помощью клиент устанавливает связь с одним из DigiCash-банков и открывает там счет;
3.Любым доступным способом (чеком, кредитной картой, банковским переводом), клиент переводит деньги на этот счет. Затем, в любое время клиент, с помощью полученного программного обеспечения, связывается со своим банком и снимает необходимую сумму "на расходы", кладя ее в свой электронный кошелек или, наоборот, переводит ее в банк на хранение;
4.С деньгами в кошельке, клиент готов к покупкам в Интернет по магазинам, принимающим цифровые деньги. Оплата производится мгновенно, переводом денег из кошелька клиента в кошелек продавца.
5.Продавец, с помощью банка, проверяет полученные наличные и сразу посылает клиенту товар или оказывает услугу.
Опишем чуть подробнее четвертую стадию – процесс "снятия" своих денег в банке, который заключается в том, что клиент сам, с помощью полученного программного обеспечения и ключа, который знает только он, генерирует длинные случайные числа, служащие потом основой для "монет" и "банкнот"; Эти числа затем посылаются в банк, в некотором "цифровом конверте", подписанным клиентом.
Цифровой конверт – это технология, основанная на слепой цифровой подписи (blind signature), позволяющая идентифицировать полученную информацию, то есть быть уверенным, что она пришла от конкретного клиента в неизмененном виде, и удостоверить или подписать ее не зная о ее содержании.
Числа подписываются банком (но сам банк не может их узнать!) и возвращаются клиенту. Соответствующая сумма списывается с банковского счета клиента.
Клиент "вскрывает конверт" (то есть удаляет идентифицирующую его информацию) и записывает на диске своего компьютера (в электронном кошельке) полученные таким образом числа (файлы), которые содержат подпись банка и свой номинал, и являются наличными.
Все это происходит в течении нескольких секунд. Так как банк подписал “банкноты” их самих не видя, но зная, кому он их подписывает, банк не может знать, кто и на что истратил эти “банкноты”, которые к нему в конце концов поступают, совершив круг в виртуальной экономике.
Лицензию на использование описанной технологии выдает компания DigiCash, продавец платит $5-25 в месяц и 2-3% от объема обмена накопленных цифровых денег на реальные, покупатель не платит ничего, с банками претендующими на роль эмитентов цифровых наличных проводятся особые переговоры. Таким образом, в системе DigiCash даже такие маленькие транзакции как 20, 10, 5 и даже 1 цент, становятся возможными, что очень важно, так как по прогнозам именно такие микроплатежи будут основой миллиардного информационного бизнеса в Интернете.
Однако к 1997 году стало ясно, что данные проекты продолжают оставаться в стадии опытной эксплуатации, вместо того, чтобы привлекать реальные денежные потоки. Компания была существенно реорганизована с привлечением венчурного капитала. В компанию были привлечены "профессиональные менеджеры с опытом работы в сфере платежных систем".
К сожалению, принятые меры по "маркетизации" компании не дали нужного эффекта. После того как Mark Twain Bank был поглощен Mercantile Bancorp. of St. Louis, представители последнего прекратили участие в проекте, заявив, что "5000 пользователей данной системы не создали сколько-нибудь заметного потока капиталов". После этого DigiCash закрыла отделение в Амстердаме и резко сократила штат. Наконец, 4 ноября компания фактически объявила о своем банкротстве.
Показательным является не столько сам крах, а то, что он проходил по предсказанному заранее механизму. Аналитики давно указывали на ошибки DigiCash в продвижении электронных наличных. Указывалось, во-первых, что политика компании "одна страна – один уполномоченный банк" сужала число банков-участников системы. Второй существенной ошибкой был акцент на анонимность как на самоцель, в то время как ее более продуктивно рассматривать в качестве средство создания дешевой и гибкой платежной системы. При этом DigiCash являлась держателем патентов на базовые методы платежей электронными наличными и развитие компании, по сути, было экспериментом в чистых условиях. Mondex – это самая многообещающая электронная платежная система. Пока она развивается отдельно от Интернета, но в недалеком будущем, по мере распространения считывающих устройств для компьютера, она обещает стать самой популярной и в интернете. Собственно Mondex – это смарт-карта.
Mondex – это разновидность цифровых наличных, то есть дебетовая система, при этом она гораздо более безопасна чем другие системы, хотя бы уже потому, что деньги, то есть соответствующие числа, хранятся не на диске, а в карте, откуда их скопировать сложнее. А раз так, то и не требуется авторизация со стороны различных процессинговых центров, что в свою очередь имеет два важных следствия: операции проводятся непосредственно между двумя участниками, и стоимость транзакции стремится к нулю, а во-вторых, система абсолютно анонимна.