ОПРЕДЕЛЕНИЕ ГОТОВНОСТИ НАЦИОНАЛЬНОЙ ПЛАТЕЖНОЙ СИСТЕМЫ В ОБЕСПЕЧЕНИИ БЕЗОПАСНОСТИ С УЧЕТОМ МИРОВЫХ ТЕНДЕНЦИЙ Текст научной статьи по специальности «Компьютерные и информационные науки»

Определение готовности национальной платежной системы в обеспечении безопасности с учетом мировых тенденций

сч о сч

о ш m

X

<

m о х

X

Бугаев Дмитрий Павлович

кандидат технических наук, кафедра банковского дела и страхования, Оренбургский Государственный Университет, buagevdmitrii@gmail.com.

В статье рассматривается готовность национальной платежной системы в обеспечении безопасности денежных переводов с учетом санкционной нагрузки на экономику страны и угроз западных лидеров об отключении России от международных платежных систем. Проведена сравнительная оценка развития обеспечения безопасности иностранных и российской платежных систем. Согласно результатам сравнения, национальная платежная система обладает уровнем обеспечения безопасности, предъявляемым международными стандартами, а также дополнена своими требованиями. Новизна работы заключается в рассмотрении обеспечения безопасности на уровне декомпозиций угроз безопасности и предлагаемых мер по их устранению.

Ключевые слова: безопасность, национальная платежная система, денежные переводы, процессинговый центр, транзакции, угрозы безопасности

Существующие платежные средства страдают хорошо известными угрозами компрометации: денежные банкноты и подписи могут быть подделаны. В то же время, правильно спроектированные электронные платежные системы обеспечивают, фактически, наилучшую безопасность, чем традиционные платежные средства, в дополнении к гибкости использования.

В настоящее время оплата через Интернет и с помощью мобильного устройства является обычным событием, и платежные системы растут бешеными темпами. Таким образом, разнообразие электронных платежных систем состоит из множества типов для достижения высокого уровня безопасности. Однако, параллельно, процедуры и стратегии развиваются, как и решения по обеспечению безопасности. В статье мы попытаемся, проведя сравнительный анализ международных и российской платежных систем, рассмотреть и определить все существующие стратегии и решения в обеспечении безопасности. Таким образом, произведем анализ готовности национальной платежной системы в обеспечении безопасности, выполним сравнение существующих наиболее распространённых средств обеспечения безопасности электронных платежей и декомпозицию основных угроз.

Во всем мире платежные системы подразделяются на два основных типа.

Первый тип платежных систем является закрытым сегментом, доступ к которому получают субъекты платежных систем прошедшие значительную проверку к требованиям обеспечения безопасности. Требования и решения по безопасности в данной платежной системе регулируются головной организацией и при несоблюдении данных требований субъект платежной системы не допускается до работы.

Второй тип платежных систем является на данный момент активно развивающимся сегментом, учитывая что доступ к платежной системе может получить любой представитель субъектов платежной системы, обеспечение безопасности в системах платежных карт выходит на самый высокий уровень.

Все существующие мировые платежные системы для своей работоспособности должны соответствовать мировому стандарту обеспечения безопасности платежных систем - Payment Card Industry Data Security Standard (PCI DSS).

Рассматриваемый стандарт четко регламентирует основные параметры защищенности - конфиденциальность, целостность, доступность. Таким образом, дочерними угрозами будут:

- нарушение конфиденциальности данных;

- нарушение целостности данных;

- нарушение доступности данных.

Так как указанные угрозы являются укрупненными объектами исследования, сложно дать однозначную оценку применения какого метода или инструмента

обеспечения безопасности позволит устранить данную угрозу. Предлагается выполнить декомпозицию угроз с целью последующего применения требуемых методов и инструментов обеспечения безопасности.

Предложенная авторами декомпозиция угроз принимает следующий вид:

- нарушение конфиденциальности данных;

1) утечка данных по каналам связи;

2) несанкционированный доступ к данным третьими лицами;

- нарушение целостности данных;

1) повреждение данных в результате сбоя;

2) повреждение данных третьими лицами или вирусами;

- нарушение доступности данных;

1) уничтожение данных в результате технического сбоя;

2) нарушений условия хранения и обработки данных персоналом.

Декомпозиция позволяет разделить угрозы на угрозы технического характера и характера человеко-машинного взаимодействия.

Угрозы каналов связи и технических сбоев в процессе передачи платежной информации между субъектами платежной системы, устраняются во всех мировых платежных системах, используя инструмент безопасности VPN-соединение.

VPN-это виртуальная частная сеть, которая позволяет субъектам платежных системы создавать безопасное соединение между устройством самообслуживания и интернет-сервером процессинга банка, чтобы никто не мог контролировать или получить доступ к данным, которыми обмениваются устройства.

VPN-соединение создает безопасный туннель через все незащищенные общественные сети. Когда устройство подключено к Интернету через VPN-соединение, значит гарантируется, что устройство не подвержено фишингу, вредоносным программам, вирусам и другим киберугрозам.

Конфиденциальность гарантируется, так как никто не сможет обнаружить какие-либо детали транзакций и коммуникаций или поведение в интернете [1]. Подобно брандмауэру, защищающему данные на компьютере, VPN защищает их в интернете. VPN использует комбинацию выделенных соединений и протоколов шифрования для создания виртуальных соединений точка-точка, даже если злоумышленникам удастся перекачать часть передаваемых данных, они не смогут получить к ним доступ из-за шифрования. Схема защищенных каналов связи между субъектами платежной системы представлена на рисунке 1.

Таким образом, вся информация проходящая между субъектами платежной системы при передаче защищена и решаются две угрозы безопасности платежной системы. Российская Федерация в качестве инструмента применяется собственную разработку — Программно-аппаратный комплекс VipNet Coordinator, производство которого находится на территории страны.

Вопросы безопасности в карточных платежных технологиях играют ключевую роль. Сама по себе банковская карта — средство, обеспечивающее удаленную аутентификацию ее держателя при совершении операции безналичной покупки или получения наличных. От надежности используемых методов аутентификации держателя карты в существенной степени зависит без-

опасность карточных операции в целом, а, следовательно, и доверие пользователей к картам как средству платежей[2].

Beet, т рафик п па темной сети шифрован

Платежная сеть изолирована не только от публичных коииуникзционимх сетей, но и от информационной сети Банка

Рисунок 1 — Защищенные каналы связи между субъектами платежной системы

В платежных технологиях всегда ищется баланс между уровнем обеспечиваемой безопасности, удобством пользователя, а следовательно решается угроза доступности защищаемых данных.

Самый популярный стандарт безопасности 3-D Secure, помогает предотвратить онлайн-мошенниче-ство с транзакциями по кредитным и дебетовым картам. В онлайн-магазинах это является как дополнительная аутентификация плательщика. Расматриваемый протокол безопасности обеспечивает дополнительную защиту как для владельца карты, так и для продавца. Во время транзакции в онлайн-магазине, при оформлении заказа, 3D Secure обеспечивает дополнительный уровень аутентификации, чтобы предотвратить мошенническое использование карт.

Информация получается через обращение к клиенту. На этапе обращения будут собраны данные, предоставленные держателем карты и его устройством, или дополнительная информация, собранная через банк-эмитент с помощью одноразового SMS-кода, биометрии, банковского приложения или других процессов. Этот протокол безопасности защищает от возвратных платежей за мошенничество — ответственность за эти возвратные платежи переходит к банку-эмитенту карты[2].

Концепция токенизации была представлена в 2013 году тремя брендами кредитных карт (например, «MasterCard», «Visa» и «American Express») для повышения конфиденциальности и конфиденциальности он-лайн-транзакций пользователей. Идея состоит в том, чтобы заменить «Основной номер счета» (сокращенно PAN) на цифровое значение, называемое «токеном», чтобы обеспечить конфиденциальность конфиденциальной информации держателя карты. Дополнительные шаги к традиционным транзакциям - это запрос и предоставление токена, после чего владелец карты будет использовать этот токен вместо PAN во время транзакции. С другой стороны, продавцам и операторам цифровых кошельков больше не нужно хранить PAN в качестве

X X

о

го А с.

X

го m

о

м о м

CS

о

CS

о ш m

X

3

<

m О X X

конфиденциальных данных, и это добавляет дополнительный уровень безопасности к онлайн-транзакциям.

Предлагаемая концепция должна иметь следующие ключевые особенности:

- предоставление более полной информации о транзакции с использованием новых полей данных для улучшения обнаружения мошенничества и ускорения процесса разрешения и авторизации.

- надежные подходы к проверке держателя карты перед заменой PAN на токен.

- разработка стандарта для упрощения процесса транзакции для продавцов при любых типах платежей, таких как бесконтактные, онлайн-платежи.

С другой стороны, генерация токена также должна иметь некоторые свойства:

- обеспечение приемлемости токена в основном как замещающее значение традиционного номера основного счета

- возможность всех текущих участников электронного платежа совершить транзакцию с использованием токена.

- обеспечение возможности комфортной разработки безопасных инновационных продуктов и приложений для электронных платежей.

- повышение безопасности и конфиденциальности держателей карт при использовании PAN в ненадежных средах.

Давайте погрузимся в изучение зарубежных тенденций практического применения современных инструментов обеспечения безопасности платежных систем

Verified by Visa обеспечивает дополнительное спокойствие для онлайн-покупателей. Это защищенная паролем система аутентификации, предназначенная для подтверждения личности владельца карты при использовании карты Visa онлайн. Запрашивая пароль, известный только владельцу карты, банк может проверить, что подлинный владелец карты вводит данные своей карты на веб-сайт электронной коммерции. Пароль может быть тем, который вы сами назначаете и должны запомнить, или это может быть код, который банк отправляет вам по SMS, когда вы собираетесь совершить онлайн-платеж.

Это помогает предотвратить мошеннические операции и дает всем сторонам в процессе совершения оплаты больше уверенности в безопасности платежа, особенно при использовании в сочетании со всеми другими функциями безопасности, предлагаемыми Visa [3].

В целях повышения безопасности интернет-платежей по картам MasterCard применяется технология UCAF/SecureCode. Как видно из названия, технология включает два способа проведения платежей — UCAF и SecureCode. Рассмотрим два способа более подробно.

UCAF: Данная технология подразумевает использование электронного кошелька держателя карты. После принятия решения об оплате товара и вводе реквизитов пластиковой карты MasterCard покупатель перенаправляется на специальную страницу на сервере своего банка. Данная страница содержит особые поля, в которых записана информация о реквизитах платежной карты, размере оплаты, адресе покупателя, идентификаторе магазина, уникальном номере транзакции и т.п. На основе этих данных и после аутентификации держателя карты электронный кошелек вычисляет или получает от банка эмитента специальное значение AAV (Account holder Authentication Value). В том случае, если поле AAV заполнено неправильно, платеж блокируется.

Если поле AAV не заполнено, то платежная карта MasterCard трактуется как не вовлеченная в технологию UCAF и далее платеж протекает по технологии SecureCode.

SecureCode: Эта технология похожа на технологию 3-D Secure. Если карта MasterCard не вовлечена в технологию UCAF, сервер банка предпринимает попытку провести оплату в рамках протокола SecureCode.

Карточная платежная система JCB использует в качестве обеспечения безопасности платежа технологию J/Secure 2.0.

Требуется рассмотреть как J / Secure 2.0 работает:

На веб-сайте или мобильном приложении продавца, совместимого с J/Secure 2.0, владелец карты JCB вводит номер своей карты и дату истечения срока действия в поле для получения платежной информации. Затем запрашивается 3DS-запрос, который инициирует аутентификацию на сервере продавца, передает информацию соответствующему эмитенту карты JCB для проведения аутентификации на основе информации хранящейся в банке эмитенте, не взаимодействуя с владельцем карты.

Если дальнейшее взаимодействие с владельцем карты не требуется, аутентификация завершается, и результат доставляется продавцу.

Если требуется дальнейшее взаимодействие с владельцем карты, владелец карты JCB должен аутенти-фицировать себя любым способом, который требуется эмитенту. Это может быть одноразовый пароль, биометрия или заявка эмитента. Затем результат доставляется торговцу.

Система продавца получает результат, и если владелец карты аутентифицирован, то продавец приступает к авторизации и операциям продажи в соответствии с установленной процедурой.

Межбанковские переводы денежных средств в Российской Федерации осуществляются с использованием платежной системы Банка России. Банк России в случае межбанковских переводов выступает в роли центральной точки, к которой подключены все банки, выполняющие платежи от одного банка к другому. С целью безопасного функционирования передачи платежей банк обязан обеспечивать у себя информационную безопасность платежного взаимодействия банка с Банком России. Взаимодействие в рамках платежной системы Банка России между субъектами осуществляется при обеспечении средств безопасности закрытого производства по заказу Банка России и распространение данного средства осуществляется в закрытом режиме.

В 2014 году Банк России заявил о создании Национальной системы платежных карт (НСПК), в дальнейшем которая занялась созданием платежной карты «Мир», активное развитие отечественных платежных карт послужило импульсом к созданию Системы быстрых платежей (СБП). Банк России обозначил НСПК системнообразующей платежной системой для всех внутрироссийских платежей по картам международных платежных систем[4].

С 2017 года Банк России определил курс на развитие платежных технологий и сервисов. Так, в 2019 году была запущена Система быстрых платежей (СБП), которая позволила гражданам мгновенно переводить деньги друг другу зная только номер мобильного телефона, совершать платежи в интернете используя данный банковский сервис[4].

Требования PCIDSS распространяются только на субъектов платежной системы, которые занимаются об-рабаткой данных платежных карт. Штрафные санкции за

несоблюдение требований стандарта не являются существенными для большинства кредитных организаций. Банк России через определенные рычаги воздействия на участников банковского рынка подводит большинство кредитных организаций к выполнению стандарда безопасности Банка России (СТО БР), если посмотреть на 2017-2019 гг количество кредитных организаций выполняющих СТО БР возросло с 45% до 75%.

Требования по информационной безопасности к субъектам национальной платежной системы может предъявлять Правительство России и Банк России [5].

На данный момент такие требования определены в следующих нормативно-правовых актах:

- Постановлении Правительства № 584;

- Положение Банка России № 379;

- Положение Банка России № 380;

- Положение Банка России № 381;

- Положение Банка России № 382;

- Указание Банка России № 2831.

До 2016 года в качестве защиты онлайн платежей национальная платежная система карт МИР использовала технологию 3D Secure, так как это позволило использовать карты МИР без изменений в структуре программного обеспечения продавцов.

До 2017г в картах МИР за безопасность отвечала система MirAccept, которую разработали наши специалисты, но все равно она базировалась на основе стандарта 3D Secure 1.0, созданную Visa.

Данная система безопасности платежа в интернете основывается на том, что держателю карты, который собирается оплатить товар или услугу онлайн, высылается на мобильный телефон одноразовый пароль для подтверждения транзакции. Получается, чтобы с вашей карты злоумышленник украл деньги, ему нужно владеть вашим смартфоном.

MirAccept версии 2.0 дает возможность владельцам карт МИР совершенно безопасно совершать платежи как на компьютерах, так и в мобильных телефонах, планшетах и так далее.

Также осталась идентификация плательщика по одноразовому паролю, высылаемого в СМС сообщении, и добавилась функция более глубокого анализа таких параметров как частота транзакций держателя карты МИР, анализ взломостойкости программного обеспечения устройств самообслуживания, через которые осуществляется с каждым днем все больше платежей.

Протоколом взаимодействия предусматривает передачу всей информации и дополнительных сведений о проводимых транзакциях, информация о самом устройстве самообслуживании через которые проводится оплата серьезно контрулируется службой информационной безопасности каждого банка. Таким образом, полученные данных финансовым учреждением о совершенных транзакциях позволяет принять решение по одобрению расходной операции без дополнительного контроля держателя карты. Рассмотренные возможности, позволяют улучшить существующие на сегодняшний день средства борьбы с различными видами мошенничества. На основе полученных данных о клиенте банк-эмитент проводит платеж.[6]

Таким образом, практика применения решений в области обеспечения безопасности зарубежных платежных системах имеет опережающую тенденцию над российской сферой обеспечения безопасности платежных систем.

Однако несмотря на молодой возраст национальной платежной системы карты «Мир», с 2014 года платежная система использовала международные инструменты обеспечения безопасности, c 2016 года активно внедряются собственные разработки основанные на собственном отечественном производстве систем в области защиты и обеспечения безопасности.

Таким образом, готовность национальной платежной системы в обеспечении безопасности находится на сопоставимом уровне с лидерами мирового рынка платежных систем. Учитывая специфику российского законодательства и более детальное изучение проблематику обеспечения и поддержки безопасности, можно с уверенностью заявить что национальная платежная система позволяет обеспечить защиту от всех рассмотренных угроз платежных систем. Активно внедряя собственные разработки как в программно-аппаратном обеспечении, так и совершенствуя законодательство.

Новые технологии в обеспечении безопасности национальной платежной системы, на данном этапе развития информационной безопасности надежно защищают все транзакции проходящие через нее, повышая доверие как физических так и юридических лиц.

Литература

1. Морозов Е. Использование VPN для обеспечения информационной безопасности. // iguides.ru. -17 апреля 2017 [Электронный ресурс] -Режим доступа: https://www.iguides.ru/main/other/ispolzovanie_vpn_dlya_o bespecheniya_informatsionnoy_bezopasnosti_v_biznese/ (дата обращения 28.12.2020).

2. Slamak Solat. Security of Electronic Payment Systems: A Comprehensive Survey // ResearchGate -January 2017. -No 1.

3. Безопасность платежей в интернет-магазине [Электронный ресурс]: Школа Мирового Общения - Режим доступа: https://www.varich.com/bezopasnost-platezhei/bezopasnost-platejei-v-internet-magazine (дата обращения 03.01.2021).

4. Стратегия развития национальной платежной системы [Электронный ресурс]: Сайт Банка России - Режим доступа: http://cbr.ru/Content/Document/File/92829/strategy_psys.p df (дата обращения 03.01.2021).

5.Анализ требований национальной платежной системы [Электронный ресурс]: Уральский центр систем безопасности-Режим доступа: https://www.ussc.ru/user_files/tiny_doc/f4b0fd8455bc7407 7cca7e5f29d16bf2.pdf(дата обращения 03.01.2021).

6. Наточеева Н. Н. Финансовая безопасность банков всфере международныхрасчетов и платежей // Аудит и финансовый анализ. -2010. -№6, -С. 349-358.

Determining of the readiness of the national payment system

to ensure security considering global trends Bugaev D.P.

Orenburg State University

The article touches upon the readiness of the national payment system to ensure the security of money transfers, taking into account the sanctions burden on the country's economy and the threats of Western leaders to disconnect Russia from international payment systems. A comparative assessment of the development of the security of foreign and Russian payment systems has been carried out. According to the comparison results, the national payment system has the level of security required by international standards, and is also strengthened by its own requirements. The novelty of the work lies in the

X X О го А С.

X

го m

о

м о м

consideration of security at the level of decomposition of security threats and the proposed measures to eliminate them.

Keywords: security, national payment system, money transfers, processing center, transactions, security threats

References

1. Morozov E. Using a VPN to ensure information security. // iguides.ru. -17 April 2017 [Electronic resource] - URL: https://www.iguides.ru/main/other/ispolzovanie_vpn_dlya_obe specheniya_informatsionnoy_bezopasnosti_v_biznese/ (Date of access 28.12.2020).

2. Slamak Solat. Security of Electronic Payment Systems: A Comprehensive Survey // ResearchGate -January 2017. -No 1.

3. Security of payments in the online store [Electronic resource]:

School of World Communication URL: https://www.varich.com/bezopasnost-platezhei/bezopasnost-platejei-v-internet-magazine (Date of access 03.01.2021).

4.Strategy for the development of the national payment system [Electronic resource]: Website of the Bank of Russia URL: http://cbr.ru/Content/Document/File/92829/strategy_psys.pdf (Date of access 03.01.2021).

5. Analysis of the requirements of the national payment system

[Electronic resource]: Ural Center for Security Systems URL: https://www.ussc.ru/user_files/tiny_doc/f4b0fd8455bc74077cc a7e5f29d16bf2.pdf (Date of access 03.01.2021).

6. Natocheeva N. N. Financial security of banks in the sphere of

international settlements and payments / / Audit and financial analysis. -2010. - No. 6, - PP. 349-358.

cs o

CS

O m m x

3

<

m o x

X