ВВЕДЕНИЕ
Криминализация экономики России носит устойчивый характер и является саморазвивающимся социальным процессом, устанавливающим криминальные правила ведения бизнеса. Об этом свидетельствует общая динамика числа выявленных всеми правоохранительными органами преступлений экономической направленности.
Несмотря на наличие в экономике страны и деятельности правоохранительных органов устойчивых позитивных тенденций, обстановка в экономической сфере продолжает оставаться сложной и характеризуется ростом экономической преступности во всех базовых отраслях отечественной экономики. Преступность в сфере экономической деятельности тесно связана с так называемой теневой экономикой, которая представляет собой совокупность скрываемых от органов государственного управления и контроля экономических отношений между хозяйствующими субъектами в процессе производства, распределения, обмена и потребления экономических благ и предпринимательских способностей.
Для борьбы с теневой экономикой активно используется система финансового контроля, а для упорядочения налично-денежного обращения внедряются новые формы безналичных расчетов. В целом развитие безналичных платежей оказывает существенное положительное влияние на экономический рост, модернизацию финансовой системы, глобальную интеграцию и сокращение сферы теневой экономики. Основная доля проведения безналичных расчетов приходится на коммерческие банки, которым и принадлежит важнейшая расчетно-платежная функция в платежной системе государства,
Одним из наиболее используемых и применяемых инструментов безналичных расчетов является пластиковая карта. Проведение операций с использованием пластиковых карт различных платежных систем показывает степень интегрированности банковской системы и общества. Достаточно сказать, что безналичная оплата товаров и услуг в экономически развитых странах достигает 90% в структуре всех финансовых операций.
Однако, использование банковских пластиковых карт в качестве инструмента безналичных расчетов сопровождается определенными рисками. Под рисками понимается возникновение финансовых потерь из-за совершения ряда мошеннических (противозаконных) действий с персональной информацией, содержащейся на пластиковых картах (далее в тексте — конфиденциальная информация пластиковых карт), которая передается по каналам связи между участниками безналичных расчетов.
Развитие банковских технологий и общее состояние платежной системы России требует внедрения процедур качественно другого уровня для повышения экономической безопасности системы безналичных расчетов. С увеличением объема безналичных платежей с использованием пластиковых карт растет количество пользователей системы безналичных расчетов, вследствие чего повышается ее уязвимость, так как возрастает риск совершения экономических преступлений с использованием пластиковых карт. Поэтому, перед всеми организациями, осуществляющими безналичные расчеты с использованием пластиковых карт, постоянно стоит вопрос повышения эффективности обмена конфиденциальной информацией пластиковых карт.
Рынок пластиковых карт в России
... претерпевает многочисленные изменения, связанные в том числе с различными геополитическими и экономическими событиями, разворачивающимися в современной глобальной экономике. Негативные события, произошедшие в глобальной и в российской экономике в 2014-2015 гг. определили и перенастроили стратегию ...
Целью работы – изучение подходов к обеспечению экономической безопасности системы безналичных расчетов в РФ при использовании пластиковых карт, выработка предложений и методических рекомендаций по обеспечению экономической безопасности системы безналичных расчетов в РФ с использованием пластиковых карт.
Теоретическую основу составили труды таких авторов, как В.К. Сенчагов, А.Е. Городецкий, В.А. Зайцев, Л.И. Абалкин, С.Ю. Глазьев, В.Н. Анищенко, А.В. Возжеников, А.А. Прохожев, В.Л. Тамбовцев.
Структура работы состоит из введения, трех глав, заключения, списка литературы. Работа написана на листах, с применением 6 таблиц, 2 рисунков и 1 приложения.
ТЕОРЕТИЧЕСКИЕ ОСНОВЫ ОБЕСПЕЧЕНИЯ ЭКОНОМИЧЕСКОЙ БЕЗОПАСНОСТИ, 1.1 Общее понятие экономической безопасности и характеристика основных её показателей
Как показывает мировой опыт, обеспечение экономической безопасности -это важнейшее условие стабильности и эффективной жизнедеятельности общества. Это объясняется тем, что экономика представляет собой одну из жизненно важных сторон деятельности общества, государства и личности, и, следовательно, понятие национальной безопасности не может рассматриваться без оценки жизнеспособности экономики, её прочности при возможных внешних и внутренних угрозах. Поэтому обеспечение экономической безопасности принадлежит к числу важнейших национальных приоритетов.
Экономическая безопасность органически включена в систему государственной безопасности, вместе с такими её слагаемыми, как обеспечение надежной обороноспособности страны, поддержание социального мира в обществе, защита от экологических бедствий. Экономическая безопасность традиционно рассматривается как важнейшая качественная характеристика экономической системы, которая определяет её способность поддерживать нормальные условия жизнедеятельности населения, устойчивое обеспечение ресурсами развития народного хозяйства, а также последовательную реализацию национально-государственных интересов.
Экономическая безопасность имеет сложную внутреннюю структуру, в которой можно выделить три её важнейших элемента:
¾ Экономическая независимость не носит абсолютного характера потому, что международное разделение труда делает национальные экономики взаимозависимыми друг от друга. В этих условиях экономическая независимость означает возможность контроля за национальными ресурсами, достижение такого уровня производства, эффективности и качества продукции, который обеспечивает её конкурентоспособность и позволяет на равных участвовать в мировой торговле, кооперационных связях и обмене научно-техническими достижениями.
¾ Стабильность и устойчивость национальной экономики, предполагающие защиту собственности во всех её формах, создание надежных условий и гарантий для предпринимательской активности, сдерживание факторов, способных дестабилизировать ситуацию (борьба с криминальными структурами в экономике, недопущение серьезных разрывов в распределении доходов, грозящих вызвать социальные потрясения и т. д.).
ЭКОНОМИЧЕСКАЯ БЕЗОПАСНОСТЬ В ОБЕСПЕЧЕНИИ РАЗВИТИЯ СОЦИАЛЬНО-ЭКОНОМИЧЕСКОЙ ...
... и общественная безопасность; повышение качества жизни населения российских граждан; экономический рост; наука, технологии и образование; здравоохранение; культура; экология живых систем и ... В рассматриваемом документе выделены уровни и виды безопасности, а также сферы обеспечения национальной безопасности. Уровни безопасности представлены безопасностью личности, общества, государства, национальной ...
¾ Способность к развитию и прогрессу, что особенно важно в современном, динамично развивающемся мире. Создание благоприятного климата для инвестиций и инноваций, постоянная модернизация производства, повышение профессионального, образовательного и общекультурного уровня работников становятся необходимыми и обязательными условиями устойчивости и самосохранения национальной экономики.
Для лучшего понимания сущности экономической безопасности важно уяснить её связь с понятиями «развитие» и «устойчивость». Развитие — один из компонентов экономической безопасности, так как, если экономика не развивается, то резко сокращаются возможности её выживания, а также сопротивляемость и приспособляемость к внутренним и внешним угрозам. Устойчивость и безопасность — важнейшие характеристики экономики как единой системы. Их не стоит противопоставлять, каждая из них по-своему характеризует состояние экономики. Устойчивость экономики характеризует прочность и надежность её элементов, вертикальных, горизонтальных и других связей внутри системы, способность выдерживать внутренние и внешние «нагрузки». Безопасность — это состояние объекта в системе его связей с точки зрения способности к самовыживанию в условиях внутренних и внешних угроз, а также действия непредсказуемых и труднопрогнозируемых факторов.
Чем более устойчивы экономическая система (например, межотраслевая структура), соотношение производственного и финансово-банковского капитала и т.д., тем экономика жизнеспособнее, а значит и оценка её безопасности будет высокой. Нарушение пропорций и связей между разными компонентами системы ведет к дестабилизации и является сигналом перехода экономики от безопасного состояния к опасному.
Сущность экономической безопасности реализуется в системе критериев и показателей. Критерий экономической безопасности — это оценка состояния экономики с точки зрения важнейших процессов, отражающих сущность экономической безопасности. Критериальная оценка безопасности включает в себя следующие оценки:
¾ ресурсного потенциала и возможностей его развития;
¾ уровня эффективности использования ресурсов, капитала, труда и его соответствия уровню в наиболее развитых и передовых странах;
¾ уровня, при котором угрозы внешнего и внутреннего характера сводятся к
минимуму;
¾ конкурентоспособности экономики;
¾ целостности территории и экономического пространства;
¾ суверенитета, независимости и возможности противостояния внешним угрозам, социальной стабильности и условий предотвращения и разрешения социальных конфликтов.
Система показателей, получивших количественное выражение, позволяет заблаговременно сигнализировать о грозящей опасности и предпринимать меры по её предупреждению. Для экономической безопасности значение имеют не сами показатели, а их пороговые значения. Пороговые значения — это предельные величины, несоблюдение значений которых препятствует нормальному ходу развития различных элементов воспроизводства, приводит к формированию негативных, разрушительных тенденций в области экономической безопасности.
Экономика и экономическая теория : Информационная экономика
... очередную постиндустриальную фазу - информационная экономика. 1.3 Информационная экономика Информационная экономика, получая научную информацию из многих источников, использует ее для оказания влияния на сопредельные области и отрасли экономического знания. Данные связи показаны ...
Важно подчеркнуть, что наивысшая степень безопасности достигается при условии, что весь комплекс показателей находится в пределах допустимых границ своих пороговых значений, а пороговые значения одного показателя достигаются не в ущерб другим. Например, снижение темпа инфляции до предельного уровня не должно приводить к повышению уровня безработицы сверх допустимого предела, или снижение дефицита бюджета до порогового значения — к полному замораживанию капиталовложений и падению производства и т. д.
Среди показателей экономической безопасности можно выделить показатели:
¾ экономического роста (динамика и структура национального производства и дохода, показатели объемов и темпов промышленного производства, отраслевая структура хозяйства и динамика отдельных отраслей, капиталовложения и др.);
¾ характеризующие природно-ресурсный, производственный, научно-технический потенциал страны;
¾ характеризующие динамичность и адаптивность хозяйственного механизма, а также его зависимость от внешних факторов (уровень инфляции, дефицит консолидированного бюджета, действие внешнеэкономических факторов, стабильность национальной валюты, внутреннюю и внешнюю задолженность);
¾ качества жизни (ВВП на душу населения, уровень дифференциации доходов, обеспеченность основных групп населения материальными благами и услугами, трудоспособность населения, состояние окружающей среды и т. д).
Пороговые уровни снижения безопасности можно охарактеризовать системой показателей общехозяйственного и социально-экономического значения, отражающих, в частности:
¾ предельно допустимый уровень снижения экономической активности, объемов производства, инвестирования и финансирования, за пределами которого невозможно самостоятельное экономическое развитие страны на технически современном, конкурентоспособном базисе, сохранение демократических основ общественного строя, поддержание оборонного, научно-технического, инновационного, инвестиционного и образовательного потенциала;
¾ предельно допустимое снижение уровня и качества жизни основной массы населения, за границами которого возникает опасность неконтролируемых социальных, трудовых, межнациональных и других конфликтов;
¾ предельно допустимый уровень снижения затрат на поддержание и воспроизводство природно-экологического потенциала, за пределами которого возникает опасность необратимого разрушения элементов природной среды, утраты жизненно важных ресурсных источников экономического роста, а также значительных территорий проживания, размещения производства и рекреации, нанесение непоправимого ущерба здоровью нынешнего и будущего поколений и др.
Обобщая выше сказанное, можно сказать, что экономическая безопасность — это способность экономики обеспечивать эффективное удовлетворение общественных потребностей на национальном и международном уровнях. Иными словами, экономическая безопасность представляет собой совокупность внутренних и внешних условий, благоприятствующих эффективному динамическому росту национальной экономики, её способности удовлетворять потребности общества, государства, индивида, обеспечивать конкурентоспособность на внешних и внутренних рынках, гарантирующую от различного рода угроз и потерь. Из этого можно сделать два вывода:
Экономическая сущность безналичных расчетов
... безналичные расчеты. Сущность безналичных расчетов ... расчетами с использованием наличных денег. Бесперебойность расчетов обеспечивают следующие основные принципы организации безналичных расчетов. ... Безналичные расчеты имеют важное экономическое значение в ускорении оборачиваемости средств, снижении издержек обращения. Особенности безналичных расчетов проявляют ся 1) В безналичных денежных расчетах ...
¾ экономическая безопасность страны должна обеспечиваться, прежде всего, эффективностью самой экономики, то есть, наряду с защитными мерами, осуществляемыми государством, она должна защищать сама себя на основе высокой производительности труда, качества продукции и т. д.;
¾ обеспечение экономической безопасности страны не является прерогативой какого-либо одного государственного ведомства, службы. Она должна поддерживаться всей системой государственных органов, всеми звеньями и структурами экономики.
Способы совершения преступлений с использованием пластиковых карт
Врезультате повсеместного распространения электронных платежей с использованием пластиковых карт объектом информационных атак стали денежные средства как банков, так и клиентов — непосредственных держателей пластиковых карт, что является главной проблемой при обеспечении экономической безопасности системы безналичных расчетов при использовании банковских пластиковых карт. Под экономической безопасностью системы безналичных расчетов с использованием банковских пластиковых карт понимается такое её свойство, при котором существует способность и механизмы противодействовать угрозам нанесения ущерба пользователям системы и системе в целом при различных умышленных и неумышленных воздействиях на нее.
Специфика нарушений в сфере экономической безопасности показывает, что главным негативным явлением является постоянно увеличивающийся размер убытков банков и платежных систем, осуществляющих безналичные расчеты
с
использованием пластиковых карт.
Критериями экономической безопасности системы безналичных расчетов с использованием банковских пластиковых карт являются защищенность банков и платежных систем от правонарушений и преступлений в данной сфере, убытков и финансовых потерь, возникающих в результате мошеннического использования конфиденциальной информации пластиковых карт. Критические величины убытков и финансовых потерь являются пороговыми значениями показателей -индикаторов экономической безопасности системы безналичных расчетов с использованием банковских пластиковых карт.
Необходимо отметить, что при осуществлении безналичных платежей конфиденциальная информация пластиковых карт поступают в банк от статичных объектов, среди которых можно выделить:
¾ банкоматы и автоматизированные банковские офисы;
¾ терминалы кассового обслуживания и приема платежей от населения, установленные в различных учреждениях;
¾ POS терминалы — это электронное программно-техническое устройство для приема к оплате по пластиковым картам, оно может принимать карты с чип-модулем, магнитной полосой и бесконтактные карты, а также другие устройства, имеющие бесконтактный интерфейс.;
¾ кассовые аппараты в торговых точках;
¾ другие статичные электронные и автоматизированные средства обслуживания.
Публикации последних лет, освещающие экономические преступления в сфере безналичных расчетов с использованием пластиковых карт, показывают, что возможности злоупотреблений конфиденциальной информацией пластиковых карт, передаваемой по каналам связи, развивались и совершенствовались не менее интенсивно, чем средства их предупреждения. Каналы, по которым передается такая информация, по своей природе подвержены различным видам угроз (рисунок 1):
Безналичные расчеты физических лиц
... перспективы развития безналичных расчетов для физических лиц в России на современном этапе. Отличительной особенностью проведенного исследования является формулирование предложений по совершенствованию безналичных расчетов, в том числе на основе использования иностранного опыта. Сформированные в процессе исследования ...
Рисунок 1 — Классификация угроз конфиденциальной информации пластиковых карт
Угрозы делятся на случайные и умышленные. Источником первых могут быть:
¾ ошибки в программном обеспечении;
¾ выход из строя аппаратных средств;
¾ неправильные действия пользователей, администрации и т.п.
Умышленные угрозы преследуют цель нанесения финансового ущерба и, в свою очередь, подразделяются на активные и пассивные. Пассивные угрозы, как правило, направлены на несанкционированное использование информационных ресурсов, не оказывая при этом влияния на их функционирование. Пассивной угрозой является попытка получения информации, циркулирующей в каналах связи, посредством их прослушивания. Активные угрозы имеют целью нарушение нормального процесса функционирования системы посредством целенаправленного воздействия на аппаратные, программные и информационные ресурсы. К активным угрозам относятся:
¾ разрушение или электронное подавление сигналов, передаваемых по линиям связи;
¾ вывод из строя ПЭВМ или ее операционной системы за счет создаваемых помех;
¾ искажение сведений в базах данных либо в системной информации и т.д.
Источниками активных угроз могут быть непосредственные действия злоумышленников, программные вирусы и т.п.
К основным угрозам экономической безопасности безналичных расчетов с использованием пластиковых карт относят:
¾ перехват авторизационных сообщений, содержащих конфиденциальную
¾ информацию пластиковых карт; несанкционированное использование этой информации.
Средством реализации угрозы перехвата конфиденциальной информации пластиковых карт является подключение специальной аппаратуры, прослушивание и перехват внутрисетевого трафика каналов связи.
Внедрение пластиковых карт является важнейшей тенденцией развития технологии безналичных расчетов в банковской деятельности. Однако, как и всякий высокодоходный бизнес, а в особенности в сфере денежного оборота, банковские пластиковые карты давно стали мишенью для преступных посягательств. Как уже отмечалось ранее, мошенническое использование пластиковых карт является главной проблемой обеспечения экономической безопасности системы безналичных расчетов при использовании банковских пластиковых карт. Преступления, совершенные с использованием пластиковых карт, можно отнести к одним из наиболее опасных экономических преступлений, так как их негативное влияние отражается не только на работе самих банков, но и других субъектов экономической деятельности.
Технологически мошенничество может произойти на любой стадии выпуска и функционирования пластиковой карты:
¾ в банке-эмитенте;
¾ в банке-эквайере, обслуживающем торгово-сервисные предприятия;
¾ в торгово-сервисном предприятии;
¾ непосредственно в среде держателей карт;
¾ в компаниях, обеспечивающих информационный обмен между участниками
платежных систем.
Существуют различные формы проведения несанкционированных действий с пластиковыми картами, являющихся причиной возникновения финансовых потерь, как у самих владельцев пластиковых карт, так и у банков-эквайеров/эмитентов. Во всем мире способы проведения мошеннических операций с пластиковыми картами практически не отличаются, и, в большинстве случаев, определяются использованием:
¾ поддельных пластиковых карт;
¾ тайного сговора с продавцами или кассирами, вовлеченными в мошеннические сделки с использованием поддельных карт (возможно, «белого пластика»), или созданных для проведения мошеннических операций торговых предприятий;
¾ намеренных овердрафтов;
¾ сфер электронной коммерции.
Очевидно, что процесс повышения экономической безопасности системы безналичных расчетов невозможно рассматривать в отрыве от методов проведения незаконных операций с пластиковыми картами, поэтому необходимо дать краткую характеристику каждому вышеперечисленному способу для выявления причин его возникновения и определения способов минимизации.
Операции с поддельными пластиковыми картами
На этот вид мошенничества приходится самая большая доля потерь банков и международных платежных систем. Мошенничество с поддельными картами характеризуется частичной или полной подделкой пластиковой карты. Под измененными подлинными картами подразумеваются карты, изготовленные на имеющих соответствующее разрешение предприятиях, но содержащие информацию о держателе карты, отличную от той, которая содержалась в первоначально выпущенной карте. Частичная подделка пластиковых карт совершается на основе использования подлинной карты.
Механизм мошенничества может быть различным: мошенник получает в банке обычную карту в законном порядке, вносит на специальный картсчет минимально необходимую сумму. После этого (или до этого) он добывает необходимую информацию о пластиковой карте держателя с более солидным счетом, и вносит полученные новые данные в свою карту. Для реализации такого способа мошенничества преступник должен добыть информацию о реально существующей карте, а именно:
¾ номер;
¾ срок действия;
¾ данные с магнитной полосы;
¾ данные о владельце пластиковой карты;
¾ образец подписи.
Осуществить такую подделку можно по-разному:
¾ изменив информацию, имеющуюся на магнитном носителе;
¾ изменив информацию, эмбоссированную на лицевой стороне;
¾ проделав и то, и другое;
¾ подделав подпись законного держателя карты.
Нанести добытую извне информацию о владельце на магнитную полосу и раньше в техническом плане не являлось большой проблемой. Когда же банки-эмитенты стали защищаться с помощью кодирования записи, появился скимминг. Голограммы и эмблемы, сделанные по технологии дифракционной решетки -также не слишком эффективная защита, так как во время рутинной процедуры идентификации на них обьино обращают меньше внимания, чем на подпись и прочие персональные реквизиты.
Один из самых опасных примеров подделки пластиковых карт – производство полностью фальшивых карт. Чаще всего конфиденциальная информация для производства поддельных карт становится известна мошенникам в результате скимминга действительных пластиковых карт, либо перехвата конфиденциальной информации пластиковых карт при ее передаче по каналам связи между участниками безналичных расчетов.
К этому же способу относится и метод использования «белого пластика» (WPC — White Plastic Card), представляющего кусок пластмассы в форме обычной пластиковой карты с магнитной полосой, на которую наносятся действительные данные — номер реальной карты, срок действия, фамилия, имя клиента и т.д. С помощью «белых карт», имея ПИН-код, можно совершать хищения, снимая наличные деньги через банкоматы. Информация, используемая при изготовлении поддельных карт, может принадлежать банкам различных стран мира. Наиболее часто используются данные банков Канады, США, России, стран Европы.
Мошенничество торговых предприятий
Данный тип мошенничества характеризуется следующими действиями:
¾ сговором мошенников с работниками торговых предприятий;
¾ использованием поддельных слипов;
¾ многократным снятием кассирами средств со счетов клиентов; созданием и использованием фиктивных предприятий.
Наличие сговора у продавцов между собой, с преступниками или покупателями является наиболее трудным случаем для расследования, так как:
¾ продавцы могут сотрудничать, обмениваясь поддельными пластиковыми картами для проведения фиктивных операций (не исключено использование «белого пластика»);
¾ продавец может также оформить продажу товара мошеннику, который на самом деле остается у него, а сумма, оплаченная банком-эквайером, делится между ними.
Единственным финансовым документом, подтверждающим операцию с пластиковой картой, является слип, на котором после обычной прокатки остаются реквизиты карты. Однако, определить, считаны они были с настоящей или поддельной пластиковой карты, практически невозможно.
Многократные снятия со счета, как правило, совершаются работниками торговых и сервисных предприятий, принимающих платежи от клиентов за товары и услуги по пластиковым картам, и осуществляются путем оформления нескольких платежных чеков по одному факту оплаты, На основании предъявленных чеков на счет предприятия поступает больше средств, нежели стоимость проданного товара или оказанной услуги. Однако после совершения ряда сделок преступник вынужден закрыть или покинуть предприятие. Такой способ характеризуется участием в мошеннических действиях обслуживающего персонала торговых предприятий. Работники предприятий, пользуясь невнимательностью клиента, производят несколько дополнительных слипов пластиковых карт, которые затем используют для присвоения материальных ценностей.
Использование подложных слипов также получило значительное распространение при непосредственном участии продавцов магазинов. Суть этого способа сводится к использованию заведомо подложных слипов, изготовленных путем применения поддельных клише, или при помощи наборных печатных форм, с использованием сведений с подлинных пластиковых карт. Кассир получает от соучастников заранее изготовленный слип, прокатанный в одну сторону (т.е. имеющий сведения о номере пластиковой карты, имени ее держателя и сроке действия) и дооформляет этот слип, прокатывая его в другую сторону (проставляя данные о сервисной точке, через которую слип оформляется).
Создание и использование фиктивных предприятий обслуживания пластиковых карт наносит большой экономический ущерб всем участникам платежных систем. Практически всегда используются тщательно подготовленные схемы, в осуществлении которых задействованы целые преступные группы, открываются торговые предприятия для обслуживания поддельных пластиковых карт. После получения большого количества финансовых возмещений по проведенным операциям от банков-эквайеров владельцы таких предприятий исчезают, а предприятия самоликвидируются.
Мероприятия по противодействию совершениям преступлений с использованием пластиковых карт
Внастоящее время не существует методов, гарантирующих всем участникам платежных систем защиту от финансовых убытков, связанных с мошенничеством. Платежные системы, банки-эмитенты и банки-эквайеры предпринимают значительные шаги для повышения экономической безопасности системы безналичных расчетов с использованием пластиковых карт, нахождения эффективных способов предотвращения мошенничества с использованием пластиковых карт. Этими организациями разрабатываются различные процедуры, внедряются новые технологии, которые направлены на понижение уровня несанкционированного использования карт. Все эти методы можно разделить на две категории – технические и финансово-технологические.
Первая категория связана с технической защищенностью самой пластиковой карты:
¾ пластиковые карты любой платежной системы удовлетворяют строго установленным стандартам (имеют стандартную форму, размер);
¾ идентификационный номер банка-эмитента в системе (BIN) номер карты, имя клиента и фамилия, срок действия карты эмбоссированы и размещены в строго установленных позициях на лицевой стороне, там же располагается символ платежной системы, выполненный голографическим способом;
¾ последние четыре цифры номера карты эмбоссированы непосредственно на голографическом символе, что делает невозможным копирование голограммы или переэмбоссирование без ее разрушения;
¾ на магнитной полосе в строго определенных позициях и с использованием криптографических алгоритмов записываются специальные коды;
¾ область образца подписи владельца имеет специальное покрытие (при малейшей попытке сделать подчистки или переправить подпись покрытие разрушается и проявляется подложка другого цвета с защитными символами платежной системы);
¾ сама карта защищена знаками, которые видны только в ультрафиолетовом свете.
К финансово-технологическим методам относится использование ПИН-кода для идентификации владельца карты его банком-эмитентом. Он представляет собой последовательность, состоящую из 4-12 цифр, известную только владельцу карты и его банку-эмитенту. Использование ПИН-кода производится таким образом, чтобы этот секретный параметр на всех этапах обработки транзакций оставался зашифрованным. Казалось бы, использование подобного идентификатора могло бы помочь решить проблему мошеннического использования пластиковых карт, однако это не так.
Использование данного метода не обеспечивает эффективного обмена непосредственно конфиденциальной информацией пластиковых карт между участниками платежных систем. Под эффективным обменом в данном случае понимается такой обмен, при котором невозможно использование данной информации в целях нанесения финансового ущерба, т.е исключается возможность ее просмотра и использования лицами, не имеющими на это право за счет специальных технических устройств прослушивания и перехвата при передаче между субъектами безналичных расчетов по каналам связи. Как уже отмечалось ранее, прослушивание и перехват внутрисетевого трафика является наиболее опасным типом угрозы в процессе передачи конфиденциальной информации пластиковых карт. Поскольку в шифрованном виде передается только информация о ПИН-коде, а данные с магнитной полосы пластиковой карты не шифруются, то при успешном проведении такой атаки вся необходимая информация о реально существующей карте (Ф.И.О. держателя карты, номер карты, срок действия, сервис-код, коды и CVC/CW) становится доступной.
Существует много доступных программных и аппаратных анализаторов трафика, которые делают задачу перехвата конфиденциальной информации пластиковых карт достаточно тривиальной. Еще более усложняется обнаружение этого типа угроз в сетях с глобальными связями, посредством которых реализуется связь терминальных устройств (банкоматов, POS-терминалов, кассовых аппаратов и т.д) с филиалами банков, головным отделением и далее – с процессинговым центром (рисунок 2).
Рисунок 2 — Схема канала связи для терминальных устройств
Для мошенников не составляет труда завладеть реальными заготовками пластиковых карт или даже изготовить поддельные заготовки высокого качества. Однако, без наличия конфиденциальной информации о реально существующих картах такой пластик не представляет никакой угрозы ни для банков, ни для платежных систем, ни для клиентов, чего нельзя утверждать в случае, если эти данные становятся известны преступникам. Значение ПИН-кода необходимо для получения наличных средств в банкоматах, а для проведения операций в торговых предприятиях данный параметр необязателен, поэтому порядка 90% всех мошеннических операций с поддельными картами происходят в предприятиях торговли и сервиса.
Глобальные связи, простирающиеся на десятки и тысячи километров, по своей природе являются менее защищенными, чем локальные связи, так как существует больше возможностей для прослушивания трафика. Такая опасность одинаково присуща всем видам территориальных каналов связи. В любом случае получение конфиденциальной информации пластиковых карт, являющейся собственностью банка-эмитента, другими лицами наносит ее владельцу существенный финансовый ущерб.
Особенно актуальна и наименее исследована данная проблема в России. В западных банках технология обмена конфиденциальной информацией пластиковых карт разрабатывается конкретно под каждый банк и во многом является коммерческой тайной. В России получили распространение «стандартные» банковские пакеты, информация о которых широко известна, что облегчает несанкционированный доступ к передаваемой информации. Причем следует отметить следующие моменты:
¾ во-первых, разработчикам не всегда известны конкретные условия, в которых будут функционировать банковские «стандартные» пакеты, что приводит к снижению их надежности;
¾ во-вторых, поставщики данных пакетов не обеспечивают эффективность обмена конфиденциальной информацией пластиковых карт при их ее транспортировке по каналам связи, возлагая заботы о сохранении их конфиденциальности и целостности на покупателя;
¾ в-третьих, некоторые российские банковские пакеты не удовлетворяют требованиям безопасности международных платежных систем.
Несмотря на предпринимаемые дорогостоящие меры, функционирование информационных систем в России выявило наличие слабых мест в эффективности обмена конфиденциальной информацией пластиковых карт между участниками безналичных расчетов. Неизбежным следствием этого стали постоянно увеличивающиеся убытки, связанные с мошенническим использованием данной информации.
Для обмена конфиденциальной информацией пластиковых карт в настоящее время преимущественно используется схема реализации канала связи с оборудованием поставщика услуг сети общего пользования (рисунок 2).
С точки зрения терминальных устройств канал прозрачен — программное обеспечение этих конечных узлов остается без изменений. Такой гибкий подход позволяет легко образовывать новые каналы для обмена конфиденциальной информацией пластиковых карт между терминальными устройствами и процессинговым центром независимо от их места расположения.
Однако, вариант, когда все работы по реализации обмена конфиденциальной информацией пластиковых карт возлагает на себя поставщик услуг сети общего пользования, оставляет сомнения в надежности:
¾ во-первых, незащищенными оказываются каналы доступа к сети общего пользования, через которые происходит утечка конфиденциальной информации пластиковых карт;
¾ во-вторых, потребитель услуг чувствует себя в полной зависимости от надежности поставщика услуг.
В последние годы ведущими международными платежными системами Visa Int. и MasterCard Int. для снижения уровня мошенничества активно проводится политика внедрения смарт-карт. Данный тип карт отличается наличием микропроцессора с содержанием логики, что и делает эти карты интеллектуальными.
Популярность смарт-карт в последнее время становится выше, и это связано с тем, что смарт-карты имеют серьезные отличия от обычных карт с магнитной полосой:
¾ смарт-карта содержит в себе память, из-за этого она может нести в себе гораздо большее количество информации, которая необходима для работы
¾ смарт-карты имеют встроенную систему защиты от считывания информации;
¾ смарт-карта является более долговечной, она не подвержена влиянию электромагнитных излучений.
Однако, во многих странах, в том числе и в России, существует серьезная оппозиция форсированному переходу на чиповые технологии. Переход на микропроцессорные карты потребует от банков серьезных дополнительных инвестиций, а к реальному повышению экономической безопасности системы это не приведет.
Кроме того, не совсем правильно утверждать, что с внедрением смарт-карт проблема мошенничества будет полностью решена. Единственное преимущество — исключение возможности мошенничества с использованием намеренных овердрафтов (при проведении любых операций в режиме оффлайн микропроцессор сам контролирует состояние счета клиента).
Все остальные способы мошенничества также распространяются на смарт-карты и осуществляются при использовании:
¾ поддельных (клонированных) смарт-карт;
¾ торговых предприятий;
¾ сфер электронной коммерции.
Анализируя вышеизложенное, можно сделать вывод, что для повышения экономической безопасности системы безналичных расчетов России при использовании банковских пластиковых карт необходимо разработать методические принципы организации эффективного обмена конфиденциальной информацией пластиковых карт между участниками безналичных расчетов при передаче данной информации по внешним каналам связи.
Принципы организации обмена конфиденциальной информацией пластиковых карт
Потребность в эффективности обмена конфиденциальной информацией пластиковых карт между участниками безналичных расчетов по каналам связи возникает в связи с необходимостью повышения экономической безопасности безналичных расчетов с использованием пластиковых карт, и, соответственно, минимизации рисков финансовых потерь банков, вызванных ее мошенническим использованием. Использование пластиковых карт в качестве основного инструмента безналичных расчетов — новое явление в экономике России, связанное со значительным объемом электронного обмена информацией, поэтому методы защиты информации становятся важнейшим фактором обеспечения эффективного функционирования системы безналичных расчетов. Эффективность обмена конфиденциальной информацией пластиковых карт может. быть достигнута применением средств защиты (СЗ) информации. Под средством защиты информации понимается аппаратное, программное средство или материал, предназначенный или используемый для защиты информации.
Для повышения экономической безопасности системы безналичных расчетов с использованием пластиковых карт эффективный обмен конфиденциальной информацией пластиковых карт должен быть реализован с использованием средств криптографической защиты информации (СКЗИ).
Характерной особенностью этих средств является то, что при решении задачи построения информационно-телекоммуникационных систем именно криптографические методы обеспечат наиболее высокий уровень эффективности обмена конфиденциальной информацией пластиковых карт между участниками безналичных расчетов.
Рассмотрим принципы построения предлагаемого механизма эффективного обмена конфиденциальной информацией пластиковых карт. При передаче авторизационного запроса от терминального устройства (банкомата, POS-терминала или кассового терминала) в банк-эквайер (или банк-эмитент при авторизации типа ON-US) в шифрованном виде передается только значение ПИН-кода, а информация с магнитной полосы передается в незашифрованном виде. Структура файла авторизационного запроса приведена в таблице 2, а содержание значений некоторых полей — в таблице 3 (указаны основные значимые поля, приведенные для полноты понимания в шестнадцатеричном коде).
Таблица 2 — Структура файла авторизационного запроса
| Поля данных | ||||||||||||||
| Тип | … | … | … | |||||||||||
| сообщ. |
Таблица 3 — Значения некоторых полей файла авторизационного запроса
| Номер поля | Название | Значение |
| Номер карты | ||
| Сумма авторизации | 100,00 | |
| Дата авторизации | 01-01-01 11:18:44 | |
| Окончание срока действия карты | ||
| Тип торгового предприятия | ||
| Код страны банка-эквайера | ||
| Тип ввода данных в терминальное устройство | ||
| Идентификационный код банка-эквайера | ||
| Track 2 | 5544551111223344D059910116931234 | |
| Идентификационный номер авторизационного запроса |
Шифрование ПИН-кода — стандартная процедура, которая выполняется в криптоблоке банкомата. Для кассового терминала или POS-терминала данная процедура не является стандартной, так как реализуется только при подключении дополнительного устройства — ПИН-пада.
Автором предлагается реализовать двухэтапный алгоритм реализации эффективного обмена конфиденциальной информацией пластиковых карт по каналам связи:
¾ Этап №1. Так как авторизационный запрос передается в виде файла, реализовать дополнительной процедурой шифрование файла авторизационного запроса на терминальном устройстве (банкомате, POS-терминале или кассовом терминале);
¾ Этап №2. В хостовом сервере банка-эквайера (банка-эмитента при авторизации типа ON-US) реализовать дополнительную процедуру дешифрования файла авторизационного запроса.
Таким образом, стандартная процедура обмена конфиденциальной информацией пластиковых карт, изображенная на рисунке, будет модифицирована путем использования дополнительных средств криптографической защиты информации, что позволит организовать эффективный обмен информацией не только о ПИН-коде владельца пластиковой карты, но и данными, содержащимися на магнитной полосе карты.
Процедура эффективного обмена конфиденциальной информацией пластиковых карт в конечных узлах будет реализовываться программными или аппаратными средствами, установленными на терминальных устройствах и в хостовым сервере процессингового центра, и связанными между собой через сеть общего пользования. Преимуществом этого подхода является полная защищенность конфиденциальной информации пластиковых карт на протяжении всего пути передачи.
Важно подчеркнуть, что при организации эффективного обмена конфиденциальной информацией пластиковых карт с использованием криптографических методов необходимо исходить из следующих принципов:
¾ зашифрованный файл авторизационного запроса должен поддаваться чтению (т.е. дешифрованию) только при наличии секретного ключа;
¾ число операций, необходимых для дешифрования файла авторизационного запроса путем перебора всевозможных ключей, должно иметь строгую нижнюю оценку и выходить за пределы возможностей современных компьютеров с учетом возможности использования сетевых распределенных вычислений (либо быть экономически не выгодно, т.е. затраты на вскрытие шифротекста превысят размеры дохода, который будет получен в результате ознакомления с конфиденциальной информацией пластиковых карт);
¾ знание алгоритма шифрования не должно влиять на надежность разрабатываемого механизма эффективного обмена конфиденциальной информацией пластиковых карт;
¾ любой ключ шифрования из множества возможных ключей должен обеспечивать эффективность обмена конфиденциальной информацией пластиковых карт;
¾ алгоритм шифрования должен допускать как программную, так и аппаратную реализацию.
Анализ программных и аппаратных средств криптографической защиты информации
К настоящему времени разработано большое количество различных методов шифрования, и подавляющие их число может быть успешно использовано для решения поставленной в данной работе задачи. Криптографические методы реализуются либо программным, либо аппаратным способом. При аппаратной реализации все процедуры шифрования и дешифрования выполняются специальными электронными схемами в отдельных устройствах. Наибольшее распространение получили комбинированные модули, реализующие одновременно криптографические алгоритмы DES (Data Encryption Standard), Triple DES, RSA (Rivest, Shamir, Aldeman).
Возможность же программной реализации обуславливается тем, что все методы криптографического преобразования формальны и могут быть представлены конечным детерминированным алгоритмом. Однако, следует отметить, что между программными и аппаратными способами защиты информации имеется ряд существенных различий.
Перечислим сначала преимущества аппаратных и аппаратно-программных способов защиты:
¾ аппаратные средства позволяют физически и логически изолировать узлы, в которых хранятся и обрабатываются секретные объекты системы защиты — ключи, атакже модули, выполняющие наиболее важные операции защиты – шифраторы;
¾ аппаратная реализация резко затрудняет, а часто и полностью исключает возможность логического доступа к защищаемым компонентам со стороны любых субъектов (во многих случаях только аппаратные средства обеспечивают надежную защиту от несанкционированных действий квалифицированного персонала, в том числе злоумышленников, системных администраторов и программистов);
¾ аппаратные и аппаратно-программные устройства более устойчивы к несанкционированной модификации их параметров и хранимых данных;
¾ аппаратные устройства защиты относятся к специализированным средствам — каждое из них в отличие от универсальных систем общего применения выполняет одну заданную функцию (защиту и проверку специализированных устройств выполнить существенно проще, чем универсальных).
Основные преимущества аппаратных и аппаратно-программных средств защиты выражает концепция так называемых модулей безопасности, т.е. физически и логически изолированных электронных устройств, выполняющих функции защиты и хранящих секретные параметры.
При создании таких модулей выполняются следующие процедуры:
¾ принимаются меры по защите от физического доступа к электронным узлам (используются корпуса повышенной прочности, секретные болты крепления и т.д.);
¾ затрудняется восстановление алгоритмов их функционирования (удаляется маркировка с электронных компонентов, применяются заказные и специализированные микросхемы);
¾ предусматривается стирание секретных данных при попытках вскрытия корпуса устройства.
Однако, применять аппаратные модули следует с учетом анализа экономической эффективности системы защиты в целом, так как их приобретение и использование характеризуется большими материальными затратами — цены на них варьируются от 4000 до 45000 долларов США. В связи с этим массовое использование банками таких модулей является нецелесообразным с экономической точки зрения, так как для обеспечения эффективного обмена конфиденциальной информацией пластиковых карт потребуется установка отдельного модуля на каждом терминальном устройстве (банкомате, POS-терминале, кассовом терминале), что, естественно, является просто не осуществимым из-за масштабных материальных затрат.
В противоположность этому программная реализация криптографических алгоритмов позволяет получить следующие положительные эффекты:
¾ создать инструмент криптографической защиты для широкого использования в области обмена конфиденциальной информацией пластиковых карт;
¾ существенно уменьшить финансовые затраты на криптографическую защиту конфиденциальной информации пластиковых карт;
¾ сократить сроки разработки защищенных систем для передачи конфиденциальной информации пластиковых карт и ввода их в действие.
Таким образом, использование именно программных средств криптографической защиты информации (ПСКЗИ) для обеспечения эффективного обмена конфиденциальной информацией пластиковых карт позволяет получить значительный экономический эффект, благодаря предоставлению удобных и надежных средств программного шифрования, упрощающих решение многочисленных практических задач защиты конфиденциальной информации пластиковых карт и заменяющих более дорогие аппаратные средства.
Криптографические алгоритмы DES и ГОСТ 28147-89 относятся к симметричным алгоритмам шифрования (одноключевые с одним секретным ключом), a RSA — к асимметричным (двухключевые с секретным и открытым ключом).
Рассмотрим основные характеристики названных алгоритмов.
Таблица 4. Основные параметры криптографического алгоритма DES
| Размер блока данных | бита; |
| Размер ключа | бита (реально — 56бит, так как каждый восьмой бит используется только для проверки четности), из которого по специальному фиксированному алгоритму, использующему перестановки и сдвиги, вырабатываются раундовые ключи; |
| Число раундов | 16, перед началом первого раунда выполняется начальная фиксированная перестановка (Initial Permutation), после 16-го раунда выполняется обратная перестановка IP»; |
| Особенности | Применяемые преобразования — поразрядное сложение по модулю два, подстановки и перестановки |
Первым и наиболее известным в мире методом асимметричного шифрования стал алгоритм RSA. При использовании асимметричных алгоритмов шифрования используются два ключа: открытый ключ – для шифрования информации и соответствующий ему секретный ключ — для дешифрования.
Алгоритм DES является Федеральным стандартом шифрования США, его основные параметры указаны в таблице 4.
Необходимо отметить, что широкое использование битовых перестановок в DES делает алгоритм неудобным для программных реализаций на универсальных процессорах, а сами такие реализации крайне неэффективными. Кроме того, по единодушному мнению специалистов в области криптографии начальная и конечная битовые перестановки являются не более чем «украшениями» алгоритма, т.е. бесполезны с криптографической точки зрения.
Российский стандарт на криптографию с симметричным ключом определен ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования» и был введен в действие в 2010 г. Аналогично со стандартом DES, ГОСТ 28147-89 является блочным шифром, но имеет ряд существенных отличий (основные параметры приведены в таблице 5).
Таблица 5. Основные параметры криптографического алгоритма ГОСТ 28147-89
| Размер блока данных | бита; |
| Размер ключа | Ключевая информация представляет собой два массива данных – собственно ключ и таблицу замен. Ключ — это массив из восьми 32-битных элементов; элементы ключа используются как 32-разрядные целые числа без знака; размер ключа составляет 256 бит (32 байта); Таблица замен — это набор из восьми одномерных массивов, так называемых узлов замены, каждый из которых определяет логику работы 4-разрядного блока подстановок; объем таблицы замен равен: 512 бит (64 байта) |
| Число раундов | |
| Режимы шифрования | Простая замена, гаммирование, гаммирование с обратной связью. Первый из режимов шифрования предназначен для шифрования ключевой информации и не может использоваться для шифрования других данных. Для этого предусмотрены два других режима шифрования — гаммирование и гаммирование с обратной связью. Режим выработки имитовставки (криптографической контрольной комбинации) предназначен для имитозащиты шифруемых данных, т.е. для их защиты от случайных или преднамеренных несанкционированных изменений. |
| Особенности | Упрощенная структура раунда шифрования и простая обратимая функция шифрования, увеличенное число раундов, тривиальная схема генерации ключевых элементов из ключа; ГОСТ 28147-89 определяет режим выработки имитоприставки (кода аутентификации сообщений). |
Важнейшими отличиями ГОСТ 28147-89 от DES являются более простая функция шифрования и гораздо больший размер ключа. Именно малый размер ключа и привел к тому, что во второй половине 2000-х годов шифры DES неоднократно дешифровались распределенной вычислительной средой, организованной на базе сети Интернет и специально созданным для этой цели устройством. В конечном итоге это послужило причиной отказа от стандарта DES и принятия нового стандарта шифрования в США, так старый шифр эффективно взламывался злоумышленниками. Размер же ключа ГОСТ 28147-89 находится на вполне современном уровне — ключ размером 256 бит в настоящее время считается вполне безопасным и довольно практичным для одноключевых блоковых шифров.
РЕКОМЕНДАЦИИ ПО УЛУЧШЕНИЮ ЭКОНОМИЧЕСКОЙ БЕЗОПАСНОСТИ ПРИ ИСПОЛЬЗОВАНИИ ПЛАСТИКОВЫХ КАРТ
Оптимальный алгоритм с точки зрения реализации (аппаратная или программная) и криптостойкости для решения задачи повышения эффективности экономической безопасности является отечественный стандарт шифрования ГОСТ 28147-89.
Однако для достижения цели организации эффективного обмена конфиденциальной информацией пластиковых карт следует руководствоваться не только понятиями целостности и конфиденциальности информации, но и качеством обработки. Последнее свойство приобретает особую важность в последнее время одновременно с созданием нормативно-правовой базы безопасности информации в нашей стране.
Принимая решение о запуске средств криптографической защиты информации, пользователи чаще всего обращаются к рекомендациям органов государственной власти и управления. Объясняется это тем, что качество информации, позволяющее обеспечить юридическую силу информационным процессам в соответствии с правовым режимом информационных ресурсов, устанавливается законодательством Российской Федерации. Следует отметить, что для обеспечения этого качества необходимо использовать сертифицированные средства защиты информации, разработанные организациями-лицензиатами, т.е. предприятиями, располагающими правом на разработку средств защиты информации. В РФ подобных предприятий насчитывается около 30.
Задачу повышения эффективности обмена информацией пластиковых карт можно успешно решить с помощью широкой номенклатуры сертифицированных программных СКЗИ разработки Московского отделения Пензенского научно-исследовательского электротехнического института (МО ПНИЭИ).
Данные средства позволяют защищать электронные документы и информационные потоки с использованием механизмов шифрования и электронной подписи при использовании финансовыми организациями практически всех современных информационных технологий, в том числе телекоммуникаций в режиме онлайн.
ПНИЭИ представлены два программных модуля, реализующих процедуру шифрования файлов — исполняемый модуль шифрования и электронно-цифровой подписи (ЭЦП) VB.exe и файловый криптоменеджер FCOLSEOW.exe. Исполняемый модуль шифрования и ЭЦП СКЗИ «ВЕРБА-W/OW» Vb.exe предназначен для встраивания в системы электронной почты, банковские приложения и прикладное программное обеспечение и позволяет в автоматическом режиме при вызове из командной строки шифровать и дешифровать файлы, формировать и проверять электронную цифровую подпись файлов в соответствии с Российскими стандартами ГОСТ Р 34.10-94, ГОСТ Р 34.11-94, ГОСТ 28147-89. Использование исполняемого модуля Vb.exe существенно упрощает процесс встраивания динамических библиотек СКЗИ «ВЕРБА-W/OW» в прикладное программное обеспечение (ПО).
Это объясняется тем, что вызов функций СКЗИ осуществляется не на прямую из библиотеки, а через исполняемый модуль, что в ряде случаев может оказаться более предпочтительным и простым.
Исполняемый модуль Vb.exe функционирует под управлением ОС Windows. Для его работы на устройствах работы с пластиковыми катами предварительно должны быть установлены библиотеки шифрования и ЭЦП СКЗИ «Верба-W/OW».
Vb.exe запускается в пакетном режиме и выполняет следующие функции:
¾ шифрование/дешифрование информации на уровне файлов;
¾ формирование ЭЦП файла;
¾ проверка ЭЦП под файлом/удаление подписи (подписей) в файле;
¾ добавление/удаление открытых ключей подписи (и шифрования для СКЗИ «Верба-OW») в справочник открытых ключей.
К числу крупнейших заказчиков исполняемого модуля Vb.exe СКЗИ «Верба-W/OW» относятся ФАПСИ, Банк России, Пенсионный Фонд России и ММВБ.
Файловый криптоменеджер FCOLSEOW.exe представляет собой приложение WIN32 API, позволяющее криптографическими методами решать задачи защиты конфиденциальной информации при ее хранении и передаче по каналам связи. Он широко применяется для криптографической защиты данных при их передаче в Пенсионный Фонд РФ. В настоящее время, уже несколько тысяч организаций по всей России используют данный файловый криптоменеджер для этих целей.
На уровне файлов FCOLSEOW.exe выполняет следующие функции:
¾ шифрование/дешифрование информации на ключе, включая имитозащиту (имитозащита обеспечивает защиту информации от случайных или преднамеренных искажений);
¾ формирование/проверка ЭЦП. ЭЦП обеспечивает подтверждение авторства и подлинности сообщения.
Файловый криптоменеджер FCOLSEOW.exe входит в состав СКЗИ «ВЕРБА-W/OW». Очевидными преимуществами исполняемого модуля Vb.exe и файлового криптоменеджера FCOLSEOW.exe являются:
¾ низкая стоимость;
¾ работа в среде операционных систем ОС Windows, испльзуемых в большинстве устройств для работы с пластиковыми картами;
¾ максимально удобный пользовательский интерфейс.
Программное обеспечение всех терминальных устройств (банкоматов, кассовых терминалов) работает в среде ОС Windows, что позволит встроить данные файловые криптоменеджеры в прикладное программное обеспечение устройств работы с пластиковыми картами, настроив соответствующую аппликацию формирования файла авторизационного запроса. Исключение составляют POS-терминалы, программное обеспечение которых не позволяет встроить файловые криптоменеджеры.
Для решения задачи встраивания предлагается реализовать следующие мероприятия:
¾ через имеющиеся на POS-терминалах порты осуществить их подключение к ЭВМ, расположенной в предприятии;
¾ в случае наличия нескольких POS-терминалов в предприятии, предварительно объединив их в локальную сеть (для минимизации материальных затрат на вычислительные ресурсы), также осуществить их подключение к ЭВМ;
¾ установить исполняемый модуль Vb.exe или файловый криптоменеджер FCOLSEOW.exe на ЭВМ предприятия;
¾ осуществлять процедуру шифрования файла авторизационного запроса на ЭВМ предприятия с последующей его передачей в банк-эквайер
В таблице 6 приведены данные по стоимости составляющих компонент файлового криптоменеджера FCOLSEOW.exe Московского отделения Пензенского научно-исследовательского электротехнического института за ноябрь 2014 года.
Таблица 6 – Ценовой лист средств криптографической защиты информации Московского отделения Пензенского научно-исследовательского электротехнического института
¾
| Наименование продукта | Цена (USD) |
| Автоматизированное рабочее место (АРМ) шифрования и ЭЦП -«FCOLSEOW» (Win32) | 90*n |
| Автоматизированное рабочее место (АРМ) шифрования и ЭЦП -«FCOLSEOW» (Win32) (Дистрибутив с одним ключом установки) | |
| Библиотеки шифрования и ЭЦП (Win 32) (Дистрибутив с п>1 ключами установки) | 60*n |
| Библиотеки шифрования и ЭЦП (Win 32) (Дистрибутив с одним ключом установки) | |
| Видеофильм по обучению работе со средствами шифрования «Bep6a-OW» |
Для оценки стоимости затрат на организацию эффективного обмена конфиденциальной информацией можно разобрать пример.
Банк X планирует запуск программы выпуска пластиковых карт, причем объем операций по пластиковым картам за первые два года составит 3000000 долларов США. Банк представлен пятью филиалами, каждый из которых, в свою очередь, представлен тремя ГОН, в которых установлено по 3 терминала. Общее количество терминальных устройств банка – торговых терминалов. Также банк имеет банкоматов.
При оценке потенциального риска из-за мошеннического использования поддельных пластиковых карт определена максимальная величина финансовых потерь — не более 1% от общего объема операций, что составит 30000 долларов США.
Конфиденциальная информация для производства поддельных карт становится известна мошенникам в результате либо кражи действительных пластиковых карт, либо перехвата при передаче по каналам связи между участниками безналичных расчетов. Исходя из практики, можно утверждать, что процентное соотношение каждого их способов составляет 50%. Соответственно, убытки, возникшие в результате мошеннического использования конфиденциальной информации пластиковых карт, полученной в результате перехвата при передаче по каналам связи, составляют 15000 долларов США.
Стоимость организации эффективного обмена конфиденциальной информацией пластиковых карт на основе ПСКЗИ:
S=Sf+Sj+So+Sd, (1)
где – затраты на организацию эффективного обмена конфиденциальной информацией пластиковых карт перед передачей по каналам связи в банкоматах;
– затраты на организацию эффективного обмена конфиденциальной информацией пластиковых карт перед передачей по каналам связи в
торговых терминалах;
Sо – затраты на дешифрование файла авторизационного запроса на хосте банка-эквайера (банка-эмитента);
– затраты на обучение сотрудников.
Рассчитаем затраты на организацию эффективного обмена конфиденциальной информацией пластиковых карт:
S=(90+60) 40+(90+60)-3-5+150+50-5=6000+2250+150+250=8650 долларов США.
Подставив значения убытков, возникающих в результате мошеннического использования конфиденциальной информации пластиковых карт и затрат на организацию эффективного обмена данной информацией, проверим его выполнение неравенства:
8650<0,6-15000=9000 долларов США.
Время окупаемости механизма эффективного обмена конфиденциальной информацией пластиковых карт на основе ПСКЗИ составит менее года (около шести месяцев).
Согласно анализу предложений сертифицированных ПСКЗИ компаний-лицензиатов, в основе которых лежит алгоритм шифрования ГОСТ 28147-89, нетрудно заметить, что ценовой разброс на данные продукты крайне незначителен. Выбор сертифицированных средств Московского отделения Пензенского научно — исследовательского электротехнического института (МО ПНИЭИ) позволит повысить экономическую безопасность использования пластиковых карт и снизить затраты на организацию эффективного обмена конфиденциальной информацией. Этого возможно благодаря низкой стоимости устанавливаемого программного обеспечения и аппаратуры по отношению к другим компаниям-лицензиатам.
ЗАКЛЮЧЕНИЕ. Экономическая безопасность традиционно рассматривается как важнейшая качественная характеристика экономической системы
Экономическая безопасность традиционно рассматривается как важнейшая качественная характеристика экономической системы, которая определяет её способность поддерживать нормальные условия жизнедеятельности населения, устойчивое обеспечение ресурсами развития народного хозяйства, а также последовательную реализацию национально-государственных интересов.
Критериями экономической безопасности системы безналичных расчетов с использованием банковских пластиковых карт являются защищенность банков и платежных систем от правонарушений и преступлений в данной сфере, убытков и финансовых потерь, возникающих в результате мошеннического использования конфиденциальной информации пластиковых карт. Критические величины убытков и финансовых потерь являются пороговыми значениями показателей -индикаторов экономической безопасности системы безналичных расчетов с использованием банковских пластиковых карт.
К основным угрозам экономической безопасности безналичных расчетов с использованием пластиковых карт относят:
¾ перехват авторизационных сообщений, содержащих конфиденциальную
¾ информацию пластиковых карт; несанкционированное использование этой информации.
Средством реализации угрозы перехвата конфиденциальной информации пластиковых карт является подключение специальной аппаратуры, прослушивание и перехват внутрисетевого трафика каналов связи.
В данной работе были изучены подходы к обеспечению экономической безопасности системы безналичных расчетов в РФ при использовании пластиковых карт, а также даны рекомендации по обеспечению экономической безопасности системы безналичных расчетов в РФ с использованием пластиковых карт.
Существуют различные формы проведения несанкционированных действий с пластиковыми картами, являющихся причиной возникновения финансовых потерь, как у самих владельцев пластиковых карт, так и у банков-эквайеров/эмитентов. Во всем мире способы проведения мошеннических операций с пластиковыми картами практически не отличаются, и, в большинстве случаев, определяются использованием:
¾ поддельных пластиковых карт;
¾ тайного сговора с продавцами или кассирами, вовлеченными в мошеннические сделки с использованием поддельных карт (возможно, «белого пластика»), или созданных для проведения мошеннических операций торговых предприятий;
¾ намеренных овердрафтов;
¾ сфер электронной коммерции.
К настоящему времени разработано большое количество различных методов шифрования, и подавляющие их число может быть успешно использовано для решения поставленной в данной работе задачи. Криптографические методы реализуются либо программным, либо аппаратным способом. При аппаратной реализации все процедуры шифрования и дешифрования выполняются специальными электронными схемами в отдельных устройствах.
Использование программных средств криптографической защиты информации (ПСКЗИ) для обеспечения эффективного обмена конфиденциальной информацией пластиковых карт позволяет получить значительный экономический эффект, благодаря предоставлению удобных и надежных средств программного шифрования, упрощающих решение многочисленных практических задач защиты конфиденциальной информации пластиковых карт и заменяющих более дорогие аппаратные средства.
Оптимальный алгоритм с точки зрения реализации (аппаратная или программная) и криптостойкости для решения задачи повышения эффективности экономической безопасности является отечественный стандарт шифрования ГОСТ 28147-89.
Задачу повышения эффективности обмена информацией пластиковых карт можно успешно решить с помощью широкой номенклатуры сертифицированных программных СКЗИ разработки Московского отделения Пензенского научно-исследовательского электротехнического института (МО ПНИЭИ).
Данные средства позволяют защищать электронные документы и информационные потоки с использованием механизмов шифрования и электронной подписи при использовании финансовыми организациями практически всех современных информационных технологий, в том числе телекоммуникаций в режиме онлайн.
Выбор сертифицированных средств Московского отделения Пензенского научно — исследовательского электротехнического института (МО ПНИЭИ) позволит повысить экономическую безопасность использования пластиковых карт и снизить затраты на организацию эффективного обмена конфиденциальной информацией. Этого возможно благодаря низкой стоимости устанавливаемого программного обеспечения и аппаратуры по отношению к другим компаниям-лицензиатам.
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ
1. Российская Федерация. Законы. Федеральный закон от 10.07.2002 N 86-ФЗ (ред. от 21.07.2014) «О Центральном банке Российской Федерации (Банке России)»
2. ГОСТ Р 34.10-94. Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметрического криптографического алгоритма.
3. ГОСТ 28147-89. Система обработки информации. Защита криптографическая. Алгоритм криптографического преобразования.
4. О порядке формирования кредитными организациями резервов на возможные потери по ссудам, по ссудной и приравненной к ней задолженности: положение Банка России от марта 2010 г. № 254-П
5. Алферов А.П. Основы криптографии: Учебное пособие. – 2-е изд., испр. и доп. — М.: Изд. Гелиос АРВ, 2012. – 480 с.
6. Богомолов В.А. Экономическая безопасность. Учебное пособие. М.: Изд. «ЮНИТИ»,2012. – 303с.
7. Киреев, В. Л. Банковское дело : учебник / В. Л. Киреев, О. Л. Козлова. – М: КНОРУС, 2012. – 240 с.
8. Ларионова И.В. Риск-менеджмент в коммерческом банке. – М.: КноРус, 2014. – 456 с.
9. Тавасиев, А. М. Банковское дело: управление кредитной организацией : учеб.пособие / А. М. Тавасиев. – 2-е изд., перераб. и доп. – М. : Дашков и К, 2011. – 638 с.
10. Шапкин, А. С. Экономические и финансовые риски: оценка, управление, портфель инвестиций : [учеб.пособие] / А. С. Шапкин, В. А. Шапкин. – 9-е изд. – М. : Дашков и К, 2013. – 544 с.
11. Симановский А.Ю. Банковская реформа: отдельные аспекты// Деньги и кредит. №9. 2014. – С.26.
12. Симановский А.Ю. Банковское регулирование: реэволюция (Часть I)// Деньги и кредит. №9. 2014. – С.
13. Голдовский И.М. Безопасность платежей в Интернете. — СПб.: ПИТЕР,2011 -240 с.
14. Домарев В. В. Безопасность информационных технологий. Методология создания систем защиты. – М.: Юнити, 2014. – 688 с.
15. Доценко СМ. Аналитические информационные технологии и обеспечение безопасности корпоративных сетей. Информационно — методический журнал «Защита информации. Конфидент» — Спб.: Изд. Конфидент, 2010, № 2.–16-21 с.
16. Завгородний В.И. Комплексная защита информации в компьютерных системах: Учебное пособие для вузов. – М.: Изд. Логос, 2011. – 263 с.
17. Календарев А.С. Защита корпоративных сетей: Учебное пособие. / Календарев А.С., Пантелеев М.Г. — СПб.: Изд. СПбГЭТУ, 2010. – 163 с.
18. Олейников Е.А. Экономическая и национальная безопасность. Учебник. М.: Экзамен, 2011. – 768 с.
19. Петров В.А. Информационная безопасность. Защита информации от несанкционированного доступа в автоматизированных системах. / Петров В.А., Пискарев А.С., Шеин А.В. — М.: Изд. МИФИ, 2013, — с.
20. Снытников А.А. Лицензирование и сертификация в области защиты информации. — М.: Изд. Гелиос АРВ, 2013. — 192 с.
21. Усоскин В.М. Банковские пластиковые карточки, — М.: ИПЦ «Вазар-Ферро», 2010,-144 с.
22. Устинов Г.Н. Основы информационной безопасности систем и сетей передачи данных. – М.: Синтег, 2011. — 244 с.
