Обзор "ИТ в банках и страховых компаниях 2007" подготовлен При поддержке
CNewsAnalytics Комкор

Банки стремятся обезопасить банкоматы

Банки стремятся обезопасить банкоматыНедостаточное количество или низкая доступность банкоматов уже становится для банка упущением конкурентного преимущества. Развивая сети устройств самообслуживания, финансовым институтам необходимо обеспечить простоту, удобство и главное — надежность выполнения операций. Защитить банкомат нужно на всех уровнях — как программном, так и физическом, чтобы сохранить собственность и клиента, и банка.

Терминалы банковского обслуживания различаются, прежде всего, по типу установки. Отдельностоящие банкоматы могут устанавливаться в крытых охраняемых помещениях — в отделениях банков, офисах, супермаркетах и т.п. Черезстенные банкоматы — так называемый «уличный» вариант. В Diebold отмечают некоторые отличия между российским и американским рынками, в силу которых в страны СНГ поставляются не все модели продуктовой линейки этого поставщика. Так, в настоящее время на отечественном рынке непопулярны устройства, предназначенные для доступа из автомобиля, или так называемые «островные» банкоматы для установки в удаленных местах — на заправках, у придорожных кафе и т.п.

Кроме того, банкоматы различаются по своему функционалу. Наиболее привычный тип банкомата — кэш-диспенсер, банкомат, предназначенный для выдачи денег. В чистом виде такой тип банкомата практически не встречается. Как правило, почти во всех банкоматах уже появилась возможность оплачивать услуги, например, сотовой связи путем списания средств со счета клиента. Помимо этого существуют полнофункциональные терминалы банковского самообслуживания. Спектр поддерживаемых ими функций довольно широк. Они позволяют не только выдавать наличные или зачислять средства со счета клиента в банке на его счет в компании-операторе сотовой связи и т.п., но и обменивать валюту, депонировать наличные, принимать от населения платежи, считывать штрих-коды для удобства оплаты коммунальных платежей и т.д. Благодаря расширенным графическим возможностям чековых принтеров, владельцы таких «терминалов» могут проводить маркетинговые акции посредством мультимедиа: вплоть до печати сберегательных книжек. Смысл максимального наращивания функциональности сводится к тому, что клиент должен получить возможность с помощью банкомата проводить все те операции со счетом, которые он мог бы проводить в отделении банка с участием оператора (исключение составляет только заключение контракта на обслуживание).

В настоящее время функционалы не очень большого числа банкоматов достроены до максимально возможной величины. Причин здесь несколько. Пожалуй, главная — в том, что населению не известны все возможности современных бакноматов, а если и известны, то многие до сих пор привыкли оплачивать платежи (в том числе и кредитные) «по старинке» — через живого оператора. Кроме того, функциональность банкомата играет определяющую роль в его стоимости. Полная комплектация всеми современными модулями поднимет цену, как минимум, на 100% — 150% по сравнению со стоимостью «базовой» модели. А срок окупаемости функционалов по приему платежей в настоящее время (с учетом непопулярности этой услуги) гораздо больше, чем устройств по привычной выдаче денег и оплате сотовых телефонов.

Стимулами развития рынка полнофункциональных банкоматов могут служить рост популярности этой услуги среди населения, доступность банкоматов; простота, удобство и надежность выполнения операции. Вследствие этих причин отсутствие полнофункциональных банкоматов у банка, работающего в розничном направлении, может отрицательно сказываться на его репутации. Подобно тому, как в настоящее время сказывается отсутствие, либо недостаточное количество и низкая доступность обычных банкоматов и отделений банка по приему населения.

Банкомат = «железо» + ПО

Что касается технического устройства банкоматов, то обработка данных происходит непосредственно в обычном персональном компьютере, точно таком же, какой стоит на рабочем столе большинства офисных служащих. В качестве процессора используется обычно Pentium 4 или Celeron D. Использовать процессоры последних поколений нет необходимости. Производительности указанных платформ вполне достаточно для выполнения банкоматом всех его функций. Все остальные компоненты ПК столь же привычные, как и процессор: память DDR2, интерфейс IDE для подключения жесткого диска и пишущего оптического привода (он необходим для записи электронного журнала банкомата), интерфейсы USB, Ethernet,  видео, для подключения клавиатуры и мыши, разъемы PCI и т.п.

Принтер чеков, термальный или матричный, который устанавливается в банкомат, как правило, имеет возможность двусторонней печати. На второй стороне обычно печатается рекламная информация банка. Система по работе с картой, робот по приему, выдаче и обработке денег к компьютеру подключается с помощью интерфейса USB (в прошлом использовалась шина PCI).

Современные банкоматы кроме непосредственной выдачи денег могут производить следующие операции: прием купюр с проверкой на подлинность (в том числе, с помощью модуля BNA — Bulk Note Acceptor — появляется возможность принимать купюры пачкой), обработка документов с помощью сканирующего устройства и процессора обработки изображений, выдача монет, обработка расчетной и сберегательной книжки.

В последнее время наметился массовый переход банкоматов на работу под управлением программного обеспечения в операционной среде Windows. В связи с этим возникла острая необходимость защиты, как целостности программного обеспечения, так и клиентской информации — по сути охраны банковской тайны. Среда Windows известна как наиболее подверженная всевозможным видам прямых хакерских атак, вирусам, червям и т.д. Для банкоматов, работающих в сетях Х.25, проблема стоит не столь остро. А банкоматы, работающие по IP — даже внутри банковского интранета, находятся под прямой угрозой несанкционированного вмешательства в работу программного обеспечения, минимальным последствием которого будет банальная переинсталляция ПО, а о максимальных страшно даже подумать.

Как обезопасить транзакции

Для защиты банковской информации, и, в конечном счете, банковской собственности, производители предлагают различные комплексы решений. Например, Diebold поставляет продукт под общим названием Diebold ATM Security Office. Данная программа состоит из двух основных компонентов: оценка безопасности банкомата ATM Security Assessment и сервер управления брандмауэрами Sygate Management Server.

Оценка безопасности банкомата необходима для того, чтобы обезопасить банкоматы, работающие в среде TCP/IP путём использования брандмауэров (firewalls). Данное решение включает в себя анализ рисков возникающих при эксплуатации банкомата в сети банка и процедуру устранения выявленных рисков. Процедура, в свою очередь, включает в себя разработку, тестирование и внедрение правил (policies) безопасности для данного клиента и его сети банкоматов. После создания и отладки этих правил они могут быть внедрены на всех банкоматах клиента. Программа также предусматривает услуги по восстановлению банкомата после сетевых атак и предотвращение дальнейших вторжений.

Брандмауэры позволяют жёстко ограничить весь IP трафик общением всего лишь с одним хостом и всего лишь для одного приложения. Использование сервера управления брандмауэрами дает возможность банку проводить единую политику безопасности во всей сети, одновременно включая новые настройки на всех банкоматах, или же наоборот изменяя их выборочно. При этом существенно снижаются эксплуатационные расходы, и повышается такой важный показатель, как время доступности банкомата для клиентов банка.

Непосредственно к системному блоку подключается модем (для связи с центральным устройством), устройство ввода (клавиатура клиента и вспомогательные клавиатуры), дисплей (для «общения» с клиентом). Достаточно частым явлением стало оснащение банкоматов системами видеонаблюдения, интегрированными с программным обеспечением банкомата. Данная интеграция дает возможность регистрации на видеокамеру всех ключевых моментов выполнения транзакции — от вставления карточки до получения денег и чека. При этом на каждом кадре отмечаются основные параметры транзакции. Информация пишется на видеомагнитофон, основным преимуществом такой системы является возможность синхронизации видеосъёмки с трассами банкомата с целью дальнейшего разбора спорной ситуации и подтверждения личности клиента проводившего транзакцию.

В дополнение к возможности видео-трассировки транзакций часто бывает необходимо вести постоянное независимое видеонаблюдение клиентской зоны банкомата, а также некоторых особо «популярных» среди злоумышленников элементов лицевой панели (считыватель карт, презентер, приёмник купюр и т.д.). С этой целью есть возможность дополнительно оснастить банкомат системой постоянного видеонаблюдения.

Присутствие зеркал заднего вида на лицевой панели банкомата позволяет клиенту, не оборачиваясь, следить за окружающей обстановкой. Громкоговорители информируют клиентов о выполняемой последовательности действий. Альтернативой или дополнением к громкоговорителям может служить выход для наушников.

Как защитить банкомат

Чтобы обеспечить сохранность денежных средств, корпус банкомата представляет собой сейф. Класс его защиты зависит от толщины стенок сейфа, количества и сложности замков, и, как следствие — времени, которое необходимо затратить на вскрытие. Стандарт Лаборатории по технике безопасности США UL291 класс 1 соответствует стали толщиной 12,7 мм. В рамках общей тенденции по усилению защищенности и безопасности банкоматов, компанией NCR в конце 2005 года было объявлено о релизе нового сейфа, для банкоматов, соответствующего более высоким стандартам безопасности CEN grade L. Толщина стенки сейфа СEN L существенно больше, чем у сейфа стандарта UL291 (40 мм по сравнению с 12.7 мм). Если UL291 сделан из 12.7 миллиметровых сплошных пластин марганцевой стали, то у сейфа CEN L другая стенная и дверная конструкция. И сейф, и дверь состоят из одинаковых составных элементов — металлическая обшивка с бетонным заполнением (40 мм общей толщиной). Наружные размеры сейфов CEN L по сравнению с UL увеличились незначительно.

Толщина стенок сейфов банкоматов по разным стандартам

При необходимости по желанию банка производители могут комплектовать банкоматы еще более защищенными сейфами CEN III и CEN IV. Однако при установке таких банкоматов надо учесть конструкцию основания. К примеру, для банкоматов с CEN L сейфом необходим плинтус, выдерживающий нагрузку в 1500 кг.

Банкоматы, удовлетворяющие стандарту безопасности CEN L пользуются сегодня популярностью, по заявлению Евгения Мещерякова, менеджера отдела поддержки продаж департамента финансовых решений NCR. По итогам 2006 года их доля в общем объеме продаж составила 70%, а в 1 кв. 2007 г. — уже 90%. Причина подобной популярности в том, что, при более высокой надежности цена этих устройств не сильно отличается от банкоматов с классом защиты UL291. Кроме того, появление нового типа сейфа может повлиять на размер страховых премий. Они могут быть уменьшены, так как многие банки формируют страховые договоры на основе показателей безопасности и защищённости сейфов.

На сегодняшний день взлом банкомата в месте установки — редкость. Гораздо чаще в прессу попадают рассказы о попытках (удачных и не очень) кражи банкоматов. От подобных посягательств есть надежный способ защиты — крепление банкомата к основанию анкерными болтами. Дополнительное усиление обеспечивается внутренним стальным стабилизатором, а подвижные болты двойного действия защищают диспенсер и депозитарный модуль внутри сейфа. Реализация такой конструкции позволяет добиться удерживающей силы более чем в 30 тонн.

Широкий спектр интеллектуальных датчиков обеспечивает банкомат необходимой информацией  для обнаружения нападений и соответствующего оповещения.  Датчики открывания двери сейфа контролируют её состояние и информируют о попытках несанкционированного доступа. Датчики температуры обнаруживают возникновение сильных источников тепла и внезапные изменения температуры, которые свидетельствуют об использовании автогена или взрывчатых веществ. Датчики наклона сигнализируют о том, что сейф снят со своего места и перемещается. Датчики вибрации в двери и стенках корпуса обнаруживают применение сверлильных, режущих, ударных и расклинивающих инструментов. Система усовершенствованных датчиков включает сетевой интерфейс аварийной сигнализации, который предназначен для обмена данными с локальными и удаленными системами аварийной сигнализации, что позволяет организовать немедленное оповещение о преступлениях.

Цель системы защиты от противоправных действий не столько абсолютно противодействовать взлому, сколько сделать взлом невозможным в течение определенного времени, необходимого для прибытия на место правоохранительных служб. Банкам же можно порекомендовать, чтобы они не экономили на безопасности своих систем, в том числе и банкоматов.

Опасности карт

Кроме взлома банкомата, то есть кражи денежных средств у самого банка, существуют высокотехнологичные (и не очень) способы кражи денег непосредственно со счета клиента банка. Производители банкоматов и сами банки стремятся адекватно отвечать появляющимся и совершенствующимся угрозам.

Самым распространенным преступлением в отношении клиентов банков является скимминг — копирование реквизитов карты при ее использовании для снятия наличности в банкомате. Скимминговое устройство устанавливается на карт-ридер банкомата и предназначено считать информацию с магнитной полосы с целью дальнейшего изготовления клона карты. Для противодействия преступлениям такого типа используются соответствующие средства защиты: меняющаяся скорость затяжки магнитной карты (эффект «подергивания»), а также использование фактурной передней панели в месте расположения кардридера, что делает весьма затруднительной и саму установку скиммера.

Другой распространенный способ мошенничества — захват и последующее хищение карты клиента банка. Существует несколько способов захвата карты: установка либо поддельного аналога кардридера (траппинг, от англ. trap — ловушка), либо специальных механических приспособлений, после срабатывания которых карта застревает в кардридере, а потом вынимается с помощью нехитрых устройств. Не получивший свою карту назад, считая, что произошел сбой банкомата, клиент уходит с намерением обратиться с банк, после чего преступник завладевает картой. Для противодействия этому виду мошенничества используется усовершенствованная система защиты, включающая датчики, обнаруживающие несанкционированно установленные устройства в кардридере. В случае выявления какого-то несоответствия автоматически поднимается шторка, препятствующая извлечению карты, и отправляется сообщение в службу банка об обнаруженной проблеме. Кроме того, происходит постоянный контроль затвора кардридера, который остается полностью закрытым в периоды простоя банкомата. В начале операции защитная шторка прикрывает внутреннюю часть кардридера, позволяя поместить карту в банкомат лишь частично. Только после проверки на предмет безопасности устройство открывает шторку, и карта полностью загружается в кардридер.

Похожим на предыдущий является способ установки ложного презентера, когда банкомат именно в него выгружает наличность вместо выдачи клиенту. Для противодействия используются расширенные функциональные возможности, затрудняющие установку любых устройств захвата выдаваемых наличных.

Как уже отмечалось, среди всех видов карточного мошенничества в целом, и банкоматного — в частности, наиболее распространенным является кража информации с «магнитных» карт. На фоне масштабной миграции банков на микропроцессорные карточные технологии и, прежде всего, на EMV-совместимые карты этот процесс можно рассматривать, в том числе,  как эффективный механизм противодействия банкоматному мошенничеству. Поэтому обеспечение поддержки данного международного стандарта — дело чести для всех мировых поставщиков терминалов банковского самообслуживания.

Тагир Мустафин / CNews Analytics

Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2007 г.

Техноблог | Форумы | ТВ | Архив
Toolbar | КПК-версия | Подписка на новости  | RSS