Расчет рисков
Относительно применения СМТ для выявления мошенничества и принятия решений по подозрительным операциям в соответствии с полученными ранее результатами следует получить значения следующих величин:
•риск мошенничества по поддельным картам;
•риск мошенничества по операциям без присутствия карты.
Установим следующие исходные предположения при получении количественной оценки рисков:
•имеется БД совершенных мошеннических операций (как удачных, так и пресеченных, как с наличием ущерба, так и без такового), формат которой соответствует описанной ERD-диаграммой — БДМ;
•имеются данные по всем операциям со всеми банковскими картами в ПСБК банка-эмитента — БДО;
•по каждой карте банка-эмитента имеются данные по истории всех операций, истории движения средств по счету карты, история изменений статуса карты, история и параметры изменения ограничений операций с картой, дополнительные признаки карты (например, зарплатная или относящаяся к VIP-клиенту);
•нет никаких специальных данных по уровню осведомленности держателя карты в вопросах информационной безопасности, соблюдения рекомендаций по безопасному использованию карты;
•каждая совершенная клиентом операция по карте увеличивает риск проведения мошеннических операций в дальнейшем за счет увеличения вероятности компрометации данных карты;
•вероятности обнаружения мошеннических операций СМТ в ПСБК зависят только от типа мошенничества.
Заданы критерии риска для оценивания:
•Годовая величина допустимого риска по мошенничеству с поддельными картами:
•Годовая величина допустимого риска по мошенничеству без присутствия карты:
•Годовая величина затрачиваемых средств на эксплуатацию СМТ:
Приемлемые результаты оценивания в соответствии с заданными критериями:
Параметры СМТ для выявления мошенничества Р под.
крт(обн), Р под. ПИН(обн), Р бпк(обн) одинаковы для любой карты эмитента в ПСБК.Анализ современного состояния мошенничества с банковскими картами позволяет сделать ряд выводов о временных характеристиках компрометации данных и проведения несанкционированных операций:
•характер использования карты клиентом часто имеет сезонную зависимость, связанную с отпусками и особенностями трудовой деятельности;
•карта обычно выпускается сроком на два года;
•как правило, скомпрометированные данные банковских карт используются мошенниками в течение года, хотя известны и более продолжительные интервалы времени между компрометацией и использованием данных, вплоть до двух лет;
•известны схемы мошенничества, осуществляемые по одному и тому же сценарию в течение нескольких лет (например, компрометация в одной стране, а несанкционированные операции в любой из стран известного множества);
•обязательные со стороны МПС критерии мониторинга по эквайрингу устанавливают минимальный временной интервал, равный 90 дням активных операций по ТСП.
Таким образом, при расчете вероятностей по формулам (10) и (12) следует учитывать приведенные временные особенности и устанавливать время расчета вероятностей по операциям с картой не менее одного года.
Далее мы будем вести расчеты за период времени, равный одному году, если иное не оговорено.
Рассмотрим вероятность компрометации данных карты при ее использовании в n операциях в различных устройствах — терминалах ТСП, банкоматах и ПВН. Пусть вероятность компрометации данных при совершении операции есть Pi (кпр), где i — номер операции.
Пусть событие A состоит в том, что данные карты скомпрометированы в результате операции k в любом терминальном устройстве, а событие B — данные скомпрометированы в r -й операции в любом терминальном устройстве, причем k amp;lt; r . Будем считать события A и B независимыми, т.е.
Вероятность того, что данные карты не были скомпрометированы ни в одной операции, можно записать в следующем виде с учетом формулы (14):
Исходя из формулы (15) вероятность компрометации данных карты хотя бы в одной операции:
Таким образом, для расчета вероятности компрометации данных карты требуется рассчитать значения вероятности компрометации данных карты в каждом использованном терминальном устройстве, что может быть сделано с использованием данных в БДО и БДМ, хранящихся в табл.
3.1, 3.3, 3.6. Расчет может производиться:•по каждому уникальному терминалу;
•по категории торгового предприятия (merchant category code — MCC): различные коды ТСП, банкоматы, ПВН;
•по стране торгового предприятия;
•по категории и стране торгового предприятия;
•по категории, стране и городу торгового предприятия.
Далее будем вести расчеты по стране и категории торгового предприятия.
Например, для расчета вероятности компрометации данных магнитной полосы карты iв некоторой стране за год в торговом предприятии определенной категории подсчитываем число операций, удовлетворяющих данному условию, в результате которых данные оказались скомпрометированы, и общее число операций, а далее с учетом формулы (16) получаем:
где W кпр(стрс, mccm )(i)— число операций, связанных с компрометацией данных, по картам банка в стране стрс и категории торгового предприятия mccm за год;
W трз (стрс, mccm )(i)— общее число операций по картам банка в стране стр c и категории торгового предприятия mccm за год.
Введем следующие обозначения:
Обозначим вероятность компрометации данных карты с учетом введенных обозначений и формулы (17) следующим образом:
В случае компрометации данных карты они могут быть использованы для совершения мошеннической операции. На основе данных БДМ можно рассчитать условные вероятности использования скомпрометированных в хотя бы одной точке использования карты ее данных:
где W исп (стр, mcc)(i) — число фактов последующего использования скомпрометированных данных в точках использования карты i (страна и категория ТСП);
W кпр(стр, mcc)(i) — число компрометаций данных карт в точках (страна и категория ТСП), в которых использовалась карта i.
Попытка проведения мошеннической операции может быть пресечена в торговом предприятии, до попадания авторизационного запроса по карте эмитенту. Рассмотрим возможности пресечения проведения мошеннической операции в зависимости от ее типа:
•операция по поддельной карте с известным ПИН-кодом в банкомате — в соответствии с формулой (8) вероятность успеха не зависит от способности выявления подделки банкоматом (за исключением упомянутого случая подделки магнитной полосы комбинированной карты и попытки ее использования в банкомате, поддерживающем проведение операций по микропроцессорным картам);
•операция по поддельной карте в ТСП — согласно формуле (4) вероятность мошенничества зависит от возможности обнаружения подделки кассиром;
•операция без присутствия карты — исходя из формулы (11) вероятность успеха мошенничества зависит от применяемой ТСП схемы безналичных платежей.
Проведенный анализ показывает, что в большинстве случаев мошенничества, связанного с подделкой карт крупнейших МПС VISA и MasterCard, можно избежать, если кассир выполняет следующие визуальные проверки карты:
•на наличие четырех напечатанных цифр под эмбоссированным номером карты;
•на наличие микропечати VISA по периметру логотипа карты VISA;
•на наличие голубя на картах VISA и букв «М» и «С» на картах MasterCard, появляющихся при облучении карты ультрафиолетом;
•при наклоне карты VISA на голограмме должен появиться летящий голубь, а MasterCard — надпись «MasterCard»;
•сравнение номера карты на чеке терминала и на карте;
•на наличие эмбоссированных секретных символов на карте (летящие буквы «V» и «M»).
Современная практика функционирования ПС показывает, что часто описанные проверки в ТСП не производятся, поэтому МПС отказались от использования эмбоссированных секретных символов, а также некоторых видов микропечати.
С учетом изложенных доводов вероятность проведения мошеннической операции по поддельной карте в ТСП с учетом формулы (4) можно, положив P под.
крт (поп|кпр исп) = 1, рассчитывать по следующей формуле:
Следовательно, риск по поддельным картам в ТСП с учетом формулы (20):
Рассмотрим проведение мошеннических операций без присутствия карты. Если эквайрер блокирует проведение операций, например, из определенной доменной зоны, то такие попытки эмитенту видны не будут. Так, до недавнего времени сервисы PayPal были недоступны для россиян, фильтрация запросов происходила на основе анализа IP адреса клиента, но с конца 2006г. ситуация изменилась. Если же клиент попадает на электронную страницу магазина, содержащего логотипы МПС, реквизиты его карты должны быть приняты к оплате по правилам МПС.
В случае принятия реквизитов к оплате банк-эквайрер должен обслужить операцию, за исключением случая неподдержки эмитентом схемы 3D Secure при одновременной ее поддержке эквайрером. Эквайрер, применяющий 3D Secure, в принципе может принимать к оплате не только карты эмитентов, поддерживающих данную технологию, но и любые другие. В любом случае оказывается, что если эмитент получает авторизационный запрос по операции без присутствия карты, то самостоятельно принимает решение об одобрении или отклонении ее (с учетом значения индикатора электронной транзакции в запросе авторизации — Electronic Commerce Indicator).
На основе изложенных доводов положим в формуле (11) P бпк(поп |кпр исп) = 1, тогда вместо формулы (12) получим
