НАЦІОНАЛЬНИЙ БАНК УКРАЇНИ
ЛИСТ
від 11.02.2022 р. № 56-0009/13399
Банкам України
Про надання рекомендацій для зниження ризику шахрайських операцій
На сьогодні актуальним залишається тренд щодо активного зростання безготівкових платежів на ринку України. Так, за попередніми розрахунками за 2021 рік обсяг безготівкових операцій із використанням платіжних карток становив понад 3 трлн грн, що на 40 % більше ніж у 2020 році, а кількість таких операцій перевищила 7 млрд, що на 35 % більше ніж у попередньому році.
Водночас на фоні стабільних позитивних показників розвитку ринку платежів та розрахунків спостерігається високий рівень кількості випадків шахрайських операцій у сфері переказу коштів з рахунків клієнтів, які обслуговуються за допомогою систем дистанційного обслуговування, у тому числі укладення з їх допомогою кредитних договорів у небанківських фінансових компаніях. Це свідчить про те, що особливо гострим залишається питання протидії злочинним виявам, пов’язаним із використанням таких технологій.
З метою попередження відповідних ризиків шахрайства Національний банк України підготував рекомендації банкам України щодо запобігання та протидії шахрайству в банківській системі, що додаються.
Додатки:
1. Рекомендації з питань організації роботи в системах дистанційного обслуговування.
2. Рекомендації з питань побудови безпеки мобільних застосунків.
3. Рекомендації з питань використання законів України, нормативно-правових актів та інших документів і стандартів.
Заступник Голови
Олексій ШАБАН
Додаток 1
Рекомендації з питань організації роботи в системах дистанційного обслуговування
Забезпечення захисту інформації в інформаційних мережах, що використовуються для банківського дистанційного обслуговування
Банкам під час створення системи захисту інформації в системах дистанційного обслуговування слід ураховувати вимоги чинного законодавства України. Так, система захисту інформації повинна забезпечувати захист інформації від несанкціонованого доступу та забезпечувати її цілісність, конфіденційність та доступність.
Для захисту інформації в мережах загального користування потрібно використовувати виключно такі криптографічні протоколи, що забезпечують шифрування даних (TLS або подібні), а для клієнтських застосунків забезпечити можливість перевірки та підтвердження чинності сертифікатів сервера (усіх серверів), з яким взаємодіє клієнтське програмне забезпечення (далі – ПЗ) під час інформаційного обміну.
Забезпечити неможливість передавання відкритих даних через мережу Інтернет будь-якими компонентами клієнтського ПЗ у незахищеному від несанкціонованого перегляду та модифікації вигляді.
Уживати заходи для виявлення в мережі Інтернет неправомірного згадування та/або використання систем дистанційного обслуговування банку, у тому числі з вказуванням можливості їх використання для здійснення розрахунків.
Автентифікація клієнта в системі дистанційного обслуговування
1. Потрібно проводити посилену автентифікацію клієнта (автентифікацію з використанням двох чи більше сукупностей чинників) під час реєстрації в системі дистанційного обслуговування та на початку використання мобільного додатка.
2. У разі використання для автентифікації паролів вони повинні відповідати вимогам, що наведені в цих рекомендаціях.
3. Забороняється використання для автентифікації соціальних мереж та інших вебсервісів загального користування, таких як Apple чи Google.
4. Клієнтське ПЗ, що використовується для дистанційного обслуговування, повинно забезпечувати можливість перевірки сертифікатів усіх серверів, що використовуються для віддаленої ідентифікації (серверів, що забезпечують верифікацію через BankID, серверів надавачів кваліфікованих електронних довірчих послуг тощо).
Виконання фінансових операцій у системах дистанційного обслуговування
1. Порядок виконання фінансової операції має передбачати:
- успішну автентифікацію клієнта;
- підтвердження здійснення фінансової операції шляхом уведення OTP-пароля, отриманого на фінансовий номер у вигляді sms, push-повідомлення в мобільному застосунку тощо;
- надсилання клієнту підтвердження або скасування переказу коштів за визначеними вимогами банку в мобільному застосунку або шляхом надсилання електронної виписки (квитанції) за рахунком.
2. Клієнт перед здійсненням фінансової операції повинен отримати максимально повні дані про таку операцію перед її остаточним підтвердженням.
3. У разі виявлення факту несанкціонованого доступу до мобільного застосунку, компрометації засобів автентифікації, втрати засобу доступу (телефону, фінансового номера), наявності несанкціонованих документів, інших шахрайських дій тощо, клієнт повинен мати змогу блокування доступу до системи дистанційного обслуговування, використовуючи номери контактного центру або інші можливості миттєвого блокування, визначені банком.
4. Банк повинен повідомити клієнта про виявлені банком ризики компрометації клієнта.
Інші заходи щодо запобігання сумнівним операціям та/або запобігання шахрайству
1. Запровадити процедуру аналізу запитів до функціоналів “онлайн-сервісів”, їх оновлення та удосконалення (логування даних на вебсервері тощо).
2. Проводити оцінку ефективності запроваджених заходів та їх актуалізацію не рідше одного разу на квартал.
3. Запровадити процедуру аналізу клієнтських запитів до системи дистанційного обслуговування банку про встановлення та/або підвищення суми кредитного ліміту, що передбачає перевірку особистої інформації клієнта, зокрема отриманої банком під час встановлення ділових відносин із клієнтом, та яка не міститься або яку не надсилалося / не надсилається сторонами через систему дистанційного обслуговування банку та яку не може бути дискредитовано під час викрадення телефону, шахрайського перевипуску сім-картки, злому облікового запису клієнта в соціальній мережі тощо.
4. Виконувати запити на зменшення/встановлення нульового кредитного ліміту в порядку, аналогічному порядку виконання запиту про встановлення/збільшення суми кредитного ліміту. Порядок зменшення/встановлення нульового кредитного ліміту повинен забезпечити можливість клієнту зменшити/встановити нульовий кредитний ліміт каналом дистанційного обслуговування.
5. Максимально убезпечити зміну фінансового номера телефону клієнтів (особисто у відділенні банку або шляхом здійснення дистанційної відеоверифікації або через агентів із здійсненням такими агентами ідентифікації та верифікації клієнта).
6. Виявляти та аналізувати збіг ідентифікаційної інформації про пристрій (наприклад, MAC-адреса, цифровий відбиток пристрою тощо), що застосовується різними клієнтами для віддаленого доступу до послуг фінансової/кредитної організації з переказу грошових коштів.
7. Здійснювати аналіз ініціювання запитів через систему BankID НБУ, з метою укладення договору/договорів онлайн кредитування, при доступному кредитному ліміті в банку. Такі дії повинні бути віднесені банком до операцій з підвищеним ризиком, для яких потрібно посилити вимоги щодо інформаційної безпеки, передавання даних позичальників, ідентифікації та верифікації позичальників, проведеної за допомогою дистанційних каналів зв’язку, передбачити додаткове підтвердження належності позичальнику номеру картки, зазначеної в заявці для виплати онлайн кредиту, з метою запобігання виплати коштів на картку іншої особи.
Додаток 2
Рекомендації з питань побудови безпеки мобільних застосунків
Критерії забезпечення безпеки мобільних застосунків
1. Захист мобільного застосунку на пристрої зводиться до забезпечення захищеності вразливих платіжних даних.
2. Під час розроблення мобільного застосунку банки повинні визначитись із ризиками в таких проєктах з урахуванням чинних процесів ризик орієнтованого підходу та вимог законодавства України в частині питань захисту інформації.
3. Розроблення мобільного застосунку та комп’ютерних програм, які забезпечують інформаційну взаємодію з мобільним застосунком на боці банку, має здійснюватися з урахуванням вимог стандартів безпеки даних мобільних застосунків (PA DSS), забезпечення безпеки даних держателів платіжних карт (PSI DSS), безпеки вебдодатків (OWASP) та законодавства України.
4. У разі виявлення в мобільних застосунках вразливостей, що можуть призвести до порушення інформаційної безпеки, банк повинен забезпечити оперативне створення оновлення мобільного застосунку, що усуває такі вразливості, та повідомити клієнта про потребу встановлення такого оновлення в спосіб, що дозволяє уникнути можливості отримання хибного повідомлення про таке оновлення.
5. Для автентифікації клієнта в мобільному застосунку повинні максимально використовуватись наявні в клієнтських пристроях технології біометричної автентифікації типу Touch ID, Face ID тощо.
6. Під час використання серверної автентифікації та авторизації потрібно використовувати сесійний механізм. Це дає змогу виключати можливість відкладеного доступу до мобільного застосунку, якщо користувач не здійснив вихід із цього застосунку.
7. Під час повернення в мобільний застосунок після переходу в режим очікування (під час згортання користувачем виконуваної програми) більш ніж на 30 секунд потрібно повторно виконати автентифікацію клієнта шляхом перевірки паролю (цифрового коду мобільного застосунку, біометричних даних тощо) задля виключення випадку компрометації персональних даних під час втрати пристрою, що не встиг заблокуватись.
8. Користувач повинен бути обмежений у кількості спроб вводу паролю до мобільного застосунку з подальшим блокуванням цього застосунку після послідовності невдалих спроб вводу.
9. Впровадити політики моніторингу використання мобільних застосунків, мобільних пристроїв, інших пристроїв, з яких здійснюється доступ до рахунку клієнта/користувача, зокрема виявлення нетипових для даного користувача пристроїв, використання пристроїв, які використовувались для шахрайських дій тощо. Потрібно передбачити вживання відповідних заходів під час виявлення збігу ідентифікаційної інформації про пристрій (наприклад, MAC-адреса, цифровий відбиток пристрою тощо), що застосовується різними клієнтами при віддаленому доступі.
10. Забезпечити контроль за кількістю активних сесій клієнта, відкритих одночасно або у короткому проміжку часу, визначити критерії підозрілої активності (наприклад, відкриття сесій у короткий проміжок часу в різних регіонах, з багатьох різних пристроїв тощо) та за потребою блокувати сесії з підозрілою активністю.
11. Система онлайн моніторингу фінансових операцій, яка працює 24/7/365, повинна розповсюджуватись, у тому числі на всі операції, що здійснюються за допомогою мобільних застосунків.
Парольна політика під час надання доступу клієнтам до мобільного застосунку
1. Розробити, затвердити та впровадити в банках правила використання паролів у мобільних застосунках клієнтів на підставі загальної політики побудови захисту інформації в банку та довести ці правила до відома клієнтів.
2. Надати право клієнту самостійно встановити дані для підтвердження особи перед початком роботи / під час реєстрації, а також ознайомити з відповідними правилами їх використання та заміни.
3. Зберігати та передавати паролі в системах обслуговування клієнтів у захищеному від несанкціонованого доступу вигляді.
4. Пароль для одноразового використання має бути дійсний не більше 10 хвилин та може передаватися через мережі загального користування (електронна пошта, електронні повідомлення) у разі використання його як одного з чинників багатофакторної автентифікації.
5. Паролі відповідальних осіб за забезпечення захисту інформації, кіберзахисту та інформаційної безпеки повинні змінюватися не рідше ніж один раз на 120 діб.
6. Паролі доступу до облікових записів для адміністрування гіпервізорів та серверів повинні змінюватися не рідше ніж один раз на 90 діб.
7. У разі використання OTP-паролю для автентифікації під час першого використання клієнтом мобільного пристрою банк має повідомити електронною поштою клієнта про використання нового пристрою та вказати доступну інформацію щодо такого пристрою.
Особливості використання чат-ботів у фінансовому просторі
Чат-бот – це програмне забезпечення віртуального менеджера, який надає можливість віддаленого обслуговування клієнта.
Під час використання чат-бота персональна інформація клієнта (включно з номерами та термінами дії карт, балансу на рахунках, номеру телефону тощо) та інформація про його фінансові операції може використовуватись/надаватись клієнту лише під час застосування чат-бота в каналах зв’язку, де клієнт успішно пройшов посилену автентифікацію та забезпечено конфіденційність інформації, що обробляється ними задля уникнення можливості збору зловмисником інформації про клієнта з метою подальших атак.
З метою уникнення ризику створення підроблених чат-ботів потрібно розробити та надати клієнтам правила використання чат-ботів, які б містили опис неправомірних запитів, підозрілих ознак, правил використання чат-ботів тощо.
Організація захисту серверної частини вебзастосунків
1. Забезпечити захист від шкідливого програмного забезпечення, зловмисного коду та вірусів.
2. Забезпечити використання засобів захисту мережі та моніторинг мережевої активності.
3. Регулярно оновлювати ПЗ (програмне забезпечення постачальників, хмарний гіпервізор, компоненти систем безпеки – все це повинно оновлюватися постійно). Будь-які зміни потрібно фіксувати й аналізувати, а всі оновлення застосовувати належним чином.
4. Застосовувати міжмережеві екрани, системи запобіганню вторгнень, а також засоби, що допомагають здійснювати фільтрацію мережевого трафіку, відстежувати пакети даних та порівнювати їх із сигнатурами зловмисного коду.
5. Для виявлення вразливостей серверної частини вебзастосунків використовувати програмні інструменти, що здійснюють моніторинг та динамічне сканування роботи вебзастосунків із метою виявлення вразливостей відповідно до рекомендацій кращої міжнародної практики.
Заходи щодо реалізації захисту вебзастосунків
1. Проводити тестування безпеки програм, за допомогою яких обслуговуються вебзастосунки.
2. Проводити аналіз ризику шляхом оцінки витрат на захист інформації та зіставлення таких витрат із цінністю інформації, яка захищається.
3. Розробити політику безпеки, яка чітко окреслює корпоративні правила, обов’язки та очікування.
4. Регулярно виконувати резервне копіювання та перевіряти можливість відновлення даних.
5. Регулярно оновлювати операційні системи і ПЗ серверів, клієнтів і мережевих пристроїв.
6. Використовувати засоби контролю доступу для налаштування ролей і рівнів привілеїв користувачів, а також багатофакторну автентифікацію.
7. Сформувати команду реагування на інциденти, розробити сценарії аварійного реагування та періодично перевіряти такі сценарії.
8. Впровадити інструмент моніторингу, аналізу та керування мережею.
9. Використовувати маршрутизатори, міжмережеві екрани та інші пристрої безпеки.
10. Використовувати на рівні банку антивірусні програми від усіх видів шкідливого ПЗ.
11. Інформувати клієнтів банку про потребу виконання процедур безпеки та проводити відповідні навчання для працівників банку.
12. Шифрувати всі конфіденційні дані банку, уключаючи електронну пошту.
Заходи з оперативного інформування клієнтів шляхом розміщення інформації на власному вебсайті та в мобільному застосунку
Банкам слід інформувати клієнтів про правила використання паролів, порядок встановлення та використання мобільних застосунків, місце їх завантаження та необхідні заходи безпеки шляхом розміщення відповідного повідомлення на офіційному сайті банку та/або шляхом використання всіх наявних засобів комунікації банку з клієнтами.
Крім того, банк повинен надати та отримати підтвердження щодо ознайомлення клієнта з інформацією щодо:
- безпечного використання та збереження даних у веббраузерах, що можуть зберігати конфіденційні дані;
- безпечного використання систем дистанційного обслуговування банку;
- уникнення випадків підвищеного ризику збитків для користувача платіжної картки;
- потреби негайного інформування клієнтом банку про компрометацію мобільного застосунку або його злам;
- доступ або зміну інформації клієнта в системах дистанційного обслуговування;
- ознаки фішингових вебсайтів, а також перелік виявлених фішингових вебсайтів або отримані відомості подібного змісту;
- порядку та процедури захисту персональних даних клієнтів (витяги з них).
Додаток 3
Рекомендації з питань використання Законів України, нормативно-правових актів та інших профільних документів і стандартів
З метою забезпечення захисту інформації банками під час побудови системи захисту інформації потрібно враховувати таку нормативну базу:
1. Закони України:
- “Про інформацію”;
- “Про захист інформації в інформаційно-телекомунікаційних системах”;
- “Про електронні документи та електронний документообіг”;
- “Про електронні довірчі послуги”;
- “Про захист персональних даних”;
- “Про Національний банк України”;
- “Про банки і банківську діяльність”;
- “Про платіжні системи та переказ коштів в Україні”;
- “Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення”.
2. Нормативно-правові акти:
- Положення про захист інформації та кіберзахист у платіжних системах, затверджене постановою Правління Національного банку України від 19.05.2021 № 43;
- Положення про організацію заходів із забезпечення інформаційної безпеки в банківській системі України, затверджене постановою Правління Національного банку України від 28.09.2017 № 95;
- Правила з технічного захисту приміщень банків, у яких обробляються електронні банківські документи, затверджені постановою Правління Національного банку України від 04.07.2007 № 243;
- Положення про порядок емісії електронних платіжних засобів і здійснення операцій з їх використанням, затверджене постановою Правління Національного банку України 05.11.2014 № 705;
- Положення про здійснення банками фінансового моніторингу, затверджене постановою Правління Національного банку України від 19.05.2020 № 65 (зі змінами);
- Положення про порядок розроблення, виробництва та експлуатації засобів криптографічного захисту інформації, затверджене наказом Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 20.07.2007 № 141 (зі змінами);
- Інструкція про безготівкові розрахунки в Україні в національній валюті, затверджена постановою Правління Національного банку України від 21.01.2004 № 22 (зі змінами);
- Методика комплексного оцінювання системно важливих платіжних систем, затверджена постановою Правління Національного банку України від 24.09.2015 № 635 (зі змінами, унесеними рішенням Правління Національного банку України від 04.09.2020 № 564-рш);
- Методичні рекомендації з управління ризиками в платіжних системах;
- Методичні рекомендації щодо управління операційним ризиком (у тому числі кіберризиком та безперервністю діяльності) та забезпечення зберігання інформації про клієнтів об’єктами платіжної інфраструктури.
3. Стандарти ДСТУ:
- ДСТУ ISO/IEC 27000:2019 “Інформаційні технології. Методи захисту. Система керування інформаційною безпекою. Огляд і словник термінів”;
- ДСТУ ISO/IEC 27001:2015 “Інформаційні технології. Методи захисту системи управління інформаційною безпекою. Вимоги”;
- ДСТУ ISO/IEC 27002:2015 “Інформаційні технології. Методи захисту. Звід практик щодо заходів інформаційної безпеки”, прийняті наказом Державного підприємства “Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості” від 18.12.2015 № 193 з урахуванням міжнародних стандартів з питань інформаційної безпеки, загальноприйнятих у міжнародній практиці принципів забезпечення інформаційної безпеки і кіберзахисту з метою підвищення рівня інформаційної безпеки в банківській системі України.
4. Стандарти безпеки мобільних додатків:
- Стандарт OWASP (Open Web Application Security Project) використовується для підтвердження вимог до тестування та ризику та підтримки розроблення більш складного та безпечного коду. Це сприяє ранньому виправленню недоліків та слабких місць коду для підвищення загальної міцності та захисту. Деякі з вимог уключають перевірку прив’язки пристрою та використання відбитків пальців, шифрування на рівні файлу та коду, виявлення та реагування на втручання, емуляцію, зміни пам’яті та налагодження;
- Стандарт CVSS (Common Vulnerability Scoring System) спрямований на виявлення та оцінку слабких місць та ризиків. Оцінка систем згідно CVSS характеризує ступінь серйозності ризиків, окреслює їх визначення та основні ознаки. Оцінка вказує на ділянки, що потребують уваги, і вказує на те, наскільки терміновою має бути дія команд із тестування та налагодження;
- Стандарт CWE (Common Weakness Enumeration) – це перелік поширених вразливих місць, призначений для допомоги розробникам у виявленні вад та недоліків, надає базові характеристики. Охоплює кілька рівнів, які далі поділяються на безліч класів і категорій, спрямованих на спрощення пошуку певного ключового слова. Деякі приклади проблем, які охоплюються CWE, уключають використання слабкої та дефектної криптографії, ненадійних вхідних даних, безпеку інтерфейсу користувача та погане кодування;
- Стандарт безпеки даних індустрії платіжних карт (PCI DSS).
5. Директиви Європейського Союзу та міжнародні стандарти:
- Директива (ЄС) 2015/2366 Європейського Парламенту та Ради від 25.11.2015 про платіжні послуги на внутрішньому ринку;
- Директива 2009/110/ЄС Європейського Парламенту та Ради від 16.09.2009 про започаткування та ведення діяльності установ по роботі з електронними грошима та пруденційний нагляд за ними.