«ЗОНА САМООБСЛУЖИВАНИЯ «24Х7»
СИСТЕМЫ КОНТРОЛЯ И УПРАВЛЕНИЯ ДОСТУПОМ К БАНКОМАТАМ

 
Доверие Клиентов к Банку определяется высоким качеством обслуживания Клиентов, заботой о безопасности их вкладов и обеспечением безопасного совершения операций Клиентом в любое время.

Одной из основных задач любой банковской структуры является построение доверительных и надежных отношений с Клиентом. Для этого необходимо стать реальным надежным партнером Клиента, предложить ему удобные, доступные услуги, нацеленные на повышение доходности операций, обеспечить гарантию безопасности обслуживания и сохранности финансов Клиента, предоставить ему возможность совершения безопасных операций в любом месте и в любое время.

В высококонкурентной банковской сфере качество и безопасность обслуживания клиентов занимает одну из ведущих позиций среди показателей деятельности, а соответственно, и критериев выбора клиентами банка.

Для реализации этих задач банки внедряют новые информационные технологии обслуживания, применяют надежные новейшие системы обеспечения безопасности Клиентов.

Значимую дою в банковском деле занимает «пластиковый» бизнес. Предоставление Клиенту всего спектра надежных и безопасных сервисов пластиковых карт представляет многостороннюю задачу.

Развитие направления предоставления услуг самообслуживания «24х7», с полным спектром сервисов, требует использования надежных автоматизированных систем контроля доступа в зоны самообслуживания «24х7».

К сожалению, в настоящее время в Украине наблюдается значительный рост количества преступлений, в которых незаконное использование пластиковых карт приводит к огромным финансовым потерям Банков и Клиентов.

Информация

17.11.2017 Пресс-служба прокуратуры города Києва. В Киеве задержали две группы лиц, которые с помощью поддельных банковских карточек завладели почти 6 000 000 гривен государственного банка.
По данным прокуратуры, злоумышленники устанавливали специальные устройства с помощью которых считывали информацию о банковских картах клиентов, а также устанавливали накладки со скрытой микрокамерой для записи PIN-кодов, которые вводили клиенты банка. После этого они изготавливали поддельные банковские карточки, которые были идентичны оригинальным, и снимали с них денежные средства.
Двух злоумышленников поймали 10 ноября во время очередного незаконного снятия денег. Во время обысков у них изъяли поддельные банковские карты, денежные средства на сумму более 1 000 000 гривен, специальные устройства для считывания информации, накладки на банкомат со скрытой микрокамерой, устройства для записи информации на карты, а также целый арсенал оружия, в виде автоматов Калашникова, пистолетов и большого количества патронов.
А уже 16 ноября текущего года в рамках этого расследования задержали вторую группу злоумышленников, которые действовали аналогичным способом. У фигурантов изъяли специальные устройства для считывания информации, накладки со скрытой микрокамерой. 



При проектировании и создании автоматизированных зон самообслуживания «24х7», предназначенных для обслуживания владельцев карт различных платежных систем, важнейшей задачей является обеспечение максимальной безопасности Клиента, защиты его персональной информации (к которой относится информация о его пластиковых картах) от несанкционированного снятия и последующего незаконного использования.


БЕЗОПАСНОСТЬ СКУД

К сожалению, некоторые банковские структуры, занимающиеся массовым обслуживанием владельцев пластиковых карт в зонах самообслуживания «24х7», не уделяют должного внимания надежности и безопасности систем контроля и управления (СКУ) в вопросах защиты от несанкционированного снятия информации и соответствия СКУ требованиям стандарта безопасности PCI DSS.

Справка

Действие стандарта PCI DSS распространяется на предприятия, работающих с международными платежными системами, т.е. на всех, кто передает, обрабатывает и хранит данные держателей карт. Это касается как общих данных - номер карты (Primary Account Number, PAN), имя держателя карты, код обслуживания, дата выдачи и истечения срока действия, так и критичных данных авторизации (sensitive authentication data) - полное содержание магнитной полосы, коды CVC2/CVV2/CID и PIN-блок. Элементы данных необходимо защищать, если они хранятся и/или передаются совместно с номером карты.
Требования PCI DSS распространяются на все компоненты, входящие в состав среды данных платежных карт, в которой обрабатываются общие или критические данные платежных карт.
PCI DSS не допускает передачу как критичных, так и общих данных через открытые каналы передачи данных, т.к. злоумышленнику не составляет большого труда произвести перехват и несанкционированное использование этих данных.


Одним методов хищения данных пластиковых карт является «скимминг карт», который осуществляется с использованием специальных устройств, предназначенных для незаконного считывания и/или сохранения информации с платежной карты. 

Однако, несанкционированное снятие информации с платежной карты может осуществляться и без установки дополнительных устройств считывания магнитной полосы карты, монтируемых на банкомат и визуально изменяющих дизайн оборудования, в случае наличия каналов передачи данных не соответствующих требованиям PCI DSS.
К таким «удобным» для правонарушителей «дырам» в безопасности, которые порождают сами банковские структуры при использовании дешевых, не проверенных решений или из-за пренебрежения стандартами безопасности каналов передачи данных, можно отнести незащищенные каналы передачи информации от «ридеров» пластиковых карт до оборудования, осуществляющего обработку информации, когда по таким каналам передается полная информация с 1-й и/или 2-й дорожки магнитной полосы платежной пластиковой карты по интерфейсу «Clock & Data».

 

 

Справка

Интерфейс «Clock & Data» — однонаправленный проводной интерфейс связи между двумя устройствами: считывателем и управляющим устройством. Чаще всего используется в системах, где в качестве идентификатора выступает карта с магнитной полосой. Для передачи информации используются две информационные линии: по одной передается битовая посылка, а второй провод используется для считывания последовательности в правильном порядке за счет синхроимпульсов. Кодирование передаваемой информации не производится, поэтому карты не защищены от несанкционированного считывания и подделок.


 

Несанкционированное снятие информации с таких каналов передачи данных не требует физического подключения к линиям передачи данных - осуществляется путем применения элементарных индукционных датчиков, которые широко распространены, имеют низкую стоимость, крайне сложно определяются (могут маскироваться под импульсные фильтры и т.п.), что делает их мощным инструментом злоумышленников. 

 


Никто не сможет проверить установлены или нет системы несанкционированного снятия информации после монтажа СКУД, т.к. каналы передачи данных, как правило, не укладываются в специальных кабель-каналах, а прокладываются скрытно и к ним отсутствует доступ после монтажа

Никто не сможет дать 100% гарантии отсутствия закладок
для несанкционированного снятия информации при монтаже или их последующей установки в процессе эксплуатации и обслуживании.

К сожалению, “раз в год и палка стреляет”, а что можно сказать про безопасность карт Клиентов при наличие таких «дыр»?

Безопасность информации – это прежде всего исключение человеческого фактора, применение надежных решений и выполнения требования стандартов безопасности.


Все требования безопасности могут быть реализованы при использовании в качестве устройств считывания информации с платежной карты не «ридеров», а интеллектуальных «контроллеров магнитных карт», которые предназначены для считывания информации с магнитной полосы, ее обработки, выделения минимально достаточной информации (менее общих данных) для функционирования СКУД, и передачи этих данных по надежным каналам, рассчитанным на достаточное (не менее 100 м) удаление «контроллеров магнитных карт» от центральных анализирующих или обслуживающих контроллеров управления СКУД в соответствии с требованиями PSI DSS.


НАДЕЖНОСТЬ


Вторым важным вопросом при выборе СКУД для организации зон самообслуживания «24х7» является обеспечение уверенного и надежного считывания данных с магнитной полосы платежной карты в широком диапазоне скоростей. Надо учитывать, что реальная скорость проведений карты Клиентом через зону считывания не является стабильной, Клиент достаточно редко использует карту для доступа в зону самообслуживания и не имеет навыков свойственным сотрудникам банков, а также возрастные особенности Клиента.

Анализ этих аспектов показывает, что Клиенты могут «проводить» картой со скоростями от 30 мм/сек (считывание карты за 2.5 сек, ее бережное использование свойственно пожилым людям и людям «с ограниченными возможностями») до 2000 мм/сек («резкая молодежь»). СКУД должны быть адаптированы к таким особенностям Клиентов и не ограничивать их.

«Контроллеры магнитных карт» должны устойчиво работать не только с новыми картами, но и уверенно считывать карты, которые уже были в работе, т.к. сегодня банки предоставляют карты со сроком действия 3 и более лет.


КЛИМАТИЧЕСКИЕ УСЛОВИЯ


Критическим элементом СКУД является устройство считывания информации с магнитной полосы платежной карты – «Контроллер Магнитных Карт», т.к. от его надежности зависит работоспособность всей системы в целом и отношение Клиентов к зонам самообслуживания «24х4».

Географическое расположение и климатические условия накладывают ряд требований к «Контроллерам Магнитных Карт».

Для надежной работы «Контроллер Магнитных Карт», с учетом климатических реалий, должен сохранять работоспособность при температурах от -40 до +50 °С в условиях влажности 0-90% RH (без образования конденсата и инея) при эксплуатации в помещениях и навесах нерегулируемого климатического типа.

С учетом стандартов ISO7810–7813, в которых описаны характеристики, климатические условия хранения и эксплуатации пластиковых карт, подобные требования невыполнимы для «стандартных ридеров», т.к. лучшие производители ридеров магнитных карт гарантируют их работоспособность при температурах от -10 до 50 °С.

Невозможно эксплуатировать «стандартные» решения» при более низких температурах без применения специальных элементов термостабилизации («подогрева») при температурах менее +12°С.

Несмотря на эти явные несоответствия требований и возможностей, недобросовестные производители СКУД указывают недостоверные сведения в характеристиках устройств.

Если не учитывать конструктивные особенности оборудования и его рабочие температурные характеристики - это приведет к резкому возрастанию усилия прижима считывающих элементов к магнитной полосе пластиковой карты и ее последующему разрушению, появлению царапин на магнитной полосе и лицевой части карты и т.п., что существенно скажется на сроке жизни, внешнем виде пластиковой карты и приведет к дополнительным затратам по перевыпуску пластиковой карты и потери имиджа Банка.


ЗАЩИЩЕННОСТЬ

Как отмечалось ранее, критическим элементом СКУД является устройство считывания информации с магнитной полосы платежной карты – «Контроллер Магнитных Карт». Его расположение на наружной части Банка предполагает высокие требования к защите от случайных и преднамеренных физических воздействий (вандализм), которые могут привести к деформации тракта прохождения карты (что приводит к невозможности считывания информации) и невозможности обслуживания Клиента – это означает, что корпус «Контроллера Магнитных Карт» должен быть выполнен из прочной стали и выдерживать удары металлических предметов (молоток, бейсбольная бита и пр.).

Использование не прямоугольных форм антивандальных корпусов делает невозможным установку скимминг-устройств.
Наличие стального корпуса, достаточной толщины, обеспечивают экранирование внутренних элементов «Контроллера Магнитных Карт» и невозможность несанкционированного считывания информации.


ФУНКЦИОНАЛ СКУД

Сегодняшний функционал СКУД зон самообслуживания «24х7» определяется возрастающими требованиями к подобным системам - это и обеспечение безопасности дорогостоящего оборудования (как АТМ (Automated Teller Machine)) от вандализма, случаи возникновения которого учащаются с каждым днем, и защита от мошеннических действий со стороны клиентов и злоумышленников, а также обеспечение комфортного и надежного обслуживания Клиента. Требование в некоторой степени противоречивые, однако их необходимо выполнять.

СКУД доступом должны помогать Службе Безопасности защитить Банк от махинаций и мошенничества, от операций с крадеными и поддельными пластиковыми картами, актов вандализма в отношении дорогостоящего оборудовании (это и разбитые мониторы с клавиатурами, и окрашенные лицевые панели банкомата, и монтажная пена, залитая в устройства приема карт, и т.п.).

Особо важным моментом в данном вопросе является минимизация не только финансовых, но и временных затрат персонала на решение указанных задач.

Специфика организации безопасности таких объектов, как «Зона самообслуживания «24х7», состоит в географическом разнесении составных элементов.

Следует учитывать, что расстояние от головного офиса банка, в котором расположены центры контроля, до «Зон самообслуживания «24х7» может составлять до 100 км и даже больше.

И если для того, чтобы проконтролировать работоспособность «Зоны самообслуживания «24х7», рядом с центральным офисом Банка нужно немного времени (как правило обслуживающие компании располагаются в местах дислокации головного отделения), то проверка работы удаленных объектов, без наличия средств удаленного конфигурирования, мониторинга и управления становится весьма проблематична.

Эти же соображения не позволяют применять активные, управляемы дистанционно, методы защиты объектов («генератор тумана», «туман безопасности», «свето-шумовые генераторы» и аналогичные системы), которые могут предотвратить огромные убытки Банка.

СКУ «Зона самообслуживания «24х7» должна учитывать не только вопросы безопасности, но и защищать финансы Банка, предоставлять возможность гибко конфигурировать списки разрешенных к обслуживанию пластиковых карт тех или иных банков-эмитентов с возможностью построения групповых фильтров разрешенных и запрещенных к обслуживанию карт по BIN (Bank Identification Number  - банковский идентификационный номер), обеспечивать информирование Службы Безопасности Банка и/или охранные структуры о попытке доступа в «Зону самообслуживания «24х7» по картам, которые находятся в списке разыскиваемых или скомпрометированных.


Информация

По оценкам специалистов банков, СКУ «Зона самообслуживания «24х7» ПРОЦИОН-3620, только в одном банке, предотвратила финансовые потери в размере более 27 000 000 UAH при «развале» «ДЕЛЬТАБАНКа» и защитила многие банки от аналогичных проблем в дальнейшем, за счет грамотного использования сотрудниками Службы Безопасности функционала систем. СКУ «Зона самообслуживания «24х7» ПРОЦИОН-3620 многократно окупили затраты на установку систем.

Использование фильтрации карт по BIN позволяют недопустить в зону обслуживания владельцев карт проблемных банков или банков, с которыми не установлены партнерские отношения или ограничивать доступ по другим параметрам.
СКУ «Зона самообслуживания «24х7» обязана отсекать попытки доступа и отказывать в обслуживании владельцам карт с истекшим сроком действия и/или недопускать вход по картам, которые не принадлежат к платежным системам (дисконтные, клубные и т.п.).

К сожалению, простые СКУД не контролируют указанные параметры, и часто позволяют использовать «Зоны самообслуживания «24х7», как ночлежки для лиц без определенного места жительства, как мест распития спиртных напитков и употребления наркотических средств и т.п.

Обязательной функцией СКУ «Зона самообслуживания «24х7» является протоколирование работы системы для последующего анализа и выявления проблем в обслуживании Клиентов, некачественного обслуживания, анализа эффективности работы «Зона самообслуживания «24х7».

Как отмечалось выше, СКУ «Зона самообслуживания «24х7» должна позволять удаленное подключение к своим функциям через локальные сети банков с поддержкой TCP/IP протоколов, гибкое управление подключенным дополнительным оборудованием различного типа, как в автоматическом режиме, так и дистанционно.


СКУ «ЗОНА САМООБСЛУЖИВАНИЯ «24Х7» В УКРАИНЕ


В настоящее время, в Украине получили распространение СКУ «Зона самообслуживания «24х7» серии ПРОЦИОН-3600 (Украина) и "Шериф-Банк" (Россия).

Системы «ПРОЦИОН-3620» (Украина) – оборудование разработано украинскими специалистами и производимое в Украине. Универсальная, расширяемая система управления, контроля и ограничения доступа для построения «Зон самообслуживания «24х7». Системы «ПРОЦИОН-3620» соответствуют требованиям стандарта безопасности платежных систем PCI DSS, основаны на современных технических решениях, содержат оптимальные алгоритмы обеспечения безопасности. Позволяют реализовать все описанные выше задачи, обеспечивают функции удаленного управления через TCP/IP сети. Поддерживают управление дополнительным оборудованием и взаимодействие с охранными системами. Производится с 2003 года и в настоящее время выпускается 3-я модификация систем. Установлена в ведущих банках Украины.
 
Система "Шериф-Банк" (Россия) – автономная система с максимально упрощенным функционалом, которая не обеспечивающей базовые требования по обслуживанию клиентов, не оптимизирована для работы с картами украинских банков. Поставляется в Украину с 2014 года («Совпадение? Не думаю…»). Как ни странно, но ведущие российские банки, имеющие свои отделения или дочерние структуры в Украине не используют указанную систему.
Кроме этого, Системы "Шериф-Банк" несоответствуют требованиям стандарта безопасности PCI DSS, использует незащищенный интерфейс «Clock & Data» передачи данных.
 
Скачать материал в PDF.