На сьогодні актуальним залишається тренд щодо активного зростання безготівкових платежів на ринку України. Так, за попередніми розрахунками за 2021 рік обсяг безготівкових операцій із використанням платіжних карток становив понад 3 трлн грн, що на 40 % більше ніж у 2020 році, а кількість таких операцій перевищила 7 млрд, що на 35 % більше ніж у попередньому році.

Водночас на фоні стабільних позитивних показників розвитку ринку платежів та розрахунків спостерігається високий рівень кількості випадків шахрайських операцій у сфері переказу коштів з рахунків клієнтів, які обслуговуються за допомогою систем дистанційного обслуговування, у тому числі укладення з їх допомогою кредитних договорів у небанківських фінансових компаніях. Це свідчить про те, що особливо гострим залишається питання протидії злочинним виявам, пов'язаним із використанням таких технологій.

З метою попередження відповідних ризиків шахрайства Національний банк України підготував рекомендації банкам України щодо запобігання та протидії шахрайству в банківській системі, що додаються.

Забезпечення захисту інформації в інформаційних мережах, що використовуються для банківського дистанційного обслуговування

Банкам під час створення системи захисту інформації в системах дистанційного обслуговування слід ураховувати вимоги чинного законодавства України. Так, система захисту інформації повинна забезпечувати захист інформації від несанкціонованого доступу та забезпечувати її цілісність, конфіденційність та доступність.

Для захисту інформації в мережах загального користування потрібно використовувати виключно такі криптографічні протоколи, що забезпечують шифрування даних (TLS або подібні), а для клієнтських застосунків забезпечити можливість перевірки та підтвердження чинності сертифікатів сервера (усіх серверів), з яким взаємодіє клієнтське програмне забезпечення (далі - ПЗ) під час інформаційного обміну.

Забезпечити неможливість передавання відкритих даних через мережу Інтернет будь-якими компонентами клієнтського ПЗ у незахищеному від несанкціонованого перегляду та модифікації вигляді.

Уживати заходи для виявлення в мережі Інтернет неправомірного згадування та/або використання систем дистанційного обслуговування банку, у тому числі з вказуванням можливості їх використання для здійснення розрахунків.

Автентифікація клієнта в системі дистанційного обслуговування

1. Потрібно проводити посилену автентифікацію клієнта (автентифікацію з використанням двох чи більше сукупностей чинників) під час реєстрації в системі дистанційного обслуговування та на початку використання мобільного додатка.

2. У разі використання для автентифікації паролів вони повинні відповідати вимогам, що наведені в цих рекомендаціях.

3. Забороняється використання для автентифікації соціальних мереж та інших вебсервісів загального користування, таких як Apple чи Google.

4. Клієнтське ПЗ, що використовується для дистанційного обслуговування, повинно забезпечувати можливість перевірки сертифікатів усіх серверів, що використовуються для віддаленої ідентифікації (серверів, що забезпечують верифікацію через BankID, серверів надавачів кваліфікованих електронних довірчих послуг тощо).

Виконання фінансових операцій у системах дистанційного обслуговування

1. Порядок виконання фінансової операції має передбачати:

успішну автентифікацію клієнта;

підтвердження здійснення фінансової операції шляхом уведення OTP-пароля, отриманого на фінансовий номер у вигляді sms, push-повідомлення в мобільному застосунку тощо;

надсилання клієнту підтвердження або скасування переказу коштів за визначеними вимогами банку в мобільному застосунку або шляхом надсилання електронної виписки (квитанції) за рахунком.

2. Клієнт перед здійсненням фінансової операції повинен отримати максимально повні дані про таку операцію перед її остаточним підтвердженням.

3. У разі виявлення факту несанкціонованого доступу до мобільного застосунку, компрометації засобів автентифікації, втрати засобу доступу (телефону, фінансового номера), наявності несанкціонованих документів, інших шахрайських дій тощо, клієнт повинен мати змогу блокування доступу до системи дистанційного обслуговування, використовуючи номери контактного центру або інші можливості миттєвого блокування, визначені банком.

4. Банк повинен повідомити клієнта про виявлені банком ризики компрометації клієнта.

Інші заходи щодо запобігання сумнівним операціям та/або запобігання шахрайству

1. Запровадити процедуру аналізу запитів до функціоналів "онлайн-сервісів", їх оновлення та удосконалення (логування даних на вебсервері тощо).

2. Проводити оцінку ефективності запроваджених заходів та їх актуалізацію не рідше одного разу на квартал.

3. Запровадити процедуру аналізу клієнтських запитів до системи дистанційного обслуговування банку про встановлення та/або підвищення суми кредитного ліміту, що передбачає перевірку особистої інформації клієнта, зокрема отриманої банком під час встановлення ділових відносин із клієнтом, та яка не міститься або яку не надсилалося / не надсилається сторонами через систему дистанційного обслуговування банку та яку не може бути дискредитовано під час викрадення телефону, шахрайського перевипуску сім-картки, злому облікового запису клієнта в соціальній мережі тощо.

4. Виконувати запити на зменшення/встановлення нульового кредитного ліміту в порядку, аналогічному порядку виконання запиту про встановлення/збільшення суми кредитного ліміту. Порядок зменшення/встановлення нульового кредитного ліміту повинен забезпечити можливість клієнту зменшити/встановити нульовий кредитний ліміт каналом дистанційного обслуговування.

5. Максимально убезпечити зміну фінансового номера телефону клієнтів (особисто у відділенні банку або шляхом здійснення дистанційної відеоверифікації або через агентів із здійсненням такими агентами ідентифікації та верифікації клієнта).

6. Виявляти та аналізувати збіг ідентифікаційної інформації про пристрій (наприклад, MAC-адреса, цифровий відбиток пристрою тощо), що застосовується різними клієнтами для віддаленого доступу до послуг фінансової/кредитної організації з переказу грошових коштів.

7. Здійснювати аналіз ініціювання запитів через систему BankID НБУ, з метою укладення договору/договорів онлайн кредитування, при доступному кредитному ліміті в банку. Такі дії повинні бути віднесені банком до операцій з підвищеним ризиком, для яких потрібно посилити вимоги щодо інформаційної безпеки, передавання даних позичальників, ідентифікації та верифікації позичальників, проведеної за допомогою дистанційних каналів зв'язку, передбачити додаткове підтвердження належності позичальнику номеру картки, зазначеної в заявці для виплати онлайн кредиту, з метою запобігання виплати коштів на картку іншої особи.

Критерії забезпечення безпеки мобільних застосунків

1. Захист мобільного застосунку на пристрої зводиться до забезпечення захищеності вразливих платіжних даних.

2. Під час розроблення мобільного застосунку банки повинні визначитись із ризиками в таких проєктах з урахуванням чинних процесів ризик орієнтованого підходу та вимог законодавства України в частині питань захисту інформації.

3. Розроблення мобільного застосунку та комп'ютерних програм, які забезпечують інформаційну взаємодію з мобільним застосунком на боці банку, має здійснюватися з урахуванням вимог стандартів безпеки даних мобільних застосунків (PA DSS), забезпечення безпеки даних держателів платіжних карт (PSI DSS), безпеки вебдодатків (OWASP) та законодавства України.

4. У разі виявлення в мобільних застосунках вразливостей, що можуть призвести до порушення інформаційної безпеки, банк повинен забезпечити оперативне створення оновлення мобільного застосунку, що усуває такі вразливості, та повідомити клієнта про потребу встановлення такого оновлення в спосіб, що дозволяє уникнути можливості отримання хибного повідомлення про таке оновлення.

5. Для автентифікації клієнта в мобільному застосунку повинні максимально використовуватись наявні в клієнтських пристроях технології біометричної автентифікації типу Touch ID, Face ID тощо.

6. Під час використання серверної автентифікації та авторизації потрібно використовувати сесійний механізм. Це дає змогу виключати можливість відкладеного доступу до мобільного застосунку, якщо користувач не здійснив вихід із цього застосунку.

7. Під час повернення в мобільний застосунок після переходу в режим очікування (під час згортання користувачем виконуваної програми) більш ніж на 30 секунд потрібно повторно виконати автентифікацію клієнта шляхом перевірки паролю (цифрового коду мобільного застосунку, біометричних даних тощо) задля виключення випадку компрометації персональних даних під час втрати пристрою, що не встиг заблокуватись.

8. Користувач повинен бути обмежений у кількості спроб вводу паролю до мобільного застосунку з подальшим блокуванням цього застосунку після послідовності невдалих спроб вводу.

9. Впровадити політики моніторингу використання мобільних застосунків, мобільних пристроїв, інших пристроїв, з яких здійснюється доступ до рахунку клієнта/користувача, зокрема виявлення нетипових для даного користувача пристроїв, використання пристроїв, які використовувались для шахрайських дій тощо. Потрібно передбачити вживання відповідних заходів під час виявлення збігу ідентифікаційної інформації про пристрій (наприклад, MAC-адреса, цифровий відбиток пристрою тощо), що застосовується різними клієнтами при віддаленому доступі.

10. Забезпечити контроль за кількістю активних сесій клієнта, відкритих одночасно або у короткому проміжку часу, визначити критерії підозрілої активності (наприклад, відкриття сесій у короткий проміжок часу в різних регіонах, з багатьох різних пристроїв тощо) та за потребою блокувати сесії з підозрілою активністю.

11. Система онлайн моніторингу фінансових операцій, яка працює 24/7/365, повинна розповсюджуватись, у тому числі на всі операції, що здійснюються за допомогою мобільних застосунків.

Парольна політика під час надання доступу клієнтам до мобільного застосунку

1. Розробити, затвердити та впровадити в банках правила використання паролів у мобільних застосунках клієнтів на підставі загальної політики побудови захисту інформації в банку та довести ці правила до відома клієнтів.

2. Надати право клієнту самостійно встановити дані для підтвердження особи перед початком роботи / під час реєстрації, а також ознайомити з відповідними правилами їх використання та заміни.

3. Зберігати та передавати паролі в системах обслуговування клієнтів у захищеному від несанкціонованого доступу вигляді.

4. Пароль для одноразового використання має бути дійсний не більше 10 хвилин та може передаватися через мережі загального користування (електронна пошта, електронні повідомлення) у разі використання його як одного з чинників багатофакторної автентифікації.

5. Паролі відповідальних осіб за забезпечення захисту інформації, кіберзахисту та інформаційної безпеки повинні змінюватися не рідше ніж один раз на 120 діб.