Как ранее писал Spot, Минюст и Центральный банк утвердили положение о требованиях к кибербезопасности при оказании финансовых услуг и предотвращению фрода. Для банковских и платежных приложений вводится ряд новых обязательных условий.
Положение обозначает требования к защите информации. Банки, платежные системы и сервисы должны внедрить ограничения для аккаунтов при поступлении «необычно большого числа запросов» за короткое время — временную блокировку или другие меры защиты.
Если в мобильном приложении зафиксированы попытки входа в один аккаунт с двух и более устройств при одном IP-адресе, аккаунт должен быть заблокирован на 10 минут.
Приложения должны выявлять нарушения безопасности устройства — в частности, получение доступа к системным правам (root на Android, Jailbreak на iOS). В случае их обнаружения работа сервиса будет остановлена, а пользователь получит SMS-уведомление.
В следующих ситуациях сервисы будут отправлять клиентам SMS и push-уведомления, а также ждать дополнительного подтверждения:
- попытка входа в систему от имени пользователя через новое устройство;
- отправка запроса на оформление онлайн-кредита (микрозайма), размещение вклада, снятие денег с депозита;
- регистрация в системе признаков фрода (несколько операций за короткое время, вход с подозрительных IP-адресов
и т. д. ).
Также организации должны внедрить системы обеспечения информационной безопасности для предотвращения случаев фрода, связанных с банковскими картами, счетами, аккаунтами и электронными кошельками. Системы делятся на три уровня — транзакционный, сессионный антифрод и антифрод сотовой связи.
Системы транзакционного антифрода будут анализировать платежи пользователей — включая P2P-переводы и оплату услуг — до их проведения. При выявлении признаков фрода они смогут принимать решение о приостановке операции.
Перед решением о проведении платежа СТА должны иметь возможность анализировать данные о плательщике и получателе. В частности, анализ затронет журналы активности приложения и данные из систем сессионного антифрода.
Кроме того, СТА должны обеспечивать выявление подозрительной или вредоносной активности и ее автоматическую блокировку. Системы будут обнаруживать попытки входа в систему через прокси-серверы, сеть TOR, VPN-сеть, а также с устройств и серверов в зоне риска.
Для систем сессионного антифрода (ССА) обязательна возможность выявлять:
- замену телефонов и (или) SIM-карт;
- звонки через сотовую сеть или мессенджеры при использовании приложения;
- признаки дистанционного управления устройством;
- признаки несанкционированного доступа к корневым функциям (root, Jailbreak);
- использование VPN;
- внедрение стороннего кода (инъекции) в защищенное веб-приложение, а также в страницы со стороны сервера;
- случаи фишинга;
- несанкционированное использование аккаунта пользователя;
- подозрительную активность на базе местоположения (по GPS и Wi-Fi).
Еще одной задачей сессионного антифрода будет блокировка попыток входа в систему путем автоматического перебора (bruteforce) или использования скомпрометированных данных (credential stuffing).
ССА будут собирать данные о технических характеристиках устройства, чтобы составить его идентификатор (digital fingerprinting). Они смогут анализировать данные сессии, искать признаки подозрительной активности, отслеживать используемые браузеры для оценки риска и блокировать их устаревшие версии.
В рамках ССА должно быть внедрено различение подлинных пользователей и мошенников на основе поведения (навигация, движение курсора, скорость нажатия клавиш и набора текста, паузы, касания, свайпы). Системы также будут блокировать вредоносную активность на основе правил, установленных организацией.
Код приложения должен иметь защиту от несанкционированного доступа и редактирования, а также самозащиту от угроз в реальном времени (RASP). Разработчики обязаны включать в приложение антивирусные и антифрод-функции.
Банки и платежные организации должны собирать информацию о подозрительных и заблокированных операциях, включая дату, время, сведения о пользователе и устройстве, тип и сумму операции, причины выявления риска, принятые меры и итоговое решение. Информация должна храниться минимум три года.
Новые правила вступают в силу с 22 апреля — через три месяца после официальной публикации постановления.
Ранее Spot публиковал объяснения по поводу QR-кодов для ИП и самозанятых, а также их оформления.
