Computer Crime Research Center

Андрей Белоусов
(Crime-reserarch.org)

Пластиковая карточка как платежный инструмент
при безналичных расчетах в Украине



С развитием науки и техники в области компьютерных технологий во второй половине двадцатого века возникла новая сфера общественных отношений, требующая своего правового регулирования. Новые информационные технологии значительно повысили эффективность существующих информационных систем, независимо от областей их функционирования (экономика, право, медицина и др.). Современные компьютерные сети позволяют осуществлять обмен значительными объемами информации в различных сферах социальной деятельности человека (банковские операции, почта, международные конференции и т.п.).

Так, в связи с компьютеризацией в области ценных бумаг наметилась тенденция их "дематериализации". Вместо выпуска акций в традиционной документальной форме всё чаще практикуется их фиксация, равно как и сделки с ними, при помощи компьютера. Одним из законодателей в этой области явилась Франция, где с 1984 года узаконен выпуск ценных бумаг в "дематериализованной" форме [1]. Главное отличие новой технологии заключается в том, что взаимоотношения происходят в "реальном времени" т.е. люди, находящиеся в разных городах или разных государствах, как бы находятся в одном месте, и строят свои взаимоотношения между собой без учёта месторасположения их в пространстве.

Однако, наряду с положительными сторонами, которые привнесла компьютеризация, она породила такие негативные явления, как компьютерные нарушения, т.е. нарушение закона при помощи компьютеров и соответствующих технологий. Данное обстоятельство повлекло за собой возникновение новой отрасли права, требующей разработки понятия и видов компьютерных преступлений, их классификации и мер наказания за совершение этих общественно опасных деяний. Эта область права находится на стадии своего становления и пока не даёт полного представления о правонарушениях и мерах наказания в этой области. В обиходе субъектов этих преступлений называют "хакерами", "технокрысами" и т.д. То есть, это лица, которые при помощи компьютерной техники и соответствующих технологий явно или тайно проникают в компьютерную систему других лиц или организаций, без их ведома, с корыстной целью или без таковой.

На мой взгляд, самыми распространёнными компьютерными правонарушениями являются:

· несанкционированное копирование и распространение компьютерного обеспечения;
· взлом программ с защитой;
· распространение компьютерных вирусов, способствующих сбоям в работе компьютерных систем путём уничтожения информации;
· подделка кредитных карточек;
· взлом компьютерных систем банков и ведомственных учреждений;
· взлом телефонных станций на расстоянии или повреждение сотовых телефонов и пр.

Проблема состоит в том, что по делам о данных деяниях крайне сложно устанавливать доказательства т.к. правонарушитель не пользуется традиционными средствами совершения преступления. Наиболее эффективным способом раскрытия компьютерного правонарушения, является уличение его субъекта на стадии непосредственного совершения посягательства, однако это является, скорее, исключением, чем правилом т.к. виновный может находится на расстоянии в несколько тысяч километров от места совершения преступления.

Из вышеизложенного следует, что одной из задач уголовного права и криминалистики является создание оптимальной системы уголовно-правовых норм, связанных с компьютерными преступлениями, и разработка методик по их расследованию и предупреждению.

Виды платежных карт

Пластиковая карточка - это персонифицированный платежный инструмент, предоставляющий пользующемуся карточкой лицу возможность безналичной оплаты товаров и/или услуг, а также получения наличных средств в отделениях (филиалах) банков и банковских автоматах (банкоматах). Принимающие карточку предприятия торговли/сервиса и отделения банков образуют сеть точек обслуживания карточки (или приемную сеть).

Особенностью продаж и выдач наличных по карточкам является то, что эти операции осуществляются магазинами и, соответственно, банками "в долг" - товары и наличные предоставляются клиентам сразу, а средства в их возмещение поступают на счета обслуживающих предприятий чаще всего через некоторое время (не более нескольких дней). Гарантом выполнения платежных обязательств, возникающих в процессе обслуживания пластиковых карточек, является выпустивший их банк-эмитент. Поэтому карточки на протяжении всего срока действия остаются собственностью банка, а клиенты (держатели карточек) получают их лишь в пользование. Характер гарантий банка-эмитента зависит от платежных полномочий, предоставляемых клиенту и фиксируемых классом карточки.

При выдаче карточки клиенту осуществляется ее персонализация - на нее заносятся данные, позволяющие идентифицировать карточку и ее держателя, а также осуществить проверку платежеспособности карточки при приеме ее к оплате или выдаче наличных денег. Процесс утверждения продажи или выдачи наличных по карточке называется авторизацией. Для ее проведения точка обслуживания делает запрос платежной системе о подтверждении полномочий предъявителя карточки и его финансовых возможностей. Технология авторизации зависит от схемы платежной системы, типа карточки и технической оснащенности точки обслуживания. Традиционно авторизация проводится "вручную", когда продавец или кассир передает запрос по телефону оператору (голосовая авторизация), или автоматически, карточка помещается в POS-терминал или торговый терминал (POS - Point Of Sale), данные считываются с карточки, кассиром вводится сумма платежа, а держателем карточки со специальной клавиатуры - секретный ПИН-код (ПИН - Персональный Идентификационный Номер). После этого терминал осуществляет авторизацию либо устанавливая связь с базой данных платежной системы (on-line режим), либо осуществляя дополнительный обмен данными с самой карточкой (off-line авторизация). В случае выдачи наличных денег процедура носит аналогичный характер с той лишь особенностью, что деньги в автоматическом режиме выдаются специальным устройством - банкоматом, который и проводит авторизацию.

При осуществлении расчетов держатель карточки ограничен рядом лимитов. Характер лимитов и условия их использования могут быть весьма разнообразными. Однако в общих чертах все сводится к двум основным сценариям.

Держатель дебетовой карточки должен заранее внести на свой счет в банке-эмитенте некоторую сумму. Ее размер и определяет лимит доступных средств. При осуществлении расчетов с использованием карточки синхронно уменьшается и лимит. Контроль лимита осуществляется при проведении авторизации, которая при использовании дебетовой карточки является обязательной всегда. Для возобновления (или увеличения) лимита держателю карточки необходимо вновь внести средства на свой счет.

Для обеспечения платежей держатель карточки может не вносить предварительно средства, а получить в банке-эмитенте кредит. Подобная схема реализуется при оплате посредством кредитной карточки. В этом случае лимит связан с величиной предоставленного кредита, в рамках которого держатель карточки может расходовать средства. Кредит может быть как однократным, так и возобновляемым. Возобновление кредита в зависимости от договора с держателем карточки происходит после погашения либо всей суммы задолженности, либо некоторой ее части.

Как кредитная, так и дебетовая карточки могут быть также корпоративными. Корпоративные карточки предоставляются компанией своим сотрудникам для оплаты командировочных или других служебных расходов. Корпоративные карточки компании связаны с каким-либо одним ее счетом. Карточки могут иметь разделенный и неразделенный лимиты. В первом случае каждому из держателей корпоративных карт устанавливается индивидуальный лимит. Второй вариант больше подходит небольшим компаниям и не предполагает разграничение лимита. Корпоративные карточки позволяют компании детально отслеживать служебные расходы сотрудников.

Семейные карточки в определенном смысле аналогичны корпоративным - право произведения платежей в рамках установленного лимита предоставляется членам семьи держателя карточки. При этом дополнительным пользователям предоставляются отдельные персонализированные карточки.

Эмитенты и эквайеры

Банк-эмитент, выпуская карточки и гарантируя выполнение финансовых обязательств, связанных с использованием выпущенной им пластиковой карточки как платежного средства, сам не занимается деятельностью, обеспечивающей ее прием предприятиями торговли и сферы услуг. Эти задачи решает банк-эквайер, осуществляющий весь спектр операций по взаимодействию с точками обслуживания карточек: обработку запросов на авторизацию, перечисление на расчетные счета точек средств за товары и услуги, предоставленные по карточкам, прием, сортировку и пересылку документов (бумажных и электронных), фиксирующих совершение сделок с использованием карточек, распространение стоп-листов (перечней карточек, операции по которым по тем или иным причинам на сегодняшний день приостановлены) и др. Кроме того, банк-эквайер может осуществлять выдачу наличных по карточкам как в своих отделениях, так и через принадлежащие ему банкоматы.

Банк может и совмещать выполнение функций эквайера и эмитента. Следует отметить, что основными, неотъемлемыми функциями банка-эквайера являются финансовые, связанные с выполнением расчетов и платежей точкам обслуживания. Что же касается перечисленных выше технических атрибутов его деятельности, то они могут быть делегированы эквайером специализированным сервисным организациям - процессинговым центрам.

Выполнение эквайерами своих функций влечет за собой расчеты с эмитентами. Каждый банк-эквайер осуществляет перечисление средств точкам обслуживания по платежам держателей карточек банков-эмитентов, входящих в данную платежную систему. Поэтому соответствующие средства (а также, возможно, средства, возмещающие выданную наличность) должны быть затем перечислены эквайеру этими эмитентами. Оперативное проведение взаиморасчетов между эквайерами и эмитентами обеспечивается наличием в платежной системе расчетного банка (одного или нескольких), в котором банки - члены системы открывают корреспондентские счета.

Платежная система

Платежной системой будем называть совокупность методов и реализующих их субъектов, обеспечивающих в рамках системы условия для использования банковских пластиковых карточек оговоренного стандарта в качестве платежного средства. Одна из основных задач, решаемых при создании платежной системы, состоит в выработке и соблюдении общих правил обслуживания карточек входящих в систему эмитентов, проведения взаиморасчетов и платежей. Эти правила охватывают как чисто технические аспекты операций с карточками - стандарты данных, процедуры авторизации, спецификации на используемое оборудование и пр., так и финансовые стороны обслуживания карточек - процедуры расчетов с предприятиями торговли и сервиса, входящими в состав приемной сети, правила взаиморасчетов между банками, тарифы и т.д.

Таким образом, с организационной точки зрения ядром платежной системы является основанная на договорных обязательствах ассоциация банков. В состав платежной системы также входят предприятия торговли и сервиса, образующие сеть точек обслуживания. Для успешного функционирования платежной системы необходимы и специализированные нефинансовые организации, осуществляющие техническую поддержку обслуживания карточек: процессинговые и коммуникационные центры, центры технического обслуживания и т.п.

Процессинговый центр - специализированная сервисная организация - обеспечивает обработку поступающих от эквайеров (или непосредственно из точек обслуживания) запросов на авторизацию и/или протоколов транзакций - фиксируемых данных о произведенных посредством карточек платежах и выдачах наличных. Для этого центр ведет базу данных, которая, в частности, содержит данные о банках - членах платежной системы и держателях карточек. Центр хранит сведения о лимитах держателей карточек и выполняет запросы на авторизацию в том случае, если банк-эмитент не ведет собственной базы (off-line банк). В противном случае (on-line банк) процессинговый центр пересылает полученный запрос в банк-эмитент авторизуемой карточки. Очевидно, что центр обеспечивает и пересылку ответа банку-эквайеру. Кроме того, на основании накопленных за день протоколов транзакций процессинговый центр готовит и рассылает итоговые данные для проведения взаиморасчетов между банками-участниками платежной системы, а также формирует и рассылает банкам-эквайерам (а, возможно, и непосредственно в точки обслуживания) стоп-листы.

Процессинговый центр может также обеспечивать потребности банков-эмитентов в новых карточках, осуществляя их заказ на заводах и последующую персонализацию. Следует отметить, что разветвленная платежная система может иметь несколько процессинговых центров, роль которых на региональном уровне могут выполнять и банки-эквайеры.

Коммуникационные центры обеспечивают субъектам платежной системы доступ к сетям передачи данных. Использование специальных высокопроизводительных линий коммуникации обусловлено необходимостью передачи больших объемов данных между географически распределенными участниками платежной системы при авторизации карточек в торговых терминалах, при обслуживании карточек в банкоматах, при проведении взаиморасчетов между участниками системы и в других случаях. [3]

Технические средства

Виды пластиковых карточек

Пластиковая карточка представляет собой пластину стандартных размеров (85.6 мм 53.9 мм 0.76 мм), изготовленную из специальной, устойчивой к механическим и термическим воздействиям, пластмассы. Из проведенного в предыдущих разделах рассмотрения следует, что одна из основных функций пластиковой карточки - обеспечение идентификации использующего ее лица как субъекта платежной системы. Для этого на пластиковую карточку наносятся логотипы банка-эмитента и платежной системы, обслуживающей карточку, имя держателя карточки, номер его счета, срок действия карточки и пр. Кроме этого, на карточке может присутствовать фотография держателя и его подпись. Алфавитно-цифровые данные - имя, номер счета и др. - могут быть эмбоссированы, т.е. нанесены рельефным шрифтом. Это дает возможность при ручной обработке принимаемых к оплате карточек быстро перенести данные на чек с помощью специального устройства, импринтера, осуществляющего "прокатывание" карточки (в точности так же, как получается второй экземпляр при использовании копировальной бумаги).

Графические данные обеспечивают возможность визуальной идентификации карточки. Карточки, обслуживание которых основано на таком принципе, могут с успехом использоваться в малых локальных системах - как клубные, магазинные карточки и т.п. Однако для использования в банковской платежной системе визуальной "обработки" оказывается явно недостаточно.

Представляется целесообразным хранить данные на карточке в виде, обеспечивающем проведение процедуры автоматической авторизации. Эта задача может быть решена с использованием различных физических механизмов.

В карточках со штрих-кодом в качестве идентифицирующего элемента используется штриховой код, аналогичный коду, применяемому для маркировки товаров. Обычно кодовая полоска покрыта непрозрачным составом и считывание кода происходит в инфракрасных лучах. Карточки со штрих-кодом весьма дешевы и, по сравнению с другими типами карт, относительно просты в изготовлении. Последняя особенность обуславливает их слабую защищенность от подделки и делает поэтому малопригодными для использования в платежных системах.

Карточки с магнитной полосой являются на сегодняшний день наиболее распространенными - в обращении находится свыше двух миллиардов карт подобного типа. Магнитная полоса располагается на обратной стороне карты и, согласно стандарту ISO 7811, состоит из трех дорожек. Из них первые две предназначены для хранения идентификационных данных, а на третью можно записывать информацию (например, текущее значение лимита дебетовой карточки). Однако из-за невысокой надежности многократно повторяемого процесса записи/считывания, запись на магнитную полосу, как правило, не практикуется, и такие карты используются только в режиме считывания информации.

Защищенность карт с магнитной полосой существенно выше, чем у карт со штрих-кодом. Однако и такой тип карт относительно уязвим для мошенничества. Так, в США в 1992 г. общий ущерб от махинаций с кредитными картами с магнитной полосой (без учета потерь с банкоматами) превысил один миллиард долларов. Тем не менее, развитая инфраструктура существующих платежных систем и, в первую очередь, мировых лидеров "карточного" бизнеса - компаний MasterCard/Europay является причиной интенсивного использования карточек с магнитной полосой и сегодня. Отметим, что для повышения защищенности карточек системы VISA и MasterCard/Europay используются дополнительные графические средства защиты: голограммы и нестандартные шрифты для эмбоссирования.

На лицевой стороне карточки с магнитной полосой обычно указывается: логотип банка-эмитента, логотип платежной системы, номер карточки (первые 6 цифр - код банка, следующие 9 - банковский номер карточки, последняя цифра - контрольная, последние четыре цифры нанесены на голограмму), срок действия карточки, имя держателя карточки; на оборотной стороне - магнитная полоса, место для подписи.

В смарт-картах носителем информации является уже микросхема. У простейших из существующих смарт-карт - карт памяти - объем памяти может иметь величину от 32 байт до 16 килобайт. Эта память может быть реализована или в виде ППЗУ (ЕРRОМ), которое допускает однократную запись и многократное считывание, или в виде ЭСППЗУ (EEPROM), допускающее и многократное считывание, и многократную запись. Карты памяти подразделяются на два типа: с незащищенной (полнодоступной) и защищенной памятью. В картах первого типа нет никаких ограничений на чтение и запись данных. Доступность всей памяти делает их удобными для моделирования произвольных структур данных, что представляется важным в некоторых приложениях. Карты с защищенной памятью имеют область идентификационных данных и одну или несколько прикладных областей.

Идентификационная область карт допускает лишь однократную запись при персонализации, и в дальнейшем доступна только на считывание. Доступ к прикладным областям регламентируется и осуществляется по предъявлению соответствующего ключа. Уровень защиты карт памяти выше, чем у магнитных карт, и они могут быть использованы в прикладных системах, в которых финансовые риски, связанные с мошенничеством, относительно невелики. Что же касается стоимости карт памяти, то они дороже, чем магнитные карты. Однако в последнее время цены на них значительно снизились в связи с усовершенствованием технологии и ростом объемов производства. Стоимость карты памяти непосредственно зависит от стоимости микросхемы, определяемой, в свою очередь, емкостью памяти.

Частным случаем карт памяти являются карты-счетчики, в которых значение, хранимое в памяти, может изменяться лишь на фиксированную величину. Подобные карты используются в специализированных приложениях с предоплатой (плата за использование телефона-автомата, оплата автостоянки и т.д.)

Карты с микропроцессором представляют собой по сути микрокомпьютеры и содержат все соответствующие основные аппаратные компоненты: центральный процессор, ОЗУ, ПЗУ, ППЗУ, ЭСППЗУ. Параметры наиболее мощных современных микропроцессорных карт сопоставимы с характеристиками персональных компьютеров начала восьмидесятых. Операционная система, хранящаяся в ПЗУ микропроцессорной карты, принципиально ничем не отличается от операционной системы ПК и предоставляет большой набор сервисных операций и средств безопасности.

Операционная система поддерживает файловую систему, базирующуюся в ЭСППЗУ (емкость которого обычно находится в диапазоне 1 - 8 Кбайта, но может достигать и 64 Кбайт) и обеспечивающую регламентацию доступа к данным. При этом часть данных может быть доступна только внутренним программам карточки, что вместе со встроенными криптографическими средствами делает микропроцессорную карту высокозащищенным инструментом, который может быть использован в финансовых приложениях, предъявляющих повышенные требования к защите информации. Именно поэтому микропроцессорные карты (и смарт-карты вообще) рассматриваются в настоящее время как наиболее перспективный вид пластиковых карт. Кроме того, смарт-карты являются наиболее перспективным типом пластиковых карт также и с точки зрения функциональных возможностей. Вычислительные возможности смарт-карт позволяют использовать, например, одну и ту же карту и в операциях с on-line авторизацией и как многовалютный электронный кошелек. Их широкое использование в системах VISA и Europay/MasterCard начнется уже в ближайшие год-два, а в течение десятилетия смарт-карты должны полностью вытеснить карты с магнитной полосой (по крайней мере, таковы планы...).

Кроме описанных выше типов пластиковых карточек, используемых в финансовых приложениях, существует еще ряд карточек, основанных на иных механизмах хранения данных. Такие карточки (оптические, индукционные и пр.) используются в медицинских системах, системах безопасности и др.

POS - терминалы

POS-терминалы, или торговые терминалы, предназначены для обработки транзакций при финансовых расчетах с использованием пластиковых карточек с магнитной полосой и смарт-карт. Использование POS-терминалов позволяет автоматизировать операции по обслуживанию карточки и существенно уменьшить время обслуживания. Возможности и комплектация POS-терминалов варьируются в широких пределах, однако типичный современный терминал снабжен устройствами чтения как смарт-карт, так и карт с магнитной полосой, энергонезависимой памятью, портами для подключения ПИН-клавиатуры (клавиатуры для набора ПИН-кода), принтера, соединения с ПК или с электронным кассовым аппаратом.

Кроме того, обычно POS-терминал бывает оснащен модемом с возможностью автодозвона. POS-терминал обладает "интеллектуальными" возможностями - его можно программировать. В качестве языков программирования используются ассемблер, а также диалекты C и Basic'а. Все это позволяет проводить не только on-line авторизацию карт с магнитной полосой и смарт-карт, но и использовать при работе со смарт-картами режим off-line с накоплением протоколов транзакций. Последние во время сеансов связи передаются в процессинговый центр. Во время сеанса связи POS-терминал может также принимать и запоминать информацию, передаваемую ЭВМ процессингового центра. В основном это бывают стоп-листы, но подобным же образом может осуществляться и перепрограммирование POS-терминалов.

Стоимость POS-терминалов в зависимости от комплектации, возможностей, фирмы-производителя может меняться от нескольких сотен до нескольких тысяч долларов, однако обычно не превышает полутора - двух тысяч. Размеры и вес POS-терминала сопоставимы с аналогичными параметрами телефонного аппарата, а зачастую бывают и меньше.

Банкоматы

Банкоматы - банковские автоматы для выдачи и инкассирования наличных денег при операциях с пластиковыми карточками. Кроме этого, банкомат позволяет держателю карточки получать информацию о текущем состоянии счета (в том числе и выписку на бумаге), а также, в принципе, проводить операции по перечислению средств с одного счета на другой. Очевидно, банкомат снабжен устройством для чтения карты, а для интерактивного взаимодействия с держателем карточки - также дисплеем и клавиатурой. Банкомат оснащен персональной ЭВМ, которая обеспечивает управление банкоматом и контроль его состояния. Последнее весьма важно, поскольку банкомат является хранилищем наличных денег. На сегодняшний день большинство моделей рассчитано на работу в on-line режиме с карточками с магнитной полосой, однако появились и устройства, способные работать со смарт-картами и в off-line режиме. Для обеспечения коммуникационных функций банкоматы оснащаются платами X.25, а, в некоторых случаях, - модемами.

Денежные купюры в банкомате размещаются в кассетах, которые, в свою очередь, находятся в специальном сейфе. Число кассет определяет количество номиналов купюр, выдаваемых банкоматом. Размеры кассет регулируются, что дает возможность заряжать банкомат практически любыми купюрами.

Банкоматы - стационарные устройства солидных габаритов и веса. Примерные размеры: высота - 1.5 - 1.8 м, ширина и глубина - около 1 м, вес - около тонны. Более того, с целью пресечения возможных хищений их монтируют капитально. Банкоматы могут размещаться как в помещениях, так и непосредственно на улице и работать круглосуточно.

Процессинговый центр и коммуникации

Процессинговый центр - специализированный вычислительный центр, являющийся технологическим ядром платежной системы. Процессинговый центр функционирует в достаточно жестких условиях, гарантированно обрабатывая в реальном масштабе времени интенсивный поток транзакций. Действительно, использование дебетовой карточки приводит к необходимости on-line авторизации каждой сделки в любой точке обслуживания платежной системы. Для операций с кредитной карточкой авторизация необходима не во всех случаях, но, например, при получении денег в банкоматах она также проводится всегда. Не меньшие требования к вычислительным возможностям процессингового центра предъявляет и подготовка данных для проведения взаиморасчетов по итогам дня, поскольку обработке подлежат протоколы значительной (если не подавляющей) части транзакций, а требуемые сроки выполнения расчетов невелики - несколько часов.

Помимо вычислительных мощностей, процессинговый центр, если он осуществляет весь спектр сервисных функций, должен быть оснащен также оборудованием для персонализации пластиковых карточек (включая, возможно, и смарт-карты), а также иметь базу для технического сопровождения и ремонта POS-терминалов и банкоматов.

Таким образом, поддержание надежного, устойчивого функционирования платежной системы требует, во-первых, наличия существенных вычислительных мощностей в процессинговом центре (или центрах - в развитой системе) и, во-вторых, развитой коммуникационной инфраструктуры, поскольку процессинговый центр системы должен иметь возможность одновременно обслуживать достаточно большое число географически удаленных точек. Кроме того, неизбежна также маршрутизация запросов, что еще больше ужесточает требования к коммуникациям. В заключение укажем еще один источник сообщений - электронные документы, которыми обмениваются банки-участники с расчетным банком, а, возможно, и друг с другом при регулярном проведении взаиморасчетов. Очевидно, что для эффективного решения изложенных проблем необходимо использование высокопроизводительных сетей передачи данных с коммутацией пакетов. Со структурной точки зрения сеть передачи данных при этом становится внутренним неотъемлемым элементом платежной системы.

Кредитные карты и Internet

Транзакции по кредитным картам достигают сейчас 90% от общего объема транзакций, совершаемых в Internet. Использование кредитных карт для совершения сделок через Internet облегчается тем обстоятельством, что держатели карт уже привыкли к "безкарточным" транзакциям по телефону или по почте.

Безусловно, электронная коммерция потенциально содержит лазейки для краж и злоупотреблений, как, впрочем, и другие, более традиционные виды торговли. Следует, однако, отметить, что использование кредитных карт в киберпространстве является со многих точек зрения гораздо более безопасным, чем в обыденном мире. Например, копирки от слипов могут быть легко похищены из мусорного ящика в ресторане или магазине. В любом случае данные о номерах кредитных карточек сделавших приобретения покупателей какое-то время находятся в магазине, что дает беспринципным сотрудникам возможность воспользоваться ими в мошеннических целях. Прослушивание телефонной линии для получения номеров кредитных карточек с технической точки зрения также представляется гораздо более легкой задачей, чем перехват и декодировка транзакции в Internet. [2]

Процесс становления Украины как самостоятельного независимого государства и интеграция ее в мировую экономическую систему обусловили рост заинтересованности государственных и неправительственных кругов многих стран к установлению с Украиной деловых связей, направленных на реализацию своих интересов в области экономики и науки. Однако, происходящая в настоящее время в Украине информатизация общества на базе современных компьютерных технологий, наряду со значительными экономическими, технологическими и социальными положительными результатами, в ближайшее время способна нанести серьезный урон информационной и экономической безопасности государства. Это обусловлено целым комплексом объективных обстоятельств, которые породили новый феномен, связанный с понятием "компьютерной экономической преступности", наиболее всего поразивший банковскую сферу.

Сегодня компьютерные экономические преступления во всем мире составляют главную часть всех компьютерных преступлений. По имеющимся в Национальном Центре США данным, уголовные правонарушения, совершенные с корыстной направленностью, составляют 60-70% от общего числа расследованных преступлений; по политическим мотивам (терроризм, шпионаж и др.) - 15-20%; из чисто любознательного интереса - 5-7%; из хулиганских побуждений - 8-10%. Ущерб от совершенных преступлений такого рода достигает колоссальных размеров. Только в США за 1997 год лишь одним телефонным и телекоммуникационным компаниям незаконными действиями компьютерных мошенников был причинен ущерб на сумму свыше 4 млрд. долларов. Ежегодные потери в странах Западной Европы и Северной Америки составляют около 100 млрд. долларов в год.

Достаточно сказать, что крупнейшие хищения денежных средств были совершены с помощью средств вычислительной техники. К одному из таких преступлений относится хищение около 1 млрд. долларов из банка Великобритании.

Сегодня уже невозможно представить современную практику банковских операций, торговых сделок и взаимных платежей без расчетов с применением пластиковых карт. "Пластиковые деньги", как часто называют в средствах массовой информации эти платежные средства, благодаря своей надежности, универсальности и удобству, завоевали заслуженное признание во всем мире, получили широкое распространение и обещают занять лидирующую позицию по отношению к наличным платежам уже к 2000 году. Так, на сегодняшний день, только число держателей карточек Visa составляет более 300 млн. человек. Примерно столько же клиентов насчитывает другая крупнейшая платежная система, представленная альянсом MasterCard и EuroCard (ЕС/МС). Кроме того, существует еще целый ряд международных платежных систем, таких как American Express (AmEx), Diners Club (DC), JCB, не говоря о многочисленных национальных, региональных и локальных (меж- и монобанковских) одновалютных системах.

В сфере предоставления финансовых услуг в Украине в течение ряда последних лет, как и во всем мире, также используется новый вид платежных средств - "электронные деньги" на основе применения пластиковых карт (магнитных и чип-карт). В украинских банках внедрены современные компьютерные банковские технологии, в том числе - реализована и с 1993 г. действует компьютерная система межбанковских безналичных расчетов, для дальнейшего развития которой необходимо в дальнейшем обеспечить высокий уровень автоматизации всех банковских операций. Экономические компьютерные преступления характеризуются следующими особенностями: высокой латентностью, сложностью сбора улик по установленным фактам, сложностью доказательства в суде подобных дел, "интернациональностью" компьютерных преступлений, совершаемых в последнее время по телекоммуникационным системам (в основном по сети Internet), высоким ущербом даже от единичного преступления. Следует отметить, что лица, совершающие правонарушения в сфере компьютерной информации, - это, как правило, высококвалифицированные системные программисты, специалисты в области телекоммуникационных систем, банковские служащие.

Украинскими учеными-криминологами прогнозируется в ближайшие два-три года резкий рост числа компьютерных преступлений в Украине. Анализ социальных предпосылок, характерных для Украины, позволяет подтвердить этот прогноз. При этом необходимо учитывать высокий уровень профессиональной подготовки украинских программистов, а также то, что большинство из них в ходе преобразований украинской экономики покинули государственные предприятия, ушли в коммерцию, в том числе и в такие структуры, которые занимаются теневой экономикой.

Мотивы для совершения правонарушений в сфере компьютерной информации бывают совершенно разные, начиная от невинных забав с проникновением в банковские компьютерные базы данных, стремления украсть чужие компьютерные программы и, заканчивая корыстными денежными интересами.

Одним из важнейших видов информации в банке являются деньги в электронном виде, поэтому в основе защиты банковской информации лежит финансово-правовая защита электронного денежного обращения. Информация в банковских системах затрагивает интересы очень большого количества людей и практически всех организаций и предприятий - клиентов банка. Информация о денежном обращении является информацией с ограниченным доступом и банк несет ответственность за обеспечение требуемого уровня ее защиты как перед клиентами банка, так и перед государством.

В 1994 году Интерполом зарегистрировано 368 случаев компьютерных преступлений в банковской сфере в Европе, а в 2001 году количество преступлений в данной области увеличилось в 3,5 раза. Однако уголовная статистика свидетельствует о том, что достоянием гласности становится лишь 5% совершенных компьютерных преступлений, и лишь 20% от этого количества доходят до суда. Это объясняется тем, что частные компании и банки весьма неохотно идут на обсуждение угрозы компьютерной безопасности даже тогда, когда преступление уже свершилось. Они опасаются, что подобная информация может создать впечатление об уязвимости безопасности банков, что в свою очередь подорвет доверие клиентов, а следовательно, нанесет удар по бизнесу.

Конечно, национальная безопасность Украины в меньшей степени зависит от компьютерных сетей по сравнению с США. Однако уже известны сотни случаев совершения таких противоправных действий и у нас. Компьютерные преступления, связанные с Фондом Госкомимущества Украины и целым рядом коммерческих банков, использующих компьютерную систему безналичных расчетов, - тому подтверждение. Ситуация усугубляется вхождением Украины в международную систему безналичных расчетов на основе пластиковых дебетных и кредитных карточек (международных карт типа Visa, усиленно рекламируемых в СМИ Украины), что в условиях полного правового вакуума позволит физическим и юридическим лицам безконтрольно вывозить деньги за границу. Уже на третий день ввода в эксплуатацию системы безналичных расчетов в г. Славутич на основе пластиковых карточек, выданных сотрудникам ПО "Чернобыльская АЭС", была пресечена попытка совершения компьютерного преступления злоумышленником. По данным НБУ Украины - национального лидера в области защищенности информации, который имеет 10 уровней защиты, ежедневно фиксируются десятки попыток несанкционированного доступа к электронной системе межбанковских расчетов, объединяющих на сегодняшний день 176 банков Украины. Из них 161 банк имеет право производить операции с валютными ценностями. Всего же на 1 января 1999 года в Республиканской книге регистрации банков, валютных бирж и других финансово-экономических учреждений было зарегистрировано 214 коммерческих банков.

Особую актуальность проблема защиты информации приобретает для органов внутренних дел. Однако, даже принятая 14 мая 1998 г. "Концепция развития системы информационного обеспечения ОВД Украины на 1998-2000 г.г.", рассматривает вопросы защиты информации практически только на организационном уровне. Вместе с тем, технической базой информационных сетей в Украине являются средства вычислительной техники зарубежного производства. Это чревато тем, что при наличии злого умысла, производители и зарубежные поставщики компьютеров имеют возможность встраивать в компьютеры электронные "закладки", позволяющие на значительном расстоянии осуществлять сканирование (бесконтактный съем информации) с последующей ее расшифровкой. Следует отметить, что в последнее время целый ряд негосударственных структур занимается ввозом из-за рубежа средств технического съема информации. Бесконтрольная продажа этих средств не только создает условия для нарушения прав человека, но и способствует техническому оснащению организованных преступных группировок. [4]

Таким образом, компьютерная экономическая преступность и, как ее разновидность, мошенничество в банковской сфере на основе использования пластиковых платежных средств - это, прежде всего, новое криминальное явление в социально-экономической сфере. Анализ вышеупомянутой динамики за последние 5 лет в различных странах мира, в том числе и в Украине, свидетельствует о постоянном повышении профессионального уровня их исполнителей и возрастающей сложности выявления, квалификации и расследования данного вида преступлений. Это, в свою очередь, требует создания комплексной системы безопасности электронных платежей, научно обоснованных программ правовой и технологической подготовки всех субъектов - участников платежных систем, а также сотрудников органов внутренних дел. Проблема борьбы с мошенничеством в банковской сфере разрабатывалась как в отечественной литературе, так и в трудах зарубежных авторов. Поскольку официальная точка зрения до недавнего времени базировалась на том, что в Украине нет объективных условий и предпосылок для появления и стремительного роста "беловоротничковой" преступности, то серьезные фундаментальные исследования этого феномена отсутствовали.

1. Всеобщая история государства и права. Под редакцией К.И. Батыра. - М.1995. С. 393.

2. http://www.citmgu.ru

3. http://www.citforum.ru

4. http://www.security.ukrnet.net

Обсудить
Главная | Библиотека | Статьи | Форум
Ссылки | Команда | Контакты

Copyright © Центр исследования проблем компьютерной преступности, 2001-2002 Все права защищены.
При публикации информации взятой в нашем каталоге ссылка на http://www.crime-research.org обязательна.