Ризики здійснення платіжних операцій через Інтернет

Размещено на http://www.allbest.ru/

Міністерство освіти та науки України

ДВНЗ «Київський національний економічний університет ім. Вадима Гетьмана»

Кафедра економіко-математичного моделювання

КУРСОВИЙ ПРОЕКТ

з дисципліни «Ризикологія»

на тему : «Ризики здійснення платіжних операцій через Інтернет»

Київ - 2012



Вступ

Останніми роками банківська система нашої країни переживає бурхливий розвиток. Не дивлячись на існуючі недоліки українського законодавства, регулюючого діяльність банків, ситуація неухильно змінюється на краще. Пройшли часи, коли можна було легко заробляти на спекулятивних операціях з валютою і шахрайстві. Сьогодні все більше банків робить ставку на професіоналізм своїх співробітників і нові технології [7, 34].

Важко уявити собі більш благодатні умови для упровадження нових комп'ютерних технологій, ніж процедура проведення віддалених платіжних операцій. Нові технології допомагають учасникам ринкових відносин за короткий період часу здійснювати взаємовигідні операції купівлі-продажу, замовлення і оплати послуги тощо. Зрозуміло, що в платіжних операціях найважливішу роль грає платіжний еквівалент - гроші, а там де є гроші - завжди існує велика кількість ризиків щодо втрати цих коштів. Тому дана тема є цікавою і актуальною для як простих користувачів послугами платіжних систем, які хочуть дізнатися більше про їх можливості, так і спеціалістам з ІТ, які прагнуть знизити ризикованість проектів такого характеру.[7, 35]

В принципі, майже всі задачі, які виникають під час виконання платіжних операцій достатньо легко піддаються автоматизації. Зручна, швидка і безперебійна обробка значної кількості даних і значного обсягу платіжних операцій є однією з головних задач будь-якого банку та платіжної системи. Відповідно до цього очевидна необхідність залучення новітніх інформаційних систем і технологій, що дозволяють обробляти процеси і процедури, що все більше ускладнюються. Саме банки володіють достатніми фінансовими можливостями для використання інноваційних методів здійснення своєї діяльності. При сучасній гострій конкурентній боротьбі багато фінансових даних мають бути доступними тільки певному колу уповноважених осіб. З іншого боку, банківська система повинна залишатися прозорою для державних наглядових і податкових органів. Отже, розглянемо основні проблеми та методи їх вирішення, пов'язані з ризиком платіжних операцій, однієї з найновітніших галузей банківської діяльності - інтернет-банкінгу.



1. Загрози та ризики здійснення інтернет-платежів

онлайн платіж ризик банкінг

На сьогоднішній день більшість інцидентів фінансового шахрайства представляють собою атаки на системи он-лайн-банкінгу з використанням шкідливих програм як інструментів. Існують налагоджені технології обходу всіх видів захисту, що використовуються в системах електронних транзакцій.

Проте існують також доступні інструменти для здійснення фінансових атак усіх видів і масштабів. Тому найбільш гостро стоїть питання про захист банківських систем, так як на сьогоднішній день йде масовий перехід на використання інформаційних технологій в цьому сегменті. Тому в даний час банкам слід приділяти найпильнішу увагу питанням забезпечення захисту від комп'ютерних зловмисників. [4, 293]

1.1 Загальний аналіз загроз та ризиків

Від забезпечення безпеки інформаційної обчислювальної системи банку сьогодні багато в чому залежить безперешкодне, стійке і надійне функціонування бізнес-процесів у банку в цілому.

Банки приділяють дуже велику увагу захисту інформації клієнтів, однак постійно існують як внутрішні зловживання, так і зовнішні загрози, пов'язані з її втратою. З початку існування Інтернет-банкінгу широко розповсюджені хакерські атаки на систему, так як отримати доступ до рахунку клієнта, і розпоряджатись чужими грошима на власний розсуд є дуже великою спокусою для деяких людей.

За даними опитування (RSA 2011 Global Online Consumer Security Survey), більше 80% користувачів систем Інтернет-банкінгу висловили переживання з приводу відсутності належного рівня безпеки. Тільки у Великобританії в 2010 році втрати становили близько 440 млн. фунтів стерлінгів. А по даним ФБР, втрати від он-лайн-шахрайства в США 2010 року становили 560 млн. доларів, а загальне число фінансових он-лайн-шахрайств перебільшило 336 тисяч (роком раніше їх було 275 тисяч).

Незважаючи на те, що на даний час найбільш привабливими для хакерів є банки США і Великобританії, не варто забувати, що Україна входить до першого десятка країн, які найчастіше піддаються атакам на комп'ютерних користувачів. У міру того як Інтернет-банкінг набирає популярність серед українців - вектор атак в нашій країні зміститься на он-лайн платежі.[5, 65]

Згідно зі звітом компанії Cenzic за перше півріччя 2011 року більше 90% комерційних веб-додатків схильні до ризику витоків і розкриття інформації, 80% мають уразливості авторизації та автентифікації, а уразливості в управлінні сесіями і міжсайтового скриптинга схильні 68% веб-додатків.

До банківських ризиків, пов'язаних із застосуванням систем Інтернет-банкінгу, відносяться: операційний, правової, стратегічний ризики, ризик втрати ділової репутації (репутаційний ризик) і ризик ліквідності.

Системи захисту призначені для забезпечення безпеки інформації, яка обробляється в інформаційно-обчислювальній системі. До всіх даних, з якими працює інформаційна банківська система, в обов'язковому порядку ставиться вимога збереження, аутентичності та цілісності. Забезпечення цих вимог є першочерговим в задачах забезпечення інформаційної безпеки. При сучасній гострій конкурентній боротьбі багато фінансових даних мають бути доступними тільки певному колу уповноважених осіб. З іншого боку, банківська система повинна залишатися прозорою для державних наглядових і податкових органів.

Доступ до сервісу Інтернет-банкінгу, який надає банківське програмне забезпечення, здійснюється через відкриті мережі, використання яких містить в собі численні інформаційні загрози.



Найбільш поширеними з них можна назвати:

- несанкціонований доступ до ресурсів і даних системи: підбір пароля, злам систем захисту і адміністрування, дії від чужого імені;

- перехоплення і підміна трафіку, підробка платіжних доручень, атака типу «людина посередині»;[5, 66]

- підміна мережевих адрес;

- відмова в обслуговуванні;

- атака на рівні додатків;

- сканування мереж або мережева розвідка;

- використання відносин довіри в мережі.

Основними причинами, що призводять до появи подібних уразливостей є:

- відсутність гарантії конфіденційності і цілісності переданих даних;

- недостатній рівень перевірки учасників з'єднання;

- недостатня реалізація або некоректна розробка політики безпеки;

- відсутність або недостатній рівень захисту від несанкціонованого доступу (антивіруси, контроль доступу, системи виявлення атак);

- існуючі уразливості ОС, ПЗ, веб-систем і мережевих протоколів, що використовуються;

- не професійне і слабке адміністрування систем;

- проблеми при побудові між мережевих фільтрів;

- збої в роботі компонентів системи або їх низька продуктивність;

- уразливості при управлінні ключами. [5, 67]

1.2 Види несанкціонованого проникнення та загрози онлайн-платежів, їх сутність

Умовно загрози онлайн-платежів можна розділити на людські та технологічні.

Найбільш поширених в нашій країні ризиків технологічного характеру належать такі способи перехоплення платіжних даних користувача, як фішинг(вішинг, смішинг), кейлоггінг, кіберсквоттінг (тайпсквоттінг), клікджекінг.фармінг. Людський же чинник має в собі дві - часто взаємодоповнюючі складові: недостатній рівень освіченості і банальна загальнонаціональна любов до безкоштовної наживи. [15]

Левову частку технологічних ризиків допомагають вирішити браузер із вбудованими функціями безпеки, а також оновлена легальна операційна система та антивірус. А от зменшення ризику людського чиннику залежить на 99% від самих користувачів.

Але Розглянемо детальніше вищеназвані загрози і відповідні ризики здійснення платіжних операцій в Інтернеті.

Фішинг

Фішинг - це свого роду "вилов довірливих користувачів": маскування сайту під відому платіжну систему або банк з метою отримання даних користувача. На адресу користувача надходить лист нібито від платіжної системи, в якому повідомляється, що електронний рахунок заблоковано. Якщо виконати запропоновані в листі інструкції для "розблокування" рахунку, з'явиться знайоме вікно платіжної системи для введення логіна і пароля. Це і є основною метою шахраїв - вкрасти реквізити користувача завдяки фальшивому сайту, схожому на оригінал, для доступу до конфіденційних даних.

Фішинг - один з різновидів соціальної інженерії, що базується на низькій освітченості користувачами основ мережевої безпеки. Тобто багато, хто не знає просто факту: сервіси не надсилають листів з проханням повідомити свої дані, паролі тощо.

Для захисту від фішингу виробники основних інтернет-браузерів домовились про використання однакових способів інформування користувачів про те, що вони відкрили підозрілий сайт, який може належати зловмисникам. Нові версії браузерів уже мають таку можливість, яка відповідно носить назву «антифішинг». [15]

Сьогодні фішинг виходить за межі інтернет-шахрайства, а підробні веб-сайти стали лише одним з багатьох його напрямів. Існує ще кілька способів зв'язку зловмисників з користувачами платіжних систем: вішинг та смішинг. Відповідно це зв'язок через телефон (голосовий фішинг) або смс(смішинг).

Кейлокінг

Кейлокінг (від англ. key - клавіша і logger - реєструючий пристрій) - це відносно новий вид шкідливих програм, які реєструють натиснення клавіш на комп'ютерній клавіатурі. Зазвичай такі програми перехоплюють дані, які вводяться при реєстрації на сайті або при здійсненні платежів, а потім посилаються шахраям - таким чином особисті дані "витікають".

"Найдієвіший захист на сайтах від кейлоггерів - використання "віртуальної клавіатури", змальованої на екрані комп'ютера, клавіші на якій кожного разу розташовуються в довільному порядку, а цифри потрібно натискувати не клавіатурою, а мишкою. [5, 68]

Кіберсквоттінг

Кіберсквоттінг - купівля доменних імен, які співзвучні назвам відомих компаній або просто з «дорогими» назвами з метою їх подальшого перепродажу або розміщення реклами. Таким чином можлива наявність майже однойменних банківських сайтів або сайтів платіжних систем, і введення конфіденційної інформації там є потенційно небезпечною операцією.

Виділяють такі типи:

тайпсквоттінг - регістрація доменних імен, близьких за написанням з адресами популярних сайтів з розрахунком на помилку користувачів.

брендів кіберсквоттінг - регістрація доменних імен, що включають товарні знаки, фірмені найменування, популярні власні назви. [5, 69]

Найкращим захистом від даного ризику є уважне слідкування за адресою сайту, на якому знаходить користувач і на якому є необхідним введення конфіденційної інформації.

Клікджеккінг

Клікджеккінг - накладання поверх видимої веб-сторінки невидимий пласт, в який і загружається потрібна зловмиснику сторінка. На ці невидимій сторінці елемент керування (кнопка, посилання), необхідна для здійснення операції, співпадає з видимою кнопкою чи посиланням. Дана загроза спричиняє черговий ризик доступу зловмисників до конфіденційних даних або навіть до комп'ютера користувача.

Така операція стає можливою при «ін'єкції» (вливанні) небезпечного коду на раніше безпечну сторінку або існуванні безпосередньо створеної сторінки з невидимим пластом.

Останні версії інтернет-браузерів частково захищають від даного загрози, і знижують наявний ризик. [5, 70]

Фармінг

Фармінг - процедура прихованого перенаправлення користувача зловмисником на хибну ІР-адресу. Для цього може використовуватись навігаційна структура (файл hosts, система доменних імен (DNS)). Здійснюється через розповсюдження інтернет-шахраями спеціальних небезпечних програм, після активізації яких відбувається перенаправлення звернення до заданих сайтів на підробні сайти. Там в свою чергу існує ризик появи, раніше описаних загроз. [4, 297]



2. Заходи зменшення ризику інтернет-платежів

2.1 Аутентифікація та електронно-цифровий підпис

Аутентифікація користувача - це перевірка, чи дійсно користувач, який перевіряється, є тим, за кого він себе видає. Для коректної автентифікації користувача необхідно, щоб користувач пред'явив автентифікаційну інформацію - якусь унікальну інформацію, якою повинен володіти тільки він і ніхто інший. Для забезпечення автентифікації використовуються алгоритми шифрування, цифровий підпис, коди автентичності повідомлення (МАС) і функції хешування.

Існує три основних типи автентифікаційної інформації:

Користувач, що перевіряється, знає якусь унікальну інформацію. Приклад: автентифікація з паролем. [10, 288]

Користувач має якийсь предмет з унікальними характеристиками або вмістом. Приклади: смарт-карта, USB-токен і т.д.

Автентифікаційна інформація є невід'ємною частиною користувача. Приклад: відбиток пальця і інші види біометричної автентифікації (біометричною називається автентифікація користувача по його біометричним ознаками).

У будь-якому з цих випадків процедура автентифікації виконується в два наступних етапи:

У користувача одноразово береться якийсь еталонний зразок аутентификаційної інформації, наприклад, запитується пароль (або даний зразок генерується випадковим чином і потім записується на смарт-карту користувача). Даний зразок зберігається у суб'єкта системи, який перевіряє автентифікацію - модуля автентифікації (наприклад, сервера, який виконує автентифікацію користувачів). Звичайно існує деякий час дії даного еталону, по завершенні якого еталонний зразок міняється. [10, 290].

Кожного разу при виконанні автентифікації у користувача запитується автентифікаційна інформація, яка порівнюється з еталоном. На основі даного порівняння робиться висновок про автентичність користувача.

Для автентифікації користувача використовуються різні механізми: парольний захист, авторизація по протоколу SSL/TLS і комбінований метод. Для захисту інформації та підтвердження авторства можуть бути залучені різні криптосистеми: «Крипто-Про CSP», «Верба-OW», «Crypton ArcMail», «Домен-К», а також зовнішні засоби захисту.

У процесі автентифікації, ім'я і пароль користувача повинні бути передані до додатка по протоколу HTTP.

При використанні форм введення і інших методів автентифікації, відмінних від інтегрованої, облікові дані вводяться на сторінці авторизації і передаються на сервер у відкритому, незахищеному вигляді. Для захисту переданої інформації необхідно використовувати протокол SSL, який при великій кількості запитів може впливати на продуктивність сервера.

Для захисту підсистеми автентифікації рекомендується:

- забезпечити засобами програми або засобами сервера додатків максимальну довжину, складність і випадковість значень сесійних ідентифікаторів. У Web-додатках рекомендується перевіряти відповідність ідентифікатора сесії і IP-адреси клієнта. Це затруднить зловмисника, в разі крадіжки ідентифікатора або отримання доступу до ресурсів законного клієнта;

- реалізувати механізм блокування облікового запису при перевищенні порогу неправильно введених паролів і можливо ідентифікаторів сесій;

- реалізувати механізм блокування ідентифікатора сесії при закінченні встановленого часу в тому випадку, коли аккаунт користувача не активний;

- виключити можливість прямого звернення неавторизованого користувача до захищених ресурсів за відомим URL. Доступ до захищених ресурсів повинен бути можливий тільки після проведення процедури автентифікації;

- забезпечити зберігання облікових даних користувачів в захищеному вигляді в БД. Зберігання облікових даних в HTML сторінках або файлах, що зберігаються на Web-сервері, і доступних користувачам за URL, повинно бути виключено; [10, 291]

- забезпечити авторизованому користувачеві можливість самостійного завершення сеансу роботи, при цьому додаток повинен видалити його ідентифікатор сесії і вважати даного клієнта неавторизованим;

- у випадку якщо додатком передбачається можливість внесення змін користувачем у власний профіль, при внесенні змін необхідно проводити додаткову процедуру автентифікації;

- сесія користувача повинна вважатися завершеною: при закінченні тимчасового не активного режиму користувача і при виході користувача із системи;

- сесійний ідентифікатор та cookie-файли не повинні містити паролі і будь-яку іншу інформацію, розкриття якої дозволить зловмисникові одержати в додатку повноваження законного користувача. У разі, якщо дана інформація повинна бути присутня, необхідно використовувати механізми шифрування даних. [10, 292]

Для ідентифікації достовірності інформації використовують відповідні технічні засоби. Зокрема, для прискорення документообігу між суб'єктами економічної діяльності, було запроваджено електронний цифровий підпис, за допомогою якого документи в електронній формі можуть набувати такої самої юридичної сили, що і документи на папері.

З січня 2004 року вступив у дію прийнятий парламентом Закон України «Про електронний цифровий підпис», в якому визначене поняття, сфера використання та юридична сила електронного цифрового підпису. Відповідно до нього: електронний цифровий підпис - вид електронного підпису, отриманого за результатом криптографічного перетворення набору електронних даних, який додається до цього набору або логічно з ним поєднується і дає змогу підтвердити його цілісність та ідентифікувати підписувача. [додаток 1]

Електронний цифровий підпис може використовуватись юридичними та фізичними особами як аналог власноручного підпису для надання електронному документу юридичної сили. Юридична сила електронного документа, підписаного ЕЦП, еквівалентна юридичні силі документа на паперовому носієві, підписаного власноручним підписом правоздатної особи і скріплена печаткою. Приклад формування електронно-цифрового конверту приведений на рис. 1.

Рис. 1 - «Шифрування та дешифрування електронного документу»

ЕЦП володіє всіма основними функціями особистого підпису:

- засвідчує те, що отриманий документ надійшов від особи, яка його підписала;

- гарантує цілісність та захист від спотворення/виправлення підписаного документу;[8, 219]

- не дає можливості особі, яка підписала документ, відмовитись від зобов'язань, що виникли в результаті підписання цього документу.

Для того, щоб підписати електронний документ, потрібен особистий ключ. Особистий ключ - це набір випадкової послідовності символів за певним криптографічним алгоритмом, за допомогою якого буде накладатися ЕЦП на створений електронний документ або на електронну операцію. Відкритий ключ - це ключ, який логічно пов'язаний з особистим ключем. За допомогою відкритого ключа перевіряється ЕЦП на електронному документі або електронній операції. Сертифікат відкритого ключа - електронний сертифікат, який видає центр сертифікації ключів, засвідчуючи, що відкритий ключ та логічно пов'язаний з ним особистий ключ належать конкретній особі. Приклад формування та використання ЕЦП приведений на рис. 2.

Рис. 2 - Формування та використання електроннго цифрового підпису

Технологія ЕЦП реалізована за наступною схемою: якщо особою створено електронний документ і підписано її власним ЕЦП, і при цьому будь-яка інша особа змінить хоча б один символ в цьому документі, ЕЦП автоматично видалиться. Законом України «Про електронний цифровий підпис» встановлено, що ЕЦП прирівнюється до власноручного підпису у разі, якщо сертифікат відкритого ключа, який видав центр сертифікації ключів, має позначку "посилений"[8, 220]. Також слід зазначити, що відповідно до Закону лише акредитовані центри сертифікації ключів мають право формувати та видавати посилені сертифікати відкритого ключа, а також для накладання ЕЦП повинні використовувати надійні засоби ЕЦП.

Безпека використання ЕЦП забезпечується тим, що засоби, які використовуються для роботи з ЕЦП, проходять експертизу і сертифікацію в Департаменті спеціальних телекомунікаційних систем СБУ, яка гарантує неможливість злому та підробки ЕЦП. [8, 221]

2.2 Аналіз і побудова моделі злочинів інтернет-банкінгу

Розглянемо 10 найбільших банків , які є найбільшими за обсягами активів і найнадійнішими банками в Україні. (рис 4)

Рис. 3 - Найбільші банки України за обсягом активів

Такими банками виявились: Приватбанк, Укрексімбанк, Ощадбанк, Райффайзен банк Аваль, Укрсіббанк, Укрсоцбанк, ВТБ Банк, Промінвестбанк, ПУМБ та Альфа-Банк.

Для побудови моделі злочинів інтернет-банкінгу розглянемо показники середньої відсоткової кількості злочинів (розглянемо кількість злочинів, що припадають на 1000 транзакцій через інтернет платежі) та середню загальну суму інтернет-платежів (середню суму, що припадає на 1000 транзакцій).

Отже, розглянемо дані показники:

Назва банку	Середнє відсоткове значення злочинів інтернет- платежів (сер кількість злочинів на 1000 транзакцій)	Середня загальна сума інтернет-платежів (сер сума,грн що припадає на 1000 транзакцій)
Приватбанк	0,2%(2 інтернет-злочини на 1000 транзакцій)	3400000 грн
Укрексімбанк	0,5%(5 інтернет-злочинів на 1000 транзакцій)	2100000 грн
Ощадбанк	0,4%(4 інтернет-злочини на 1000 транзакцій)	1950000 грн
Райффайзен банк Аваль	0,3%(3 інтернет-злочини на 1000 транзакцій)	2860000 грн
Укрсіббанк	0,8%(8 інтернет-злочинів на 1000 транзакцій)	1320000 грн
Укрсоцбанк	1,3%(13 інтернет-злочинів на 1000 транзакцій)	980000 грн
ВТБ Банк	0,4%(4 інтернет-злочини на 1000 транзакцій)	880000 грн
Промінвестбанк	0,9%(9 інтернет-злочинів на 1000 транзакцій)	2600000 грн
ПУМБ	1,1%(11 інтернет-злочинів на 1000 транзакцій)	550000 грн
Альфа-Банк	1,4%(14 інтернет-злочинів на 1000 транзакцій)	580000 грн

На основі даних показників ми можемо будувати модель злочинів інтернет-банкінгу. Для цього нам потрібно:

1.Знайти математичне сподівання М(х) суми збитку від інтернет злочинів, який банк ризикує отримати при проведенні 1 транзакції.

М(х) = р(і) * х(і),



де р(і) - ймовірність злочину при здійсненні транзакції; х(і) - середня сума (грн.) транзакції.

2.Знайти дисперсію

D(х) = р(і)*(х(і) - М(х))^2

Дисперсія - величина, яка характеризує ступінь розкладу кількісних вимірів індивідуальних учасників статистичної вибірки (випадкових величин) відносно середнього значення для цієї вибірки.

3. Знайти середнє квадратичне відхилення

«сігма» = sqrt(D(х))

Середнє квадратичне відхилення - це найбільш використовуваний індикатор мінливості об'єкта, що показує, на скільки в середньому відхиляються індивідуальні значення ознаки  від їх середньої величини .

4.Знайти коефіцієнт варіації (відносна величина)

CV = сігма(х)/М(х)

Коефіцієнт варіації - відносна величина, що служить для характеристики коливання (мінливості) ознаки.

5.Визначити границю значень (коридор - М(х)+-сігма) сподіваного збитку, який банк ризикує отримати при проведенні однієї транзакції.

Банки Європи

Аналогічно розглянемо 10 найбільших банків Європи (Швеції) і розглянемо показники середньої відсоткової кількості злочинів (розглянемо кількість злочинів, що припадають на 1000 транзакцій через інтернет платежі) та середню загальну суму інтернет-платежів (середню суму, що припадає на 1000 транзакцій).

Я обрав банки саме цієї країни з поміж інших європейських, оскільки саме вона має найбільш розвинуту структуру інтернет-банкінгу, що складає частку понад 80% від інших видів банкінгу.

Назва банку	Середнє відсоткове значення злочинів інтернет- платежів (сер кількість злочинів на 1000 транзакцій)	Середня загальна сума інтернет-платежів (сер сума,грн що припадає на 1000 транзакцій)
Avanza Bank	0,2%(2 інтернет-злочини на 1000транзакцій)	10400000 грн
Bergslagens Sparbank	0,5%(5 інтернет-злочинів на 1000 транзакцій)	9100000 грн
Carnegie Investment Bank	0,1%(1 інтернет-злочини на 1000 транзакцій)	6950000 грн
EFG Bank	0,3%(3 інтернет-злочини на 1000 транзакцій)	4160000 грн
Erik Penser Bankaktiebolag	0,8%(8 інтернет-злочинів на 1000 транзакцій)	4320000 грн
Forex Bank	0,3%(3 інтернет-злочинів на 1000 транзакцій)	2800000 грн
Fдrs & Frosta Sparbank	0,7%(7 інтернет-злочинів на 1000 транзакцій)	2680000 грн
GE Money Bank	0,4%(4 інтернет-злочинів на 1000 транзакцій)	2120000 грн
ICA Banken	0,1%(1 інтернет-злочинів на 1000 транзакцій)	1950000 грн
Ikanobanken	0,9%(9 інтернет-злочинів на 1000 транзакцій)	1080000 грн



Аналогічно на основі даних показників ми можемо будувати модель злочинів інтернет-банкінгу і потім порівняти дані моделі на основі сподіваної суми збитків банків від інтерент-злочинів, що припадатиме на 1 транзакцію і ймовірності здійснення інтернет злочину.



3. Практична реалізація моделі злочинів інтернет банкінгу

Будуємо модель збитку, який ризикують отримати українські банки від інтернет-злочинів

1.Знаходимо математичне сподівання М(х) суми збитку від інтернет злочинів, який банк ризикує отримати при проведенні 1 транзакції.

М(х) = р(і) * х(і),

де р(і) - ймовірність злочину при здійсненні транзакції; х(і) - середня сума (грн.) транзакції. (Табл. 1)

Таблиця 1

Назва банку	Ймовірність злочину інтернет платежу р(і)	Середня сума 1транзакції х(і)	М(х)суми збитку злочину, що припадає на 1 транзакцію (грн.)
Приватбанк	0,002	3400 грн	10,2
Укрексімбанк	0,005	2100 грн	10,5
Ощадбанк	0,004	1950 грн	7,8
Райффайзен банк Аваль	0,003	2860 грн	8,58
Укрсіббанк	0,008	1320 грн	10,56
Укрсоцбанк	0,013	980 грн	12,74
ВТБ Банк	0,004	880 грн	3,52
Промінвестбанк	0,009	2600 грн	23,4
ПУМБ	0,011	550 грн	6,05
Альфа-Банк	0,014	580 грн	8,12
Середнє значення М(х) = 9,48 грн



Отже, бачимо, що найбільшу суму сподіваного збитку при проведенні 1 транзакції ризикує отримати Промінвестбанк. Це пояснюється великою сумою обігу інтернет платежів і відносно високою ймовірністю здійснення інтернет злочину.

Найменшу суму сподіваного збитку має ВТБ Банк. Це пояснюється невеликою сумою обігу інтернет-платежів і не дуже високою ймовірністю здійснення інтернет злочину.

Середнє значення сподіваного збитку від проведення транзакції (за 10 банками) становить 9,48 грн

2.Знаходимо дисперсію D(х) = р(і)*(х(і) - М(х))^2

3. Знаходимо середнє квадратичне відхилення «сігма» = sqrt(D(х)) (табл 2)

4. Знаходимо коефіцієнт варіації (відносна величина) CV = сігма(х)/М(х) (табл. 2)

Таблиця 2

Назва банку	Ймовірність злочину інтернет платежу р(і)	М(х)суми збитку злочину, що припадає на 1 транзакцію (грн.)	Сігма(х)	CV(х)
Приватбанк	0,002	10,2	9,38	0,91
Укрексімбанк	0,005	10,5	9,48	0,9
Ощадбанк	0,004	7,8	6,03	0,77
Райффайзен банк Аваль	0,003	8,58	8,28	0,94
Укрсіббанк	0,008	10,56	9,55	0,9
Укрсоцбанк	0,013	12,74	11,03	0,87
ВТБ Банк	0,004	5,52	4,77	0,86
Промінвестбанк	0,009	23,4	12,99	0,56
ПУМБ	0,011	6,05	5,84	0,95
Альфа-Банк	0,014	8,12	7,54	0,93

Отже, бачимо, що найбільшу величину похибки відхилення від сподіваної норми збитку має банк ПУМБ, оскільки його значення коефіцієнта варіації є найбільшим і дорівнює 0,95. Також бачимо середнє квадратичне відхилення кожного банку, величина якого від 56 до 95% величини сподіваної суми злочину.

5.Визначаємо границю значень (коридор - М(х)+-сігма) сподіваного збитку, який банк ризикує отримати при проведенні однієї транзакції. (табл. 3)

Таблиця 3

Назва банку	Границя значень М(х)+-сігма (грн)
Приватбанк	[0,82; 19,58]
Укрексімбанк	[1,02; 19,98]
Ощадбанк	[1,77; 13,83 ]
Райффайзен банк Аваль	[0,3; 16,86]
Укрсіббанк	[1,01; 20,11 ]
Укрсоцбанк	[1,71; 23,77 ]
ВТБ Банк	[0,75; 10,29 ]
Промінвестбанк	[10,41; 36,39 ]
ПУМБ	[0,21; 11,89 ]
Альфа-Банк	[0,58; 15,66 ]

Отже, даний коридор показує нам границю значень, в межах якої може коливатися сподівана сума злочину, що припадає на 1 транзакцію. Найбільшу границю значень (коридор) має Промінвестбанк. Частково це пояснюється тим, що він має найбільше середнє квадратичне відхилення.

Бачимо, що найменші втрати збитку від інтернет-злочину має ВТБ банк. Тому я надаватиму перевагу даному банку у разі здійснення платіжних операцій інтернет-банкінгу.

Будуємо модель збитку, який ризикують отримати банки Європи(Швеції) від інтернет-злочинів

Будуємо модель за попередньою методологією:

1.Знаходимо математичне сподівання М(х) суми збитку від інтернет злочинів, який банк ризикує отримати при проведенні 1 транзакції.

М(х) = р(і) * х(і),

де р(і) - ймовірність злочину при здійсненні транзакції; х(і) - середня сума (грн.) транзакції. (Табл. 4)

Таблиця 4

Назва банку	Ймовірність злочину інтернет платежу р(і)	Середня сума транзакції х(і) грн	М(х)суми збитку злочину, що припадає на 1 транзакцію (грн.)
Avanza Bank	0,002	10400	20,08
Bergslagens Sparbank	0,005	9100	45,5
Carnegie Investment Bank	0,001	6950	6,95
EFG Bank	0,003	4160	12,48
Erik Penser Bankaktiebolag	0,008	4320	24,56
Forex Bank	0,003	2800	8,4
Fдrs & Frosta Sparbank	0,007	2680	16,76
GE Money Bank	0,004	2120	8,48
ICA Banken	0,001	1950	1,95
Ikanobanken	0,009	1080	9,72
Середнє значення М(х) = 15,49 грн



Отже, бачимо, що найбільшу суму сподіваного збитку злочину при проведенні 1 транзакції ризикує отримати Bergslagens Sparbank. Це пояснюється великою сумою обігу інтернет платежів і не дуже низькою ймовірністю здійснення інтернет злочину.

Найменшу суму сподіваного збитку має Ikanobanken Банк. Це пояснюється невеликою сумою обігу інтернет-платежів і не дуже високою ймовірністю здійснення інтернет злочину.

Середнє значення сподіваного збитку від проведення транзакції (за 10 банками) становить 15,49 грн

2.Знаходимо дисперсію

D(х) = р(і)*(х(і) - М(х))^2 (табл 5)

3. Знаходимо середнє квадратичне відхилення

«сігма» = sqrt(D(х)) (табл 5)

4. Знаходимо коефіцієнт варіації (відносна величина)

CV = сігма(х)/М(х) (табл. 5)

Таблиця 5

Назва банку	Ймовірність злочину інтернет платежу р(і)	М(х)суми збитку злочину, що припадає на 1 транзакцію (грн.)	Сігма(х)	CV(х)
Avanza Bank	0,002	20,08	12,38	0,62
Bergslagens Sparbank	0,005	45,5	19,48	0,43
Carnegie Investment Bank	0,001	6,95	4,03	0,58
EFG Bank	0,003	12,48	8,28	0,67
Erik Penser Bankaktiebolag	0,008	24,56	18,55	0,76
Forex Bank	0,003	8,4	5,03	0,6
Fдrs & Frosta Sparbank	0,007	16,76	11,77	0,71
GE Money Bank	0,004	8,48	3,99	0,47
ICA Banken	0,001	1,95	1,04	0,54
Ikanobanken	0,009	9,72	4,54	0,48

Отже, бачимо, що найбільшу відносну величину відхилення від сподіваної норми збитку має банк Erik Penser Bankaktiebolag, оскільки його значення коефіцієнта варіації є найбільшим і дорівнює 0,76. Також бачимо середнє квадратичне відхилення кожного банку, величина якого від 43 до 76% величини сподіваної суми злочину.

5.Визначаємо границю значень (коридор - М(х)+-сігма) сподіваного збитку, який банк ризикує отримати при проведенні однієї транзакції. (табл. 6)

Таблиця 6

Назва банку	Границя значень М(х)+-сігма (грн)
Avanza Bank	[7,7; 32,46]
Bergslagens Sparbank	[26,02; 64,98]
Carnegie Investment Bank	[2,92; 10,98 ]
EFG Bank	[4,2; 20,76 ]
Erik Penser Bankaktiebolag	[6,01; 43,11]
Forex Bank	[3,37; 13,43 ]
Fдrs & Frosta Sparbank	[4,99; 28,53 ]
GE Money Bank	[4,49; 12,47 ]
ICA Banken	[0,91; 2,99 ]
Ikanobanken	[5,18; 14,26 ]

Отже, даний коридор показує нам границю значень, в межах якої може коливатися сподівана сума злочину, що припадає на 1 транзакцію. Найбільшу границю значень (коридор) має Erik Penser Bankaktiebolag. Частково це пояснюється тим, що він має найбільше середнє квадратичне відхилення.

Порівнюючи обидві моделі можна зробити висновок, що сума збитку інтернет-злочину, що припадає на 1 транзакцію в банках Швеції трохи нижча, ніж у банках України, особливо це вирізняється через відсотковий показник, який показує відсоткове відношення середньої сподіваної норми збитку 1 транзакції до середньої суми коштів в даній транзакції і є набагато нижчим від показника українських банків. Варто звернути у вагу на те, що середня сума, що припадає на 1 транзакцію в банках Швеції в 3 рази більша ніж в українських банках. Середній відсоток здійснення інтернет-злочину також нижчий ніж в українських банках, це вказує на те, що ймовірність здійснення інтернет-злочину тут нижча, ніж в українських банках ( табл. 4).

Отже, модель збитку, який ризикують отримати банки Європи(Швеції) від інтернет-злочинів є кращою від української моделі. Думаю, що це пов'язано з тим, що інтрент-банкінг Швеції займає частку 80% від усього банкінгу, а в Україні лише 8,5%, тому логічно припустити, що в Україні інтернет-банкінг менш розвинутий і захищений, а отже й ризикує отримати більшу суму збитку від інтернет-злочинів, пов'язаних з платіжними операціями через інтернет.



Висновок

Отже, після більш-менш детального розгляду існуючих загроз і ризиків здійснення платіжних операцій в Інтернеті можна встановити певні правила, дотримання яких знизить ймовірність ризику в даній галузі.

Переконатися, що в полі "Адреса" вибраного сайту вказана саме необхідна web-адреса, а не просто схожа. При оплаті ж або введенні конфіденційної інформації про карту зверніть увагу, щоб сайт був захищений: у адресному рядку браузера адреса обов'язково повинна починатися з https:// (а не просто http://), а у вікні браузера має з'явитися значок "закритий замок".

не розголошувати персональні дані, що використовувалися для роботи в системі стороннім особам;

не зберігати дані, за допомогою якого здійснюється робота з системою, на обладнанні (ПК, ноутбук, смартфон тощо), а також, в будь-якому іншому вигляді та місці, що може бути доступним стороннім особам;

ніколи не відкривати сайт системи Інтернет-банкінгу за посиланнями: банерними чи отриманими електронною поштою тощо;

обов'язковою використовувати на ПК, ноутбуках, з яких здійснюється робота із системою, антивірусного програмного забезпечення, а також, регулярного оновлення вірусних баз до нього не рідше ніж 1 раз на день; бажано змінювати пароль для доступу до системи не рідше 1 разу на три місяці; [8, 224].

не використовувати функцію «запам'ятовування пароля» веб-браузером чи іншим програмним забезпеченням, встановленим на ПК, ноутбуці тощо; не використовувати досить легкі паролі;

Ніколи не вводьте PIN-код платіжної карти в Інтернеті. На безпечних сайтах він ніколи не використовується. Варто також пам'ятати, що для введення CVV2-кода (спеціальний код для оплати картою в мережі) на захищених сайтах використовується "віртуальна клавіатура".

Перш ніж вводити дані своєї платіжної карти, прочитайте умови надання сервісу і переконайтеся, що сайт не запам'ятовує ваш пароль при вході в секцію для зареєстрованих користувачів. Якщо ви здійснюєте оплати з публічного комп'ютера, включіть в браузері режим "приватного перегляду" (InPrivateBrowsing).

Після здійснення платежу роздрукувати підтвердження проплати в інтернет-магазині (інтернет-сторіночку) з вказівкою адреси сайту і реквізитів магазину. Також варто використовувати SMS-банкінг: в разі будь-якої транзакції власник карти отримає SMS про проведений платіж і зможе, в разі чого, швидко заблокувати карту і заперечити операцію.

В ідеалі - не зберігайте на картці суми грошей більші, ніж потрібно для здійснення одноразового платежу. Поповнюйте рахунок безпосередньо перед проведенням платежу, або блокуйте карту для онлайн-розрахунків і знімайте цей блок перед процесом оплати. Ще один варіант - завести спеціальну карту для інтернет-платежів, яку можна буде у разі потреби поповнити через банк з основної - кредитної або зарплатної - карти. Щодо практичної частини курсового проекту, то я порівняв обидві моделі (європейська й українська) і дійшов до висновку, що сума збитку інтернет-злочину, що припадає на 1 транзакцію в банках Швеції трохи нижча, ніж у банках України, особливо це вирізняється через відсотковий показник, який показує відсоткове відношення середньої сподіваної норми збитку 1 транзакції до середньої суми коштів в даній транзакції і є набагато нижчим від показника українських банків. Модель збитку, який ризикують отримати банки Європи(Швеції) від інтернет-злочинів є кращою від української моделі. Думаю, що це пов'язано з тим, що інтрент-банкінг Швеції займає частку 80% від усього банкінгу, а в Україні лише 8,5%, тому логічно припустити, що в Україні інтернет-банкінг менш розвинутий і захищений, а отже й ризикує отримати більшу суму збитку від інтернет-злочинів, пов'язаних з платіжними операціями через інтернет.



Список використаної літератури

1. Закон України “Про банки і банківську діяльність”.

2. Закон України “Про захист інформації в автоматизованих системах”.

3. Закон України “Про Національний банк України”.

4. Кудельчук І.А. Ризики у сфері банківського карткового бізнесу / Кудельчук І.А. // Економічний простір. - 2009. - № 23/1. - С. 292-298.

5. Недилько А. Информационная эволюция // Банковская практика за рубежом.- 2004.- № 8.- C. 65-67.

6. Інформаційні системи і технології в економіці: Посібник для студентів ВНЗ/ За ред. В.С.Пономаренка. - К.: Видавничий центр “Академія”, 2002. - 544 с.

7. Карпенко С.Г. Інформаційні системи і технології. Навчальний посібник. - К.:Кондор, 2004 р. - 192 с.

8. Єрьоміна Н.В. Банківські інформаційні системи: Навч. Посібник. - К.: КНЕУ, 2000. - 220с.

9. Лищишин М., Шаповалов С., Сажинець С. Інтернет - інструмент розвитку інформаційних технологій // Підприємництво, господарство і право.- 2004.- № 12.- C. 124-126.

10. Коряк С.Ф., Самофалов Л.Д. Комп'ютерні системи обробки та передачі фінансової інформації. / Підручник для студентів вищих навчальних закладів. За ред. Самофалова Л.Д. - Харків: “Компанія СМІТ”, 2004. - 290 с.

11. Коцовська Р., Ричаківська В., Табачук Г., Гудзевич Я., Вознюк М.: Операції комерційних банків / 2-ге вид., доп. - Львів: ЛБІ НБУ, 2001. - 516 с.

12. Рогач І.Ф., Сендзюк М.А., Антонюк В.А. Інформаційні системи у фінансово-кредитних установах: Навч. Посібник. - 2-ге вид., перероб, і доп. - К.: КНЕУ, 2001. - 239 с.

13. Савицкий Н.И. Экономическая информатика. К.:Кондор, 2005 - 429 с.

14. Ситник В.Ф. та ін. Основи інформаційних систем: навч. Посібник. - К.: КНЕУ, 1997. - 252 с.

15. www.bank.gov.ua

16. www.financeprotecting.com.ua

17. http://forinsurer.com/rating-banks



Додаток

Размещено на Allbest.ru