Эксперт латвийского учреждения кибербезопасности CERT.LV Гинтс Малкалниетис в интервью Bilderlings Pay: “Банковская система Европы довольно пассивная, но изменения систем транзакций в связи со вступлением в силу евродирективы PSD2 выгодны и торговцам, и плательщикам”.
Вторая европейская директива о платежных услугах PSD2 вступает в силу в ЕС в январе 2018 года. Ее целью является стимулирование конкуренции между альтернативными платежными сервисами и увеличение безопасности платежей. Bilderlings Pay ранее знакомил читателей с публикацией «Реформа PSD2: выгодные, быстрые, защищенные платежи».
– В частности, эта директива решит проблемы владельцев карточных счетов, связанные со сложностью верификации пользователя: сейчас это – двухфакторная аутентификация, многоступенчатый ввод данных, паролей, кодов.
В перспективе двух лет в Евросоюзе все это сменит динамический код. В этом случае приложение сервиса при запуске устройства проверяет, насколько безопасно устройство, то есть какие программы являются высокорисковыми. Но банки, как правило, не стремятся вводить прогрессивные изменения своих платежных сервисов более требований законодательства – это существенные инвестиции, то есть дополнительные расходы.
Как выглядят в этом свете небанковские платежные сервисы?
– В ЕС платежные системы идут за европейскими регулами со значительным отставанием. Банковские платежные системы устарели – Латвия тут выглядит прогрессивно, но во многих странах ЕС чиповые расчетные карты не читаются, потому что нет современного оборудования и нет денег, чтобы сменить старые устройства. В электронной коммерции, конечно, предлагаются в том числе и самые современные платежные решения.
Электронная коммерция в противовес стандартной и банковской сфере с ее достаточно сильной инерцией развита лучше, что связано с большей гибкостью девелоперов платежных систем быстро развивающегося рынка.
Финансовые технологии широко доступны и недороги: в Европе появилось очень много платежных провайдеров. В интернет-магазинах все не настолько хорошо, как надо бы, не все торговцы знают тонкости установки и обслуживания платежей. Если есть возможность, установкой, обновлениями и контролем платежных функций магазина должен заниматься специалист. Торговцам стоит понимать, какие платежные системы более привлекательны для обслуживания платежей.
Если бы в Латвии был большой и безопасный монопольный торговец, например, такой как Amazon, было бы лучше, другими словами?
– Таких больших маркетплейсов в Латвии никогда не будет, что связано с небольшим оборотом рынка электронной коммерции. Хотя у нас есть предприниматели, которые выросли из интернет-магазина и представляют глобальный рынок э-коммерции. Каждый месяц CERT.lv регистрирует около 200 различных инцидентов, по ряду случаев есть уголовные процессы. Допускаю, что о большем массиве инцидентов мы не знаем, например, часть попыток сразу же отсекается системами защиты компаний и не попадает в эту статистику.
Как вы оцениваете компетентность покупателей, например, в Латвии по оценке Digitālas drošības alianse, лишь 3% пользователей могут сделать различие между http и https – то есть незащищенными и защищенными веб-ресурсами?
– Абсолютному большинству пользователей важно производить как можно меньше усилий, в том числе при онлайн-покупках. В компьютере защищен только браузер, приложения, установленные в вашем компьютере и смартфоне, это ваши самориски. Функции проверки тут ограничены, это не антивирусная программа.
Как правило, люди сами ломают системы защиты на своих устройствах, антивирусная программа тут не поможет. Более 95% случаев онлайн-мошенничества связано с человеческим фактором, то есть с ошибкой самих пользователей.
У торговцев другие вызовы?
– Для абсолютного большинства торговцев риски – это низкая конверсия, чарджбеки, потеря денег из-за обслуживания краденых карт или данных. Кто-то всегда покупает товары на чужие счета, и это вечный серьезный вызов онлайн-коммерции. Банковскую карту ведь можно засунуть куда угодно, в автомат по продаже кофе, где установлено устройство, с помощью которого возможно сделать дубликат платежной карты.
К сожалению, кредитки и платежные карты – это не онлайн-платежи, деньги на физическом куске пластика – в большей опасности. У торговцев довольно минимальны возможности избавиться от платежей с карт. Онлайн-платежи надежнее.
И где тут слабое звено?
– Не все PSP-сервисы, в том числе в Латвии, сертифицированы в соответствии со стандартом PSI DSS, унифицированным глобальным стандартом безопасности онлайн-расчетов. Нужно смотреть на всю транзакцию от А до Z. Несертифицированные провайдеры работают с такими сервисами, как First Data или другими, которые обеспечивают защищенное прохождение платежей, например, с защищенных PSI DSS карточных счетов Visa и MasterCard. Да, тут есть разрыв – но в отличие от банковского фрода, мошенничества с платежами через PSP в Латвии пока не фиксировались.
Подводя итог вышесказанному, стоит отметить, что для минимизации мошенничества для торговцев предлагаются эффективно работающие решения, среди которых:
- Использование платежного шлюза, имеющего сертификат безопасности PCI DSS;
- Настройка платежных фильтров безопасности;
- Сертификация SLL.
