Анализ реальной безопасности операций по МПК

В течение уже более чем 15 лет банковский мир находится в процессе миграции на технологию микропроцессорных карт. Дружной миграцию на чип назвать трудно, но тем не менее, по данным EMVCo, на начало 2012 г. в мире было эмитировано более 1,549 млрд EMV-карт (44,1% всех карт), 21,6 млн POS-терминалов (72% всех терминалов) и 730 тыс. банкоматов (34% всего парка банкоматов) поддерживали прием EMV-карт.
Еще более выдающиеся результаты миграции на технологию микропроцессорных карт демонстрирует Европа. На начало 2012 г. в Западной Европе 81% всех карт, 94,3% POS-терминалов и 98% банкоматов перешли на технологию микропроцессорных карт.
В Канаде в это же время 85% карт, 70% POS-терминалов и 50% банкоматов работают по технологии МПК.
Наконец, началась миграция на микропроцессорные карты на крупнейшем мировом рынке пластиковых карт - рынке США. В октябре 2015 г. на этом рынке начнет вводиться сдвиг ответственности Chip & PIN Liability Shift в обеих ведущих платежных системах.
У банков главным стимулом для миграции на чип по-прежнему остается повышение безопасности карточных операций. Безусловно, микропроцессор позволяет поднять безопасность карточных операций на качественно новый уровень. Результаты миграции на новую технологию являются хорошим тому подтверждением. В странах, мигрировавших на чип, уровень такого вида мошенничества, как поддельные карты, значительно снизился. В странах, где используется технология Chip & PIN, кроме того, заметно снизился объем мошенничества видов "украденные", "потерянные", "неполученные карты".
Далее будет дана оценка реальной безопасности операций по микропроцессорным картам в сегодняшних условиях, а также рассказано об очередных шагах, предпринимаемых платежными системами с целью повышения безопасности карточных операций. Специально подчеркнем, что речь идет об оценке безопасности операций именно в сегодняшних условиях, характеризующихся перечисленными ниже особенностями:

• неравномерностью миграции на чип различных стран (рынков);
• гибридным характером микропроцессорных карт, содержащих как магнитную полосу, так и чип;
• наличием значительного количества терминалов, не поддерживающих чиповую технологию;
• наличием значительного количества терминалов, не способных поддерживать верификацию держателя карты методом PIN Offline;
• фактом того, что значительная доля эмитированных микропроцессорных карт не поддерживает динамическую офлайновую аутентификацию приложения карты (SDA-карты).

Об этих особенностях будет подробнее рассказано далее, а пока остановимся на существующих угрозах безопасности операций для микропроцессорных карт. На основе опыта платежных систем и оценки экспертов к таким угрозам со стороны эмиссии карт относятся:

• клонирование магнитной полосы;
• клонирование чипа;
• CNP-фрод;
• украденные (потерянные) карты;
• виртуальное клонирование чиповой карты;
• модификация диалога карты и терминала.

К основным угрозам со стороны обслуживания карт следует отнести:

• внедрение на терминале ложного ключа МПС;
• замену терминала с целью кражи информации о картах;
• замену (модификацию) программного обеспечения терминала;
• подделку торговой точкой типа криптограммы в презентментах.