Разделы

Безопасность Цифровизация Ритейл ИТ в банках Техническая защита Интернет

Полностью безопасный интернет-банкинг невозможен

Об угрозах безопасности дистанционного банковского обслуживания (ДБО) сейчас говорится очень много. За последнее время накопилась статистика – и отечественная, и зарубежная, свидетельствующая о серьезности вопроса. Сейчас в России интернет-банкинг использует каждый десятый пользователь Сети. По оценкам разных исследователей, потери от онлайн-преступлений в нашей стране составляют порядка 500 млн руб. в год. Правоохранительные органы стали уделять проблеме мошенничества в ДБО существенно больше внимания, и это положительная тенденция.

В прошедшем 2011 г., как говорят аналитики, самым популярным способом незаконного вывода денег с банковских счетов было использование троянских программ. Эта тенденция сохранится, так как количество пользователей онлайн-банкинга и в России, и во всем мире постоянно увеличивается. Нынешний 2012 г. ознаменовался ростом узконаправленных атак. Реквизиты кредитных карт и банковских счетов с большим отрывом лидируют в списке информации, предлагаемой к продаже на черных виртуальных рынках.

Но, может быть, есть способ полностью обезопасить интернет-банкинг? На этот вопрос ответ однозначный – нет. ДБО – это процесс, а абсолютно безопасных процессов не бывает, некоторый риск присутствует всегда. Однако безопасность можно рассматривать как состояние, при котором уровень риска использования сервиса приемлем как для пользователя, так и для владельца. Качество предоставляемой услуги ДБО для банков – это вопрос привлечения клиентов. Качество определяется прежде всего объемом предоставляемых услуг, удобством использования, доступностью и защищенностью. Именно защищенность становится все более весомым критерием при выборе системы ДБО и в немалой степени влияет на выбор банка.

Варианты защиты

Обратившись к статистике можно заметить, что 70% атак на клиентскую часть ДБО происходит при хранении ключей на незащищенных носителях. Большое число банков переходит на технологии двухфакторной аутентификации с хранением ключевой информации в неизвлекаемом виде на eToken или в смарт-карте. Если учесть, что они могут объединять в себе и банковскую карту, и карту доступа к другим сервисам, например, к порталу госуслуг и прочему, то такое решение становится конкурентным преимуществом для тех, кто вовремя среагировал. Если банку не безразличны репутационные и финансовые риски, возникающие при внедрении технологий ДБО, он должен предлагать клиенту современные средства безопасности.


USB-ключи и смарт-карты eToken ГОСТ

К тому же, законодатели подталкивают банкиров к более ответственному обращению со средствами клиентов. Для примера: закон №161-ФЗ устанавливает, что "…оператор по переводу денежных средств обязан возместить сумму операции, совершенной без согласия клиента, если не докажет, что клиент нарушил порядок использования электронного средства платежа…". Как при разборе такой ситуации обойтись без строгой аутентификации, представить сложно. При этом один из главных моментов для банков состоит в том, что средства аутентификации и защиты данных обязательно должны быть сертифицированы. Это дает гарантию надежности внедряемого решения и обеспечивает соответствие требованиям российского законодательства в области использования средств криптографической защиты информации.

Однако наличие одних лишь средств двухфакторной аутентификации на данный момент уже не гарантирует защиту от потерь. Крайне желательно дополнить аутентификацию по токену или смарт-карте еще одним фактором. Некоторые банки уже предлагают клиентам варианты с дополнительным введением одноразовых паролей. Эта система может быть реализована по-разному, в виде OTP-токенов или приложений, функционирующих на мобильном телефоне, с использованием SMS-канала, специальных SIM-карт или защищенных SD-карт, установленных в мобильное устройство. Хорошим вариантом дополнительного фактора аутентификации является биометрия. Она может использоваться как средство доступа к токену, если считыватель смарт-карты оснащен еще и биометрическим датчиком. Применение биометрии делает перехват пароля к USB-ключу гораздо более проблематичным.


USB-ключ eToken PASS

Традиционно основная проблема дистанционного банковского обслуживания состоит в обеспечении доверенности среды исполнения банковских приложений. В программном обеспечении практически всех разработчиков имеется достаточно большое количество уязвимостей, и системы ДБО здесь совсем не исключение.

В условиях постоянно развивающихся средств нападения защита должна отвечать адекватно. На рынке уже появились средства, предоставляющие доверенную среду для проведения операций электронной подписи. Среди них - компьютеры, в которых средства доверенной загрузки реализованы в BIOS (например, фирмы Kraftway). Это позволяет исключить воздействие вирусов, загружаемых до запуска системы, и вирусов, модифицирующих сам BIOS (реализованных в виде гипервизора в BIOS - такой вирус невозможно обнаружить средствами, запускаемыми после него).

Появились на рынке и считыватели смарт-карт с визуализацией значимых полей подписываемого документа. Платежный документ после формирования передается по USB в считыватель и на его экран выводятся значимые поля документа. Наложение подписи инициируется нажатием кнопки на устройстве и происходит в его изолированной среде, а уже подписанный документ передается обратно в компьютер. Таким образом, исключается возможность атак с подменой документа и с захватом управления компьютером.

Серьезное влияние на безопасность ДБО оказывает уровень квалификации персонала, его достаточность и мотивация, а также бюджет информационной безопасности. Недостаточная квалификация и мотивация ведут к таким, казалось бы, уже давно надоевшим, но все еще актуальным проблемам, как установленный пароль по умолчанию на сетевом оборудовании, единый пароль на разных ресурсах, удаленный доступ в обход общих правил и политик. Поголовная виртуализация и стремление "в облака" также не уменьшают количество проблем. Ограниченность бюджета небольших организаций и физических лиц, дефицит специалистов часто ведут к затягиванию процесса внедрения полного комплекса необходимых технологий и замедлению реакции на возникающие новые угрозы. Выручить может только тщательная и всесторонняя оценка рисков и хорошо продуманная система управления ими.

Мобильный банкинг

В настоящий момент количество пользователей ДБО растет за счет увеличения числа людей, использующих онлайн-банкинг через мобильные телефоны.

Аналитическая компания Juniper Research подсчитала, что в 2011 г. число пользователей мобильных банковских операций в мире достигло 300 млн. Наблюдая за развитием мирового рынка электронной коммерции, эксперты прогнозируют заметный подъем аудитории последователей мобильного банкинга – до 530 млн человек к 2013 г. Аналитики уверены, что популярность мобильного банкинга будет расти, несмотря на экономические проблемы в мире и угрозу усугубления глобальной рецессии. Более того, решения мобильного банкинга дадут банкам возможность повысить операционную эффективность и с наименьшими затратами удержать и привлечь потребителя.

В последнее время эксперты все чаще говорят о перспективности такого решения, как SIM-карта с ЭЦП "на борту". Основная область ее применения – использование мобильного телефона для совершения (подтверждения) операций, требующих исполнения строгих процедур проверки подлинности данных и субъектов информационного взаимодействия, что актуально и для ДБО. Создание такого устройства требует усилий, однако на сегодня оно представляется наилучшим решением против нарастающего вала мошенничеств и может послужить серьезному прорыву к созданию надежных сервисов безопасности.

Сергей Григорьев