Защита информации: опыт МДМ Банка
Эллиот Гойхман, начальник департамента информационных технологий МДМ Банка, рассказал, как организована система защиты в его банке. Для безопасности клиентов используются проверенные технологии защиты, SMS-пароли, проактивное выявление уязвимостей, а пользователей постоянно информируют о том, как не совершать распространенных ошибок.CNews: Какие новые технологии для безопасности конечных клиентов – физических лиц – были внедрены в МДМ Банке в последнее время?
Эллиот Гойхман: Технологии, которые мы активно используем, относятся к проверенным и общепринятым в банковской практике. В целях безопасности клиентов наш банк предлагает использование SMS-паролей для подтверждения операций в интернет и мобильном банке. Также нами разработана гибкая система лимитов на суммы операций в заданный промежуток времени.
CNews: Какие технологии используются для безопасности «МДМ online»? Как вам удается сохранить баланс его удобства и безопасности?
Эллиот Гойхман: Для обеспечения максимального удобства с сохранением высокого уровня безопасности мы используем систему одноразовых SMS-паролей, где контролируем перебор идентификаторов с одного IP-адреса, принимая и другие превентивные меры. Номер телефона для SMS-паролей может быть установлен или изменен только в офисе при личном присутствии клиента, что является дополнительной мерой безопасности – далеко не каждый интернет-мошенник захочет «засветиться» в отделении банка, где он находится под видеонаблюдением и может вызвать подозрение.
CNews: А какие проекты были направлены на защиту других видов дистанционного банковского обслуживания?
Эллиот Гойхман: Длительное время в банке использовалась технология «статических секретов», когда пользователь должен был ввести часть номеров одной из своих банковских карт. Но этот способ защиты не поможет, если у клиента, скажем, украли кошелек, в котором хранились его карты, используемые для идентификации в онлайн-банке. Поэтому одним из проектов была замена авторизации на базе «статических секретов» на более безопасные методы.
CNews: Как вы считаете, каких знаний не хватает клиентам банков, чтобы не быть уязвимыми, даже если банк обеспечил самый высокий уровень защищенности и использует максимум технологий?
Эллиот Гойхман: Современные технологии позволяют создать высоконадежную систему защиты онлайн банкинга, но есть распространенные ошибки, которые допускают клиенты. Например, такой ошибкой является выбор легко угадываемого или подбираемого пароля или использование одного пароля для доступа к разным сервисам, что увеличивает шанс компрометации: часто пароль в интернет-банке совпадает с паролями от форумов, почты, соцсетей. Это можно сравнить с установкой бронированной двери, хорошего замка и хранением запасного ключа под ковриком.
Эллиот Гойхман: Использование одного пароля для доступа к разным сервисам увеличивает шанс компрометации
К другим ошибкам я бы отнес использование уязвимого устаревшего программного обеспечения – старые версии ОС Windows, браузеров семейства IE, отсутствие последних обновления системы, отсутствие антивирусов или использование неэффективных бесплатных версий антивирусов с устаревшими базами вирусных сигнатур.
CNews: Как вы информируете клиентов, как обучаете основам безопасного интернет-банка или безопасности использования банкоматов?
Эллиот Гойхман: Банк создает понятные для пользователей памятки, которые доступны на сайте, при регистрации, и в самом интернет-банке. Мы показываем наглядные подсказки и предупреждения на экранах банкоматов в качестве заставки, обучая, как обнаружить на скимминговые накладки. Мы также информируем наших клиентов, что за банкоматом ведется видеонаблюдение и что банкоматы защищены программным комплексом корпоративного уровня ESET NOD32.
CNews: Какая работа в области безопасности скрыта от глаз конечного клиента банка? На чем построена защищенность банка? Какие решения обеспечивают защиту от основных киберугроз?
Эллиот Гойхман: Мы регулярно проводим аудит безопасности систем с целью поиска уязвимостей, собираем статистику атак, строим модели поведения клиентов и тщательно изучаем отклонения от стандартной модели. На основании этих моделей мы строим защиту, основанную на отслеживании изменений в браузере клиента, в смене географического расположения, замене SIM-карты или телефонного аппарата клиентом. Автоматизированные системы следят также за количеством запросов в единицу времени, что может указывать на «бота», а не человека.
Мы работаем не только над предотвращением взлома клиентских учетных записей и мошеннических действий с кредитными картами клиентов, но и проактивно выявляем уязвимости. Сейчас мы разрабатываем систему, которая на основе открытой информации, используя методы больших данных и социальной инженерии, идентифицирует легко угадываемые пароли клиентов. Конечно, есть и другие, секретные системы безопасности, которые мы, по понятным причинам, не станем разглашать.
CNews: Назовите свой прогноз: от каких угроз банкам нужно будет защищаться завтра и через несколько лет?
Эллиот Гойхман: На мой взгляд, угрозы последних лет останутся без существенных изменений, поэтому продолжатся атаки как на сервера банков и оборудование конечных клиентов, так и нацеленные на перехват данных. Мы столкнемся с увеличением вирусов мобильных устройств, нацеленных на кражу данных, учетных записей и паролей.
По мере того, как все больше банков будут предоставлять своим клиентам возможность авторизоваться через социальные сети, большее количество мошенников сместится на использование социальной инженерии с элементами больших данных в социальных сетях для совершения противоправных действий. Подбирая пароль к учетным записям Facebook и Vkontakte, они будут получать опосредованный доступ к связанным банковским счетам.
Могу предположить, что в ближайшие 3–5 лет технологии и методы аутентификации будут стандартизированы, возможно, даже объединяя в себе систему электронного паспорта и платежного средства, что может приобрести еще большую актуальность в связи с планами по созданию национальной платежной системы. Это позволит создавать более надежные системы не только в банковской сфере, но и в государственных центрах идентификации.