перейти к содержанию журнала №12 (237), Декабрь 2016г.   перейти к содержанию журнала №04 (234), Апрель 2016г.   перейти к содержанию журнала №02 (233), Февраль 2016г.   перейти к содержанию журнала №11 (232), Ноябрь 2015г.   перейти к содержанию журнала №09 (231), Сентябрь 2015г.   перейти к содержанию журнала №08 (230), Август 2015г.    на главную страницу сайта
О ЖУРНАЛЕ
СОБЫТИЯ
АНОНС НОМЕРА
АРХИВ НОМЕРОВ
ДЕЛОВОЙ КАЛЕНДАРЬ
ДЕЛОВАЯ ХРОНИКА
ФОТОРЕПОРТАЖИ
ВИДЕОРЕПОРТАЖИ
PR - ЭКСПЕРТИЗА
КОНТАКТЫ
РЕКЛАМОДАТЕЛЯМ
ПОДПИСКА
ИНФОПАРТНЕРАМ

ДЕЛОВОЙ КАЛЕНДАРЬ
28 июня - 29 июня
Комплаенс и антикоррупция в России и СНГ
29 июня
Премия "Финансовая Элита России"
5 июля
Scoring Case Forum 2017
5 июля - 8 июля
XXII Санкт-Петербургская международная банковская конференция
10 июля - 14 июля
Южный форум информационной безопасности «Инфофорум-Крым»
весь календарь >>>

ДЕЛОВАЯ ХРОНИКА

все события >>>









PR-ЭКСПЕРТИЗА   

ЗАТРАТЫ НА ИНФОРМАЦИОННУЮ БЕЗОПАСНОСТЬ ВОЗДАДУТСЯ СТОРИЦЕЙ      

Алексей Чеканов: Точно оценить масштабы реального ущерба, причиненного атаками на персональные банковские счета, нелегко (редкий банк будет делиться такой информацией), однако очевидно, что количество такого рода атак неуклонно растет. Для банка очень важен и косвенный ущерб, причиняемый его репутации – даже единственный случай хищения денег, умышленно или неумышленно «разрекламированный» средствами массовой информации, может вызвать серьезную потерю доверия.

Поэтому вопрос: защищать или не защищать, как правило, перед банком не стоит. Задача, которую нужно решить банку – как соблюсти баланс между уровнем защиты и удобством использования. Не всегда найденное решение оказывается оптимальным. Приведу пример из жизни одного из крупных российских банков. В качестве дополнительной меры безопасности была добавлена отсылка одноразового пароля через SMS владельцу счета при осуществлении платежа внешнему поставщику услуг. Неплохое решение, за исключением тех случаев, когда человек пытается пополнить со своего счета баланс на этом самом телефоне... На мой взгляд, пользователь системы должен иметь некоторую свободу выбора – усилить безопасность или иметь более удобную систему Интернет-банкинга, осознанно идя на увеличение риска атаки. Но в любом случае, обязанность банка – дать возможность клиенту обезопасить себя от атак злоумышленников.

Еще одним важным аспектом информационной безопасности (ИБ) является обучение пользователей. Банки и платежные системы должны уделять серьезное внимание просвещению своих клиентов. Такие вещи, как периодическая проверка выписок по счетам, использование SMS-нотификации об операциях по счету, хранение паролей в недоступных местах – должны стать нормой для держателей счетов. Отдельного внимания заслуживает борьба с фишинговыми атаками – согласно отчету Gartner (по статистике США), средняя сумма потерь жертвы фишинговой атаки в 2006 году увеличилась почти в 5 раз по сравнению с 2005 годом и составила $1 244. Обобщая вышесказанное, проведу аналогию с пин-кодом: нельзя быть на 100% уверенным в том, что человек будет хранить его отдельно от карты, но постоянно напоминать ему об этом – надо.

Рассматривая обеспечение ИБ Интернет-банкинга на стороне банка, помимо использования активных средств безопасности, в частности, XML-экранов, крайне важны средства мониторинга и управления информационной безопасностью, средства отслеживания и предотвращения атак на систему, обнаружения уязвимостей, аналитические средства для анализа корреляции событий в системе, без которых система ИБ будет напоминать слепого воина.

Также хотелось бы обратить внимание читателей на усиливающееся регулирование данной отрасли. Можно по-разному относиться к стандарту PCI-DSS, или к стандарту Банка России СТО БР ИББС-1.0-2006, но они лишний раз заставляют банк посмотреть на систему информационной безопасности в комплексе. И если подойти к внедрению этих стандартов не формально, а потратить дополнительные усилия на создания действительно комплексной системы обеспечения безопасности, то эти затраты воздадутся сторицей.


УСТРОЙСТВО ДЛЯ ИНТЕРНЕТ-БАНКИНГА      

Дмитрий Огородников: Системы дистанционного обслуживания клиентов, и системы Интернет-банкинга в их числе, характеризуются тем, что почти всегда базируются на клиент-серверной архитектуре. При этом клиентская сторона, как правило, полностью находится в сфере ответственности обычных людей – клиентов банка. Очевидно, что клиенты не всегда могут адекватно оценить угрозы и риски, возникающие при удаленном управлении своими счетами, и противопоставить этим угрозам адекватные контрмеры. Таким образом, самым слабым звеном в системах Интернет-банкинга является, как правило, клиент и средства, с помощью которых он получает доступ к своему счету. Именно трудность с обеспечением необходимой защиты клиентской стороны представляет основную проблему безопасности дистанционного банковского обслуживания. Если банк сможет переложить на себя часть обязанностей по обеспечению безопасности клиентских устройств, предоставив своим клиентам соответствующую инфраструктуру, действовать злоумышленникам станет, безусловно, труднее. При этом не следует забывать и об угрозах, направленных на серверную часть и канал передачи финансовых транзакций.

В идеале, чтобы добиться высокого уровня безопасности систем дистанционного банковского обслуживания, необходимо реализовать комплекс процессов, которые затрагивают все составляющие системы. Возможно, решением поставленной проблемы является создание системы Интернет-банкинга, в которой безопасность всех ее компонент будет управляться, контролироваться и корректироваться из единого центра компетентными, квалифицированными специалистами банка или аутсорсинговой компанией. В качестве устройств, с помощью которых клиенты получают доступ в Интернет, могут выступать относительно дешевые терминальные устройства или специализированные переносные устройства, получаемые клиентом при оформлении услуг дистанционного банковского обслуживания. Одновременно с этим, необходимо обеспечить невозможность проведения транзакций от имени клиента администратором, обслуживающим клиентское устройство. Полагаю, что использование современных средств двухфакторной аутентификации сможет ограничить такую возможность со стороны обслуживающего персонала.

Системы с централизованным управлением клиентскими устройствами снимут с потребителей необходимость заботиться о безопасности устройств, с которых они управляют своими счетами. Пользователям останется только противостоять различным проявлениям «социальной инженерии» и фишинга. Важно отметить, что использование такой концепции управления информационной безопасностью систем Интернет-банкинга и разработка корректного договора, взаимоотношения между сторонами сделает более прозрачными, и банку станет труднее переложить ответственность на клиента и наоборот.


ЗАЩИТА НА «ЧУЖОМ» КОМПЬЮТЕРЕ      

Анатолий Скородумов: Бесспорно, обеспечение безопасности при реализации проектов по развертыванию систем интернет-банкинга является одной из приоритетных задач, в первую очередь это проблема обеспечения безопасности на стороне клиента – пользователя Интернет-банка. Интернет-банкинг предполагает, что клиент совершает операции не только с домашнего компьютера, а из любого места, откуда он может подключиться к сети Интернет (Интернет-кафе, гостиница, аэропорт и т.д.). Вопрос не в том, какое средство криптографической защиты использовать – отечественное, или зарубежное, а как обеспечить защиту секретных криптографических ключей при использовании «чужого» компьютера. Кстати, правильнее говорить не о зарубежных и отечественных криптоалгоритмах, а о сертифицированных и несертифицированных средствах криптографической защиты. Доморощенная реализация российских ГОСТов по криптографии может быть ничем не лучше коммерческих реализаций западных криптоалгоритмов.

Необходимо также отметить, что в настоящее время в российском законодательстве нет запрета на использование западной криптографии в корпоративных информационных системах коммерческих организаций. Что касается организации защиты криптографических ключей на стороне клиента, то наиболее перспективным выглядит использование защищенных USB-носителей, имеющих встроенную реализацию криптоалгоритмов. Применение таких устройств позволило бы обеспечить выполнение функций по подписанию электронных документов без считывания секретных ключей в оперативную память компьютера.

Другой метод защиты, уже применяемый в ряде систем, – использование второго канала связи с клиентом для организации информационного взаимодействия с целью подтверждения операций, осуществляемых по системе Интернет-банк. Например, посылка клиенту на сотовый телефон с помощью SMS-сообщения некоторого секретного кода, который клиент должен ввести в системе Интернет-банк для подтверждения своей операции. Использование одноразовых кодов при таком способе практически исключает применение хакерами возможностей «социальной инженерии», так как клиенту заранее неизвестна информация, которую он должен будет передать в качестве подтверждения своей операции в системе.

Тема обеспечения защиты системы Интернет-банк на стороне банка очень многогранна. Но стандартом при организации защиты систем интернет-банкинга должно стать использование не только классических межсетевых экранов, но и систем обнаружения (и предотвращения) атак прикладного уровня.


СТАНДАРТ, МОДЕЛЬ И ОПТИМИЗАЦИЯ      

Вадим Лихолетов: Раньше банк нанимал десяток программистов, которые писали для него собственную программу «Опердень». С системами Интернет-банкинга ситуация, к сожалению, практически повторяется. Во многих российских банков они разработаны своими силами, поэтому говорить о каких-либо высоких требованиях и технологиях реализации ИБ в таких модулях не приходится, поскольку банковские программисты, как правило, не являются большими специалистами в области ИБ.

Трагизма добавляет еще и тот факт, что 95% систем Интернет-банкига используются для обслуживания счетов пластиковых карт. Поэтому фактическая безопасность системы Интернет-банкинга полностью зависит от адекватности оценки ситуации с безопасностью у тех, кто эту систему разработал, внедрил и пользуется. Можно закладывать сколь угодно много идей безопасности при проектировании и разработке системы, но нет никакой гарантии, что эти идеи и возможности будут использованы при ее эксплуатации. Какого-то разумного уровня безопасности системы Интернет-банкинга можно достичь только в том случае, когда все действующие лица – разработчики, инсталляторы и эксплуататоры – будут следовать требованиям отраслевого стандарта, например, PCI/DSS, который применим и к карточным системам, и к некарточному Интернет-банкингу. Для такой системы будет создана модель угроз и рисков с последующей оценкой и оптимизацией рисков. Такая модель должна включать в себя не только риски, связанные с самой подсистемой Интернет-банкинга, но и с ее информационным и бизнес-окружением. Это один из разумных и эффективных способов повысить безопасность системы.


РАСПЛАТА ЗА БЕСШАБАШНОСТЬ     

Павел Есаков: Наиболее распространенный метод аутентификации клиента и защиты транзакций у большинства российских Интернет-банков – это цифровые сертификаты и ЭЦП, поэтому российских разработчиков скорее можно упрекнуть не в плохом знании законодательной базы, а в обратном – в чрезмерном увлечении архитектурой традиционных корпоративных систем «клиент-банк» при разработке решений интернет-банкинга для частных клиентов. Корпоративные решения хороши для бизнеса – они достаточно надежны, но требуют установки дополнительного ПО, применяют сертифицированные ФАПСИ криптографические алгоритмы, цифровые сертификаты и ЭЦП. И только сравнительно недавно российские программисты стали предлагать решения, которые не требуют от частного лица никакого дополнительного ПО на компьютере, помимо Интернет-броузера. Правда, для аутентификации клиента по-прежнему наиболее часто применяется ЭЦП, и только в ряде случаев вместо ЭЦП применяются другие аналоги собственноручной подписи (АСП) в виде кодовых таблиц и других механизмов.

Трудно поверить в то, что для создания кодовых таблиц хотя бы кто-нибудь из разработчиков использовал встроенный в язык программирования генератор случайных чисел. По моим данным, отечественные разработчики применяют достаточно надежную криптографию, и случаев взлома кодовых таблиц пока не наблюдалось.

И все таки, в постулировании полной незащищенности клиентского компьютера есть доля правды. В России есть бесшабашные пользователи, но все-таки среди лиц, пользующихся Интернет-банком, их меньшинство. Тем не менее, российские банки себя подстраховали, и при обнаружении вируса на клиентском компьютере вернуть деньги, переведенные с помощью Интернет-банка, будет весьма тяжело...


ОТ КАРТОЧНОГО ПРОЦЕССИНГА К ИНТЕРНЕТ-ПЛАТЕЖАМ     

Андрей Чирков: Интернет-банкинг – самый дешевый для банка и удобный для клиента канал обслуживания, поэтому за ним большое будущее. На мой взгляд, в России его развитие сдерживается не столько вопросами безопасности, сколько технической неготовностью банков предоставлять широкий набор банковских услуг через Интернет (из более чем тысячи российских банков всего несколько десятков предоставляют полноценный Интернет-банкинг для физических лиц). Во многом это обусловлено «лоскутной» автоматизацией большинства банков – они эксплуатируют большое количество разнородных и часто офф-лайновых информационных систем, отвечающих за то или иное направление (карточки, депозиты, кредиты, ценные бумаги и т.п.). Мы видим решение этой проблемы в использовании в качестве интеграционной платформы единственной банковской системы, которая гарантированно доступна в режиме 24x365 – фронт-офисной системы процессингового центра. От нее можно построить интерфейсы ко всем необходимым банковским системам, чтобы обеспечить полноценное обслуживание клиента не только через Интернет, но и через все другие каналы удаленного обслуживания (телефонный, мобильный банкинг, банкоматы, киоски самообслуживания, call-центр и т.п.).

Что касается обеспечения безопасности, то это – традиционное «соревнование снаряда и брони». Разработчики повышают безопасность прикладных систем, борются с уязвимостью системного программного обеспечения, придумывают новые технологии, а злоумышленники находят все новые и новые уязвимости. Абсолютной защиты, наверное, не будет создано никогда – то, что придумал один человек, другой сможет «сломать» при наличии ресурсов и времени. Задача разработчика – максимально усложнить взлом, сделав его экономически нецелесообразным.

В последнее время платежные системы сделали очень много для повышения безопасности операций, совершаемых с картами через Интернет. В частности, были разработаны технологии Dynamic Passcode Authentication (VISA) и Card Authentication Programme (MasterCard), которые позволяют не только надежно идентифицировать клиента, но и подтвердить важнейшие атрибуты транзакции. Все что необходимо клиенту – это EMV-карта и миниатюрный терминал, который иногда не совсем точно называют криптокалькулятором, которые позволяют генерировать подписи на основе PIN-кода и ключей карты. Эта технология позволяет безопасно работать с любого компьютера. Другое важное новшество – введение стандарта PCI/DSS, регулирующего правила безопасности при хранении персональных данных. Выбирая банк для обслуживания через Интернет, клиент должен уделять внимание не только тарифам и набору услуг, но и тому, какими средствами обеспечивается безопасность, на кого перекладывается ответственность. Ведь не секрет, что сейчас многие банки не особо вкладываются в безопасность, предпочитая перекладывать все риски на клиента.


      Яндекс цитирования   Rambler's Top100 © Аналитический центр финансовой информации, 2005-2006
Для корреспонденции в редакцию журнала: info@abajour.ru
Вопросы, пожелания и замечания по сайту: web@abajour.ru