СДМ-БАНК: Статья Директора ДИТ Илюхина О.В. в журнале "BIS Journal". "Мобилизация безопасности"

23.07.2013 15:06
Скопировать ссылку
СДМ-БАНК: Статья Директора ДИТ Илюхина О.В. в журнале "BIS Journal". "Мобилизация безопасности"

Журнал «BIS Journal - Информационная безопасность банков»

19 Июля 2013

Илюхин Олег - директор департамента информационных технологий КБ «СДМ-БАНК» (ОАО)

Мобилизация безопасности. Отсутствие развёрнутых требований к криптозащите мобильных платёжных сервисов сдерживает их развитие и распространение.

Количество смартфонов и планшетов на руках населения, в том числе у клиентов банков, стремительно увеличивается. Среди клиентов банков быстро растёт популярность различных мобильных приложений, позволяющих совершать платежи удобно, в любом месте и в любое время. Чтобы помочь избежать лишних разочарований, банкам следует обратить внимание клиентов на пробелы в защите этих каналов удаленного обслуживания.

НА ПЕРЕДНЕМ КРАЕ

Сегодня уровень кибермошенничества в России ещё не столь высок, как за рубежом. Дело в некоторой «отсталости» направления электронных платежей в сравнении с западными странами: там больше и собственно денег, и электронных платежей. Может сложиться впечатление, что пока российские киберпреступники больше были нацелены на зарубежных жертв. Но электронная коммерция в нашей стране быстро растёт и развивается.

Уже около 15% российских пользователей всемирной сети хотя бы раз совершали покупки через интернет. Кажется, немного, но ещё 3 года назад этот показатель был ничтожно мал, практически незаметен. Перспективы развития огромные: расширение интернет-сервисов банков, оплата с помощью виртуальных карт. Новейшее, модное направление - совершенствование платёжных возможностей мобильных платформ. Рост количества электронных платежей сопровождается активизацией киберзлоумышленников, падких на чужие деньги.

На передовой борьбы с покушениями киберпреступников на средства клиентов стоят банки. Потому что именно банки чаще всех сталкиваются с хищениями денег данных клиентов, несанкционированными списаниями денег с их счетов и прочими проявлениями мошенничества в сфере безналичных платежей. Федеральные законы и государственные регулирующие органы предписывают банкам быть на страже интересов клиентов, а контрольно-надзорные органы проверяют эту работу.

Выработан и уже стал традиционным целый комплекс средств и мер обеспечения информационной безопасности банков, широко применяемых на практике банками. Большинство существующих систем дистанционного банковского обслуживания в России защищены достаточно хорошо, обладают сертификатами безопасности. Как минимум - в базовых функциях, стандартных дистанционных сервисах.

Средства криптозащиты клиентами платежей проделали заметную эволюцию по мере повышения изощрённости киберпреступников. Широко используются сессионные ключи и одноразовые пароли. Криптоключи вначале записывались на обычную «флэшку», потом - на е-токены. Одно из последних новшеств - комбинированное устройство двойного ввода: и одноразового ключа, и реквизитов платежного поручения.

ДОЛГОИГРАЮЩИЕ ПРОБЛЕМЫ

Но часто решение ряда традиционных проблем обеспечения информационной безопасности занимает немало времени. Одна из таких проблем - ведение «чёрного списка» хостов (IP- адресов), с которых были зафиксированы попытки провести несанкционированный платеж. Большинство банков составляют такие реестры, но неофициально, и крайне неохотно делятся этой ценной информацией друг с другом.

Централизация информации о скомпрометированных хостах сыграла бы на руку всем. Ведь сейчас автоматизированные банковские системы проверяют паспортные данные клиентов - нет ли их в списке недействительных паспортов или террористов. Что мешает подобным образом централизованно проверять данные, вызывающие подозрения на предмет возможных мошенничеств в системах ДБО? Создание централизованной базы данных о киберпреступности в банковской сфере, формируемой всеми банками и доступной им - актуальная задача. Однако пока не решённая.

Вот и ещё одна похожая и смежная проблема межбанковского взаимодействия в противостоянии киберворам. Крайне затруднителен, почти невозможен отзыв уже проведённого платежа, который оказался несанкционированным. Чего только не приходится придумывать банкам, чтобы и интересы клиента не нарушить, и соблюсти требования российских законов. Определение в федеральном законе процедуры отзыва несанкционированного платежа сильно облегчило бы банкам противодействие «высокотехнологичным» похитителям чужих денег.

Ещё одна крупная проблема, которую приходится решать, в том числе «СДМ-Банку», - низкий уровень осведомлённости клиентов о правилах информационной безопасности и широко распространённая беспечность: пока гром не грянет, мужик не перекрестится. Приходится применять комбинированные средства защиты клиентов, технические, организационные и просветительские.

Банки используют автоматизированные системы анализа подозрительных операций - фрод-мониторинг, устанавливают ограничения размера разовых платежей. Каждый электронный финансовый сервис приходится сопровождать рекомендациями клиенту, как защитить платежи - посредством антивирусных программ, фиксации IP-адресов, с которых происходит работа в интернет-банке, и других средств. Составляются подробные инструкции, как своевременно обнаружить попытки мошенничеств с электронными платежами и что в таких случаях делать.

Усиление безопасности зачастую ведёт к снижению удобства пользования дистанционными банковскими услугами. Но информирование клиентов о правилах защиты электронных платежей помогает гармонизировать удобство и безопасность. Клиенту объясняют различные степени риска использования одноразового пароля, незащищенного носителя ключей - «флэшки» - или более надёжных, но менее удобных средств.

Клиент должен обладать возможностью сознательно выбрать средство и процедуру защиты платежа в зависимости от его суммы. Так, известно, максимальная защищённость электронных платежей обеспечивается в том случае, когда доступ в интернет с персонального компьютера клиента ограничивается официальным сайтом банка. Такой пункт содержится в договорах дистанционного банковского обслуживания клиентов «СДМ-Банка».

Упомянем ещё одну решаемую, но пока нерешённую проблему - страхование рисков дистанционного обслуживания клиентов. Хорошего страхового продукта по этим рискам пока нет, и в обозримом будущем не предвидится. С другой стороны, отсутствие такого продукта не даёт банкам расслабляться, помогает поддерживать высокий тонус подразделениям информационной безопасности. В «СДМ-Банке», как и в самых крупных банках, отсутствует «планирование ущерба от действий мошенников». Используемые технологии выявления подозрительных платежей и пресечения попыток хищений средств клиентов - достаточно эффективны.

ИЗДЕРЖКИ НОВИЗНЫ

Любые новые сервисы вначале, как правило, защищены слабее, чем ставшие традиционными. Это - издержки новизны. Чтобы понять, насколько серьёзной должна быть защита, нужно вначале на практике проверить, насколько новые сервисы действительно нужны клиентам. Но даже тогда, когда найдено новое, более совершенное техническое средство защиты электронных финансовых сервисов, его повсеместное внедрение занимает немало времени.

Среди новых инструментов защиты средств клиентов нужно отметить банковские карты с чипами, на которых записываются данные, позволяющие распоряжаться средствами на банковском счёте. Это, без преувеличения, заметный прорыв, заметно повышающий защищённость в сравнении с картами, данные которых хранятся на обычной магнитной полосе.

Различие между чипом и магнитной полосой с точки зрения безопасности следующее: чтобы несанкционированно считать информацию с магнитной полосы, достаточно купить за $100-150 специальное устройство - скиммер. Скрыто скопировать карту с чипом гораздо сложнее.

Далее, данные транзакции, осуществляемой картой с магнитной полосой, передаются в банк с одинаковыми идентификационными данными. Их можно перехватить и в дальнейшем эмулировать поддельные транзакции, которые будут выглядеть так, как будто осуществляются при помощи настоящей карты. При использовании карты с чипом идентификационная информация каждый раз новая.

Третий важный момент: в международных платежных системах Visa и MasterCard, двух наиболее распространённых, действует принцип переноса ответственности. Если мошенники украли деньги у владельца карты с магнитной полосой, убыток ему возмещает банк-эквайер, с использованием платёжного средства в POS-терминале которого был связан инцидент. Но если использовалась банковская карта с чипом, или хотя бы комбинированная, то ответственность несёт уже банк-эмитент. Переход к картам с чипами выгоден банкам. Повышая защищённость карт и более чётко разделяя ответственность за инциденты, это новое техническое средство сокращает потери от действий преступников.

Переход от старых карт к новым, оснащённым чипами, занимает достаточно много времени. Чисто чиповых карт в России сейчас практически нет, потому что пока не выстроена инфраструктура приёма платежей, осуществляемых с их помощью. До тех пор владельцы новых карт, с чипами, мало где могут их использовать. Поэтому сейчас, в переходный период используются комбинированные карты, в которых есть и чип, и магнитная полоса.

БЕЗЗАЩИТНЫЕ УДОБСТВА

С точки зрения безопасности, из всех видов дистанционных платёжных сервисов наименее защищёнными на сегодняшний момент являются банковские приложения для мобильных устройств - смартфонов и планшетников. Тенденция развития дистанционного обслуживания при помощи мобильных устройств очевидна. По мере того как мобильные решения «обрастают» функционалом, клиент банка обретает всё большую свободу передвижения.

Пока ещё системы мобильного банкинга подвергаются атакам нечасто, но тенденция такова, что их обязательно начнут испытывать на прочность. Мошенники не дремлют, вирусы, похищающие пароли, создаются для разных мобильных операционных систем и банковских приложений. Некоторые «издержки новизны» видны сразу.

Так для пользователей очень удобна интеграция облачных бухгалтерских сервисов с системами дистанционного банковского обслуживания, особенно с возможностью электронной подписи непосредственно в 1С. Но область интеграции требует защиты, и следует учитывать, что владельцу облачного сервиса потенциально может стать доступна клиентская база банка.

Ещё пример: для корпоративных клиентов актуальна защита мобильных платежей посредством сертифицированных средств криптозащиты. Пока их нет - подавляющее большинство мобильных сервисов работают сейчас в режиме «read-only», то есть предоставляя возможность только просмотреть выписки по счетам и остатки средств на них.

Говоря об удобстве мобильных устройств, следует видеть оборотную сторону: недостатки, которые часто являются продолжением привлекательных достоинств. Функциональность мобильных устройств почти универсальная, но именно поэтому у них нет разделения каналов связи передачи ключевых данных платежа и подтверждения его подлинности.

При обычном дистанционном банкинге клиент формирует платёж на своём персональном компьютере и посылает в банк через интернет. Подтверждающий одноразовый пароль он получает по другому каналу и на другое устройство - SMS-сообщением на мобильный телефон. Для киберпреступников довольно затруднительно одновременно получить доступ к обоим устройствам жертвы, чтобы блокировать извещения о платежах и распоряжаться средствами на счёте.

Напротив, при мобильных платежах SMS-сообщения - и одноразовые пароли, и уведомления о транзакциях - приходят на тот же самый смартфон, на котором посредством мобильного банковского приложения вносятся параметры платежа. Получив доступ к чужому смартфону, при помощи вируса или банальной «физической» кражи, киберпреступники могут распоряжаться средствами ничего не подозревающей жертвы, пока та не заблокирует SIM- карту и доступ к мобильному банкингу.

НЕЛИШНЯЯ ОСТОРОЖНОСТЬ

Мобильные устройства, смартфоны и планшеты всё больше заменяют ноутбуки и сотрудникам банков, и клиентам. Как корпоративным, так и физическим лицам. Понятно, что без надёжно обеспеченной безопасности пользователей модных новинок могут ожидать неприятности. О том, чтобы мобильные электронные платежи были не только удобны, но и безопасны, заботиться приходится в первую очередь банкам.

Для безопасного использования мобильных устройств нужно создать защищённую среду, и для сотрудников банка, и для клиентов. Для сотрудников - определить, к каким функциям управления устройством сотрудник банка будет иметь доступ, а какие будут для него заблокированы, а также обязательно установить антивирусное обеспечение, ограничения на копирование, пересылку и запись данных на внешние носители. Для клиентов - предлагать только проверенные защищённые мобильные платёжные сервисы.

Сложность в том, что мобильные платежи появились не так давно. Пластиковым платёжным картам уже десятилетия, да и системы ДБО только в России используются уже около 20 лет. А мобильные финансовые сервисы стали использоваться уже после 2000 года. В нашей стране они активно продвигаются не более 5 лет, что не так много для детальной выработки мер информационной защиты.

Требования к безопасности банковских электронных платежей содержатся в отраслевом стандарте Банка России, интернет-платежей - в федеральном законе от № 161-ФЗ от 27 июня 2011 года «О национальной платёжной системе», к платёжным картам - в стандарте PCI DSS. Подобные нормы защиты мобильных платёжных приложений пока не сформулированы, что, безусловно, сдерживает развитие и распространение новых сервисов. Каждому банку, предоставляющему приложения для мобильных платежей клиентам, приходится самостоятельно - целиком под собственную ответственность - решать вопросы безопасности. Осторожность в этом деле более чем уместна.

Учитывая, что подробные требования к безопасности мобильных платежей пока ещё окончательно не выработаны, «СДМ-Банк» с июля 2013 года предлагает клиентам услугу мобильного банкинга с более ограниченным, по сравнению с системой интернет-банка, набором услуг. Указанные ограничения, в первую очередь, касаются сумм и количества платежей, и при этом продиктованы как особенностями интерфейса, так и соображениями безопасности.

Источник:
«СДМ-Банк» (ПАО) (лицензия ЦБ РФ № 1637)
Просмотров: 3100
Читайте нас в