Эксперт № 47 (2013)
Шрифт:
Злоумышленники уже научились взламывать упомянутые выше новые системы двухфакторной защиты. «Классические SMS с одноразовыми паролями уже не могут обеспечить хороший уровень защищенности, — подчеркивает Алексей Тюрин , директор департамента аудита компании Digital Security. — Проблема в том, что пользователи часто ставят на смартфоны множество приложений и разрешают им доступ к SMS. Этим и пользуются вирусописатели. Уже существуют продвинутые банковские вирусы, которые работают совместно: и на компьютере, и на смартфоне. Вирус на компьютере позволяет создать и отправить платежное поручение, а SMS с паролем для подтверждения платежа приходит на смартфон, откуда через соответствующее приложение переправляется злоумышленнику. Чтобы увеличить
Внутренняя угроза
Понятно, что индустрия защиты от киберпреступников тоже не стоит на месте. Наиболее перспективные сейчас способы защиты от банковских интернет-мошенников — персональные средства аутентификации в виде USB-брелоков (так называемые токены) или смарт-карт.
На такие устройства вирусам проникнуть очень сложно, так как они хранятся отдельно от компьютера. При необходимости совершения сделки устройство подключается к компьютеру, и в нем генерируется нужный разрешающий код для доступа к банковскому счету. «Мы считаем перспективным применение токенов, причем моделей с экранами вместо обычных токенов, — говорит Алексей Тюрин. — Дело в том, что клиент, подписывая платежное поручение с помощью обычного токена, получает информацию о том, что подписывает, только через свой компьютер. Злоумышленник различными способами может подменить информацию на ПК клиента, и тот подпишет и отправит деньги злоумышленнику. Здесь могут спасти токены с экранами, которые являются дополнительным доверенным каналом получения информации о будущем платеже».
Одновременно наблюдатели критикуют позицию многих банков, которые совершенствуют свои системы защиты без особого рвения. «У ряда банков простая арифметика: если сумма убытков от мошенничества меньше, чем затраты на внедрение дополнительных мер безопасности, не имеет смысла что-то менять, — продолжает Алексей Тюрин. — Если банк составляет “правильный” договор, который перекладывает на клиентов всю ответственность за инциденты мошенничества, то, согласно российскому законодательству, клиентам очень трудно вернуть свои деньги даже в том случае, если хищение осуществлялось через уязвимости в системе самого банка. Наши исследования в области анализа защищенности систем дистанционного банковского обслуживания показывают, что примерно в 80–90 процентах случаев потенциальные возможности хищения денежных средств у клиентов существуют из-за проблемы с информационной безопасностью в самих банках. К сожалению, клиентам очень сложно доказать, что виноват именно банк».
Не стоит забывать и про такую опасность, как внутренние угрозы банков. «Мне представляется, что в скором времени массовый потребитель банковских услуг осознает простую вещь: внутренние угрозы опаснее внешних, — заявляет Николай Федотов из InfoWatch. — То, что это верно для других областей, уже всем очевидно. И только банки всеми силами привлекают внимание публики к внешним злоумышленникам — и старательно отвлекают от внутренних. Хотя именно инсайдеры-злоумышленники виноваты в большинстве хищений и других инцидентов».
«Основной защитой любой системы является грамотность ее пользователей, — продолжает тему Аркадий Прокудин , заместитель руководителя центра компетенции информационной безопасности компании “АйТи”. — До сих пор встречаются сотрудники, которые записывают пароли на бумажках и клеят их на монитор. Или используют пароли вроде 12345678, 00000 или “пустой” пароль. На мой взгляд, обученный специалист, соблюдающий политику безопасности компании, — это уже организация защиты на 50 процентов, все остальное доводится дополнительными решениями».
Наконец, участники рынка говорят о необходимости усиления роли государства в области регулирования интернет-банкинга. По последним данным, Банк России собирается в ближайшее время подготовить новый обязательный перечень правил для банков, предоставляющих услуги интернет-платежей.
Как банки могут снизить угрозу интернет-банкинга
Дмитрий Бирюков , заместитель начальника отдела информационной безопасности банковских систем компании "Астерос":
Дмитрий Бирюков
– Прежде всего стоит отметить, что само понятие "интернет-банкинг" в России весьма расплывчато. В российском законодательстве до сих пор не существует нормативного документа с соответствующей четкой формулировкой. Эта деятельность регулируется различными федеральными законами, а также нормативными актами Банка России. Но до тех пор, пока нет официального определения, каждая кредитная организация в договоре с клиентом на дистанционное банковское обслуживание вынуждена сама описывать, что она понимает под интернет-банкингом. От того, насколько полно и грамотно составлен этот документ, зависят последствия споров между банком и клиентом. Для примера: типовой договор Bank of America с клиентом занимает около 60 страниц и описывает практически все возможные случаи и распределение ответственности между сторонами. Особое внимание в подобном документе уделяется как раз вопросам обеспечения информационной безопасности.
Ну а если говорить о том, какими средствами сегодня можно обеспечивать защиту интернет-банкинга, то первое, что нужно сделать, - в дополнение к имеющейся технической и эксплуатационной документации на системы, обеспечивающие предоставление услуг интернет-банкинга для клиентов, разработать пакет организационно-распорядительных документов по обеспечению информационной безопасности. Затем необходимо продумать регламенты и инструкции для сотрудников самого банка. И наконец, разработать инструктивные документы для клиентов, пользующихся данной услугой. Эта информация должна быть понятно и юридически грамотно отражена в заключаемых с клиентами договорах на дистанционное банковское обслуживание.
С точки зрения программно-технических мер защиты обязательной на сегодня является система двухфакторной аутентификации при осуществлении интернет-банкинга. Помимо этого в банках сейчас действует довольно много систем, прямо или косвенно помогающих защите данных, - от самых простейших до сложных аналитических решений для обнаружения вторжения, систем мониторинга и противодействия мошенничеству.
Важной частью работы по обеспечению безопасности является информирование и обучение клиентов банка в области дистанционного банковского обслуживания (ДБО). Они должны уметь использовать имеющиеся у банка технологии ДБО и быть проинформированы о возможных рисках.
Правильно сгруппироваться
Глеб Жога
Для сбалансированного развития Пермского края необходимо демпфировать внешнюю конъюнктуру, влиять на госполитику в оборонном комплексе и машиностроении и привлекать инвесторов
Губернатор Пермского края Виктор Басаргин
В прежние времена Пермский край часто слыл новатором среди российских регионов, а уж на уральских территориях эта слава за ним закрепилась прочно. Не так давно, весной 2012 года, в крае сменилась управленческая команда. Новый глава Прикамья Виктор Басаргин известен своей аккуратностью и вдумчивостью. «Ну Виктор Федорович сплеча рубить не любит…» — частенько услышишь от его коллег и подчиненных. И похоже, традиционный подход к управлению регионом в нынешние времена приходится кстати. Мы расспросили губернатора о том, как развивается экономика Пермского края в непростой период «умеренного роста».