На дистанции одного банка

48
Технологии. Вы пользуетесь интернет-банкингом, вводя pin-код своей карты или только многоразовые пароли? Профессионалы советуют отказаться от таких систем: они слишком опасны.
4 сентября система интернет-банкинга Faktura.ru (охватывает 230 банков, ее ежедневный оборот превышает 5 млрд рублей) подверглась хакерскому нападению. Были использованы DDOS-атаки, когда с множества компьютеров на атакуемый сервер направляется поток ложных запросов. В итоге сервер тратит ресурсы на обслуживание этих запросов и недоступен для обычных пользователей. Суммарный трафик от атак достигал до 20 Мбит/с. Специалисты Faktura.ru зафиксировали 27 попыток проведения мошеннических операций, из них удалось предотвратить 17. В результате пострадали клиенты пяти банков. Общая сумма ущерба составила 2,18 млн рублей. Только 11 сентября атаки были нейтрализованы и доступ к системе восстановился. Делом о хищении средств занялись компетентные органы.

Повадки мошенников. Но это частный случай. Более распространенный и эффективный способ мошенничества – фишинг. Создаются дубликаты банковских сайтов. Невнимательный клиент, попадая на них, вводит свои конфиденциальные данные, например реквизиты карты с секретным кодом. Перехваченной информации достаточно для совершения покупки в интернет-магазине. А если клиент «поделился» идентификатором и паролем, то может остаться с пустым счетом. «Удобно имитировать такой информационный обмен, подключив клиента к ложной точке доступа Wi-Fi, например в аэропорту», – «обнадеживает» Константин Кузовкин, начальник отдела технических решений департамента информационной безопасности компании «Ай-теко».

Другой вариант угрозы: на компьютер пользователя пробираются программы, которые и похищают конфиденциальную информацию. Наиболее распространены «трояны», подменяющие аутентификаторы пользователя и производящие операции от его имени. Подверженность компьютера атакам вредоносных программ объясняется работой пользователя без антивирусного ПО. «Степень поражения иногда доходит до того, что управление компьютером и доступ к его данным злоумышленники получают круглосуточно и в любом объеме, – говорит председатель правления ЦФТ Александр Погудин. – Случаев, когда пользователь интернет-банкинга на 100% соблюдал меры безопасности, но при этом все равно пострадал от хакеров, пока не существует в истории». В результате банки вынуждены заниматься повышением компьютерной грамотности своих клиентов. «Мы информируем наших клиентов о появлении новых угроз, рекомендуем антивирусные программы и постоянно консультируем по вопросам информационной безопасности», – рассказывает Павел Новиков, начальник управления автоматизации СБ-банка.

Как снизить риск потерь при пользовании интернет-банкингом? Возможен вариант с одноразовыми паролями, когда пользователь получает от банка либо специальную программу для их генерации, либо просто их перечень. Чуть сложнее с криптографией: каждое свое послание пользователь интернет-банкинга шифрует с помощью электронной цифровой подписи (ЭЦП), а ключ для прочтения есть только у банка. Проблема в том, как отрезать посторонним возможный доступ к средству шифрования. Здесь могут использоваться смарт-карты, правда тогда потребуется устройство для считывания данных, которое надо подключать к компьютеру. Или специальный pin-код – проще, но менее надежно.

Спасение в ЭЦП. При оценке степени защищенности интернет-банкинга, по мнению руководителя управления «Фронт-офисные решения» компании «Диасофт» Константина Варова, можно обратить внимание на следующие моменты:

• используемые средства авторизации и аутентификации;

• дополнительные меры повышения безопасности (лимиты операций, лимиты суточные/месячные, лимиты на получателей, регистрация получателей, наличие системы борьбы с мошенниками);

• sms-оповещения о попытках входа и их результатах, о совершении операций;

• наличие колл-центра с функциями технической поддержки и разбора претензий, время соединения со специалистом, оперативность реакции на запросы.

Константин Кузовкин называет недопустимым тот случай, когда для аутентификации требуется вводить pin-код своей карты. Нежелательно использование многоразовых паролей. «Правда их ввод с помощью виртуальной клавиатуры снижает вероятность перехвата со стороны злоумышленника», – отмечает эксперт.

Чем сложнее процесс аутентификации, тем больше защищена система. Так, в СБ-банке при соединении клиента с интернет-сервером вся информация идентифицируется и шифруется. Документы, которыми обмениваются пользователи, подписываются ЭЦП. Ключи хранятся у клиента и защищены pin-кодом. Даже если злоумышленнику станут известны логин и пароль, сделать с деньгами он ничего не сможет. «Чтобы предотвратить попытки несанкционированного списания денежных средств, в них включены процедуры проверки характера платежа, идентификация реквизитов для оплаты и IP-адреса клиента», – добавляет Павел Новиков.

Особый подход. Забота о клиенте и средствах его аутентификации не гарантирует защищенность без серьезного отношения к информационной безопасности back-офиса банка. Для кредитных организаций «человеческий фактор» особенно силен: порой здесь работают люди, даже более неграмотные в плане защиты информации, чем их клиенты. Персонал пытается установить собственное программное обеспечение, и иногда это удается, рассказывает сослуживцам о паролях. «Именно несоблюдение административно-технических мер зачастую приводит к крупным финансовым и репутационным потерям», – говорит директор департамента систем электронного банковского обслуживания компании R-Style Softlab Алексей Кирюшенков.

Усложнение решений по безопасности также вызвано возрастающей функциональностью интернет-банкинга. Банки вынуждены искать неординарные методы защиты. Кроме конкретных программных и аппаратных средств защиты, формируется тактика взаимодействия с клиентами в кризисных ситуациях. В процессе отражения DDOS-атак Faktura.ru обратилась к банкам-партнерам. В результате в течение всего периода атаки банки вручную контролировали сделки стоимостью от 100 тыс. рублей, а 9 сентября не проводились небюджетные платежи.

ЭКСПЕРТЫ О БЕЗОПАСНОСТИ ИНТЕРНЕТ-БАНКИНГА

Александр Погудин, председатель правления Центра финансовых технологий:
– Критериев оценки систем ДБО может быть два: функциональность и удобство использования. Оценить достоинства и недостатки механизма обеспечения информационной безопасности в конкретной системе сложно и не всегда имеет смысл. Во-первых, ее уровень всегда отвечает неким промышленным стандартам. Во-вторых, напрямую зависит от функциональности того, что защищает: чем больше операций позволяет совершать система, тем сложнее алгоритмы авторизации. Косвенно о том, что система «умеет», можно судить по тому, насколько легко получить к ней доступ: чем проще, тем примитивнее функционал.

Константин Кузовкин, начальник отдела технических решений департамента информбезопасности «Айтеко»:
– Проверка подлинности, причем как отправителя, так и получателя сообщения, может быть однофакторной, например по многоразовым паролям, или многофакторной (строгой). Во втором случае пользователь предоставляет несколько аутентифицирующих факторов, например смарт-карту, pin-код, сертификат открытого ключа. Желательно, чтобы «строгий» процесс был организован с применением одноразовых паролей и цифровых сертификатов. При этом необходимо использовать соответствующие аппаратные средства – е-токены, смарт-карты, устройства генерации одноразовых паролей.

Константин Варов, руководитель управления «Фронт-офисные решения» «Диасофта»:
– 2-3 года назад многие отечественные банки не понимали смысла использования систем информационной безопасности. Теперь многие пользователи «доросли» до использования электронных финансовых услуг. Не только интернет-банкинга, но и различных платежных систем, личных кабинетов страховых компаний. Банки, заранее не позаботившиеся о предоставлении своим клиентам таких функций, теперь «кусают локти», упустив этот сегмент рынка. Но в целом это направление, за редким исключением, проспала вся российская банковская система.

Алексей Кирюшенков, директор департамента систем электронного банковского обслуживания компании

R-Style Softlab:
– Банк сам определяет допустимый уровень угроз и рисков и выстраивает соответствующую систему безопасности. Стоимость решения зависит от сложности схем защиты. Традиционные средства аутентификации – одноразовые пароли. В более серьезных решениях применяются средства криптографической защиты. Большую популярность набирает биометрия. Помимо соответствующего уровня проверки пользователей необходимо обеспечить защиту информации на уровне архитектуры самой системы, с разделением ее на сегменты и определением правил их взаимодействия.

Методические рекомендации по управлению финансами компании



Подписка на статьи

Чтобы не пропустить ни одной важной или интересной статьи, подпишитесь на рассылку. Это бесплатно.

Школа

Школа

Проверь свои знания и приобрети новые

Записаться

Самое выгодное предложение

Самое выгодное предложение

Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

Живое общение с редакцией

А еще...


Рассылка




© 2007–2016 ООО «Актион управление и финансы»

«Финансовый директор» — практический журнал по управлению финансами компании

Зарегистрировано Федеральной службой по надзору в сфере связи,
информационных технологий и массовых коммуникаций (Роскомнадзор)
Свидетельство о регистрации Эл №ФС77-43625 от 18.01.2011
Все права защищены. email: fd@fd.ru


  • Мы в соцсетях
×
Зарегистрируйтесь на сайте,
чтобы скачать образец документа

В подарок, на адрес электронной почты, которую Вы укажете при регистрации, мы отправим форму «Порядок управления дебиторской задолженностью компании»

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
Зарегистрируйтесь на сайте,
чтобы продолжить чтение статьи

Еще Вы сможете бесплатно:
Скачать надстройку для Excel. Узнайте риск налоговой проверки в вашей компании Прочитать книгу «Запасной финансовый выход» (раздел «Книги»)

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль