Как защитить финансы при дистанционном банковском обслуживании
07:47 | 22.07.2010
Эксперт: В экономике сегодня сохраняется депрессия Чистый убыток банков сократился Украинцы полюбили депозиты в гривне Регистрацию кириллических доменов отложили Коммерческие банки станут уязвимыми Вступили в силу новые правила платежей
Спрос на интернет-банкинг как канал доступа к банковским услугам со стороны предпринимателей не пострадал от кризиса. Дистанционное взаимодействие обеспечивает полное расчетное и депозитарное обслуживание, проведение операций по счетам клиента, не посещая отделения банка. Это позволяет корпоративным клиентам (а также СПД и частным лицам) экономить деньги и собственное время. По словам Татьяны Задорожной, главного бухгалтера управляющей компании Brain Source International, система "клиент—банк" действительно намного упростила работу. "Значительная экономия времени, уменьшение объема "ручного труда", сокращение количества бумажных носителей, исключение многих ошибок, так как система сразу проверяет соответствие номеров счетов с кодами МФО банков, автоматическая загрузка данных из системы в бухгалтерские программы", — отмечает преимущества данного канала связи с банком г-жа Задорожная. Однако безопасная работа в системе "клиент—банк" требует от пользователя соблюдения ряда правил. В противном случае беспечный клиент рискует стать жертвой электронных мошенников.
За семью замками
Все без исключения финучреждения должны обеспечить безусловное соответствие своей системы дистанционного обслуживания клиентов требованиям безопасности, которые определяет действующее законодательство, стандарты и нормативные документы как Национального банка Украины, так и созданные внутри банка.
В частности, конфиденциальность обмена информацией между клиентом и банком с использованием системы "клиент—банк" обеспечивается за счет шифрования, а целостность и аутентичность — благодаря ЭЦП (электронный аналог личной подписи).
Как правило, банки работают с системами "клиент—банк", созданными специализированными компаниями-разработчиками, деятельность которых в этой области лицензируется государством. Независимо от репутации разработчика, ни одна система, по утверждению Владимира Голованя, начальника отдела защиты информационных систем АО "Сведбанк" (публичное), не обеспечивает 100% безопасности. Каждая программа, интегрированная в ИТ-инфраструктуру банка, уязвима по-своему. "С точки зрения безопасности все представленные на отечественном рынке системы "клиент—банк" примерно одинаковы, они соответствуют предъявляемым к ним требованиям, — поясняет г-н Головань. — Поэтому для банка безопасность дистанционного обслуживания — это не состояние, а непрерывный цикличный процесс, который включает в себя мониторинг работы системы, анализ обнаруживаемых уязвимостей, разработку и имплементацию контрмер и пр.".
При выборе компании-разработчика банк предъявляет определенные требования к софту. "Требования к обеспечению безопасности информации у каждого банка свои, — объясняет Антон Голиков, руководитель отдела web-технологий компании "Инком". — Нижняя граница — это ограничения НБУ, касающиеся только информации, выходящей за пределы банка, например в межбанковскую платежную систему. Эта информация должна быть защищена электронно-цифровыми подписями (ЭЦП). Остальная часть транзакций, например перевод средств с одного счета клиента на другой внутри банка, остается на откуп банку (это его риски)".
Следствием этой ситуации является то, что часть банков использует сертифицированные в Украине средства защиты информации для системы "клиент—банк", а часть ограничивается лишь одноразовыми паролями, отправляемыми по смс. В свою очередь аргумент банка при выборе той или иной системы — использование разработчиками сертифицированных средств защиты. "Нами была выбрана компания, подтвердившая документально, что те средства защиты, которые были разработаны и использовались в системе, прошли сертификацию в уполномоченных органах, — подчеркивает Владимир Головань. — Нередко компания-разработчик ограничивается лишь получением лицензии на осуществление деятельности, связанной с разработкой и распространением средств криптографической защиты информации".
Дырка в заборе
Злоумышленник, основная задача которого завладеть паролями доступа и ключами ЭЦП, имеет гораздо больше возможностей найти брешь у клиента, нежели у банка. В этом ему помогает недостаточная осведомленность пользователей о тех угрозах, которым они подвергаются, и их беспечность. Наиболее распространенная ошибка клиентов — копирование ЭЦП на жесткий диск. "В моей практике был случай, когда бывший администратор сети воспользовался криптографическим ключом своего руководителя и, дождавшись поступления на счет крупной суммы, попытался ее списать, — рассказывает г-н Головань. — Благодаря бдительности операционистки, которая обратила внимание на странную формулировку назначения платежа и необычный для данного клиента счет получателя, мошенничество удалось предотвратить".
Нередко клиенты оставляют смарт-карту или eToken (от англ. electronic — электронный и token — признак, жетон — персональное средство аутентификации. — Ред.) в USB-порту. Несмотря на то что обычными средствами скопировать информацию с этих носителей на жесткий диск нельзя, существуют вредоносные программы, самостоятельно перехватывающие обращение системы к ЭЦП и подставляющие для подписи фальшивый документ, которым подменяется исходный.
Техника безопасности
Слабое звено в системе "клиент—банк" — пользователь. В 99% случаев именно халатность клиентов становится причиной попадания ЭЦП или паролей в руки мошенников. "Очень редко клиенты строго соблюдают правила безопасности, — отмечает Владимир Головань. — К примеру, не поручают генерацию ЭЦП третьим лицам, демонстративно не вводят личные пароли в присутствии посторонних, не используют "слабые" пароли, регулярно меняют пароли, не оставляют ЭЦП без присмотра и т.д.".
Клиент имеет возможность обратиться в банк за дополнительными мерами усиления безопасности его работы в системе "клиент—банк". Например, настроить систему таким образом, чтобы со стороны банка разрешалась работа клиента только с одного или нескольких конкретных компьютеров — "привязку" клиента по IP- и MAC-адресу. Подобное требование абсолютно обосновано: при выходе в интернет с чужого ПК возрастают риски утраты конфиденциальности информации.
"Существующие меры безопасности меня удовлетворяют, — заявляет Сергей Буханец, директор департамента управления недвижимостью "Рустлер Недвижимость Сервис". — Даже если кто-то узнает мой пароль входа, то динамический пароль-подтверждение идет только на мобильный телефон и действует несколько минут. Фиксация IP-адреса сделает систему платежей негибкой, я не смогу произвести платеж, находясь в другом городе, месте, интернет-клубе. При попытках входа в мою "учетку" банк присылает мне об этом сообщение с указанием IP-адреса взломщика. Был даже случай, когда я выяснил при помощи моих друзей айтишников провайдера, обслуживающего этот IP-адрес, и он его блокировал". Таким образом, несмотря на банковские гарантии, защищенность транзакций в значительной степени зависит от клиентов и соблюдения ими техники безопасности.
Наталия Кабирова
http://ubr.ua/finances/banking-sector/kak-zashitit-finansy-pri-distancionnom-bankovskom-obslujivanii-54099
|
