ISSN 2311-8768 (Online) Мониторинг экономических процессов
ISSN 2073-4484 (Print)
БЕЗОПАСНОСТЬ ТРАНЗАКЦИЙ ПРИ ИСПОЛЬЗОВАНИИ ИНТЕРНЕТ-БАНКИНГА Ольга Анатольевна ЮСУПОВА
кандидат экономических наук, доцент кафедры финансов и кредита, бухгалтерского учета и аудита, Омский государственный университет путей сообщения, Омск, Российская Федерация [email protected]
История статьи:
Принята 26.08.2016 Принята в доработанном виде 15.09.2016
Одобрена 22.09.2016 УДК 336.77
JEL: С21, Е41, Е58, в01
Ключевые слова: интернет-банкинг, информационная безопасность
Аннотация
Предмет. В статье рассмотрены некоторые из аспектов разработки digital-стратегии, направленной на повышение качества банковских услуг и расширение их перечня, обеспечение доступности и безопасности интернет-банкинга как наиболее популярного способа дистанционного обслуживания. Новая модель экономических отношений свидетельствует о необходимости формирования самодостаточного электронного бизнеса, в котором основные продукты банка продаются через Интернет, а физическая сеть выполняет роль курьера.
Цели. Анализ текущих показателей в сфере безопасности интернет-банкинга, определение его ключевых недостатков, установление проблем (и способов их решения) в области управления рисками интернет-платежей, разработка организационной модели этого управления.
Методология. В исследовании проблем информационной безопасности интернет-банкинга использованы методы логического, экономического анализа.
Результаты. Проведена оценка показателей безопасности интернет-банкинга, тенденций развития преступности в сфере высоких технологий, а также средств защиты информации. На этой основе выявлены проблемы, перспективы и направления развития интернет-банкинга. Установлены ключевые недостатки и особенности банковской деятельности, определяющие повышенные требования к защищенности. Обозначены два уровня задач, стоящих перед системой информационной безопасности интернет-банкинга. Сформулированы риски при проведении интернет-платежей. Предложена организационная модель контроля над рисками в области защиты интернет-банкинга.
Выводы. Обеспечение безопасности интернет-банкинга требует от банка серьезных финансовых вложений в совершенствование технологии передачи информации, изучение потребительских предпочтений и изменение функционала и интерфейса, в разработку и проведение информационной и рекламной кампаний, что в условиях кризиса с учетом критериев экономической целесообразности приемлемо не для всех кредитных организаций. Неотъемлемой частью эффективной политики безопасности интернет-банкинга является разграничение обязанностей и полномочий в сфере контроля за реализацией разработанных установлений.
© Издательский дом ФИНАНСЫ и КРЕДИТ, 2016
В условиях стремительного развития новых банковских технологий залогом сохранения банком лидирующих позиций в конкурентной среде является повышение качества услуг дистанционного банковского обслуживания (ДБО), обеспечение доступности и расширение перечня услуг интернет-банкинга, принятие комплекса мер по обеспечению его безопасности в рамках digital-стратегии.
Сегодня лишь наличия сайта, возможности подключения интернет-банка и обслуживания в терминальной сети недостаточно для успешной конкуренции на стремительно развивающемся рынке финансовых продуктов и сервисов.
В банках понимают, что клиенты обращают внимание прежде всего на качественные интернет-
сервисы. Небольшие кредитные организации активно внедряют платформенные решения, крупные - собирают собственные команды и разворачивают «гонку вооружений» в части функционала, возможности и удобства использования.
Публикация исследований и рейтингование сервисов ДБО только подстегивают участников рынка. Место в рейтинге становится одним из ключевых показателей эффективности для подразделений дистанционного банковского обслуживания как наиболее наглядный параметр деятельности проектной команды. В качестве бизнес-показателей эффективности сервиса выделяют:
• число активных клиентов (принятое большинством банков определение: клиент,
который хотя бы раз в квартал воспользовался сервисом, провел транзакцию);
• доля клиентов (относительно общей клиентской базы банка), пользующихся ДБО;
• комиссионный доход сервисов [1].
Заметно изменилась и парадигма digital-banking1. Если несколькими годами ранее речь шла больше о технической и операционной составляющих -переводе рутинных операций, повышении функциональности сервиса, развитии мобильного приложения и т.д., то сейчас на первый план выходит маркетинг - привлечение клиентов через сеть, допродажи через интернет-банк и мобильные приложения, обслуживание, а также взаимодействие с клиентами посредством электронной почты, СМС-сообщений, социальных сетей.
Новая модель говорит о необходимости формирования самодостаточного электронного бизнеса с пониманием того, что основные продукты банка - кредиты и депозиты -продаются через Интернет, а физическая сеть выполняет роль курьера, доставляющего договоры и карты.
О высокой востребованности и растущем потребительском спросе на получение услуг с помощью интернет-банкинга свидетельствуют статистические данные, представленные на сайте макрорегулятора (табл. 1).
Как следует из приведенных сведений, существенная доля распоряжений, составленных в электронном виде, приходится на переданные посредством Интернета (в 2016 г. - около 37%, почти 238 млн). На протяжении последних четырех лет эти показатели неуклонно растут, однако по своим масштабам отстают от аналогичного показателя в совокупном выражении, в котором на распоряжения в электронном виде, переданные через Интернет, приходится более 80% на общую сумму свыше 88 трлн руб.
1 Digital Banking - современный этап банковского обслуживания, главной характеристикой которого является переход взаимодействия между банком и клиентом из офлайн-отделений в онлайн, цифровые каналы (интернет, телефония). Подробнее см.: URL: https://clck.ru/A8EEj
При этом следует отметить, что число распоряжений из года в год возрастает более активно, в то время как денежный объем замедляет темпы роста - в 2016 г. прирост составил лишь 6,43% против 44,18% двумя годами ранее. Это означает, что отправители стали совершать большее количество платежей на меньшие суммы.
Сложившаяся ситуация может быть обусловлена двумя причинами.
Первая заключается в росте популярности интернет-платежей, значительном увеличении числа пользующихся системами удаленного банковского обслуживания за счет клиентов с разным платежным оборотом и уровнем доходов и, как следствие, усреднении размера платежа.
Вторая означает, что пользователи дистанционного банковского обслуживания утрачивают доверие к сервису в силу разных причин, в том числе связанных с безопасностью, и снижают среднюю сумму одного платежа.
Несмотря на очевидные плюсы ДБО, рассмотренные автором в предыдущих публикациях2 (удобство, доступность, оперативность, выгодность и др.), нельзя не принимать во внимание некоторых аспектов.
Охарактеризуем ключевые недостатки интернет-банкинга, выявленные по итогам изучения данной проблемы в научной и периодической литературе (работы В.А. Конявского, В.А. Маврусовой, С. Насытко, Р. Пашкова, И.А. Поздеевой, С. Поляткова, Л.А. Самсоновой, Н.В. Самчетовой, А. Сухаренко [2-5]3), анализа клиентских диалогов
2 Юсупова О.А. Развитие и место дистанционного банковского обслуживания в банковской конкурентной среде // Финансовая аналитика: проблемы и решения. 2016. № 33. С. 37-51; Юсупова О.А. Интернет-банкинг как направление диджитализации банковского бизнеса: состояние, проблемы, перспективы // Финансовая аналитика: проблемы и решения. 2016. № 34. С. 12-25.
3 Полятков С. Используем личный счет вместо расчетного // Арсенал предпринимателя. 2015. № 11. С. 40-43; Самсонова Л.А. Дистанционное банковское обслуживание // Философские проблемы информационных технологий
и киберпространства. 2013. № 2. C. 81-91; Сухаренко А. Киберщит для бизнеса // ЭЖ-Юрист. 2014. № 43. С. 9; Насытко C. Терминалы самообслуживания как средство предоставления дистанционных банковских услуг // Банковские технологии. 2014. № 7. C. 32-33; Пашков Р. Управление рисками дистанционного банковского обслуживания // Бухгалтерия и банки. 2015. № 8. C. 45-53.
на банковских форумах и отзывов пользователей в
глобальной сети Интернет.
1. Первое место в списке проблем на протяжении последних лет занимает недостаточный уровень информационной безопасности: слабая организация защиты платежей и сохранности финансовых средств клиентов на счетах. Специалисты высказывают мнение о том, что еще долго будет существовать проблема, связанная с кражами персональных данных киберпреступниками.
В последнее время наиболее популярным способом хищения средств является отправка СМС-сообщений или почтовой рассылки клиенту от лица банковской организации.
По-прежнему не исключен такой способ мошенничества, как создание фишинговых сайтов, на 100% имитирующих интерфейс соответствующей системы интернет-банкинга, и подделка электронной цифровой подписи клиента с помощью различных средств.
Безусловно, существование этой проблемы ведет банки к активному поиску путей ее ликвидации посредством использования новейших разработок в области безопасности интернет-платежей, а макрорегулятор - к оперативному реагированию через издание соответствующих указаний и писем.
Поскольку вопросам безопасности отводится первоочередная роль в составе условий развития интернет-банкинга, далее причины, содержание и способы решения этой проблемы буду рассмотрены более подробно.
2. Немаловажную роль в существовании названной проблемы играет отсутствие единого нормативно-правового акта, регулирующего использование интернет-банкинга. Как отмечалось автором в предыдущих публикациях, несмотря на широкое
распространение удаленного банковского обслуживания и нарастающий интерес к нему со стороны банков и клиентов, пробелы в его нормативном регулировании и отсутствие официального определения остаются серьезным упущением.
В письме Банка России от 31.03.2008 № 36-Т «О Рекомендациях по организации управления рисками, возникающими при осуществлении кредитными организациями операций с применением систем интернет-банкинга» содержится определение интернет-банкинга, дающееся, однако, только «для целей данных Рекомендаций».
В основополагающем документе финансового сектора - Федеральном законе от 02.12.1990 № 395-1 «О банках и банковской деятельности» -не содержится даже упоминания о дистанционном банковском обслуживании и интернет-банкинге.
Таким образом, в настоящий момент складывается ситуация, когда регламентация ключевых вопросов обеспечения безопасности повсеместно распространенного интернет-банкинга нашла отражение лишь в некоторых актах рекомендательного характера, что представляется недопустимым в условиях широкого практического применения данных технологий и большого количества рисков, возникающих при их предоставлении.
Становится очевидным, что прежде всего необходимо закрепить основные принципы предоставления услуг ДБО в целом и интернет-банкинга в частности и особенности их предоставления в законе «О банках и банковской деятельности». К примеру, гл. IV «Межбанковские отношения и обслуживание клиентов» можно дополнить ст. 30.1 «Дистанционное банковское обслуживание».
3. Технические сбои - проблема, которая во многом зависит от количества пользователей и нагрузки на систему. Однако в ряде случаев она связана с сервисом, который обслуживает данный продукт, необходимостью проведения технических работ, внедрения дополнительных функций и разработок в программное обеспечение.
В связи с техническими сбоями у клиента могут не проходить (проходить повторно) операции или отсутствовать возможность использования удаленного доступа управления счетами. Такие проблемы негативно сказываются на имидже банка [6].
Кроме технических сбоев в сервисе банков возможны сбои и у посредников, услугами которых пользуется клиент при использовании услуг банка. Такими посредниками могут быть интернет-провайдер или поставщик сотовой связи. От качества предоставляемых ими услуг зависит качество получаемой клиентом услуги.
Например, неполучение клиентом из банка СМС-сообщения для подтверждения входа в интернет-банкинг или проведения операции вызывает определенные трудности; медленное соединение, которое не позволяет загрузить страницу или увеличивает время проведения операции, создает негативное впечатление о предоставляемой услуге [7].
4. Сложность интерфейса, созданного для обслуживания интернет-банкинга. Следует отметить, что, как правило, банковские организации покупают готовое программное обеспечение и не заостряют своего внимания на таких мелочах, как простота и понятность проведения банковского платежа, а клиенты сталкиваются с такой проблемой, как сложность совершения простейших банковских платежей.
Как следует из анализа данных рис. 1, лидирующие позиции среди разработчиков программного обеспечения для ДБО занимает компания BSS («Бэнкс Софт Системс») - 29%, а на собственные программные разработки, которые не всегда удачны, приходится примерно четвертая часть рынка.
Решения BSS, которые являются наиболее качественными в силу специфики компании (разработка программного обеспечения), используют более 1 700 банков и их филиалов в России и ближнем зарубежье, в том числе свыше 55% банков уровня топ-100. Среди клиентов компании - крупнейшие банки: ПАО Сбербанк, Банк ВТБ (ПАО), Банк ГПБ (АО), ПАО Банк «ФК Открытие», АО «Россельхозбанк», АО ЮниКредит Банк, ПАО «АК БАРС» БАНК, ПАО АКБ «Связь-Банк», ПАО «УРАЛСИБ», Банк «Возрождение» (ПАО) и др.
В ряде случаев сложность программного продукта приводит к тому, что клиенты вынуждены вникать в инструкции и
рекомендации. Как следствие, интернет-банкинг начинает восприниматься негативно, а самим банком расценивается не как бизнес, дающий прибыль, а как способ оказания услуг [8].
Международное рейтинговое агентство ЯАЕХ («Эксперт РА») в 2015 г. составило рейтинг банков, которые используют системы интернет-банкинга. Результаты по критерию удобства и функциональности интерфейса представлены в табл. 2. Следует отметить, что большая часть банков, занимающих передовые позиции рейтинга, использует достаточно дорогостоящие в разработке решения компании BSS.
Активно растет доля систем ДБО, предоставляющих возможность выставления платежа поставщиком услуг пользователю, в том числе автоматически (таких систем уже 36%, что на 7 п.п. выше результатов исследования 2014 г.). В ряде лучших систем пользователь, единожды заполнив данные о своем автомобиле, получает информацию о новых штрафах ГИБДД в автоматическом режиме с возможностью оплатить их, перейдя на сайт по ссылке или отправив СМС-сообщение.
Провайдеры ДБО автоматизируют и оплату мобильного телефона: популярность набирает функция автоматического пополнения счета при снижении средств ниже определенного уровня.
Таким образом, система интернет-банкинга «запоминает» данные о клиенте (номер телефона, госномер автомобиля, интернет-провайдер и пр.) и совершает рутинные платежи
4
в автоматическом режиме .
5. Недостаточная информированность клиентов банка о новых технологиях и способах защиты от мошеннических действий. Этот недостаток прежде всего связан с отношением самой кредитной организации к интернет-банкингу как к сопутствующей услуге. Филиальная модель ведения бизнеса приводит к тому, что в силу недостаточной информированности клиент либо просто не пользуется услугой, либо попадает в руки мошенников, приобретая
4 Куприн Е.А. Преимущества электронного кошелька перед мобильным банком // Расчеты и операционная работа в коммерческом банке. 2014. № 6. С. 59-64.
негативный опыт и отказываясь в дальнейшем от использования услуги.
6. Сегодня по-прежнему актуальна проблема ограниченных технических возможностей электронных услуг. Дело в том, что неравномерное развитие телекоммуникационных систем в стране оборачивается тем, что в регионах у пользователя отсутствуют дешевые каналы передачи данных, которые могут обеспечить нормальную работоспособность технологии интернет-банкинга. В итоге клиенты вынуждены пользоваться мобильными каналами связи для входа в личные кабинеты, в результате чего теряются скорость операций и часть функционала системы.
Решение каждой из обозначенных проблем требует от банка серьезных финансовых вложений в совершенствование технологии передачи данных, изучение потребительских предпочтений и изменение функционала и интерфейса, в разработку и проведение информационной и рекламной кампаний, что в условиях кризиса приемлемо не для всех кредитных организаций, если исходить из критериев экономической целесообразности.
Что касается проблемы обеспечения информационной безопасности, то здесь последствия нерешенности могут не только оказаться негативными для имиджа банка, но и существенно ударить по его финансовым показателям. Об этом упоминается в работах С. Груздева, С.В. Козлова, С. Курочкина, Д.Б. Савельева, А. Сухаренко [9, 10]5.
Согласно отчету одной из ведущих международных компаний Group-IB, с каждым годом наблюдается увеличение целевых атак (DDоS-атаки6, спам и т.д.) на банковские организации.
5 Груздев С. Безопасная работа с системами дистанционного банковского обслуживания. Банковские технологии. 2014.
№ 1. C. 42-43; Курочкин С. Защита системы интернет-банкинга // Банковское обозрение. Приложение «Best practice». 2015. № 3. C. 33-35; Сухаренко А. Скимминг вне закона // ЭЖ-Юрист. 2015. № 37. С. 3.
6 Если атака выполняется одновременно с большого числа компьютеров, говорят о DDoS-атаке (англ. Distributed Denial of Service, распределенная атака типа «отказ
в обслуживании»).
В последнее время все чаще клиентам банка удается доказать свою правоту и вернуть украденные деньги по основаниям, предусмотренным ст. 9 Федерального закона от 27.06.2011 № 161-ФЗ «О национальной платежной системе». Вследствие этого именно проблема безопасности интернет-банкинга имеет для банков первостепенное значение. Как отмечает ведущий антивирусный эксперт Лаборатории Касперского Р. Шоуэнберг, потери финансовых организаций в результате действий киберпреступников растут во всем мире.
Установка более надежных систем защиты стоит больших денег, но очевидно, что банкам придется пойти на эти траты.
Сегодня однофакторная аутентификация легко преодолевается злоумышленниками: все, что для этого требуется, - простая программа-кейлоггер для перехвата вводимой с клавиатуры информации.
С одной стороны, рост числа банков, использующих двухфакторную систему аутентификации, привел к увеличению объемов вредоносного программного обеспечения (ПО), способного обойти и такой способ защиты. Это значит, что повсеместное применение двухфакторной аутентификации не даст долгосрочного эффекта, а лишь поднимет планку для создателей вредоносного финансового ПО.
С другой стороны, следует отметить, что большинство банков, использующих в настоящее время двухфакторную систему аутентификации, не настроили ее на максимальную степень защиты. Кроме того, у этой технологии существует серьезный недостаток: несмотря на то что сама сессия интернет-банкинга защищена, контроль над тем, что именно происходит во время сессии, отсутствует. Для усиления защиты требуются дополнительные способы контроля, такие как использование криптографического устройства аутентификации (токена) или СМС-сообщений. С помощью последних можно устанавливать ограничение на срок действия кодов авторизации, доступные для транзакции номера счетов, максимально допустимую сумму транзакции.
Международной исследовательской компанией Aite Group были проведены анализ
информационной безопасности банковских организаций, а также мониторинг существующих угроз. В результате было выявлено, что в настоящий момент изо дня в день появляется до 10 000 новых угроз. Исследователи подчеркивают, что 50% разновидностей новых вредоносных программ разрабатывается для совершения мошеннических действий с электронным банкингом.
Как отмечает Д. Катков, начальник Управления по борьбе с преступлениями в кредитно-финансовой сфере ГУЭБиПК МВД России, в 2015 г. доля компьютерных инцидентов с финансовым ущербом менее 100 тыс. руб. составила 90% от их общего числа. Аналогов с крупным финансовым ущербом (в несколько десятков миллионов рублей) немного, однако на них приходится 90% общего ущерба.
В кредитно-финансовой сфере в 2015 г. выявлено 342 преступления, предусмотренных ст. 159.3 Уголовного кодекса РФ «Совершение мошенничества с использованием платежных карт», предварительно расследовано 239 случаев. А еще зарегистрировано 1 030 преступлений, предусмотренных ст. 159.6 Уголовного кодекса РФ «Мошенничество в сфере компьютерной информации». Предварительно расследован 151 такой факт. То есть процент раскрытия компьютерных преступлений существенно ниже.
Стоит отметить, что представленная статистика не отражает реального положения дел в силу высокого уровня латентности преступлений данных видов. Практика показывает, что с заявлениями о хищении денежных средств с безналичных счетов обращаются в основном крупные кредитные организации с устойчивой положительной репутацией. Остальные не желают привлекать внимание к особенностям своей работы, нередко - из-за имеющихся нарушений законодательства, в том числе использования карточных счетов и банкоматов для незаконных финансовых операций.
Согласно годовому отчету Group-IB, в 2015 г. возросло число атак на банкоматы, а также «мобильных троянов», направленных на заражение персональных устройств физических лиц. В своем документе агентство приводит сводную таблицу, показывающую, что хищения со
смартфона клиента по сравнению с традиционным видом мошенничества выросло в 35 раз (табл. 3).
Обычно кредитные организации стараются построить информационную безопасность, ограничиваясь малым списком вероятных угроз. Основной задачей является защита потенциально ценной для компании информации от конкурентов. Как свидетельствует авторское исследование этого аспекта, для удержания клиентов и привлечения новых при построении информационной безопасности банковской организации необходимо принимать во внимание несколько особенностей, предъявляющих повышенные требования к организации защиты интернет-платежей.
1. Информация, которую обрабатывают и хранят банки, имеет финансовый характер, в связи с чем она вызывает повышенный интерес мошенников. Таким образом, нужно быть готовыми к тому, что способов хищения данных будет заметно больше, чем ожидается.
2. Хранимая и обрабатываемая в банковских организациях информация затрагивает внушительное число клиентов, поэтому недостаточный уровень безопасности ведет к тому, что кредитное учреждение рискует потерять имидж и репутацию перед клиентами.
3. Круглосуточный доступ к банковскому счету клиента увеличивает для злоумышленников вероятность проникновения в банковскую систему.
4. Широкий круг пользователей означает рост числа нештатных ситуаций, следовательно, система безопасности должна быть готовой к их разрешению.
Обозначенные особенности позволяют определить два уровня задач, стоящих перед системой информационной безопасности интернет-банкинга.
1. Аналитические задачи, связанные с планированием, проведением различных исследований по счетам, и т.п. Этот аспект не является оперативным и не требует молниеносного принятия решения. Результат же влияет на создание или обновление политики безопасности банка в отношении конкретной угрозы или уязвимости.
2. Текущие задачи, возникающие в повседневной деятельности банка, например организация платежей или действий, связанных с корректировкой счетов. Ценность данной информации имеет одномоментный характер и с течением времени теряет актуальность. Поэтому кредитные организации должны стремиться всеми способами обеспечить защиту информационного процесса в момент проведения финансовых операций в бесперебойном режиме.
Решение этих задач становится возможным только благодаря строгой регламентации ответственности структурных единиц банка в области обеспечения и контроля безопасности интернет-технологий.
Таким образом, неотъемлемой частью эффективной политики безопасности в сфере интернет-банкинга является разграничение соответствующих обязанностей и полномочий7. Как показывает систематизация практики банковской деятельности в области мониторинга рисков интернет-банкинга, наиболее эффективной и потому распространенной является система, представленная на рис. 2.
Высокий уровень координации усилий подразделений, отвечающих за безопасность системы интернет-банкинга, является залогом эффективной политики безопасности интернет-платежей. В первую очередь это связано с непрекращающимся обновлением способов мошеннических действий, постоянным появлением новых угроз и, как следствие, с разнообразием возникающих нештатных ситуаций, требующих готовности к моментальному принятию решений.
По оценке международного аналитического агентства Group-IB, в 2015 г. система интернет-банкинга РФ от действий мошенников понесла ущерб на общую сумму 1 851 млн долл. США8. В табл. 4 представлены наиболее актуальные виды жульничества за последние пять лет.
Как вытекает из рассмотрения таблицы, самым распространенным способом воздействия
7 Юсупова О.А. Трансформация мониторинга в банковском кредитовании // Инновационная экономика и общество. 2014. № 3. C. 87-95.
8 Отчет о тенденциях развития преступности в области высоких технологий, 2015 г. URL: https://clck.ru/A7DaV
мошенников на банковские счета клиентов на протяжении пяти лет оставалась отправка на почтовые адреса или сотовые телефоны спам-сообщений, содержащих ссылки на вредоносный программный код. От действий нарушителей пострадали даже такие компании, как «Сколково -Нанотех» и «Тройка Венчур Кэпитал», а в платежной системе «Киви» была зафиксирована пропажа 80 млн руб.
Для противостояния подобным угрозам банковские организации пытаются обеспечить информационную безопасность при помощи покупки, установки и модернизации существующих средств защиты информации. В табл. 5 представлены их виды и стоимость. Эти технологии реализованы с помощью программных или аппаратных методов.
Главная идея использования данных средств защиты - обеспечение сохранности информации в банковской организации и предупреждение от возможных утечек данных. Принято делить средства защиты на аппаратные, или технические, и программные.
Аппаратные средства направлены на обеспечение системы информационной безопасности от физического проникновения, а также маскировки данных. Главными достоинствами данных устройств являются дешевизна, легкая настраиваемость и надежность. Основные недостатки - они недостаточно гибки в условиях меняющейся среды, могут утратить функциональные свойства.
Например, при потере сотрудником или клиентом банка своего уникального идентификатора (^В-токена или смарт-карты) образуется весьма уязвимое место в системе безопасности банка, так как злоумышленник может выдать себя за легального пользователя.
Технические средства можно встретить в каждом банке, где у сотрудников имеются персональные карты доступа на рабочее место. Клиент при подписании договора на оказание услуг по ДБО получает уникальный пароль, сгенерированный в ^В-токенах.
Программные средства представляют собой специальные продукты, которые проводят
идентификацию пользователя, контролируют доступ, шифруют, а также контролируют систему защиты банковской организации. Например, использование межсетевого экрана позволяет контролировать трафик, приходящий на серверы банковской организации.
Основными достоинствами таких средств являются универсальность, надежность, гибкость, возможность модернизации. Среди недостатков -ограниченность функциональности в сети банковской организации.
Данные продукты должны реализовывать строгую идентификацию и аутентификацию действующих субъектов доступа, а именно банковскую организацию и клиента, производить защиту съемных дисков с информацией.
Несмотря на разнообразие существующих способов обеспечения информационной безопасности интернет-банкинга, нерешенным остается множество проблем в области рисков при проведении интернет-платежей. Остановимся только на некоторых аспектах.
1. Основной проблемой при организации защиты информации в банке является возможность оперативно в случае заражения системы противостоять угрозе и восстановить систему интернет-банкинга после сбоя.
Данные угрозы можно нейтрализовать с помощью программных мер, создания резервных копий системы с возможностью автоматического восстановления, а также посредством технических средств, использующих источники бесперебойного питания. Однако в условиях экономического кризиса кредитные организации стремятся сократить расходы с длительным сроком окупаемости, вследствие чего вопросы безопасности уходят на второй план.
2. Другой не менее важной проблемой является разграничение прав доступа клиентов к информации, которая хранится и обрабатывается в банковской системе. Для управления доступом банки используют разного рода программное обеспечение. Иногда заменой ему служит антивирусное и межсетевое программное обеспечение.
Более крупные банки стремятся использовать собственные разработки, а менее крупные пользуются сторонними. Однако на рынке доля программного обеспечения средств управления доступом, которые имеют сертификат соответствия федеральных структур, равна примерно 5%, вследствие чего их надежность остается под вопросом. Такой низкий процент объясняется тем, что для разработки и получения требуемого сертификата соответствия разработчики тратят много финансовых и временнь1х вложений.
3. При получении и передаче данных только 60-80% банков используют различные алгоритмы шифрования. Главной причиной отсутствия повсеместного использования подобных средств является сложность генерирования и распределения ключей, а также жесткие требования клиентов, предъявляемые к быстродействию банковской системы.
4. Главными проблемами, в рамках которых кредитные организации недооценивают всех угроз и уязвимостей, по праву считаются недостаточная защищенность телефонных линий связи, а также использование нелицензированного программного обеспечения и персональных компьютеров, разработанных по требованиям Temppest, которые не сертифицированы специалистами Банка России и Федеральной службы безопасности.
Решением данной проблемы является строгое соблюдение рекомендованных стандартов по информационной безопасности, разработанных Банком России и ФСБ.
Рассмотрев возможные проблемы, связанные с информационной безопасностью кредитной организации, можно сделать вывод: во многом уровень защиты интернет-транзакций зависит от желания и возможностей самих финансовых учреждений.
Обеспечение безопасности интернет-банкинга -сравнительно новая проблема, решение которой усложняется необходимостью гарантировать обнаружение постоянно обновляющихся вариантов информационных угроз и их блокировку.
Немаловажное значение придается и повышению уровня грамотности пользователей интернет-банкинга, поскольку именно клиент принимает решение, проходить ли по ссылке или запускать приложение, устанавливать ли в системе все
необходимые обновления и др. Как показывает опыт, пока попытки обучения пользователей недостаточно продуктивны, а меры безопасности, принимаемые банками, бессистемны.
Таблица 1
Сведения о платежах, распоряжения по которым составлены и переданы в электронном виде клиентами кредитных организаций и самими банками
Table 1
Payments where authorization orders were generated and transferred electronically by customers of credit institutions and by the credit institution itself
Количество распоряжений в электронном виде Объем распоряжений в электронном виде
д о и нлм 5? ,а т В том числе отправленных через Интернет, млн е Ss? и, чй ми s s 5? ,а т »о S & 5? ,а тс В том числе отправленных через Интернет, млрд руб. е Ss? и, чй ми s s £ ,а тс
р с ,о г е с И со р п м е н бя ор во 5 S ла ор « со р п м е H гр If со р п м е H бя ор во 5 S ла ор « со р п м е H
1 ^ QKD ra '—1 637,3 98,2 237,5 37,26 118,7 108 782,2 99,7 88 115,4 81 106,4
§ (4
1 ^ rp in CÎ^H 648,8 114,9 200 30,83 108,8 109 124,1 102,9 82 790,1 75,9 101,5
§ (4
si^r ra '—1 564,6 116,5 183,8 32,56 115,9 106 046,8 132,9 81 663 77 144,2
§ (4
ra '—1 484,8 — 158,6 32,7 — 79 802,8 — 56 637,8 71 —
§ (4
Источник: составлено автором на основе данных Банка России Source: Authoring, based on the Central Bank of the Russian Federation data
Таблица 2
Топ-10 систем интернет-банкинга
Table 2
Top 10 online banking systems
Место в рейтинге RAEX 2015 г.: внешний платежный функционал Место в итоговом рейтинге RAEX 2015 Банк (аутсорсинговая компания) Система интернет-банкинга Место в рейтинге RAEX 2014 г.: внешний платежный функционал Изменение места в рейтинге RAEX за год: внешний платежный
г. функционал
1-е 1-е Система НаМуВапк НаМуВалк 1-е -
2-е 4-е Система Faktura.ru Faktura.ru 3-е Т1
3-е 8-е АО «Тинькофф Банк» Интернет-банк 9-е Т6
4-е 6-е ОАО «Сбербанк России» Сбербанк Онлайн - -
5-е 2-е АО «Альфа-Банк» Альфа-Клик 5-е -
6-е 14-е ОАО «Первобанк» Интернет-Первобанк 13-е Т7
7-е 12-е ПАО «БИНБАНК» БИНБАНК-онлайн - -
8-е 26-е ОАО АКБ «Авангард» Авангард Интернет-банк 8-е -
9-е 3-е Финансовая группа «Лайф» eLife 2-е 47
10-е 22-е КБ «Интеркоммерц» Е-банк - -
Источник: данные RAEX («Эксперт РА») по результатам анкетирования Source: RAEX (Expert RA), a survey
Таблица 3
Оценка рынка высокотехнологичных преступлений Table 3
Evaluation of high-tech crimes and the relevant market
Сегмент рынка РФ Число преступных групп Общее число успешных атак в день Средняя сумма одного хищения, руб- Сумма хищений в день, руб. Сумма хищений со II квартала 2014 г. по II квартал 2015 г., руб.
Хищения в интернет- 8 16 480 000 7 680 000 1 912 320 000
банкинге со счетов
юридических лиц
Хищения в интернет- 2 2 76 500 153 000 38 097 000
банкинге со счетов
физических лиц
Хищения со счетов 14 70 3 500 245 000 61 005 000
физических лиц с Android-
троянами
Целевые атаки на банки 3 - 90 000 000 - 638 000 000
Источник: данные Group-IB по результатам анкетирования Source: Group-IB, a survey
Таблица 4
Виды и количество мошеннических действий в области интернет-банкинга, долл. США (средний валютный курс -57 руб./долл.)
Table 4
Types of online banking fraud and their number, U.S. dollar (average foreign exchange rate of 57 RUB per U.S. dollar)
Вид мошенничества Год
2011 2012 2013 2014 2015
Мошенничество в системах интернет-банкинга 490 446 289 293 275
Обналичивание денежных средств 122 89 59 63 55
Банковский фишинг* 55 57 50 48 45
Хищение электронных денег 30 23 28 32 27
Кардинг** - - 340 340 290
Спам 553 493 549 530 500
Поддельное ПО 135 120 112 115 120
Продажа трафика 153 167 196 185 193
*** Продажа эксплоитов 41 52 48 51 49
Продажа загрузок 27 33 35 31 32
Предоставление услуг по анонимизации 9 9 9 9 9
DDoS-атаки 130 110 113 112 108
Иное 168 168 153 148 148
Итого... 1 913 1 767 1 981 1 957 1 851
* Фишинг (англ. phishing от fishing - рыбная ловля, выуживание) - вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей - логинам и паролям.
** Кардинг (англ. carding) - вид мошенничества, при котором производится операция с использованием платежной карты или ее реквизитов, не инициированная или не подтвержденная ее держателем.
*** Эксплойт, эксплоит, сплоит (англ. exploit, эксплуатировать) - компьютерная программа, фрагмент программного кода или последовательность команд, использующие уязвимости в программном обеспечении и применяемые для проведения атаки на вычислительную систему.
Источник: данные Group-IB по результатам анкетирования Source: Group-IB, a survey
Таблица 5
Средства защиты информации в банковской организации и их цены, руб./ед. Table 5
Data protection means in the banking organization, RUB per unit
Наименование средства Цена
Аппаратные
ШВ-токены 2 500
Смарт-карты 500
SecretNet 11 500
«Страж ЫТ» 8 500
Программные
Технология 3D-Secure -
ПО с двухфакторной аутентификацией 3 500
Протокол HTTPS -
Межсетевые экраны 5 000
Источник: данные AP Security Source: AP Security data
Рисунок 1
Структура разработчиков системы ДБО для физических лиц Figure 1
The structure of developers of the remote banking system for individuals
Источник: Markswebb Rank & Report, по результатам анкетирования Source: Markswebb Rank & Report, a survey
Рисунок 2
Организационные уровни контроля рисков в области безопасности интернет-банкинга
Figure 2
Organizational levels of control over online banking security risks
Уровень 1: руководители внутренних структурных подразделений банка
Контроль за полнотой и своевременностью представления сведений о показателях оценки безопасности системы интернет-банкинга.
Контроль за выполнением работниками структурных подразделений процедур, влияющих на безопасность систем интернет-банкинга.
Контроль за выполнением мероприятий по предотвращению угроз безопасности при использовании интернет-банкинга
Уровень 2: комитеты информационной безопасности и управления рисками банка
Мониторинг количественных параметров безопасности интернет-банкинга. Мониторинг состояния и размера риска системы интернет-банкинга. Предотвращение длительного ухудшения одного и (или) нескольких параметров управления риском в интернет-банкинге.
Контроль за выполнением комплекса мероприятий в случае нахождения банка под воздействием чрезмерных рисков
Уровень 3: правление банка
Установление ограничений и процедур контроля в целях выполнения лимитов по текущей деятельности банка, установленных советом директоров.
Недопущение длительного ухудшения одного и (или) нескольких параметров управления безопасностью системы интернет-банкинга.
Контроль за соответствием параметров управления риском в интернет-банкинге текущему состоянию и стратегии развития банка
Уровень 4: совет директоров банка
Недопущение длительного чрезмерного воздействия рисков безопасности системы интернет-банкинга на банк в целом.
Контроль за управлением риском в системах интернет-банкинга со стороны исполнительных органов банка.
Общий контроль за функционированием системы управления банковскими рисками
Источник: составлено автором Source: Authoring
Список литературы
1. Новиков А. Трансформация digital-стратегии // Банковское обозрение. 2016. № 5. С. 66-68.
2. Конявский В.А. Минимизация рисков участников дистанционного банковского обслуживания // Вопросы защиты информации. 2014. № 4. С. 3-4.
3. Медведева М.Б., Маврусова В.А. Улучшение качества дистанционного обслуживания в России: мобильный эквайринг и мини-терминалы // Финансы, деньги, инвестиции. 2015. № 1-2. С. 35-37.
4. Поздеева И.А. Актуальные вопросы дистанционного банковского обслуживания с использованием интернет-технологий // Проблемы современной экономики. 2013. № 2. С. 150-154.
5. Самчетова Н.В. Инновационный формат банковского обслуживания: планшет в руках клиента // Банковские услуги. 2015. № 3. С. 29-32.
6. Юсупова О.А. Инновационные технологии в подготовке бакалавров финансового профиля // Инновации в образовании. 2015. № 7. С. 79-90.
7. Доронкин М., Ионова А. Онлайн-возможности: на этапе насыщения // БДМ. Банки и деловой мир. 2015. № 6. С. 81-86.
8. Шустов А.А. Инновационная деятельность в банковской сфере. Электронные инновации // Молодой ученый. 2013. № 9. С. 269-275.
9. Козлов С.В. Некоторые аспекты правового регулирования дистанционного банковского обслуживания // Банковское право. 2014. № 3. С. 57-65.
10. Савельев Д.Б. Гражданско-правовые аспекты распределения рисков в интернет-банкинге // Банковское право. 2016. № 3. С. 31-36.
Финансовая аналитика: Financial Analytics:
проблемы и решения 35 (2016) 26-40 Science and Experience
ISSN 2311-8768 (Online) Monitoring of Economic Processes
ISSN 2073-4484 (Print)
SECURITY OF TRANSACTIONS IN ONLINE BANKING Ol'ga A. YUSUPOVA
Omsk State Transport University, Omsk, Russian Federation [email protected]
Article history:
Received 26 August 2016 Received in revised form 15 September 2016 Accepted 22 September 2016
JEL classification: C21, E41, E58, G01
Keywords: online banking, information security
Abstract
Importance The article overviews some aspects of articulating the digital strategy for increasing the quality of banking services and expanding their spectrum, providing affordability and security of online banking as the most popular method of remote banking service. The new model of economic relationships indicates the need to raise self-sustainable e-business, where key banking products are sold via the Internet, with real offices operating as a delivery service.
Objectives The research analyzes the current indicators of online banking security, determines its key weaknesses, issues, solutions in online payment risk management, and sets up an organizational model of such management.
Methods The research draws upon the methods of logic and economic analysis.
Results I evaluated online banking security indicators, criminal trends in hi-tech, and means of data
protection. I identified issues, prospects and areas for online banking development and pointed out
key weaknesses and specifics of banking that required higher security. The article mentions two
levels of goals the data security system of online banking is to meet, and online payment risks. I also
present an organizational model for control over online banking protection risks.
Conclusions and Relevance Online banking security requires the bank to make a considerable
financial investment in improvement of data transfer technologies, survey consumers' preferences
and change functionality and interface, develop and conduct information and advertising campaigns.
Few credit institutions can afford it during crises. The effective policy is indispensable without
segregation of duties and authority of control over implementation of the developments.
© Publishing house FINANCE and CREDIT, 2016
References
1. Novikov A. [The digital strategy transformation]. Bankovskoe obozrenie = Banking Review, 2016, no. 5, pp. 66-68. (In Russ.)
2. Konyavskii V.A. [Mitigating risks of remote banking parties]. Voprosy zashchity informatsii = Information Security Questions, 2014, no. 4, pp. 3-4. (In Russ.)
3. Medvedeva M.B., Mavrusova V.A. [Improving the quality of remote banking service in Russia: mobile acquiring technologies and mini-terminals]. Finansy, den'gi, investitsii = Finances, Money, Investments, 2015, no. 1-2, pp. 35-37. (In Russ.)
4. Pozdeeva I.A. [Current issues of remote banking services delivered through Internet technologies].
Problemy sovremennoi ekonomiki = Problems of Modern Economics, 2013, no. 2, pp. 150-154. (In Russ.)
5. Samochetova N.V. [The innovative format of banking: the client holding a tablet]. Bankovskie uslugi = Banking Services, 2015, no. 3, pp. 29-32. (In Russ.)
6. Yusupova O.A. [Innovative technologies as part of financial bachelors' training]. Innovatsii v obrazovanii = Innovation in Education, 2015, no. 7, pp. 79-90. (In Russ.)
7. Doronkin M., Ionova A. [Online options: the saturation stage]. BDM. Bank i delovoi mir = BDM. Banks and Business World, 2015, no. 6, pp. 81-86. (In Russ.)
8. Shustov A.A. [Innovative activity in banking. Electronic innovation]. Molodoi uchenyi = Young Scientist, 2013, no. 9, pp. 269-275. (In Russ.)
9. Kozlov S.V. [Some aspects of legal regulation of remote banking services]. Bankovskoe pravo = Banking Law, 2014, no. 3, pp. 57-65. (In Russ.)
10. Savel'ev D.B. [Civilian and legislative aspects of risk allocation in the Internet banking]. Bankovskoe pravo = Banking Law, 2016, no. 3, pp. 31-36. (In Russ.)