ISSN 2311-875X (Online) ISSN 2073-2872 (Print)
Угрозы и безопасность
КИБЕРБЕЗОПАСНОСТЬ В УСЛОВИЯХ ИНТЕРНЕТА ВЕЩЕЙ И ЭЛЕКТРОННОГО БАНКИНГА Павел Владимирович РЕВЕНКОВЯ% Александр Александрович БЕРДЮГИНь
1 доктор экономических наук, профессор кафедры информационной безопасности, Финансовый университет при Правительстве РФ, Москва, Российская Федерация [email protected]
ь преподаватель кафедры информационной безопасности,
Финансовый университет при Правительстве РФ, Москва, Российская Федерация [email protected]
• Ответственный автор
История статьи:
Принята 14.06.2016 Принята в доработанном виде 22.07.2016 Одобрена 16.08.2016
УДК 336.71 JEL: G21, G29
Ключевые слова: Интернет вещей, кибербезопасность, киберпреступность, дистанционное банковское обслуживание, регулирование
Аннотация
Тема. Актуальность выбранной темы обусловлена отсутствием глубокой научно-практической проработки вопросов обеспечения кибербезопасности в условиях применения электронного банкинга и Интернета вещей. В статье описываются сложившиеся на сегодняшний день условия для возникновения информационного общества, анализируются возможные последствия активного применения информационно-коммуникационных технологий. Дается общее представление о кибербезопасности и перечисляются неблагоприятные факторы развития информационной инфраструктуры. Рассматривается развитие интернет-банкинга в условиях Интернета вещей. Анализируются основные типы кибератак, которые представляют серьезные угрозы для финансовых организаций. Перечисляются факторы, повышающие уровень воздействия кибератак на системы электронного банкинга. Определяются основные направления совершенствования кибербезопасности в условиях применения систем электронного банкинга и Интернета вещей.
Цели. Исследование основных проблем, возникающих вследствие развития Интернета вещей. Рассмотрение проблемы обеспечения кибербезопасности электронного банкинга в условиях применения Интернета вещей. Попытка предложить пути совершенствования кибербезопасности в условиях применения систем электронного банкинга и Интернета вещей.
Методология. В работе проанализированы причинно-следственные связи развития систем ЭБ и возникающих проблем для органов банковского регулирования и надзора. Результаты. Определены основные направления совершенствования кибербезопасности в условиях применения систем электронного банкинга и Интернета вещей. Выводы. Предложены и обоснованы конкретные рекомендации по оптимизации финансовых отношений в условиях развития Интернета вещей и совершенствованию методов и способов киберпреступлений. Обращается внимание на роль регулирующих органов в области обеспечения кибербезопасности организаций кредитно-финансовой сферы в условиях применения систем электронного банкинга и Интернета вещей.
© Издательский дом ФИНАНСЫ и КРЕДИТ, 2016
Информационное общество и кибербезопасность
Средства информационного обмена постоянно развиваются и совершенствуются, что делает наш мир все более взаимосвязанным. Информатизация общества началась во второй половине XX в., а уже к началу XXI в. ею были охвачены практически все отрасли человеческого бытия. За первые 10 лет нового тысячелетия численность «населения» киберпространства возросла с 350 млн до 2 млрд пользователей. При этом Интернет продолжает стремительно развиваться и дальше1. Судя по имеющимся данным, в 2014 г.
1 Трофимов В.В. Информационные технологии в экономике и управлении: учебник для бакалавров. М.: Юрайт, 2012. 521 с.
158 №р://йп-^й.г
число пользователей Интернета по сравнению с 2013 г. увеличилось на 6,6% и составило свыше 3 млрд чел., без подключения оставались 4,3 млрд чел., из которых 90% проживают в развивающихся странах, а за пять лет (с 2009 по 2014 г.) число Интернет-пользователей возросло вдвое2. Таким образом, в связи с глобализацией человечество получило доступ к растущему по экспоненте количеству передаваемой информации. На сегодняшний день с помощью электронной почты по всему миру рассылаются более 200 млрд сообщений в день, а в 2015 г. количество сайтов во Всемирной сети превысило 1 млрд. Однако
2 ITU releases annual global ICT data and ICT Development Index country rankings. URL:
http://itu. int/net/pressoffice/press_releases/2014/68.aspx#. VtnsE_ A1GrX
в целом последствия такого бурного развития информационно-коммуникационных технологий (ИКТ) политологами и международной общественностью еще не осознаны.
Психологи говорят об угрозах интеллектуальной деградации личности из-за чрезмерно длительного пребывания в сети, игромании, мании преследования, боязни (фобии) потерять свой коммуникатор, нарушениях памяти (способности запоминать числа и факты). В самом деле, активному пользователю киберпространства ничего помнить (запоминать) не надо, ему достаточно иметь доступ к информационно-поисковым системам и уметь ими пользоваться. Подобно тому, как постоянное использование калькуляторов буквально подавляет навыки счета в уме, систематическое получение искомых сведений без присущих человеческому мозгу мысленных усилий (например, логических ассоциаций) истощает его, подрывает интуицию, что в целом может привести к ослаблению интеллектуального потенциала человека [1]. Вдобавок постоянное использование внешних приспособлений снижает уровень счастья (условное значение международного индекса счастья, Happy Planet Index) населения. Это, пожалуй, является фундаментальными
проблемами, возникающими вследствие развития ИКТ и Интернета вещей3.
Позитивным же аспектом является повышение общего уровня грамотности населения и конкретного человека, в том числе и с помощью Интернета вещей. Ведь Интернет вещей уже оказывает влияние на здравоохранение, образование, экологию и общую жизнедеятельность, причем возможности дальнейших IoT-взаимодействий практически безграничны.
Согласно данным консалтинговой компании International Data Corporation (IDC), в 2015 г. производственный сектор занимал 64% всего российского рынка IoT по использованию этой технологии и связанных с ней платформ. Еще 20% рынка пришлись на межотраслевой сектор («умные города» и т.п.). В свою очередь,
3 Интернет вещей (англ. Internet of Things, IoT) -это концепция вычислительной сети физических объектов («вещей»), оснащенных встроенными технологиями для взаимодействия друг с другом или с внешней средой, рассматривающая организацию таких сетей как явление, способное перестроить экономические и общественные процессы, исключающее из части действий и операций необходимость участия человека.
государственный и потребительский секторы занимали по 8% российского рынка IoT по использованию этой технологии и связанных с ней платформ. Что касается степени использования технологий IoT в компаниях, то по итогам опроса экспертами IDC 130 руководителей различных компаний:
— 59% фирм не используют технологии IoT;
— 30% компаний экспериментируют с этими технологиями;
— 9% внедрили один или два сценария;
— 4% компаний уже интегрируют несколько работающих систем с технологиями, связанными с IoT.
Отсюда следует, что в целом интерес со стороны организаций к технологиям и платформам Интернета вещей уже наблюдается, но окончательно пока не сформировался4. Тем не менее повсеместное применение ИКТ непрерывно расширяется, и человеческая жизнь уже немыслима в отрыве от этого процесса.
Развитие виртуальных взаимоотношений между людьми и различными организациями создало и новый класс преступников,
специализирующихся на преступлениях в области высоких технологий, - киберпреступников, а для борьбы с ними - киберполицейских, и новое направление - кибербезопасность5.
Под кибербезопасностью в широком смысле понимают состояние защищенности в новой виртуальной сфере, которое достигается за счет набора средств, стратегий, принципов обеспечения безопасности, подходов к управлению рисками, действий, профессиональной
подготовки, страхования и технологий, которые используются для защиты виртуальной среды, ресурсов организаций и пользователей сервисов от целенаправленного деструктивного воздействия.
Инструменты хакерских атак доступны не только законным правительствам6, но и агрессивным политическим группировкам, а также
4 IoT может спасти российский бизнес.
URL: http://comnews.ru/node/99810#ixzz42a2YxSMK
5 Волков Д. Кибермошенничество в России: эволюция угроз // Банковские технологии. 2015. № 1(228).
6 Согласно информации о взломах, наиболее развитым кибероружием обладают США, Великобритания, Россия, Китай, Индия, Иран и Северная Корея.
URL: http://tadviser.ru/a/53662
террористическим организациям.
Кибертеррористам важно создать хаос, а еще лучше - массовую гибель людей. Их цели - АЭС, ЖКХ, транспорт, все объекты, где сбои в информационных системах могут привести к катастрофам. Недооценка угрозы кибертерроризма напоминает недооценку фашизма
" 7
между двумя мировыми войнами в прошлом веке . Основные типы кибератак, представляющих серьезные угрозы для всех элементов военной и государственной организации России, в том числе и для финансовых институтов, представлены в табл. 1.
Возможности Интернета вещей позволят злоумышленникам удаленно управлять
автомобилями, персональными медицинскими системами или заставить «умный» холодильник совершать покупки, которые не входили в планы хозяина. Вспомним кибератаку на иранский Центр ядерных исследований в 2010 г., которая остановила обогащение урана и отбросила национальную ядерную программу этой страны на два года назад. Вирус Stuxnet, запущенный на 1оТ-устройствах ядерного комплекса был использован для дистанционной агрессии одного государства против другого.
Заместитель председателя научного совета по робототехнике и мехатронике РАН И.А. Шеремет считает, что ситуация в области кибербезопасности России изменяется в лучшую сторону гораздо медленнее, чем того требует развитие геополитической обстановки [2]. Разработано множество методов и приемов для защиты 1оТ-пространства, и все же задачу обеспечения кибербезопасности усложняют следующие неблагоприятные факторы развития информационной инфраструктуры:
• чрезмерная скорость устаревания техники;
• •безграничность Интернета и неадекватность нормативно-правовой базы, регулирующей информационные потоки;
• чрезвычайная сложность (а в ряде случаев -невозможность) идентификации киберпреступников;
• ограниченные ресурсы обеспечения кибербезопасности.
7 Чеботарев А. Умные и опасные. Как обезопасить себя от хакеров и мошенников // Аргументы и Факты. 04.11.2015. № 45.
160 http://fin-izdat.
Электронные финансы - в Интернет вещей
Исходя из существующих трендов аналитики, прогнозируют стремительный рост рынка электронных платежей. В 2015 г. по сравнению с 2014 г. количество банковских карт, мобильных телефонов и 1оТ-устройств с бесконтактной технологией возросло на 121%, было выпущено на 50% больше бесконтактных карт и устройств. В России количество таких карт и устройств с IV кв. 2014 г. по 2015 г. увеличилось на 44%. Всего в Европе число бесконтактных карт или устройств уже превышает 5 млн более чем в 10 странах8.
Рост объема информации предопределил развитие инфраструктуры хранения данных в последние 10 лет, в том числе и в финансовой сфере. На протяжении пяти веков в основе работы розничных банков лежал оборот наличных денег. За полвека эта модель переместилась в сторону электронного оборота, который к концу первой декады нового тысячелетия достиг зрелости, работает и уже прошел проверку. Для банков сейчас - самое время сконцентрироваться на электронных платформах [3].
«Носимый» банкинг, реализуемый в так называемых Wearable Technology - очках, часах, браслетах и прочих гаджетах - сейчас вызывает немало надежд и восторга. Например, MasterCard развивает программу, которая позволит превратить любой аксессуар, гаджет или предмет бытовой техники в устройство с функцией оплаты. Специалисты компании, на техновыставке Consumer Electronics Show (CES) представили сразу два таких решения. Одно из них - это приложение Groceries для покупок прямо на дисплее холодильника, которое связывает покупателей с ведущими продуктовыми магазинами. Кроме того, MasterCard объявила о партнерстве с компанией Coin, которое предполагает встраивание платежных технологий MasterCard в фитнес-браслеты, смарт-часы
" 9
и другие носимые устройства .
По данным компании J'son & Partners Consulting, на конец 2015 г. общее число IoT-устройств в России составило более 16 млн штук, включая устройства, соединенные посредством сотовых,
8 Количество бесконтактных транзакций в Европе превысило 1 миллиард.
URL: http://content-review.com/articles/34392
9 MasterCard представила решения для платежей через холодильник и фитнес-браслеты.
URL: http://banki.ru/news/lenta/?id=8603837
фиксированных, сетей wi-fi и других технологий ближнего действия. Это составляет 0,35% от общего числа подключенных устройств в мире, или 4,6 млрд штук (по оценке компании Ericsson). К 2018 г. российский рынок IoT достигнет уровня в 32 млн подключенных устройств10, а мировой IoT-рынок вырастет с 42,2 млрд долл. США в 2013 г. до 98,8 млрд долл. США в 2018 г. Таким образом, среднегодовой темп роста (CAGR) за 5 лет составит 18,6%. Ну и к 2020 г., по прогнозу аналитиков, доля подключенных устройств в жилых и коммерческих зданиях вырастет до 81%11.
Отождествляя финансовые отношения
с IoT-технологиями, не стоит забывать и о распространении хищений денежных средств, сбоях в работе систем электронного банкинга (СЭБ) и, как следствие, снижении доверия к использованию IoT-услуг кредитно-финансовых организаций (возрастании операционных и репутационных рисков) [4]. В России уже сегодня довольно распространена следующая схема кражи: чтобы «снять» деньги со счета жертвы, достаточно приложить устройство беспроводного терминала к ее карману или сумке, и поскольку считыватели бесконтактных карт работают на расстоянии до 20 см, похитить таким способом деньги с чужого счета проблем не составляет. А ведь, как известно, мошенники находятся главным образом в местах массового скопления людей. При этом мобильные терминалы не являются редкостью, более того, считыватель этих карт можно собрать кустарным способом с помощью нехитрых радиокомпонентов, которые можно легко заказать и приобрести онлайн12.
Цифровой банк станет банком расширенного финансового обслуживания, поскольку будет учитывать транзакции типа «человек - человек», «человек - машина» и даже «машина - машина». Взаимодействовать можно практически с любым предметом и устройством с помощью чипов радиочастотной идентификации RFID13,
10 TAdviser. URL: http://tadviser.ru/a/302411
11 TAdviser. URL: http://tadviser.ru/a/302413
12 Новый вид карманных краж: в зоне риска пассажиры общественного транспорта.
URL: http://vesti.ru/videos/show/vid/670703/cid/1741
13 Radio Frequency Identification (RFID) - «радиочастотная идентификация», способ автоматической идентификации объектов, когда посредством радиосигналов считываются или записываются данные. Некоторые энтузиасты тестируют применение RFID-чипов в реальной обстановке - для оплаты покупок и переводов между счетами клиента. Кроме того, вживляемый в руку биочип позволяет открывать дверные замки и запускать офисное оборудование.
http://fin-izdat.
встроенных повсеместно. Это означает, что все будет взаимодействовать со всем, разумно и без проводов, с помощью Интернета вещей, который явит нам новый дополненный мир виртуальной реальности и вместе с тем представит множество новых угроз как для самих устройств, так и для платформ, на которых они работают. Финансовым организациям понадобятся новые технологии защиты от хакерских атак и непосредственного физического взлома устройств. Проблема усугубляется тем, что большинство 1оТ-устройств создаются с применением простейших операционных систем и процессоров, которые не поддерживают сложные средства защиты, что немаловажно, когда 1оТ-решения направлены на снижение затрат потребителей.
Именно поэтому сегодня банки должны попытаться продумать, какого рода операции они будут предлагать и осуществлять, когда все устройства соединены между собой и практически все могут взаимодействовать и участвовать в торговле. Вот только часть вопросов, на которые необходимо будет найти ответ: каким образом будут предоставляться 1оТ-услуги? Кто будет выступать провайдерами? Как будет обеспечиваться безопасность и аутентификация? Когда банки начнут вводить продукты и услуги, использующие новые возможности [3]?
Самые очевидные угрозы, вызванные тем, что устройства общаются посредством сети Интернет, это воровство данных, получение доступа к «умным» устройствам и блокирование устройств (например, с помощью DDoS-атаки). Оптимизация финансовых отношений на основе внедрения 1оТ-технологий будет осуществляться посредством СЭБ. И самый большой потенциал повышения безопасности СЭБ с помощью технологий -в использовании биометрических данных клиентов. Наиболее очевидный вариант - это отпечатки пальцев или система распознавания лиц для удостоверения личности пользователя.
Применение биометрических данных имеет два преимущества. Прежде всего оно не позволит преступникам подобрать пароль или PIN-код, воспользоваться украденной картой или скопировать ее. Второе преимущество - это ускорение и улучшение обслуживания клиентов. К сожалению, сегодня нам нужно помнить и вводить так много личных номеров и паролей, что распознавание биометрических данных кажется весьма привлекательной перспективой. Затраты на встраивание функции распознавания
)ита1/пайопа1/ 161
биометрических данных в СЭБ обязательно окупятся своей результативностью. Принимая во внимание широкое использование технологии распознавания отпечатков пальцев в 1оТ-устройствах и мобильных телефонах, признание клиентами новшества не будет проблемой. В зависимости от качества аппаратно-программного обеспечения (АПО), используемого в технологиях распознавания биометрических данных, угроза кражи денег и конфиденциальной информации у клиентов организаций кредитно-финансовой сферы (ОКФС) может быть сведена к минимуму.
При том что биометрическое оборудование само по себе недешево, модификация программного обеспечения и соответствующего процесса идентификации потребует от банков значительных инвестиций. По этой причине сегодня только две страны - Колумбия и Япония - внедрили в банкоматы систему распознавания
биометрических данных.
Распознавание биометрических данных очень привлекательно для растущих рынков, особенно в бедных, менее развитых странах, где банкоматы появились сравнительно недавно14. Расширение их применения тормозится распространением PIN-кодов и необходимостью хранения карт и PIN-кодов отдельно друг от друга. Это относится в первую очередь к бедным регионам, где людям непросто запомнить PIN-коды, а их использование небезопасно.
Более интересна «биометрическая интеграция» с 1оТ-технологиями (распознавание лиц), которая позволит узнавать клиента и показывать подготовленные специально для него послания, основанные на портфеле продуктов этого клиента или его недавних финансовых операциях. Цифровые видеостены15 уже используют технологию распознавания лиц и могут «сказать», какого пола перед ними клиент, стар он или молод, расстроен или доволен.
Для наработки позитивного опыта самообслуживания банкам будет очень важно найти правильное сочетание персонификации, отклика на нужды отдельно взятого клиента,
14 Национальная платежная система. Бизнес-энциклопедия / под ред. А.С. Воронина. М.: КноРус, 2013. 424 с.
15 Видеостена - компьютеризированная система наглядной
информации, представляющей собой конструкцию из нескольких панелей (экранов) для демонстрации рекламы, установленную в общественных местах - метро, аэропортах,
магазинах и т.д.
правил конфиденциальности и безопасности для того чтобы сделать использование цифровых технологий более личным и человечным [5].
Кибербезопасность в условиях развития Интернета вещей
Кибербезопасность является составной частью безопасности национальной любого государства. Она оказывает постоянное влияние на состояние и защищенность национальных интересов страны. Это положение находит подтверждение в Концепции национальной безопасности Российской Федерации, которая рассматривает в единстве всю совокупность интересов личности, общества и государства [6].
Проблема Интернета вещей в том, что 1оТ-системы создают новые точки доступа для хакеров. Входом в систему может стать сетевой принтер, предоставляющий хакерам маршрут доступа к компьютерам в сети финансовой организации, или мобильное устройство, которое имеет доступ к системе радиосвязи высокотехнологичного автомобиля. Хакеры не сидят без дела, они постоянно находят слабые места, а специалисты по безопасности ищут способы борьбы со злоумышленниками [7].
Стоит признать, что киберпреступники идут всегда на шаг впереди, они нападают внезапно и могут использовать нешаблонные способы атак. В связи с этим производители средств защиты вынуждены постоянно обороняться, то есть искать защиту в условиях жесткого лимита времени, поскольку самый большой вред исходит именно от атак «нулевого дня» (когда «противоядие» еще не найдено). В некоторых случаях защищаться приходится от того, о чем есть крайне поверхностное представление: отсутствуют данные о количестве подобных атак, которые уже направлялись на банки, способах, посредством которых непосредственно производилось заражение программного обеспечения, алгоритмах действий злоумышленников в определенных ситуациях и т.п. При отсутствии взаимодействия противостояние осуществляется практически вслепую. Это все равно, что вести войну, не имея сведений о численности и дислокации врага, используемом им вооружении и источниках подкреплений16.
16 Лямин Л.В. Противодействие компьютерным мошенничествам // Внутренний контроль в кредитной организации. 2013. № 3.
Кибербезопасность ОКФС должна базироваться на готовности подразделений безопасности противостоять новым кибератакам, понимании всего спектра угроз для организации в целом и распределения приоритетов между активами организации и их защитой17. К факторам, повышающим уровень воздействия кибератак, можно отнести:
— отсутствие отлаженного правового и организационно-технического обеспечения законных интересов граждан, государства и общества в области кибербезопасности (в том числе в условиях применения СЭБ);
— высокую латентность (от лат. latentis - скрытый, невидимый) киберпреступлений и недостаточное осознание органами государственной власти на федеральном и особенно региональном уровнях возможных политических, экономических, моральных и юридических последствий компьютерных преступлений [8];
— несовершенство системы единого учета правонарушений, совершаемых с использованием средств информатизации;
— слабую координацию действий правоохранительных органов, суда и прокуратуры в борьбе с киберпреступлениями, неподготовленность их кадрового состава к эффективному предупреждению, выявлению и расследованию таких действий;
— существенное отставание отечественной индустрии средств и технологий информатизации и кибербезопасности от мирового уровня [9];
— отсутствие у Банка России подразделений по надзору за применением 1оТ-технологий в ОКФС и обеспечением кибербезопасности;
— ограниченные возможности бюджетного финансирования научно-исследовательских опытно-конструкторских работ по созданию правовой, организационной и технической баз кибербезопасности [10].
17 Результаты мониторинга кибербезопасности кредитной организации рекомендовано оценивать не реже чем 1 раз в квартал. Причина такого решения - увеличение числа кибератак на системы финансовых организаций и рост финансовых потерь клиентов из-за хакерских программ (Письмо Банка России от 24.03.2014 № 49-Т «О рекомендациях по организации применения средств защиты от вредоносного кода при осуществлении банковской деятельности»).
Безопасность всего пространства Интернета вещей должна задаваться еще на уровне создания архитектуры (тем более для ОКФС). Иными словами, необходимо обеспечить защиту от любых вредоносных действий еще при разработке протоколов и устройств Интернета вещей. Именно поэтому эффективные решения по безопасности должны быть найдены еще на этапе развертывания всей инфраструктуры банковских сервисов.
Учитывая тот факт, что кредитно-финансовая сфера становится одной из самых привлекательных зон интересов киберпреступников (о чем свидетельствует значительный рост числа киберпреступлений и целевых атак на банки), а также оптимизацию финансовых решений в условиях Интернета вещей, необходимо оперативно принять меры к обеспечению повышенного уровня кибербезопасности (особое внимание должно быть обращено на СЭБ) [11]. Ведь мир, где все соединено со всем, и буквально все может взаимодействовать и участвовать в торговле, предоставляет огромные возможности не только для банков, но и для киберпреступников. Только за четвертый квартал 2015 г. со счетов клиентов кредитно-финансовых организаций были похищены денежные средства на сумму, превышающую 1,5 млрд руб.18.
Пожалуй, единственный способ защитить все устройства, объединенные интернет-сетью, - это надежная защита единого центра управления Интернетом вещей [12-15]. Учитывая, что финансовый и банковский секторы наиболее восприимчивы к внедрению новейших достижений в области ИКТ, приведем три основных направления совершенствования кибербезопасности в условиях применения СЭБ и Интернета вещей (рис. 1).
Перечисленные направления, по нашему мнению, представляют далеко не полный перечень мероприятий, которые необходимо выполнить для обеспечения кибербезопасности в условиях применения Интернета вещей. Ведь в реальной практике каждое направление будет содержать гораздо больше задач, направленных на достижение поставленной цели. В перспективе нужно стремиться создать не только систему надзора в виртуальном пространстве, но и поднять культуру поведения в нем всех участников информационного обмена. Компании должны хорошо понимать, что за рекламой различных
18 Данные Банка России. URL: http://banki.ru/news/lenta/? id=8686505
1оТ-систем стоит их ответственность за качество предоставляемых услуг. Финансовые институты должны использовать защищенные программные продукты для 1оТ-систем, иметь квалифицированный обслуживающий персонал, способный оперативно и грамотно реагировать на кибератаки, а также готовый всегда прийти на помощь своим клиентам, оказавшимся в трудной ситуации.
Выводы
1. Активное использование киберпространства воздействует на человеческую личность. Применение методов социальной инженерии (науки об управлении поведением человека без технических средств, на основе психологии) и других способов массового хищения электронных денег и информации повышает важность обеспечения кибербезопасности, поэтому успешное «сотрудничество» между компаниями - разработчиками 1оТ-технологий и ОКФС может происходить только в условиях обеспечения должного уровня кибербезопасности.
2. Будущее в условиях Интернета вещей должно быть обязательно осознано и исследовано с разных точек зрения: социальной, психологической, политологической, военной и экономической. Множество нестандартных (а зачастую -
конфликтных) ситуаций в мире, подключенном к единой Интернет-системе, основанном на принципах сотрудничества и существующем за счет возобновляемых источников энергии, требует повышенного внимания.
3. Развитие кибербезопасности предполагает, что финансовые институты и предприятия, занимающиеся онлайн-торговлей, начнут широко применять биометрическую идентификацию. Появление портативных сканеров ДНК обещает очередную технологическую революцию в области идентификации клиентов. Это повысит возможности защиты конфиденциальной информации и денежных средств, а клиент получит возможность самостоятельно выбирать тот способ защиты, который он предпочитает.
4. Регулирующие органы должны создать работоспособную систему обеспечения кибербезопасности в кредитно-финансовой сфере, в том числе специальные надзорные подразделения.
5. Продолжением политики регулятора в области обеспечения кибербезопасности должны стать рекомендации для организаций кредитно-финансовой сферы, выполнение которых позволит минимизировать возможные последствия кибератак.
Таблица 1
Основные типы кибератак, представляющих наибольшую угрозу для национальной безопасности
Table 1
Key types of cyberattacks posing the highest threats to national security
Тип кибератаки Описание
Отказ в обслуживании Метод кибератаки из одного источника, предполагающий блокирование для авторизированных пользователей доступа к тому или иному компьютеру (жертве) с помощью его «переполнения» внешними сообщениями. Этот метод может блокировать легальный трафик (то есть обмен данных компьютера-жертвы с другими компьютерами) и даже блокировать загрузку всего компьютера в целом
Распределенный отказ обслуживания Вариант кибератаки типа «отказ обслуживания», построенный на скоординированной атаке сразу со многих распределенных в пространстве компьютеров. Для организации такой атаки участвующие в ней компьютеры часто предварительно заражаются специальными программами-«червями»
Инструменты взлома («отмычки») Публично доступные средства проникновения различного уровня сложности, предназначенные для поиска в той или иной киберсистеме уязвимых мест и получения доступа к компьютеру-жертве
Логические бомбы Форма саботажа, когда программист вводит специально сконструированный код, вызывающий деструктивную работу выполняемой программы, в том числе ее полное прекращение
Фишинг (от англ. fishing -рыбная ловля, выуживание) Создание и использование специальных электронных сообщений и веб-сайтов, подобных легальным сайтам компаний, финансовых институтов и правительственных агентств, в целях дезориентации (обмана) пользователей и провоцирование их на раскрытие своих персональных данных, таких как пароли или информация о персональных счетах. Затем «фишеры» продают эту конфиденциальную информацию или используют ее в криминальных мошеннических целях
Сниффер (от англ. to sniff -нюхать) То же самое, что и «пакетный сниффер» - программа, перехватывающая и фильтрующая информационный трафик (пакеты) в целях поиска в нем специальной информации о пользователе, например, передаваемых паролей
Трояны Компьютерная программа, содержащая неявные вредоносные коды. Трояны чаще всего маскируются под обычные пользовательские программы, которые владелец компьютера с большой вероятностью захочет использовать
Вирусы Программа, инфицирующая компьютерные файлы (обычно - исполняемые программы) путем включения в них специальных команд. Эти команды обычно исполняются при загрузке инфицированного файла в оперативную память компьютера, что позволяет вирусу заражать и другие файлы. В отличие от компьютерных червей, размножение вирусов требует, хотя зачастую и неосознанного, вмешательства человека (пользователя)
Метод фишинга Метод фишинга, использующий дешевые Инернет-технологии передачи звуковых (в том числе голосовых) файлов и программное обеспечение так называемых открытых колл-центров. Дешевизна позволяет мошенникам создавать собственные телефонные «колл-центры» и оттуда (от имени настоящих банков) посылать потенциальным жертвам голосовые или электронные сообщения с просьбой «в связи с возникновением проблем в системе безопасности банка для реактивации их кредитной (или дебетовой) карточки позвонить по определенному телефону» или послать SMS и таким образом раскрыть мошенникам конфиденциальную информацию
«Военное катание» Метод получения несанкционированного доступа к компьютерным сетям, использующим ноутбуки и применяющим для выхода в Интернет антенны и беспроводные сетевые адаптеры, содержащие контролируемые локаторы
Черви Независимые компьютерные программы, распространяющиеся с помощью копирования по Интернету самих себя из одного компьютера в другой. В отличие от компьютерных вирусов черви не требуют для своего размножения вмешательства человека
Атака нулевого дня Способ опережения киберзащиты. Угроза реализуется в тот же самый день, когда общественности становится известно о наличии в системе безопасности уязвимых мест, не имеющих адекватной киберзащиты
Источник: составлено авторами Source: Authoring
Рисунок 1
Основные направления совершенствования кибербезопасности в условиях применения систем электронного банкинга и Интернета вещей Figure 1
Key areas for cybersecurity improvement in the context of e-banking and the Internet of Things
= I
T3 Q3
I* 1 §
cr cr — I
s Z
a> to
CD s
¡1 n
ro о
G)
сл 00
СП CD
Источник: составлено авторами Source: Authoring
Tl ^
о'
ZS. Z
Q3
CD =!:
СЛ О
03 =s
= 92.
Q. _
œ 3.
CD CD
9 CD
Список литературы
1. Роговский Е.А. Кибер-Вашингтон: глобальные амбиции. М.: Международные отношения, 2014. 848 с.
2. Рогозин Д.О., Шеремет И.А., Гарбук С.В., Губинский А.М. Высокие технологии в США: опыт министерства обороны и других ведомств. М.: Изд-во МГУ, 2013. 384 с.
3. Скиннер К. Цифровой банк: как создать цифровой банк или стать им. М.: Манн, Иванов и Фербер, 2015. 320 с.
4. Ревенков П.В. Финансовый мониторинг в условиях интернет-платежей. М.: КноРус, 2016. 64 с.
5. Кинг Б. Банк 3.0. Почему сегодня банк - это не то, куда вы ходите, а то, что вы делаете. М.: Олимп-Бизнес, 2014. 520 с.
6. Брусницын Н.А. Информационная война и безопасность. М.: Вита-Пресс, 2001. 280 с.
7. Ревенков П.В., Бердюгин А.А. ДБО: Интернет создает новых клиентов и расширяет профили рисков // Банковское дело. 2013. № 12. С. 64-67.
8. ФедотовН.Н. Форензика - компьютерная криминалистика. М.: Onebook.ru, 2012. 420 с.
9. Лямин Л.В. Применение технологий электронного банкинга: риск-ориентированный подход. М.: КноРус, 2011. 336 с.
10. Конявский В.А., Лопаткин С.В. Компьютерная преступность. Т. 1. М.: РФК-Имидж Лаб, 2006. 560 с.
11. Международное и зарубежное финансовое регулирование: институты, сделки, инфраструктура: монография / под ред. А.В. Шамраева. М.: КноРус, 2014. 640 с.
12. Феникс Р. Де., Певерелли Р. Финансовые услуги: перезагрузка. М.: Манн, Иванов и Фербер, 2012. 384 с.
13. Jang-Jaccard J., Nepa S. A Survey of Emerging Threats in Cybersecurity // Journal of Computer and System Sciences. 2014. Vol. 80. Iss. 5. P. 973-993.
14. Elmaghraby A.S., Losavio M.M. Cyber Security Challenges in Smart Cities: Safety, Security and Privacy // Journal of Advanced Research. 2014. Vol. 5. Iss. 4. P. 491-497.
15. Lifei Wei, Haojin Zhu, Zhenfu Cao et al. Security and Privacy for Storage and Computation in Cloud Computing // Information Sciences. 2014. Vol. 258. P. 371-386.
ISSN 2311-875X (Online) Threats and Security
ISSN 2073-2872 (Print)
CYBERSECURITY IN THE INTERNET OF THINGS AND ELECTRONIC BANKING Pavel V. REVENKOV'% Aleksandr A. BERDYUGINb
a Financial University under Government of Russian Federation, Moscow, Russian Federation [email protected]
b Financial University under Government of Russian Federation, Moscow, Russian Federation [email protected]
• Corresponding author
Article history:
Received 14 June 2016 Received in revised form 22 July 2016
Accepted 16 August 2016 JEL classification: G21, G29
Keywords: Internet of Things, cybersecurity, cybercrime, remote banking service, regulation
Abstract
Importance The need in this research arises since cybersecurity has not been elaborated and studied scientifically and practically, considering the Internet of Things and electronic banking. The article describes the existing conditions for the information-driven society, analyzes possible consequences of the active use of information and communication technologies. We also provide an insight into cybersecurity and enlist unfavorable factors for the information infrastructure development. The online banking development is overviewed in terms of the Internet of Things. The article reviews principal types of cyberattacks, which considerably threat to financial institutions, and indicates factors that trigger the effect of cyberattacks on e-banking systems. The article outlines key areas for improving the cybersecurity and respectively takes e-banking and the Internet of Things into account.
Objectives The research investigates the main issues arising from the development of the Internet of Things and analyzes challenging aspects of ensuring cybersecurity of e-banking in the context of the Internet of Things. We also try to suggest how cybersecurity can be improved for purposes of e-banking and the Internet of Things.
Methods The research reviews cause-and-effect relationships of the e-banking development and issues that banking regulators and supervisors come across.
Results We determined the key areas for improving cybersecurity in the context of e-banking and the Internet of Things.
Conclusions and Relevance We proposed and substantiated specific advice on how to optimize financial relationships, the development of the Internet of Things and more and more sophisticated methods of cybercrimes. The article emphasizes the role of regulators in ensuring cybersecurity of credit and financial institutions in the context of e-banking and the Internet of Things.
© Publishing house FINANCE and CREDIT, 2016
References
1. Rogovskii E.A. Kiber-Vashington: global'nye ambitsii [Cyber-Washington: global ambitions]. Moscow, Mezhdunarodnye otnosheniya Publ., 2014, 848 p.
2. Rogozin D.O., Sheremet I.A., Garbuk S.V., Gubinskii A.M. Vysokie tekhnologii v SShA: opyt ministerstva oborony i drugikh vedomstv: monografiya [High technologies in the USA: practices of the Ministry of Defense and other agencies: a monograph]. Moscow, MSU Publ., 2013, 384 p.
3. Skinner Ch. Tsifrovoi bank: kak sozdat' tsifrovoi bank ili stat' im [Digital Bank: Strategies for Launching or Becoming a Digital Bank]. Moscow, Mann, Ivanov i Ferber Publ., 2015, 320 p.
4. Revenkov P.V. Finansovyi monitoring v usloviyakh internet-platezhei [Financial monitoring for purposes of online payments]. Moscow, KnoRus Publ., 2016, 64 p.
5. King B. Bank 3.0. Pochemu segodnya bank - eto ne to, kuda vy khodite, a to, chto vy delaete [Bank 3.0. Why Banking is No Longer Somewhere You Go, But Somewhere You Do]. Moscow, Olimp-Biznes Publ., 2014, 520 p.
6. Brusnitsyn N.A. Informatsionnaya voina i bezopasnost' [Information warfare and security]. Moscow, Vita-Press Publ., 2001, 280 p.
7. Revenkov P.V., Berdyugin A.A. [Remote Banking Services: Internet attracts new clients and expands risk profiles]. Bankovskoe delo = Banking, 2013, no. 12, pp. 64-67. (In Russ.)
8. Fedotov N.N. Forenzika - komp'yuternaya kriminalistika [Forensics is a computer science of crimes]. Moscow, Onebook.ru Publ., 2012, 420 p.
9. Lyamin L.V. Primenenie tekhnologii elektronnogo bankinga: risk-orientirovannyi podkhod [The use of e-banking technologies: a risk-oriented approach]. Moscow, KnoRus Publ., 2011, 336 p.
10. Konyavsky VA., Lopatkin S.V. Komp'yuternaya prestupnost'. T. 1 [Cybercrimes. Vol. 1]. Moscow, RFK-Imidzh Lab Publ., 2006, 560 p.
11. Mezhdunarodnoe i zarubezhnoe finansovoe regulirovanie: instituty, sdelki, infrastruktura: monografiya [International and foreign financial regulation: institutions, deals, infrastructure: a monograph]. Moscow, KnoRus Publ., 2014, 640 p.
12. De Feniks R., Peverelli R. Finansovye uslugi: perezagruzka [Reinventing Financial Services]. Moscow, Mann, Ivanov i Ferber Publ., 2012, 384 p.
13. Jang-Jaccard J., Nepa S. A Survey of Emerging Threats in Cybersecurity. Journal of Computer and System Sciences, 2014, vol. 80, iss. 5, pp. 973-993.
14. Elmaghraby A.S., Losavio M.M. Cyber Security Challenges in Smart Cities: Safety, Security and Privacy. Journal of Advanced Research, 2014, vol. 5, iss. 4, pp. 491-497.
15. Lifei Wei, Haojin Zhu, Zhenfu Cao et al. Security and Privacy for Storage and Computation in Cloud Computing. Information Sciences, 2014, vol. 258, pp. 371-386.