CC BY
76
УДК 004.056.53
ПРОБЛЕМЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СИСТЕМ ДИСТАНЦИОННОГО БАНКОВСКОГО ОБСЛУЖИВАНИЯ КРЕДИТНО-ФИНАНСОВЫХ ОРГАНИЗАЦИЙ С РАЗВЕТВЛЕННОЙ СЕТЬЮ ФИЛИАЛОВ Пузанов Вадим Евгеньевич, к.т.н.
Юго-Западный государственный университет, г.Курск, Россия (e-mail: vadim060587@yandex)
В статье рассматриваются актуальные проблемы обеспечения информационной безопасности в сфере дистанционного банковского обслуживания (ДБО) кредитно-финансовых организаций с разветвленной сетью филиалов, а также возможные способы решения этих проблем.
Ключевые слова: информационная безопасность, дистанционное банковское обслуживание, кредитно-финансовая организация, банк, сеть филиалов
Повышение уровня безопасности становится в настоящее время одной из наиболее актуальных проблем в сфере дистанционного банковского обслуживания (ДБО). Причиной этого является наблюдаемый в последние годы существенный рост количества преступлений, связанных с хищением денежных средств через системы ДБО (речь идет, прежде всего, о системах класса Интернет-Банк и Клиент-Банк) [1].
Дистанционное банковское обслуживание уже давно перестало быть экзотикой рынка и превратилось в почти обыденную услугу. Нередко кредитно-финансовые организации преподносят наличие ДБО как свое конкурентное преимущество. Однако не следует забывать, что функционирование ДБО сопряжено с рядом проблем в области информационной безопасности, решить которые иногда очень непросто.
Отечественные системы ДБО достаточно активно развиваются. Однако пока что налицо экстенсивный путь развития: количество систем существенно опережает их качество, под которым подразумеваются объем предоставляемых сервисов, удобство использования, доступность и защищенность. Например, некоторые системы не позволяют клиентам совершать активные операции, а только предоставляют информационное обслуживание. При использовании других систем ДБО возникают проблемы в эксплуатации, связанные с неспособностью системы корректно работать в силу ряда причин. Важной проблемой является отсутствие каналов связи в некоторых населенных пунктах. И все же первое место в списке факторов, сдерживающих развитие ДБО, занимают вопросы информационной безопасности.
Значение безопасности и необходимость защиты информации при ДБО сложно преувеличить. Безопасность осуществления расчетов была, есть и наверняка будет важнейшим аспектом дистанционного взаимодействия
клиента с банком. Причем проблемы обеспечения безопасности и защиты информации актуальны для всех каналов ДБО.
Как уже отмечалось в прессе, всем, кто оказывает дистанционные услуги, противостоит «индустрия» мошенничества: не только одиночки, но и высококвалифицированные, технически оснащенные группы, в том числе и международные. Готовы ли сегодня кредитно-финансовые организации с разветвленной сетью филиалов обеспечить защиту информации реально эффективными методами? К сожалению, далеко не все. Лишь немногие банки по-настоящему серьезно подошли к вопросу противодействия мошенникам.
При попытке защиты информации в системах ДБО обычно используется следующее:
- встроенные в ДБО средства отбора подозрительных платежей. Эти средства ограничиваются контролем реквизитов платежных транзакций. Редким исключением является использование информации об устройстве, с которого был отправлен платеж;
- самописные средства контроля поступающих платежных документов, в которые заложены алгоритмы выявления подозрительных платежей исходя из ранее обнаруженных случаев фрода;
- универсальные средства мониторинга и отчетности, адаптированные под задачи выявления транзакций по предустановленным критериям [2].
Базовые механизмы защиты сервисов ДБО (на уровне криптографии, усиленной процедуры аутентификации и т.д.) реализованы довольно давно. Тем не менее, увеличение объема преступлений в системах ДБО составляет, по оценкам экспертов, 2-4 раза в год, а в абсолютном выражении это миллионы долларов. Развитие технологий ДБО, к сожалению, создало не только удобный сервис для клиентов, но и среду по перемещению средств, полученных мошенническим путем, с минимальным риском для злоумышленников обнаружить себя. Тем более что не все клиенты, использующие сервис ДБО, должным образом контролируют уровень защищенности среды доступа к каналам ДБО, что влияет на эффективность применения традиционных механизмов защиты. Это заставляет финансово-кредитные организации самостоятельно реализовывать дополнительные меры контроля. Многие кредитно-финансовые организации, в том числе и имеющие разветвленную сеть филиалов, используют для этих целей системы фрод-мониторинга, позволяющие эффективно реализовывать такую защиту на основе анализа бизнес-логики событий.
Безопасность системы ДБО зависит от двух сторон - от банка и от клиента, причем у каждого своя зона ответственности. В зоне ответственности банка находится комплексное обеспечение безопасности системы. В рамках реализации этой задачи финансово-кредитные организации с разветвленной сетью филиалов делают все возможное для того, чтобы защитить ключи электронной подписи и процедуру формирования подписи для платежных документов на стороне клиента.
Однако при этом, как правило, клиент все же должен обеспечивать элементарные нормы безопасности на своем рабочем месте для работы с Клиент-банком.
Действительно, ситуация складывается таким образом, что клиент оказывается менее защищен, нежели организация, поэтому и действия мошенников сместились именно в эту зону. Злоумышленники пошли по пути наибольшей экономической целесообразности: зачем взламывать сервер «Клиент-банк», что сложно и затратно, если можно просто украсть ключи, которые в некоторых случаях просто «лежат» в компьютере у клиента.
Могут также возникать ситуации, когда пользователь вводит пароль в неправильном месте или оставляет его в системе сохраненным: тем самым он дает возможность злоумышленникам воспользоваться паролем. Клиентские риски также связаны с недостаточно безопасными способами авторизации: например, у пользователя нет карточки паролей, либо его доступ в систему обеспечивает лишь одно слово или один пароль, который человек может записать где-либо и который кто-то может увидеть [2].
По результатам исследования, проведенного компанией Intercede в 2014 году, 51% потребителей делятся именем пользователя и паролями от мобильных приложений и сервисов со своими родственниками, друзьями и коллегами, чем подвергают опасности свои персональные данные.
Как показали результаты опроса, половина респондентов просто запоминают пароли. Из этого следует, что пользователи полагаются на легко запоминаемые комбинации и используют один и тот же пароль для входа в свои учетные записи в разных приложениях и сервисах. По словам главного исполнительного директора Intercede Ричарда Пэрриса, на сегодняшний день большинство людей используют значительное количество паролей в социальных сетях, сервисах электронной почты, интернет-банкингах и т.д. Поэтому неудивительно, что потребители пользуются методом, требующим наименьших усилий, - автоматическим входом в систему. Подобные легкомысленные действия могут привести к потере или хищению персональных данных пользователя.
В ходе исследования выяснилось, что многие респонденты не выходят из своих учетных записей по окончании работы с приложениями, что также может нести угрозу безопасности персональной информации. Кроме того, большое количество пользователей компрометируют конфиденциальные данные своих банковских счетов и кредитных карт, выбирая опции «запомнить пароль» или «сохранить пароль» при использовании банковских или платежных сервисов. Например, автоматический вход в систему используют 16% пользователей интернет-банкингов. Безусловно, автоматический вход в систему очень удобен, однако в данном случае остается лазейка для действий злоумышленников [3].
Однако защита клиентской стороны все-таки постепенно повышается, считают некоторые эксперты. Это происходит с помощью устройств защищенного хранения ключей ЭЦП и защищенной выработки электронной
подписи, посредством доверенных устройств отображения по подписи платежного поручения, с помощью доверенных каналов подтверждения платежа и использования доверенной среды для работы с Клиент-банком [2]. По мере того как совершенствуется защита клиента, повышается вероятность того, что мошенники начнут искать уязвимые серверы и приложения и использовать эти тонкие места для атак на системы ДБО, отмечают эксперты [3].
Конечно, создать защиту от всех атак со стопроцентным уровнем надежности невозможно, хотя бы потому, что человеческий фактор никто не отменял. Но при этом разработчики средств защиты и систем ДБО усердно работают над тем, чтобы минимизировать риски работы в ДБО.
Количество и разнообразие атак на системы ДБО с каждым годом увеличивается. В последнее время внимание специалистов по информационной безопасности сконцентрировано на проблеме несанкционированных платежей, которые создаются мошенниками посредством украденных ключей электронной подписи, удаленного управления компьютером с ключом электронной подписи (ЭП) либо подмены реквизитов платежного поручения на персональном компьютере клиента в момент подписи.
Соответственно, основные усилия сосредоточены на защите клиентских ключей ЭП и процесса создания электронной подписи для платежного документа. При этом, к сожалению, оказываются в тени вопросы защиты сетевого периметра, ИТ-инфраструктуры, автоматизированных банковских систем, самого приложения «Клиент-банк».
Если, например, web-интерфейс клиент-банка написан без учета технологий безопасного программирования, без контроля его качества, то он может содержать уязвимости, которые привлекут внимание злоумышленников. Для атаки на Клиент-банк могут быть использованы уязвимости операционной системы сервера, на котором несвоевременно устанавливаются обновления и патчи безопасности. Причем сервер может и не быть сервером Клиент-банка - атака может быть начата через стоящее рядом приложение (почтовый сервер, информационный web-сервер и т.п.).
Действительно, хищение ключей ЭП и закрытых ключей ЭП клиентов систем ДБО с их же компьютеров - одна из основных угроз дистанционного обслуживания. При этом адекватный метод противодействия различного рода атакам на системы ДБО придуман: перенос функции контроля основных параметров документа из операционной системы в замкнутую среду на внешнем устройстве. В данном случае функции защиты, целостности и неизменности документа реализуются не в операционной системе, а на отчуждаемом защищенном носителе. Такие устройства на российском рынке предлагают несколько компаний.
На данный момент практически все кредитные организации ввели использование ЭП для обеспечения защиты и юридической значимости платежных поручений, пересылаемых от юридического лица в банк с помощью системы ДБО. Эксперты говорят, что криптографические алгорит-
мы, которые применяются в ходе создания и проверки ЭП, доказали свою надежность. Злоумышленники сосредоточили свои усилия на определенных типах атак, среди которых атака на ключевой контейнер, атака удаленного управления, атака подмены документа.
Злоумышленнику уже не нужен физический доступ к компьютеру атакуемого лица, следовательно, поймать преступников практически невозможно. Сложности возникают потому, что компьютер клиента банка в силу различных причин нельзя сделать доверенной средой. Это дорого, сложно, неудобно для пользователя. Проблему можно решить, создав доверенную среду отдельно от компьютера клиента.
Статистика гласит, что 70% атак на клиентскую часть ДБО происходит при хранении ключей на незащищенных носителях. В связи с этим многие банки переходят или уже перешли на технологии двухфакторной аутентификации с хранением ключевой информации в неизвлекаемом виде на еТокеп или на смарт-карте.
К ответственному обращению со средствами клиентов подталкивает кредитно-финансовые организации с разветвленной сетью филиалов законодательство. Например, Федеральный закон № 161-ФЗ содержит требования, согласно которым оператор по переводу денежных средств обязан возместить сумму операции, совершенной без согласия клиента, если не докажет, что клиент нарушил порядок использования электронного средства платежа и это повлекло совершение операции без согласия клиента -физического лица.
В таких ситуациях, конечно, необходима строгая аутентификация. Причем средства аутентификации и защиты данных обязательно должны быть сертифицированы, что не только предоставляет гарантии надежности, но и соответствует требованиям российского законодательства [3].
В списке опасных угроз для банков и их клиентов уже который год числится фишинг - вид мошенничества, направленный на кражу данных пользователя, включая данные его банковской карты. Используя методы социальной инженерии, преступники пытаются выяснить необходимую информацию, обзванивая клиентов банков, высылая СМС-сообщения или сообщения на адреса электронной почты. Все чаще встречаются случаи, когда мошенники создают фальшивые страницы финансово-кредитных организаций: проходя по ссылке, оставленной мошенниками, клиент может ничего не заподозрить и оставить на странице свои данные.
Фишинговые web-сайты создаются с целью кражи логинов и паролей клиентов банков. Мошенники рассчитывают на то, что пользователь попадет на поддельный web-сайт через поисковую систему либо попадет на сайт, получив якобы от банка письмо, содержащее фишинговую ссылку.
И хотя логина и пароля недостаточно для кражи денег со счета клиента банка, фишинговая атака может быть только начальным этапом операции злоумышленников, которые, добравшись до учетных данных пользовате-
лей Интернет-банка, будут пытаться заполучить и их телефонные номера
[4].
Для систем ДБО характерны те же риски, что и для финансовых систем в целом. К рискам информационной безопасности можно отнести атаки инсайдеров или действия хакеров, вирусы, атаки, направленные на отказ в обслуживании, кражу или порчу данных и мошенничество. Скорость, с которой меняются технологии, и тот факт, что Интернет является универсальным средством доступа, делают эти риски особенно критичными.
Принимаемые технические меры по уменьшению рисков направлены на обеспечение безопасности клиента, его рабочего места и обеспечение безопасности системы, находящейся непосредственно в банке.
Систему следует рассматривать в комплексе, защищаясь как от внешних, так и от внутренних угроз. Если рассмотреть текущие средства защиты, такие как межсетевые экраны и системы обнаружения и предотвращения вторжений, можно отметить тот факт, что они решают более широкий перечень задач, и набор функций, позволяющий реализовать защиту трех-звенных систем (веб-сервер, сервер приложений, сервер базы данных), не позволяет обеспечить должный уровень защиты [5].
При выборе той или иной системы защиты информации в различных системах ДБО есть сложность с финансовым обоснованием внедрения промышленных систем. Еще не все банки на практике сталкивались с существенными потерями. Специфика области - не распространять информацию об успешных и предотвращенных атаках [2].
Таким образом, обеспечить безопасность работы клиента в системах ДБО нельзя исключительно техническими средствами - требуется комплексный подход. Использование современных средств криптографической защиты информации повышает уровень защищенности систем ДБО, но только при условии правильной эксплуатации со стороны клиента. Кроме того многие пользователи систем ДБО не являются экспертами в области информационных технологий и информационной безопасности, поэтому повышение осведомленности клиентов об угрозах дистанционного обслуживания - задача не менее важная.
Список литературы
1. Визгунов А. Н. Современные подходы к обеспечению безопасности в области дистанционного банковского обслуживания / Визгунов А.Н., Визгунов А.Н. // Вестник Воронежского государственного университета. Серия: Системный анализ и информационные технологии. - 2011. - № 2. -С. 49-59.
2. Дяченко О. Проблемы рынка систем ДБО [Электронный ресурс] / О. Дяченко. - Режим доступа: http://www.klerk.ru/bank/articles/279582/, свободный (дата обращения: 20.02.2016).
3. Дяченко О. Средства криптозащиты и создание доверенной среды при ДБО [Электронный ресурс] / О. Дяченко. - Режим доступа: http://nbj.ru/ publs/upgrade-modernizatsija-i-razvitie/2015/02/05/sredstva-kriptozaschity-i-sozdanie-doverennoi-sredy-pri-dbo/index.html, свободный (дата обращения: 20.02.2016).
4. Дяченко О. Количество хакерских атак на технические средства финансово-кредитных организаций увеличилось [Электронный ресурс] / О. Дяченко. - Режим дос-
тупа: http://bankir.ru/publikacii/20150716/ kompleksnaya-zashchita-samaya-nadezhnaya-10006596/, свободный (дата обращения: 20.02.2016).
5. Бутузов Ю. Информационная безопасность в работе систем ДБО [Электронный ресурс] / Ю.Бутузов. - Режим доступа: http://nbj.ru/publs/upgrade-modernizatsija-i-razvitie/2012/02/01/informatsionnaja-bezopasnost-v-rabote-sistem-distantsionnogo-bankovskogo-obsluzhivanija-dbo/index.html, свободный (дата обращения: 20.02.2016).
Puzanov VadimEvgenyevich, Cand.Tech.Sci.
Southwest state university, Kursk, Russia
PROBLEMS OF MAINTENANCE OF INFORMATION SECURITY SYSTEMS REMOTE BANKING CREDIT AND FINANCIAL ORGANIZATIONS WITH AN EXTENSIVE NETWORK OF BRANCHES
Abstract. The article discusses topical problems of information security in e-banking services (RBS) credit and financial institutions with an extensive network of branches and possible ways of solving these problems.
Keywords: information security, remote banking services, credit institution, bank, network of branches.
ТЕХНИКО - ЭКОНОМИЧЕСКОЕ ПЛАНИРОВАНИЕ С УЧЕТОМ ЛИКВИДАЦИИ ДЕФЕКТОВ ДЕЯТЕЛЬНОСТИ Разумов-Раздолов Константин Леонидович, к.т.н.,
начальник управления производственного развития, ООО «Русэлпром», г.Москва, Россия (e-mail: rrkl@ruselprom.ru)
В статье Разумова - Раздолова К.Л. приведены предложения по реализации функции планирования с учетом современных требований - ликвидации потерь (дефектов) деятельности и учета баланса интересов заинтересованных сторон с целью повышения качества деятельности. Приведены зависимости для оценивания потерь деятельности.
Ключевые слова: ликвидация дефектов, качество деятельности, заинтересованные стороны, потери деятельности, планирование улучшений, повышение конкурентоспособности предприятия.
Развитие и деятельность предприятия могут описываться различными способами, в основу которых положены показатели разного рода, достижение которых, как правило, основано на системе планов (финансовых, производственных, развития), такое положение определяет развитие и деятельность предприятия как функцию планирования. Планирование представляет собой совокупность функций и процессов по формированию мероприятий для достижения необходимых показателей деятельности, и базируется на изучении и анализе предшествующих периодов деятельности, оценке и анализе внутренней среды предприятия, факторов внешнего влияния, ситуации на рынке продукции. Нельзя не отметить уникального значения планирования - в ходе планирования рассматриваются различные варианты достижения целей и решения поставленных задач, которые
