CC BY
43ФИНАНСОВАЯ ПОЛИТИКА. МЕЖДУНАРОДНЫЕ ФИНАНСЫ
Риски информационной безопасности в контексте систем мобильного банкинга
Волков Андрей Андреевич,
студент, Департамент информационной безопасности, Финансовый университет при Правительстве Российской Федерации
E-mail: Andrew.volkov333@gmail.com
Многие банки сталкиваются с рисками уязвимости в исходном коде мобильного банковского приложения и рисками, сопряженными с функционированием механизмов аутентификации и авторизации. Несанкционированные атаки, в свою очередь, наносят ущерб банкам и их клиентам и приводят к обширным финансовым и репутационным потерям. Учитывая уникальный характер мобильного банкинга, угрозы информационной безопасности, свойственные ему, также имеют уникальный характер, как и инструментарий, применяемый для митигации угроз. Можно выделить два типа угроз информационной безопасности: (1) технологические и (2) угрозы, связанные с «человеческим фактором». Угрозы первой группы: обход архитектурных ограничений, небезопасное хранение данных, небезопасная передача данных, небезопасная аутентификация, слабая криптостойкость, небезопасная авторизация, контроль содержимого клиентских приложений, модификация кода, реверсивный анализ исходного кода, скрытый функционал. Угрозы второй группы (угрозы, связанные с «человеческим фактором»): риски, генерируемые действиями бывших сотрудников банковских структур, беспечность клиентов мобильного банкинга, цифровая неграмотность.
Ключевые слова: интернет-банкинг, дистанционное банковское обслуживание, мобильный банкинг, информационная безопасность, система безопасности, киберпреступность.
LO S Ое
со см о см
Все реже клиенты банковских учреждений сталкиваются с потребностью физического присутствия в отделениях банков; постепенно «сворачиваются» и сети филиалов российских банков - остаются лишь небольшие представительства, где персонал осуществляет консультационную поддержку клиентов. В большинстве случаев банки переносят техподдержку и взаимодействие с клиентами в виртуальное пространство [2, с. 52].
Причина подобной трансформации банковской сферы заключается во внедрении в работу банков продуктовых и процессных инноваций. Имплемен-тация продуктовых инноваций позволяет представить клиентам принципиально новые банковские продукты, пользоваться которыми можно удаленно; процессные инновации, в свою очередь, позволяют сократить издержки и увеличить темпы операций [9, с. 241]. Совокупность подобных инноваций разных типов породила возникновение новой концепции в банковской сфере - концепции дистанционного банковского обслуживания (ДБО). В общем виде ДБО можно определить как оказание банковских услуг на расстоянии посредством сетевой коммуникации. ДБО, как правило, подразумевает банкоматы, Интернет- и мобильный банкинг [4, с. 41]. ДБО оказалось выгодным, в первую очередь, для самих банков: внедрение технологий электронного банкинга (включая мобильный банкинг) привело к значительному снижению затрат на операционную деятельность. Банкам более не приходится содержать обширную сеть отделений и большой штат [7, с. 27]. При этом увеличились расходы на поддержание технических систем. К сожалению, сократив расходы на содержание филиалов, многие банки не перенаправили достаточное количество освободившихся средств на обеспечение систем безопасности ДБО.
Согласно многочисленным ежегодным исследованиям - как российских банков, так и зарубежных - разработчики мобильных приложений для банков не уделяют должного внимания вопросам безопасности. По этой причине многие банки сталкиваются с рисками уязвимости в исходном коде мобильного банковского приложения и рисками, сопряженными с функционированием механизмов аутентификации и авторизации. Несанкционированные атаки, в свою очередь, наносят ущерб банкам и их клиентам и приводят к обширным финансовым и репутационным потерям [8, с. 62].
Вышеизложенные тезисы можно подтвердить статистическими данными: согласно ежеквартальным отчётам Банка России, обстановка с распространенностью операций без согласия клиентов (ОБС) в нашей стране следующая: за 3 квартал 2022 г. было зафиксировано 229 757 операций без согласия клиентов (несанкционированных транзакций) общим объемом 3 973 456,54 руб. Доля возмещенных в результате несанкционированного доступа средств составила лишь 3,4% от общего объема [6].
В 2022 г., согласно официальной статистике, каждое четвертое преступление в России происходило с использованием Интернета [10]. Динамика ки-берпреступности наглядно представлена на Рис. 1.
510300 518000 522100
90587
44000 58934 66234
10196 11845 ■ и
2012 2013 2014 2015 2016 2017
Рис. 1. Динамика киберпреступности в России, по данным МВД, кол-во преступлений
Следует отметить, что мобильный банкинг в России развивался по-особенному и не следовал глобальным трендам. В первую очередь, речь идет о том, что во всем мире дистанционное обслуживание клиентов сначала осуществлялось посредством банкоматов, затем - посредством официальных веб-сайтов банков, многие из которых предоставляли функционал личных кабинетов и чатов поддержки. Затем банки начали внедрение выделенных систем Интернет-банкинга, которые впоследствии стали эволюционировать сначала в мобильные версии веб-сайтов Интернет-банкинга, а затем - в отдельные мобильные приложения. Таким образом, банки во многих странах, где отмечалась такая последовательность развития дистанционных банковских услуг, имели возможность постепенно осваивать новые инструменты обеспечения информационной безопасности по мере развития дистанционного банкинга. К тому моменту, как Интернет-банкинг начал утрачивать популярность в сравнении с мобильным, банки уже имели целый арсенал средств обеспечения безопасной работы.
В России же этап популяризации Интернет-банкинга прошел крайне быстро. Практически сразу же после возникновения концепции дистанционного банкинга, если судить по статистике количества пользователей по годам, пользователи получили возможность скачивать мобильные приложения и использовать их. Этап, на котором Интернет-банкинг был единственной альтернативой при удаленном взаимодействии с банком, был исключительно краток и для некоторых банков исчислялся даже не годами, а месяцами. Многие
банки, таким образом, не получили должного опыта работы в Сети и дистанционного обслуживания клиентов перед тем, как перейти к имплементации мобильного банкинга. Для многих жителей нашей страны именно мобильный банк стал первым опытом получения дистанционного банковского обслуживания. По данным исследований, проводимых аналитическим центом НАФИ, большинство российских респондентов предпочитают именно мобильный банкинг всем иным опциям в управлении личными финансами (Рис. 2).
I Мобильный банкинг
I Интернет-банкинг
I Только личное посещение отделений банка
Рис. 2. Распространенность различных видов дистанционного банковского обслуживания в России (согласно исследованию аналитического центра НАФИ от 2020 г.) [1]
К мобильному банку обращаются 69% представителей российской Интернет-аудитории (52% -ежемесячно или чаще; 17% - реже раза в месяц)
При этом мобильный банкинг до сих пор не пользуется популярностью у российских бизнес-клиентов банка. Традиционно юридические лица доверяют полновесным веб-сайтам, а не приложениям на телефоне, считая их ненадежными [5, с. 50] - и в ряде случаев это предположение вполне оправданно. Данная тенденция очевидна даже при ознакомлении с научным массивом по рассматриваемой нами проблеме: большинство исследований, посвященных информационной безопасности корпоративных структур, относятся к системам Интернет-банкинга, а исследования, рассматривающие информационную безопасность физических лиц, как правило, акцентируют проблемные аспекты мобильного банкинга [5, с. 46].
В последнее время российская общественность и сами банковские структуры обнаруживают рост обеспокоенности по поводу информационной безопасности в процессе пользования мобильным банкингом. Это связано с тем, что все больше людей используют мобильные приложения банков для управления своими финансами, совершения платежей и переводов. Уже сегодня в масс-медиа циркулируют сообщения о ситуациях кражи личных данных пользователей, таких как имена, адреса, номера телефонов и банковские реквизиты, «слив» данных в открытый доступ или в Даркнет. Многие сталкиваются с тем, что киберпреступни-ки могут использовать персональные данные для мошенничества или взлома банковских аккаунтов.
Обеспечивать информационную безопасность крайне важно, ведь, помимо прямых финансовых
о о
со ^
гп
Р ц-
А
231153
убытков, нанесенных самому банку и его клиентам, банк несет колоссальные репутационные потери [7, с. 26], а также может столкнуться с проблемами законодательного и нормативного характера (вплоть до лишения лицензии).
В области информационной безопасности, как правило, принято выделять две степени опасности: угроза (т.е. потенциальный риск атаки на виртуальную систему и нарушения информационной безопасности) и, собственно, атака (непосредственное нападение на информационную систему) [2, с. 59]. В ситуации, когда банк игнорирует угрозы или же просто не способен их своевременно диагности-
ровать, угроза трансформируется в атаку, что, как отмечено выше, приводит к катастрофическим финансовым и иным потерям. В данной связи банки все чаще внедряют системы риск-менеджмента, где применяются различные - программные и «ручные», качественные и количественные - методы оценки рисков информационной безопасности.
Парадоксально, но большую часть потерь несет именно клиент - как правило, это его данные оказываются раскрытыми и его денежные средства похищают третьи лица, тогда как именно клиент -наименее защищенное звено в системы обеспечения информационной безопасности.
Таблица 1. Наиболее значимые технологические угрозы информационной безопасности мобильных банковских приложений
Тип угрозы Сущность
Обход архитектурных ограничений (Improper Platform Usage) Обход систем контроля, установленных на мобильной операционной системе.
Небезопасное хранение данных (Insecure Data Storage) Приложения мобильного банкинга хранят пользовательские данные локально на устройстве пользователя, которое уязвимо для кибератак, если не будут приняты соответствующие меры безопасности. Одной из распространенных уязвимостей в отношении хранения данных является хранение конфиденциальной информации в текстовом формате (в незашифрованном виде).
Небезопасная передача данных (Insecure Communication) Применение небезопасных протоколов и каналов связи при пользовании мобильным банкингом. Мобильные банковские приложения и веб-сайты должны использовать безопасные соединения, такие как HTTPS, SSL/TLS или VPN для шифрования и защиты данных, передаваемых между мобильным устройством и сервером банка. Пользователи также должны убедиться, что они используют последнюю версию мобильного банковского приложения или веб-сайта, которые могут содержать обновления в системе безопасности и исправления для устранения любых уязвимостей. Кроме того, пользователям следует избегать использования общедоступных сетей Wi-Fi, так как сведения, распространяемые в них, могут быть легко перехвачены и скомпрометированы. Вместо этого им следует использовать безопасную, защищенную паролем «домашнюю» или муниципальную сеть Wi-Fi.
Небезопасная аутентификация (Insecure Authentication) Угрозы при аутентификации пользователя и некорректное управление процессов инициирования сеанса.
Слабая криптостойкость (Insufficient Cryptography) Данная угроза может возникнуть в ситуации, когда мобильные банковские приложения используют слабые алгоритмы шифрования, либо когда шифрование не используется в принципе. Злоумышленники могут использовать подобные уязвимости для расшифровки и кражи конфиденциальной информации (учетные данные для входа в систему или банковские реквизиты) и использовать ее в мошеннических целях.
Контроль содержимого клиентских приложений (Client Code Quality) Ненадлежащий контроль входных данных, обусловленный проблемами в реализации исходного кода мобильного приложения.
Небезопасная авторизация (Insecure Authorization) Угроза, возникающая при предоставлении доступа к счетам или услугам мобильного банкинга посредством аутентификации или авторизации. Повыенный риск наступает в ситуации, когда не применяются системы аутентификации нового поколения (двухфакторная аутентификация, усиленная биометрией и т.п.).
Реверсивный анализ исходного кода (Reverse Engineering) Реверсивный инжиниринг представляет собой значительный риск для безопасности мобильных банковских приложений. Он подразумевает анализ и декомпиляцию исходного кода мобильного банковского приложения для выявления уязвимостей или использования слабых мест в системе безопасности приложения. Злоумышленники могут использовать реверсивный инжиниринг для получения несанкционированного доступа к приложениям мобильного банкинга, извлечения конфиденциальной информации или изменения принципов функционирования приложения. Злоумышленники также могут использовать реверс-инжиниринг с целью создания поддельных версий официальных мобильных банковских приложений. Для устранения данной угрозы разработчики могут использовать инструменты «запутывания» кода, делая его более трудным для понимания.
Модификация кода (Code Tampering) Изменение исполняемых файлов, перехват вызовов сторонних процессов, подмена runtime методов и динамическая модификация памяти.
Уязвимость из-за наличия скрытого функционала (Extraneous Functionality) В процессе отладки приложения разработчики включают в код скрытые функции, которых не должно быть в нем, что делает систему менее защищенной.
а. в
Примечание: источник [7, с. 25; 11, с. 106-107 др.]
В связи с растущей актуальности вопроса о рисках информационной безопасности, следует подробнее рассмотреть подобные риски. Мобильные банковские системы являют собой уникальный продукт, разработка которого находится на стыке нескольких прикладных областей - финансов, информационных технологий, маркетинга и проч. Учитывая уникальный характер мобильного банкинга, угрозы информационной безопасности, свойственные ему, также имеют уникальный характер, как и инструментарий, применяемый для митигации угроз. Опираясь на зарубежные и отечественные государственные и корпоративные регламенты в рассматриваемой нами предметной области, представим наиболее распространенные угрозы информационной безопасности (Таблица 1).
Помимо чисто технологических угроз, существуют также угрозы, характеризующиеся наличием «человеческого фактора». Как в нашей стране, так и зарубежом весьма проблематичным аспектом поддержания стабильного уровня информационной безопасности банкинга выступают риски, генерируемые действиями бывших сотрудников банковских структур. Как известно, сотрудники имеют доступом ко внутренней конфиденциальной информации, касающейся механизмов и процедур информационной безопасности, а также методов хранения и перевода денежных средств. Сегодня, в эпоху расцвета небольших коммерческих банковских структур, банки зачастую лишаются лицензии, а их персонал - работы. Таким образом, образуется ощутимая по масштабам когорта людей, которые обладают знаниями, потенциально представляющими общественную угрозу.
Учитывая то, что в последние годы динамика киберпреступности в стране растет (Рис. 1), и существенную долю в ней составляет преступность в рамках мобильных банковских приложений, Центральный банк Российской Федерации разработал систему мер по безопасной работе с системой автоматизированных мест сотрудников и представил ряд требований и рекомендаций по поддержанию мер безопасности против вмешательства в банковские процессы лиц, которые ранее имели доступ к системе [2, с. 60]. В зарубежной практике в данной связи был выработан принцип Need to Know («Знать столько, сколько нужно»). Данный принцип безопасности заключается в ограничении доступа к информации и ресурсам по обработке информации тем, кому требуется выполнять определенные обязанности [3, с. 174]. Таким образом, сотрудник -бывший или нынешний - обладает только тем сегментом информации, который непосредственно связан с его должностными обязанностями.
Вторым фактором риска, генерируемым со стороны клиента, выступает беспечность или цифровая неграмотность. Цифровая грамотность включает в себя знания и умения, необходимые для безопасного использования технологий и онлайн-сервисов, включая мобильный банкинг. Для повышения цифровой грамотности населения необходимо проводить информационные кампании,
которые будут нацелены на освещение важности безопасности в использовании мобильного банкинга. Населению следует предоставлять информацию о существующих рисках и угрозах, а также о том, какие меры предосторожности необходимо принимать для защиты своих финансовых данных и средств. Важно, чтобы население было ознакомлено с базовыми принципами безопасности в интернете, включая использование сильных паролей, ограничение использования открытых и незащищенных Wi-Fi сетей, а также проверку наличия SSL сертификатов у сайтов, на которых осуществляются финансовые операции.
В заключение отметим следующее:
1. Киберпреступность в России составляет более 25% от общего количества преступлений, существенную долю из них составляют преступления, совершение которых стало возможным за счет внедрения в массовую практику систем мобильного банкинга.
2. Можно выделить два типа угроз информационной безопасности: технологические и угрозы, связанные с «человеческим фактором».
3. Угрозы первой группы (технологического характера): обход архитектурных ограничений, небезопасное хранение данных, небезопасная передача данных, небезопасная аутентификация, слабая криптостойкость, небезопасная авторизация, контроль содержимого клиентских приложений, модификация кода, реверсивный анализ исходного кода, скрытый функционал.
4. Угрозы второй группы (угрозы, связанные с «человеческим фактором»): риски, генерируемые действиями бывших сотрудников банковских структур, беспечность клиентов мобильного банкинга, цифровая неграмотность.
Литература
1. Более половины россиян пользуются цифровым банкингом // НАФИ. - 2023. [Электронный ресурс]. - Режим доступа: https://nafi.ru/ analytics/bolee-poloviny-rossiyan-polzuyutsya-tsifrovym-bankingom/. - Дата доступа: 15.04.2023.
2. Зарипов, И.А. Цифровой банкинг: смена парадигмы современных финансов / И.А. Зарипов // Мир новой экономики. - 2022. - № 2. -С. 51-63.
3. Караева, Ю.А. Кибербезопасность в системе интернет-банкинга / Ю.А. Караева, Н.Ю. Сай-бель // Международный журнал гуманитарных и естественных наук. - 2021. - № 2-1. - С. 172177.
4. Карпов, А.С. Совершенствование мер защиты информации при дистанционном банковском обслуживании / А.С. Карпов // Научные записки молодых исследователей. - 2017-. № 4. -С. 40-45.
5. Любимова, Е.А. Интернет-банкинг и мобильный банкинг: проблемы и перспективы раз-
сз о со от m Р от
от А
=Е
вития / Е.А. Любимова // Финансовые рынки и банки. - 2022. - № 2. - С. 46-50.
6. Обзор отчетности об инцидентах информационной безопасности при переводе денежных средств III квартал 2022 года // Банк России. - 2023. [Электронный ресурс]. - Режим доступа: https://www.cbr.ru/analytics/ib/re-view_3q_2022/. - Дата доступа: 15.04.2023.
7. Ревенков, П.В. Оценка рисков информационной безопасности в условиях применения систем мобильного банкинга / П.В. Ревенков, Д.С. Крупенко // Вопросы кибербезопасно-сти. - 2019. - № 2 (30). - С. 21-28.
8. Салкуцан, А.А. Анализ современных уязвимо-стей информационной безопасности финансовых приложений российских банков / А.А. Салкуцан, Р.Т. Ниязов // Экономический журнал. -2020. - № 2 (58). - С. 61-74.
9. Хафизова, Р.Х. Основные направления развития цифрового банкинга / Р.Х. Хафизова // Международный журнал гуманитарных и естественных наук. - 2022. - № 5-4. - С. 240-243.
10. Число киберпреступлений в России - 2023. [Электронный ресурс]. - Режим доступа: https:// www.tadviser.ru/index.php/%D0%A1%D1%82%D 0%B0%D1%82%D1%8C%D1%8F:%D0%A7%D 0%B8%. - Дата доступа: 15.04.2023.
11. He, Wu. Examining security risks of mobile banking applications through blog mining / He, Wu, Tian, Xin, Shen, J. // CEUR Workshop Proceedings. - 2015. -№ 1353. - Рр. 103-108.
INFORMATION SECURITY RISKS IN THE CONTEXT OF MOBILE BANKING SYSTEMS
Volkov A.A.
Financial University under the Government of the Russian Federation
Many banks face vulnerability risks in the source code of the mobile banking application and risks associated with the operation of authentication and authorization mechanisms. Unauthorized attacks, in turn, cause damage to banks and their customers and lead to extensive financial and reputational losses. Given the unique nature of mobile banking, the information security threats inherent in it are also unique, as are the tools used to mitigate threats. There are two
types of threats to information security: technological and threats associated with the "human factor". Threats of the first group: Improper Platform Usage, Insecure Data Storage, Insecure Communication, Insecure Authentication, Insufficient Cryptography, Client Code Quality, (Insecure Authorization, Reverse Engineering, Code Tampering, Extraneous Functionality. Threats of the second group (threats associated with the "human factor"): risks generated by the actions of former employees of banking structures, carelessness of mobile banking customers, digital illiteracy.
Keywords: internet banking, remote banking, mobile banking, information security, security system, cybercrime.
References
1. More than half of Russians use digital banking // NAFI. - 2023. [Electronic resource]. - Access mode: https://nafi.ru/analytics/ bolee-poloviny-rossiyan-polzuyutsya-tsifrovym-bankingom/. -Access date: 04/15/2023.
2. Zaripov, I.A. Digital banking: a paradigm shift in modern finance / I.A. Zaripov // World of new economy. - 2022. - No. 2. - S. 51-63.
3. Karaeva, Yu.A. Cybersecurity in the Internet banking system / Yu.A. Karaeva, N. Yu. Saibel // International Journal of Humanities and Natural Sciences. - 2021. - No. 2-1. - S. 172-177.
4. Karpov, A.S. Improving information security measures in remote banking / A.S. Karpov // Scientific notes of young researchers. -2017-. No. 4. - P. 40-45.
5. Lyubimova, E.A. Internet banking and mobile banking: problems and development prospects / E.A. Lyubimova // Financial markets and banks. - 2022. - No. 2. - S. 46-50.
6. Review of reporting on information security incidents when transferring funds Q3 2022 // Bank of Russia. - 2023. [Electronic resource]. - Access mode: https://www.cbr.ru/analytics/ib/re-view_3q_2022/. - Access date: 04/15/2023.
7. Revenkov, P. V., Krupenko D.S. Information security risk assessment in the context of mobile banking systems. - 2019. -No. 2 (30). - S. 21-28.
8. Salkutsan, A.A. Analysis of modern vulnerabilities of information security of financial applications of Russian banks / A.A. Salkutsan, R.T. Niyazov // Economic Journal. - 2020. - No. 2 (58). - S. 61-74.
9. Khafizova, R. Kh. The main directions of development of digital banking / R. Kh. Khafizova // International Journal of the Humanities and Natural Sciences. - 2022. - No. 5-4. - S. 240-243.
10. The number of cybercrimes in Russia - 2023. [Electronic resource]. - Access mode: https://www.tadviser.ru/index.php/%D 0%A1%D1%82%D0%B0%D1%82%D1%8C%D1%8F:%D0%A 7%D0% B8%. - Access date: 04/15/2023.
11. He, Wu. Examining security risks of mobile banking applications through blog mining / He, Wu, Tian, Xin, Shen, J. // CEUR Workshop Proceedings. - 2015. -№ 1353. - Rr. 103-108.
a.
e
