15 (105) - 2012
Мониторинг
высокотехнологичные сервисы*
Лидеры российского рынка дистанционного банковского обслуживания. CNews Analytics подвела итоги очередного ежегодного исследования рынка систем дистанционного банковского обслуживания (ДБО) физических и юридических лиц в банках, работающих на территории Российской Федерации. Лидеры на этом рынке - одна из удивительных констант для отечественной сферы информационных технологий. При этом из года в год им удается поступательно наращивать свою долю присутствия за счет сокращения объема собственной разработки. В ходе исследования были собраны данные об использовании систем ДБО в 100 крупнейших банках России по активам и банках со стопроцентным участием нерезидентов, работающих на территории РФ по состоянию на 01.01.2011.
Первое место по доле внедренных систем ДБО юридических лиц среди банков топ-50 принадлежит компании BSS - 62,6 % установленных приложений. Годом ранее ее показатель (также подтверждавший позицию № 1 в этом секторе) составлял 54,3 %. На втором месте «Бифит» с общей долей 11,7 %. Третье место занимают системы собственной разработки -
10.7 %. Годом ранее собственная разработка занимала второе место с долей 15,4 % (рис. 1).
В сегменте банков топ-100 (рис. 2) первое место также принадлежит компании BSS - 55,6 % всех установленных приложений (годом ранее - 48,4 %). Второе место занимает компания «Бифит» - 13,9 %, третье - системы собственной разработки (13,4 %). Аналогично, как и в сегменте топ-50, за год доля последних сократилась - ранее она составляла 17,5 %.
Система ДБО физических лиц используется в
75.8 % банках топ-100, и самым распространенным ее вариантом является интернет-банк. В данном случае в банковском секторе сохраняется приоритет собственных разработок - 32,7 % (33,6 % годом ранее). Среди внешних разработчиков этого типа сис-
тем лидирует компания BSS с долей 31,3 % (рис. 3). Затем идут Compass+ (8,7 %) и «Бифит» (8 %).
На рынке систем дистанционного обслуживания юридических лиц в сегменте кредитных организаций со стопроцентным участием нерезидентов первое место также у BSS - 60,4 % установленных приложений (по системам «банк - клиент» - 64,4 %, «интернет - клиент» - 57,7 %). На втором месте вновь «Бифит» с общей долей 15,3 %. Третье место занимают системы собственной разработки - 7,9 %.
Другие
Собственная f
разработка 10,7 \ _
«Кворум» 1,9
ЦФТ 1,9 nJT «Инверсия»
«Инист» 1,9 ■■
«Стел Ann 2,9 Jt: - .h-, I
H ^^Ш^^Л
ж.
«Бифит» 11,7
Рис. 1. Доля внедренных систем ДБО юридических лиц среди банков топ-50, %
Другие 11,3
Собственная разработка
13.4
«Инверсия» 2,1__^
«Инист» 2,7 Js|
ТОП ^
1ал1
iwlfl
* По материалам CNews. URL: http://www. cnews. ru/reviews/ free/banks20n/index. shtml.
«Бнфиг» 13,9
Рис. 2. Доля внедренных систем ДБО юридических лиц среди банков топ-100, %
финансовая аналитика
проблемы и решения
7х"
51
Другие
В55
Со<хтвенная разработка
Сотрэ«+
35,1 Собственная разработка
32,4 ВББ
кБяфот»
ЦФТ «Стел Ап» Рис. 3. Доля внедренных систем ДБО физических лиц среди банков топ-100, %
Доля остальных игроков на рынке не превышает 5 % по всем системам (рис. 4).
Работающие на российском рынке кредитные организации со стопроцентным участием нерезидентов ориентированы в большей степени на корпоративный рынок. Только 30,4 % из них используют системы дистанционного обслуживания физических лиц. Системы типа «интернет - банк» установлены во всех банках с этим видом сервиса, «телефон - банк» и мобильный банк - в 6,8 % банков каждая, и лишь 4,6 % банков используют киоски самообслуживания для физических лиц. Самая высокая доля по всем системам принадлежит компании BSS - 32,4 % (рис. 5).
Уход от наличности дается нелегко. Банки смогут примкнуть к ключевым участникам рынка электронных платежей только при условии широкого использования банковских карт. В этой игре интернет-банкинг занимает позицию догоняющего
С об£те енная раз работкл 7,9
Другие 10,4
Я-51у;1е 5оМлЬ 3,0 «Инверсии» 1,0
«Бнфигт» 15,3
Рис. 4. Структура рынка систем ДБО для юридических лиц по разработчикам в сегменте кредитных организаций со стопроцентным участием нерезидентов, %
13,6 Другие
В5С РгаИа
«Бифит» ЦФТ
Рис. 5. Структура рынка систем ДБО для физических лиц по разработчикам в сегменте кредитных организаций со стопроцентным участием нерезидентов, %
и развивается тем динамичнее, чем больше число держателей карт. Банки постепенно активизируются на этом поле, однако конкурировать приходится с игроками из других сфер.
По данным Национальной ассоциации участников электронной торговли (НАУЭТ), в 2010 г. объем отечественного рынка достиг 772,2 млрд руб., увеличившись на 19 % по сравнению с 2009 г. Показатель включает платежи наличными, проходящие через любые точки приема: платежные терминалы, кассы в магазинах и салонах связи, банковские терминалы. Примечательно, что при этом количество транзакций не изменилось и составило 5,9 млрд. Это означает, что увеличилась доля платежей с большим чеком, например в пользу ЖКХ, авиа- и железнодорожных компаний, банков.
Ведущие позиции на рынке моментальных платежей сохранились за сетями платежных терминалов QIWI и СуЬегРМ. Однако активность более мелких игроков, оборот которых вырос на 70 % по отношению к 2009 г., снизила доли рынка обоих лидеров. Среди главных тенденций оказалась растущая активность банков.
По оценкам НАУЭТ, почти 70 % электронных платежей представляет собой пополнение счета сотового телефона. Казалось бы, сети терминалов должны чувствовать острую конкуренцию со стороны бесплатных способов пополнения телефонного баланса, в том числе с банковского счета, однако пока этого не происходит.
Главным конкурентом остаются кассы в салонах сотовой связи. «Они несравнимы по представленности с платежными терминалами, - говорит Алек-
финансовая аналитика
проблемы и решения
сандра Высочкина, PR-директор группы QIWI. -Чтобы воспользоваться их услугами, в подавляющем большинстве случаев нужно отстоять очередь, что не всегда приемлемо для современного человека. Можно оплатить услуги сотовой связи через банкоматы или интернет-банкинг, однако развитый интернет-банкинг в России могут предложить далеко не все банки, а число банкоматов в разы меньше, чем платежных терминалов».
По данным НАУЭТ, на территории России установлены сотни тысяч платежных терминалов. Например, только в сети QIWI их работает 120 тыс. Число банкоматов исчисляется десятками тысяч -так, год назад их количество оценивали в 60 тыс.
Некий потенциал видится у мобильного банкинга, особенно в свете развития технологии бесконтактных платежей NFC. Но пока количество платежей/переводов с помощью мобильного банкинга ничтожно мало даже по сравнению с показателями интернет-банкинга.
Банки подтягиваются к электронным платежам. «Банковские карты должны стать инструментом для повседневных оплат, для этого требуется оборудовать точки продаж, - говорит Александра Высочкина. - Пока повсеместным использованием карт не могут похвастаться даже в российских столицах».
Максима Ноготкова, основателя сети салонов связи «Связной», привлек потенциал рынка электронных платежей, и на базе кэптивного Промторг-банка бизнесмен открыл банк «Связной». Максим рассчитывает построить розничный институт, который станет конкурентом Сбербанка России по числу карт и лидером в области их использования.
Бизнес-план проекта базируется на простых расчетах. По данным международных платежных систем, объем операций в торговом эквайринге в России составляет около 30 млрд долл. США в год. Общий оборот розничной торговли оценивается в 500 млрд долл., т. е. банковские карты обеспечивают торговле 5-7 % оборота.
«Крупнейший банк страны сегодня занимает около 20 % этого рынка. Чтобы стать лидером, мы должны успевать за ростом рынка и занять на нем долю не менее 20 %. Сегодня это означает не менее 6 млрд долл. оборота по картам в год», - говорит Максим Ноготков. Для начинающего банка цель из разряда фантастики, хотя частная клиентская база банка «Связной» уже перешагнула порог в полмиллиона.
Новоиспеченный финансист считает, что развить безналичную банковскую розницу ему помогут три момента.
Во-первых, сеть салонов связи «Связной» основала программу лояльности «Связной-клуб», у которой сейчас около 13 млн клиентов. Максим Ноготков рассматривает их как потенциальных пользователей одноименных карт.
Во-вторых, банк «Связной» берет на себя расходы по использованию его клиентами чужих банкоматов, в результате его клиенты не платят комиссии. Конечно, банку проще заплатить за каждую операцию по 35 руб. (такова оценка расходов от Максима Ноготкова), чем тягаться со Сбербанком России по числу точек доступа.
Есть и третий аргумент, неоднозначный, - быстрое развитие мобильного интернет-доступа. «Новые устройства очень удобны, цены на них снижаются на 50 % в год, т. е. они скоро станут массовыми. По прогнозам аналитиков, в 2013 г. около 25 % мобильных устройств в мире будут иметь встроенный чип для бесконтактных платежей, что откроет новые возможности использования мобильного телефона как платежного инструмента», - надеется Максим Ноготков.
Председатель комитета НАУЭТ по платежным системам и банковским инструментам Борис Ким считает, что банки вряд ли станут лидерами этого сектора из-за особенностей менталитета. «В России очень высока доля оплаты наличными - около 95 %. Очевидно, что данный процент может только снижаться, - объясняет он. - Однако даже в развитых странах небольшие платежи занимают значительное место в расчетах, поэтому в ближайшей и среднесрочной перспективе бизнесу терминалов ничего не угрожает».
Банки против операторов. Нельзя сказать, что отраслевая конкуренция в сфере микроплатежей совсем отсутствует, но она существует среди «борцов» за минимальные доли рынка и никак не опасна терминальным сетям. «Существует мнение, что в значительной степени операторы сотовой связи могут вытеснить банки, как минимум с рынка мгновенных и микроплатежей.
В прогрессии вместе с распространением виртуальных кредитных карт и технологий NFC (беспроводной высокочастотной связи малого радиуса действия) это может привести к тому, что значительная часть транзакционного бизнеса может переместиться от банков к сотовым операторам. «На
мой взгляд, такая ситуация более опасна для банков-монолайнеров, чем для универсальных банков, -прокомментировал Андрей Попов, заместитель руководителя дирекции по оформлению и учету банковских операций и информационным технологиям Райффайзенбанка. - И она, возможно, более характерна для текущего состояния рынка в России, чем в мире. Например, в США угрозу розничному банковскому бизнесу скорее представляют такие компании, как Google или Apple».
«Сотовые операторы активно стремятся играть на традиционно банковском поле, но пока все-таки это касается лишь части сервисов, преимущественно направленных на ретейл, - говорит Денис Сотин, директор технологической дирекции ТрансКредитБанка. - При этом банки в состоянии как минимум не уступать в технологическом развитии сотовым операторам, а в части глубины понимания как традиционных, так и инновационных банковских продуктов и технологий они пока более компетентны».
Электронные кошельки, системы денежных переводов - это принципиально другой класс потенциальных конкурентов в борьбе за рынок. Хотя теоретически эти системы могут оказывать услуги без участия платежных терминалов, на деле они только набирают обороты и повышают клиентскую базу за счет сотрудничества с терминальными сетями. Мало того, оценив новые возможности, сети стали создавать собственные аналогичные сервисы. Примером может служить тот же «QIWI Кошелек». Подобные решения есть у «Киберплата», «Новопла-та» и «Элекснета».
«Сегмент электронных денег пока уступает примерно на порядок моментальным платежам, но растет быстрыми темпами, - рассказывает Борис Ким. - Электронные деньги, как и банки, и мобильная коммерция, не являются прямыми конкурентами терминалам - это способ безналичных платежей, занимающий промежуточное положение между мобильной коммерцией и банковским счетом». Таким образом, потребителю остается выбор способа, а банкам - медленный эволюционный рост.
ДБО-2011: киберугрозы выходят на первый план. В октябре 2011 г. международная некоммерческая организация производителей оборудования и программ для банкоматов ATMIA (Automated Teller Machines Industry Association) выпустила очередной набор рекомендаций по безопасности банкоматов: «ATM Software Security Best Practices Guide. Version 2» Впервые серьезное внимание уделено защите
от кибератак на программное обеспечение (ПО) банкоматов.
Согласно данным «Википедии», первое устройство для механической выдачи наличных было установлено в помещении Банка Нью-Йорка в 1939 г. К сожалению, из-за отсутствия достаточного числа клиентов машина была демонтирована и никогда больше нигде не появлялась. Банкомат в его современном виде был изобретен в 1965 г. Банки De La Rue and Barclay's запустили первые банкоматы в Лондоне 27 июня 1967 г.
К 2015 г., как прогнозируют специалисты британского исследовательского агентства Retail Banking Research, количество банкоматов по всему миру возрастет до 3 млн. Тем самым банкомат станет основным каналом распространения наличных во всех слоях общества.
Банковский сектор - один из секторов, приковывающих наибольшее внимание компьютерных злоумышленников всего мира. Особенно это касается систем дистанционного банковского обслуживания. Махинации с банковскими картами происходят повсеместно. Тысячи людей ежедневно расстаются со своими деньгами из-за взломов систем безопасности банкоматов и терминалов.
По данным советника президента Ассоциации российских банков (АРБ) по вопросам безопасности Олега Казакевича, первые три позиции рейтинга кибе-ругроз выглядят следующим образом: мошенничество в ДБО, DDoS атаки на банковские сети, несанкционированный доступ. Причем DDoS подчас является отвлекающим маневром, который притягивает к себе внимание технических служб безопасности. А в это время злоумышленник выполняет нужные ему действия уже внутри банковской системы, с помощью ранее внедренных туда вредоносных программ.
Кроме того, Олег Казакевич поделился некоторыми цифрами ущерба, нанесенного банкам в России в 2011 г. Так, в 2,5 млрд руб. оценивается ущерб от мошенничества с банковскими картами. 55 млн руб. «увели» у крупного московского банка в конце сентября.
Если говорить о количестве атак, то, по словам советника, регистрируется 5-8 атак на системы ДБО в неделю. Цели атак бывают разные - от банального съема денег со счетов до рэкета и шантажа. Существуют и примеры недобросовестной конкуренции, когда финансовую организацию либо заставляют уйти с рынка, либо принуждают слиться с другой структурой.
Казакевич отметил, что государство не готово к противодействию, и поэтому в данный момент АРБ готовит специальный программно-аппаратный комплекс противодействия широкому спектру угроз.
«Сейчас у нас в стране 150 млн карт, - говорит советник, - «После принятия закона о национальной платежной системе количество карт вырастет на 90 млн. И их владельцами будут люди, которые ничего не знают о тех опасностях, которые их подстерегают». Кроме материальных потерь от действий злоумышленников наиболее значимыми представляются и репутационные риски для банков.
Как защитить банкоматы. В мире ситуация развивается похожим образом, с тем лишь исключением, что цифры потерь многократно превышают российские. В связи с этим Международная некоммерческая организация производителей оборудования и программ для банкоматов выпускает набор рекомендаций, целиком и полностью посвященный безопасности программного обеспечения банкоматов.
Опрос, охвативший 37 стран мира, показывает, что кибератаки в 2011 г. занимали третье место в рейтинге угроз. На первом по-прежнему традиционный скимминг - кража данных карты при помощи специального считывающего устройства, на втором -незаконные проникновения в помещения с банкоматом и его физический вынос. Особо говорится, что кибератаки увеличивают свою долю, тогда как доля традиционных опасностей снижается. В последнее время по мере компьютеризации банковского обслуживания активно растет и число тех, кто пользуется ошибками и недоработками в компьютерных системах для мошеннических действий.
«Сегодня, когда запускается вторая редакция руководства, данные карт, которые могут быть похищены из банкомата, становятся более уязвимыми, нежели деньги, физически лежащие внутри банкомата, - пишет во вступлении технический редактор документа Петер Кулик. - Кроме того, преступления, связанные с ПО, относятся к категории скрытых. Их очень трудно обнаруживать, и они ведут к куда более драматичным результатам, нежели другие формы преступлений с банкоматами. Мы отдаем себе отчет в том, что наша индустрия сегодня недооценивает масштаба таких преступлений».
Хорошей иллюстрацией этого может служить пример киберограбления, которое случилось в Канаде в 2011 г. в компании, продающей предопла-ченные дебетовые карты. Мошенничество поражает
своей простотой и эффективностью. Группа злоумышленников открыла несколько десятков дебетовых карт по всему миру, на каждую из которых было положено по 15 долл. Затем была взломана система банка и найдена подсистема, отвечающая за контроль минимальной суммы на карте. Удаленно злоумышленники увеличили остатки на купленных картах до нескольких десятков тысяч долларов. В течение пары дней они сняли с этих карт около 1 млн долл. в банкоматах по всему миру.
Спустя несколько месяцев такая же ситуация повторилась с другим банком. Правда, сумма ущерба составила уже 13 млн долл. Тогда было открыто всего 22 дебетовые карты. При этом власти не произвели никаких арестов ни по первому, ни по второму делу.
Традиционные грабители банков, наверное, приходят в ужас, узнав о суммах, снимаемых ки-берпреступниками. Порой журналисты, пишущие на эту тему, выходят на ту или иную персону внутри преступных организаций, которая делится некоторой информацией, как стало возможным осуществить виртуальное ограбление. Все мошенники в один голос говорят о большом количестве «дыр» в банковском ПО, благодаря которым возможны проникновение внутрь системы и контроль за ней. Чем сложнее становится банковское оборудование, тем больше уязвимостей и потенциальных точек проникновения остается для злоумышленников.
«Именно поэтому мы настоятельно рекомендуем всем организациям, занятым в сферах установки и обслуживания банкоматов, изучить настоящий документ, - продолжает П. Кулик. - Для эффективного противодействия преступникам необходимо, чтобы все заинтересованные организации по всему миру крайне серьезно отнеслись к руководству и учли у себя весь тот опыт, который мы скрупулезно собрали для них».
Узкие места. Как отмечают специалисты АТМ1А, по своей сути банкомат - это компьютер под управлением операционной системы с некоторым набором установленных программ. Хакер может вторгнуться в систему на программном уровне и заставить банкомат выполнять нужные ему действия. При этом мошенник может оставаться незамеченным в течение длительного времени. Взлом ПО банкомата происходит потому, что хакеру удается изучить структуру установленных на банкоматах программ и понять, как они работают. Остальное -дело техники.
Дмитрий Сучков, технический директор российской компании SafenSoft, занимающейся разработкой программного оборудования для безопасности компьютеров и сетей, считает, что подавляющее большинство программ в той или иной степени содержит ошибки или недоработки: «Практика показывает, что в процессе эксплуатации ПО рано или поздно, преднамеренно или непреднамеренно обнаруживаются уязвимости, которыми может воспользоваться злоумышленник. В процессе жизненного цикла программы выпускаются обновления, исправляющие ошибки, однако далеко не редки случаи, когда исправление, закрывающее одни недостатки, привносит в программу другие. Данный процесс цикличен, и даже программы, для которых выпущено множество обновлений, все равно остаются уязвимыми».
По словам Дмитрия, основная цель злоумышленника заключается в извлечении той или иной финансовой выгоды. Логично, что целью атак является банковское ПО, оперирующее персональными данными и управляющее денежными потоками.
В то же время д-р Дональд Кресси разработал хорошо известный «преступный треугольник»: возможность + финансовая заинтересованность + рационализм. Возможность взлома ПО есть, значит, ее можно использовать. Финансовая заинтересованность или нужда в деньгах есть всегда, и проникновение в систему сулит немалый доход. А вот что касается рационального подхода, то это означает, что хакер не будет ломать «в лоб», а приложит свои усилия там, где проникнуть легче всего. А это как раз описанные выше уязвимости и ошибки в ПО.
«Если злоумышленник сумел изменить операционную систему, управляющую банкоматом - это уже не ваш банкомат», - говорится в руководстве АТМ1А. -Если злоумышленник сумел загрузить свою программу в банкомат - это уже не ваш банкомат. Если злоумышленник принудил вас запустить его программу на банкомате - это уже не ваш банкомат».
Рекомендательный список. Индустриальный опыт показывает, что невозможно полностью избавится от ошибок и «дыр» в программах. Если хакер использует эти уязвимости для проникновения в систему, то следует скрыть от хакера такие уязвимости.
Обычно для исследования программ и нахождения в них ошибок злоумышленники применяют реверс-инжиниринг. Этот метод отмечается АТМ1А как один из наиболее популярных и прогрессиру-
ющих на сегодня способов исследования и взлома программ.
«Современные технологии виртуализации открывают новые возможности для реверс-инжиниринга ПО и создания вредоносных программ для атак на банкоматы», - говорится в п. 19 краткого изложения материалов руководства. - Реверс-инжиниринг позволяет изучить алгоритмы программы и буквально разобрать ее по винтикам. Как только работа алгоритмов программы становится понятна, их можно изменить и привнести в работу ПО любой сторонний функционал».
Для предотвращения внесения изменений в работу программного оборудования банкомата специалисты ATMIA советуют использовать опыт профессионалов и применять специализированные средства борьбы. Здесь же приводится список средств, которые способны предотвратить модификацию ПО: «Опыт подсказывает, что компаниям - производителям банковского ПО для защиты от реверс-инжиниринга следует применять следующие методы защиты.
Во-первых, обфускация программного кода. Обфускация - приведение исходного текста или исполняемого кода программы к виду, сохраняющему ее функциональность, но затрудняющему анализ, понимание алгоритмов работы и модификацию при декомпиляции (по определению Wikipedia. org).
Во-вторых, технологии виртуальной машины. Виртуальная машина - программная система, эмулирующая аппаратное или программное обеспечение (по материалам Wikipedia. org). Виртуальная машина представляет собой закрытый, хорошо защищенный программный контейнер, в котором исполняется часть программного кода.
В-третьих, применение поведенческих анализаторов. Вредоносные программы, как правило, стараются получить доступ к тем участкам системы, которые работают на уровне ядра операционной системы. Такое поведение может считаться подозрительным, если программа, пытающаяся получить такой доступ, не входит в «белый список» программ, которым такой доступ разрешен. Данный способ помогает предотвратить функционирование вредоносных программ, которые уже попали в систему.
В-четвертых, изоляция отдельных программных процессов в системе. Аналогично предыдущему пункту. В системе изолируется не программа целиком, а только один из ее процессов, который вызывает подозрение в своей злонамеренности. И, наконец,
шифрование траффика клиент - сервер для предотвращения внедрения» в канал связи и перехвата данных, текущих между банкоматом и сервером банка».
Как отмечает ATMIA, подобные технологии защиты программ широко и успешно используются в других отраслях экономики и зарекомендовали себя как недорогой и эффективный способ frontline - защиты от проникновения и перехвата управления хакерами (frontline - (англ.) - передний край, фронт).
Время, которое может потратить даже начинающий мошенник на изучение незащищенной программы, может исчисляться часами и даже минутами. Однако изучение запутанного, «размешанного» кода, который написан на собственном языке программирования и скомпилирован индивидуальным компилятором, да кроме того, работающего внутри виртуальной машины, является чрезвычайно сложной задачей. Известны случаи, когда злоумышленники тратили годы на взлом хорошо защищенной программы. Часто происходит так, что взломанная программа функционирует неверно, потому что хакеру не удалось проследить все связи внутри алгоритмов и восстановить их. При этом программы могут быть очень громоздкими и сложными, с тысячами функций.
Александр Зацепин, технический директор компании StarForce Technologies, разрабатывающей и внедряющей технологии защиты программного кода от исследования и взлома, считает, что защищать всю функции программы не имеет смысла: «Хакера не интересуют модули программы, которые, например, отрисовывают пользовательские окна на экране банкомата. Достаточно перенести в виртуальную машину функции программы, отвечающие за процессинговую часть, или за сбор и передачу данных карты и пин-номера, и процесс получения доступа к этим критически важным участкам будет чрезвычайно затруднен». Специалист отмечает, что после защиты процесс исследования программы и поиска уязвимостей в ней становится чрезвычайно трудоемким, требует много времени и средств.
Создание «белых списков», о которых говорилось выше, отмечается в документе ATMIA как один из наиболее действенных способов защиты от запуска вредоносного программного оборудования в системе. Однако, если какая-либо программа, входящая в «белый список» разрешенных, была ранее модифицирована злоумышленником, то она будет запущена и отработает до конца: «Когда на компьютере запускается программа, она будет выполнять
те инструкции, которые в нее запрограммированы, даже если это вредоносная программа». Это хорошо иллюстрирует тот факт, что следует действовать системно и использовать различные средства защиты: «Технологические средства защиты не панацея, и следует применять системный, глобальный подход к обеспечению безопасности банкомата».
Основываясь на собственных данных, представители АТМ1А прогнозируют увеличение интереса финансовых и кредитных организаций, чьи программные системы особо подвержены действиям хакеров, к системам защиты кода.
Сегодня кредитные учреждения с большим трудом завоевывают доверие клиентов. Для банка доверие - это оценка № 1 на пути к сердцу вкладчика. Утечка персональных данных, похищение денег со счетов клиентов, перебои в работе сервиса - все это может сыграть злую шутку с кредитной организацией и подорвать доверие к ней. Репутация - вот важнейший определяющий фактор, когда речь идет
0 том, чтобы отдать собственные деньги в чужие руки. Очевидно, что надежная защита банкомата, устройства, которое уже сегодня становятся наиболее распространенным способом общения клиента с банком, - это вложение в поддержание доброй репутации банка и доверия к нему со стороны текущих и потенциальных клиентов.
Как сократить инсайдерские риски в банках. Инсайдер может подсмотреть чужой пароль, но вряд ли сможет обмануть биометрическую систему. Она точно определит сотрудника, получавшего доступ к информационному ресурсу в определенное время. Усиливая уровень информационной безопасности (ИБ), такая система одновременно значительно снижает нагрузку на службы технической поддержки и затраты на решение инцидентов с паролями.
Проблемы утечки корпоративной конфиденциальной информации и способы минимизации данных рисков традиционно актуальны для руководителей служб информационной безопасности. Общий финансовый ущерб от инсайдерских утечек в мире в 2010 г. составил более 200 млн долл. США.
Согласно опросу компании РейтеШх, респондентами которого выступили руководители департаментов ИТ и ИБ, более 70 % угроз информационной безопасности приходится на утечки данных, а наибольшему риску утечки подвержены следующие сведения (рис. 6)1.
1 Респонденты опроса компании РептеМх имели возможность выбрать два наиболее подходящих варианта ответа.
П ерсон ал ьн ыв дан н ые
Финансовые отчеты
68%
Детали сделок
Источник: отчет компании InfoWatch «Глобальное исследование утечек за 2010 год» Рис. 6. Информация, наиболее подверженная утечке
Утечки информации в банках и страховых компаниях. Наиболее остро вопрос защиты от утечек корпоративной информации стоит в банках и страховых компаниях, так как несанкционированный доступ к конфиденциальным сведениям (счета и персональные данные клиентов, финансовые отчеты, доступ к проведению транзакций) в данных организациях и их утечка выражаются в колоссальных потерях. Если расчет прямых финансовых потерь можно произвести с высокой точностью, то репутационные риски оценить гораздо труднее, а ведь именно они в перспективе могут нанести банку больший урон.
Разумеется, учитывая силу влияния угроз репутации, при возникновении подобных инцидентов представители банков делают все возможное, чтобы информация не попала в средства массовой информации (СМИ). Но на 100 % предотвратить публикацию информации невозможно.
В период 2009-2010 гг. в СМИ широко обсуждались несколько серьезных инсайдерских утечек в западных и российских банках. Например, инцидент в ПриватБанке (Великобритания), сотрудник которого Аллен Картер попытался украсть 1,2 млн ф. ст. с помощью персональных данных клиентов, содержащихся в базе данных банка. Или инцидент в Азиатско-Тихоокеанском банке, завершившийся четырьмя годами колонии строгого режима для сотрудницы Елены Хороших, переводившей деньги со счетов У1Р-клиентов на собственный.
Подход к выбору средств защиты от утечек. Традиционно особое внимание сотрудники департамента ИБ банков уделяют защите от несанкционированного доступа (НСД) к информационным ресурсам, так как именно этап получения доступа к ценным данным является фундаментальным в вопросах информационной безопасности и инсайдерских рисков.
Наиболее популярными средствами защиты от НСД являются: ^В-токены, смарт-карты, пароли, биометрическая идентификация. Первые два средства являются аппаратными. При всех своих преимуществах они имеют один большой недостаток - материальные идентификаторы сотрудника. При использовании данных средств система идентифицирует материальный носитель, а не конкретного человека. Соответственно, при краже или преднамеренной передаче данного идентификатора злоумышленникам риски получения доступа не имеющего на это право сотрудника достаточно высоки.
Использование паролей еще более рискованно, поскольку сами правила их использования в корпоративной информационной среде определяют высокие риски компрометации. Например, пользователи должны обладать разными паролями к каждому приложению или модулю информационной системы, а сам пароль должен содержать девять неповторяющихся символов и букв.
Такое количество комбинаций практически невозможно держать в уме, что заставляет сотрудников использовать для их хранения телефоны, текстовые файлы на рабочей станции либо банально записывать их и хранить на столе.
Биометрическая идентификация, в свою очередь, лишена описанных выше недостатков: во-первых, она гарантирует предоставление доступа конкретному сотруднику (а не его материальному идентификатору) и предотвращает возможность кражи или потери идентификатора; во-вторых, устраняет неудобства для пользователей (им не нужно ничего запоминать или хранить, их идентификатор, отпечаток пальца, всегда с ними).
Кроме того, при возникновении инцидентов биометрические системы идентификации могут с точностью определить сотрудника, получавшего доступ к информационному ресурсу в определенное время, а также записывать скрытую историю манипуляций, произведенных администратором, и передавать ее в службу ИБ.