Карантин транзакций поможет банкам защититься от фрода
Развитие систем ДБО, причем не только со стороны функционала, но и в области ИБ – одна из актуальных задач банковской информатизации. Эксперты выясняют, какие угрозы могут возникать при дистанционном обслуживании частных и корпоративных клиентов, а главное, какие методы со стороны клиентских и серверных систем являются эффективными для обеспечения необходимого уровня ИБ. Данная тема стала одной из обсуждаемых на прошедшей 10 апреля 2014 г. конференции «Информационная безопасность в финансовом секторе: современные угрозы и средства защиты», организованной CNews Conferences и CNews Analytics.
Каналов дистанционного обслуживания, которыми активно пользуются банки, сегодня несколько. К системам ДБО относятся и онлайн-, и мобильный банк, и банкоматы, и контакт-центры, и SMS-банк и др. Юрлица в подавляющем большинстве случаев используют интернет-банк, для защиты которого применяются электронные подписи и ключи на e-токенах. Методы защиты, которые используют банки для операций физических лиц, включают в себя SMS-оповещение, push-нотификацию в мобильных клиентах, в ряде случаев – специализированные крипто-приложения. Ни мобильные устройства, ни беспроводные сети 3G/4G, по которым передаются данные, нельзя назвать в полной мере надежными, и, как отметил Сергей Потанин, начальник центра информационной безопасности АКБ «Союз», ни одно промышленное ДБО-решение сегодня не может обеспечить гарантированную защиту от подмены электронного документа в момент его подписания. Это означает, что любую транзакцию легко подделать. Причиной уязвимости системы ДБО могут стать по меньшей мере пять различных явлений: организация несанкционированного доступа к банковскому клиенту, действия инсайдеров – сотрудников банка, атака из интернета на клиентскую систему ДБО или атака на серверное ДБО-решение, а также нарушение правил применения систем ДБО самим клиентом.
Для повышения качества и надежности дистанционного банковского обслуживания могут быть использованы однонаправленные устройства, поддерживающие криптографическую защиту. Таковыми являются специальные клавиатуры, сканеры, USB-, Bluetooth-модули и другие решения, подключающиеся к настольным компьютерам, ноутбукам или мобильным гаджетам. Без однонаправленной передачи электронной подписи и идентификационных данных (от клиента к серверу) транзакции автоматически блокируются. Подобное решение, впрочем, годится не для всех: частные клиенты постоянно носить с собой какие бы то ни было дополнительные аксессуары вряд ли будут. Этот способ рассчитан в большей степени на юридических лиц и VIP-клиентов.
На конференции рассмотрели и более универсальные методы защиты систем ДБО. О DisplayCard – традиционной банковской карте со встроенной 12-кнопочной клавиатурой для ввода пин-кода и шестисимвольным ЖК-дисплеем, которая является примером решения, позволяющего клиенту удаленно осуществлять банковские операции с большой степенью безопасности, – рассказал Евгений Гусенков, начальник управления информационной безопасности КБ «Восточный».
Модели угроз, изучаемые Межбанковской рабочей группой, в своем выступлении перечислил Алексей Ермаченков, начальник отдела информационной безопасности банка «Кузнецкий мост». В числе прочего были названы компрометация ПК с установленными ДБО со стороны внешних злоумышленников, компрометация ключей со стороны клиентов банков, мошеннические действия со стороны сотрудников банка или третьих лиц, получивших доступ к корпоративной банковской системе. Для снижения уровня рисков от этих угроз банковским ИТ-службам эксперт порекомендовал внедрять систему Fraud-мониторинга для слежения за нестандартными действиями клиентов, информировать клиентов обо всех операциях, вести белые списки контрагентов, использовать оборудование со встроенными (и не извлекаемыми) ключами, а также прибегать к так называемому карантину, то есть задержке от уведомления клиента об операции до реального исполнения транзакции.