Чтение онлайн

Злоумышленники уже научились взламывать упомянутые выше новые системы двухфакторной защиты. «Классические SMS с одноразовыми паролями уже не могут обеспечить хороший уровень защищенности, — подчеркивает Алексей Тюрин , директор департамента аудита компании Digital Security. — Проблема в том, что пользователи часто ставят на смартфоны множество приложений и разрешают им доступ к SMS. Этим и пользуются вирусописатели. Уже существуют продвинутые банковские вирусы, которые работают совместно: и на компьютере, и на смартфоне. Вирус на компьютере позволяет создать и отправить платежное поручение, а SMS с паролем для подтверждения платежа приходит на смартфон, откуда через соответствующее приложение переправляется злоумышленнику. Чтобы увеличить количество зараженных смартфонов и компьютеров, разрабатываются технологии, когда вирус может перебираться с устройства на устройство».

Внутренняя угроза

Понятно, что индустрия защиты от киберпреступников тоже не стоит на месте. Наиболее перспективные сейчас способы защиты от банковских интернет-мошенников — персональные средства аутентификации в виде USB-брелоков (так называемые токены) или смарт-карт.

На такие устройства вирусам проникнуть очень сложно, так как они хранятся отдельно от компьютера. При необходимости совершения сделки устройство подключается к компьютеру, и в нем генерируется нужный разрешающий код для доступа к банковскому счету. «Мы считаем перспективным применение токенов, причем моделей с экранами вместо обычных токенов, — говорит Алексей Тюрин. — Дело в том, что клиент, подписывая платежное поручение с помощью обычного токена, получает информацию о том, что подписывает, только через свой компьютер. Злоумышленник различными способами может подменить информацию на ПК клиента, и тот подпишет и отправит деньги злоумышленнику. Здесь могут спасти токены с экранами, которые являются дополнительным доверенным каналом получения информации о будущем платеже».

Одновременно наблюдатели критикуют позицию многих банков, которые совершенствуют свои системы защиты без особого рвения. «У ряда банков простая арифметика: если сумма убытков от мошенничества меньше, чем затраты на внедрение дополнительных мер безопасности, не имеет смысла что-то менять, — продолжает Алексей Тюрин. — Если банк составляет “правильный” договор, который перекладывает на клиентов всю ответственность за инциденты мошенничества, то, согласно российскому законодательству, клиентам очень трудно вернуть свои деньги даже в том случае, если хищение осуществлялось через уязвимости в системе самого банка. Наши исследования в области анализа защищенности систем дистанционного банковского обслуживания показывают, что примерно в 80–90 процентах случаев потенциальные возможности хищения денежных средств у клиентов существуют из-за проблемы с информационной безопасностью в самих банках. К сожалению, клиентам очень сложно доказать, что виноват именно банк».

Не стоит забывать и про такую опасность, как внутренние угрозы банков. «Мне представляется, что в скором времени массовый потребитель банковских услуг осознает простую вещь: внутренние угрозы опаснее внешних, — заявляет Николай Федотов из InfoWatch. — То, что это верно для других областей, уже всем очевидно. И только банки всеми силами привлекают внимание публики к внешним злоумышленникам — и старательно отвлекают от внутренних. Хотя именно инсайдеры-злоумышленники виноваты в большинстве хищений и других инцидентов».

«Основной защитой любой системы является грамотность ее пользователей, — продолжает тему Аркадий Прокудин , заместитель руководителя центра компетенции информационной безопасности компании “АйТи”. — До сих пор встречаются сотрудники, которые записывают пароли на бумажках и клеят их на монитор. Или используют пароли вроде 12345678, 00000 или “пустой” пароль. На мой взгляд, обученный специалист, соблюдающий политику безопасности компании, — это уже организация защиты на 50 процентов, все остальное доводится дополнительными решениями».

Наконец, участники рынка говорят о необходимости усиления роли государства в области регулирования интернет-банкинга. По последним данным, Банк России собирается в ближайшее время подготовить новый обязательный перечень правил для банков, предоставляющих услуги интернет-платежей. В частности, активно обсуждается идея обязательно указывать в банковских реквизитах еще и IP-адрес каждого клиента.

Как банки могут снизить угрозу интернет-банкинга

Дмитрий Бирюков , заместитель начальника отдела информационной безопасности банковских систем компании "Астерос":

Дмитрий Бирюков

– Прежде всего стоит отметить, что само понятие "интернет-банкинг" в России весьма расплывчато. В российском законодательстве до сих пор не существует нормативного документа с соответствующей четкой формулировкой. Эта деятельность регулируется различными федеральными законами, а также нормативными актами Банка России. Но до тех пор, пока нет официального определения, каждая кредитная организация в договоре с клиентом на дистанционное банковское обслуживание вынуждена сама описывать, что она понимает под интернет-банкингом. От того, насколько полно и грамотно составлен этот документ, зависят последствия споров между банком и клиентом. Для примера: типовой договор Bank of America с клиентом занимает около 60 страниц и описывает практически все возможные случаи и распределение ответственности между сторонами. Особое внимание в подобном документе уделяется как раз вопросам обеспечения информационной безопасности.

Ну а если говорить о том, какими средствами сегодня можно обеспечивать защиту интернет-банкинга, то первое, что нужно сделать, - в дополнение к имеющейся технической и эксплуатационной документации на системы, обеспечивающие предоставление услуг интернет-банкинга для клиентов, разработать пакет организационно-распорядительных документов по обеспечению информационной безопасности. Затем необходимо продумать регламенты и инструкции для сотрудников самого банка. И наконец, разработать инструктивные документы для клиентов, пользующихся данной услугой. Эта информация должна быть понятно и юридически грамотно отражена в заключаемых с клиентами договорах на дистанционное банковское обслуживание.

С точки зрения программно-технических мер защиты обязательной на сегодня является система двухфакторной аутентификации при осуществлении интернет-банкинга. Помимо этого в банках сейчас действует довольно много систем, прямо или косвенно помогающих защите данных, - от самых простейших до сложных аналитических решений для обнаружения вторжения, систем мониторинга и противодействия мошенничеству.

Важной частью работы по обеспечению безопасности является информирование и обучение клиентов банка в области дистанционного банковского обслуживания (ДБО). Они должны уметь использовать имеющиеся у банка технологии ДБО и быть проинформированы о возможных рисках.

Глеб Жога

Для сбалансированного развития Пермского края необходимо демпфировать внешнюю конъюнктуру, влиять на госполитику в оборонном комплексе и машиностроении и привлекать инвесторов

Губернатор Пермского края Виктор Басаргин

В прежние времена Пермский край часто слыл новатором среди российских регионов, а уж на уральских территориях эта слава за ним закрепилась прочно. Не так давно, весной 2012 года, в крае сменилась управленческая команда. Новый глава Прикамья Виктор Басаргин известен своей аккуратностью и вдумчивостью. «Ну Виктор Федорович сплеча рубить не любит…» — частенько услышишь от его коллег и подчиненных. И похоже, традиционный подход к управлению регионом в нынешние времена приходится кстати. Мы расспросили губернатора о том, как развивается экономика Пермского края в непростой период «умеренного роста».