Сетевые риски для банков и их клиентов

С 31 декабря 2012 года вступают в силу новые положения закона «О национальной платежной системе», согласно которым банк будет обязан вернуть владельцу деньги, в случае если тот не подтверждает конкретную транзакцию. Причем вернуть, не дожидаясь окончания расследования. Это вынуждает банки усиливать свою систему безопасности, чтобы оградить себя как от внешних, так и от внутренних мошенников.

Риски банков автоматически возрастают, особенно если учесть, что найдутся те, кто будет воровать у самих себя. Не исключено, что мошенники найдутся среди служащих самих банков. Американская Ассоциация экспертов по борьбе с мошенничеством (AFCE) пришла к выводу, что ущерб от возможных злоупотреблений сотрудников равен примерно 6% от прибыли банка в год. Российские эксперты ориентируются на эти данные и экстраполируют их на нашу реальность. С учетом того что по итогам 2011 года в целом по миру банки потратили на информационную безопасность более 10% от своего IT-бюджета, перекос в сторону убытков очевиден.

Кроме того, растет угроза и для рядовых клиентов российских банков. Интернет-банкинг использует каждый десятый пользователь Сети. По оценкам различных исследователей, ежегодные потери от онлайн-преступлений в России составляют порядка 900 млн руб. Популярность интернет-банкинга растет, а значит, будут расти и эти потери. В 2011 году самым популярным способом хищений денег с банковских счетов было использование троянских программ. Эта тенденция сохранится и в будущем, так как количество пользователей онлайн-банкинга и в России, и во всем мире постоянно увеличивается. В 2012 году чаще стали применять узконаправленные атаки. Реквизиты кредитных карт и банковских счетов во все большем количестве предлагаются на виртуальных черных рынках.

Единственный способ минимизировать риски — повысить уровень безопасности в Интернете и локальных сетях, которыми пользуются банки. Думать об этом пора уже сейчас. Ибо наряду с фишингом возникают и множатся модные и куда более эффективные атаки, именуемые Man in the Middle («Человек посередине»): когда хакер перехватывает или изменяет электронные данные, пока те идут от отправителя к законному получателю. Man in the Middle имеет субкатегории Man in the Browser (хакер использует интернет-браузер пользователя) и Man in the Mobile (хакер перехватывает данные мобильных телефонов). Эти методы взлома требуют применения новых, более современных средств защиты.

В массе своей сегодняшние системы аутентификации пользователя являются одноуровневыми, что недостаточно для отражения современных угроз. Аутентификация происходит лишь на этапе транзакции. В таких условиях угроза типа Man in the Browser не может быть нейтрализована.

Пытаясь побороть эту угрозу, банки перешли на систему скретч-карт или систему паролей на бумажных носителях. Это лишь условно превратило одноуровневую систему защиты в двухуровневую. Большого смысла в заранее заготовленном списке паролей нет: носители неудобны, кроме того, совершенно не защищены от похитителей. 70% атак на систему дистанционного банковского обслуживания происходит при хранении ключей на незащищенных носителях.

Сегодня обсуждается идея внедрить систему генерации пароля через SMS, но смысла в этом еще меньше. Канал связи не защищен, SMS-сообщения легко перехватываются да и вовсе могут быть отправлены с компьютера злоумышленника. Все это предоставляет хакерам прекрасную возможность для реализации атаки типа Man in the Mobile.

Существует еще один путь защиты от этих рисков. Это внедрение многоуровневых систем строгой аутентификации, способных к тому же функционировать в агрессивной среде Интернета даже при ненадежном соединении. Собственный аутентификационный сервер, интегрированный во фронт-офис банка и управляющий дополнительными системами аутентификации. Он нужен для того, чтобы работала более надежная система, чем единовременное введение пароля и логина — даже для каждой конкретной операции. Ибо задача не в том, чтобы просто увеличить число операций по подтверждению личности пользователя, — это не даст должного эффекта.

Задача в том, чтобы применить метод, который сам по себе более надежен. И сегодня есть техническая возможность, которая позволит вести бизнес безопасно.

В ее основе лежит недавнее увлечение дорогими PKI-системами, которые, конечно, обеспечивают должный уровень безопасности, но крайне неудобны в использовании для физического лица — со всеми токенами, картами, считывателями карт и т.д. В итоге родилось понятие OTP — one time password, уникального пароля, генерируемого для каждой конкретной транзакции. Использование OTP вполне подходит для предотвращения атаки типа Man in the Middle. Что же касается более сложных атак, таких как Man in the Browser, здесь требуется более сложный уровень безопасности, который предполагает генерацию нового уникального пароля для каждой новой транзакции. Легкость пользования этой системой для физического лица трудно переоценить: от него требуется лишь ввод простого кода — и система работает.

Распространение этой технологии в Европе сегодня достаточно широко. Она используется уже не только в банковской сфере, но и во всех остальных, где требуется надежное подтверждение той или иной операции. Технологию широко используют для входа в корпоративную почту, удаленного подключения к корпоративной сети и цифровой подписи на документах. Впечатляющий пример использования в Европе технологии генерации одноразового пароля дает и страховой бизнес: чтобы сократить время на обработку требований, не заниматься длительным анализом и подтверждением легальности требований к страховой компании, решение о выплате в пользу страхователя принимается после прохождения им процедуры строгой аутентификации. Проблема возмещения мелких убытков и выплат по дорожно-транспортным происшествиям решается автоматически.

По нашим данным, внедрение технологий автоматической генерации пароля в триста раз увеличило объем онлайн-транзакций в европейских странах. В России до всего этого еще далеко. Нам бы с банков начать, то есть пройти тот путь, который уже прошла Европа.

Впрочем, позитивная тенденция так или иначе прослеживается по всему миру. Статистика такова: в 2010 году 80% банков считали процессы аутентификации и авторизации наиболее рискованными, 65% банков не имели сколь-нибудь эффективной защиты этих процессов, полагаясь на имя пользователя и пароль, и почти 50% страдали от тех или иных атак. Постепенное внедрение многоуровневой аутентификации привело к тому, что в 2012 году эти показатели сократились вдвое.