«Viberi» На дистанции одного банка
«Viberi» На дистанции одного банка4 сентября система интернет-банкинга Faktura.ru (охватывает 230 банков, ее ежедневный оборот превышает 5 млрд рублей) подверглась хакерскому нападению. Были использованы DDOS-атаки, когда с множества компьютеров на атакуемый сервер направляется поток ложных запросов. В итоге сервер тратит ресурсы на обслуживание этих запросов и недоступен для обычных пользователей. Суммарный трафик от атак достигал до 20 Мбит/с. Специалисты Faktura.ru зафиксировали 27 попыток проведения мошеннических операций, из них удалось предотвратить 17. В результате пострадали клиенты пяти банков. Общая сумма ущерба составила 2,18 млн рублей. Только 11 сентября атаки были нейтрализованы и доступ к системе восстановился. Делом о хищении средств занялись компетентные органы.
Повадки мошенников. Но это частный случай. Более распространенный и эффективный способ мошенничества – фишинг. Создаются дубликаты банковских сайтов. Невнимательный клиент, попадая на них, вводит свои конфиденциальные данные, например реквизиты карты с секретным кодом. Перехваченной информации достаточно для совершения покупки в интернет-магазине. А если клиент «поделился» идентификатором и паролем, то может остаться с пустым счетом. «Удобно имитировать такой информационный обмен, подключив клиента к ложной точке доступа Wi-Fi, например в аэропорту», – «обнадеживает» Константин Кузовкин, начальник отдела технических решений департамента информационной безопасности компании «Ай-теко».
Другой вариант угрозы: на компьютер пользователя пробираются программы, которые и похищают конфиденциальную информацию. Наиболее распространены «трояны», подменяющие аутентификаторы пользователя и производящие операции от его имени. Подверженность компьютера атакам вредоносных программ объясняется работой пользователя без антивирусного ПО. «Степень поражения иногда доходит до того, что управление компьютером и доступ к его данным злоумышленники получают круглосуточно и в любом объеме, – говорит председатель правления ЦФТ Александр Погудин. – Случаев, когда пользователь интернет-банкинга на 100% соблюдал меры безопасности, но при этом все равно пострадал от хакеров, пока не существует в истории». В результате банки вынуждены заниматься повышением компьютерной грамотности своих клиентов. «Мы информируем наших клиентов о появлении новых угроз, рекомендуем антивирусные программы и постоянно консультируем по вопросам информационной безопасности», – рассказывает Павел Новиков, начальник управления автоматизации СБ-банка.
Как снизить риск потерь при пользовании интернет-банкингом? Возможен вариант с одноразовыми паролями, когда пользователь получает от банка либо специальную программу для их генерации, либо просто их перечень. Чуть сложнее с криптографией: каждое свое послание пользователь интернет-банкинга шифрует с помощью электронной цифровой подписи (ЭЦП), а ключ для прочтения есть только у банка. Проблема в том, как отрезать посторонним возможный доступ к средству шифрования. Здесь могут использоваться смарт-карты, правда тогда потребуется устройство для считывания данных, которое надо подключать к компьютеру. Или специальный pin-код – проще, но менее надежно.
Спасение в ЭЦП. При оценке степени защищенности интернет-банкинга, по мнению руководителя управления «Фронт-офисные решения» компании «Диасофт» Константина Варова, можно обратить внимание на следующие моменты:
• используемые средства авторизации и аутентификации;
• дополнительные меры повышения безопасности (лимиты операций, лимиты суточные/месячные, лимиты на получателей, регистрация получателей, наличие системы борьбы с мошенниками);
• sms-оповещения о попытках входа и их результатах, о совершении операций;
• наличие колл-центра с функциями технической поддержки и разбора претензий, время соединения со специалистом, оперативность реакции на запросы.
Константин Кузовкин называет недопустимым тот случай, когда для аутентификации требуется вводить pin-код своей карты. Нежелательно использование многоразовых паролей. «Правда их ввод с помощью виртуальной клавиатуры снижает вероятность перехвата со стороны злоумышленника», – отмечает эксперт.
Чем сложнее процесс аутентификации, тем больше защищена система. Так, в СБ-банке при соединении клиента с интернет-сервером вся информация идентифицируется и шифруется. Документы, которыми обмениваются пользователи, подписываются ЭЦП. Ключи хранятся у клиента и защищены pin-кодом. Даже если злоумышленнику станут известны логин и пароль, сделать с деньгами он ничего не сможет. «Чтобы предотвратить попытки несанкционированного списания денежных средств, в них включены процедуры проверки характера платежа, идентификация реквизитов для оплаты и IP-адреса клиента», – добавляет Павел Новиков.
Особый подход. Забота о клиенте и средствах его аутентификации не гарантирует защищенность без серьезного отношения к информационной безопасности back-офиса банка. Для кредитных организаций «человеческий фактор» особенно силен: порой здесь работают люди, даже более неграмотные в плане защиты информации, чем их клиенты. Персонал пытается установить собственное программное обеспечение, и иногда это удается, рассказывает сослуживцам о паролях. «Именно несоблюдение административно-технических мер зачастую приводит к крупным финансовым и репутационным потерям», – говорит директор департамента систем электронного банковского обслуживания компании R-Style Softlab Алексей Кирюшенков.
Усложнение решений по безопасности также вызвано возрастающей функциональностью интернет-банкинга. Банки вынуждены искать неординарные методы защиты. Кроме конкретных программных и аппаратных средств защиты, формируется тактика взаимодействия с клиентами в кризисных ситуациях. В процессе отражения DDOS-атак Faktura.ru обратилась к банкам-партнерам. В результате в течение всего периода атаки банки вручную контролировали сделки стоимостью от 100 тыс. рублей, а 9 сентября не проводились небюджетные платежи.
ЭКСПЕРТЫ О БЕЗОПАСНОСТИ ИНТЕРНЕТ-БАНКИНГААлександр Погудин, председатель правления Центра финансовых технологий:– Критериев оценки систем ДБО может быть два: функциональность и удобство использования. Оценить достоинства и недостатки механизма обеспечения информационной безопасности в конкретной системе сложно и не всегда имеет смысл. Во-первых, ее уровень всегда отвечает неким промышленным стандартам. Во-вторых, напрямую зависит от функциональности того, что защищает: чем больше операций позволяет совершать система, тем сложнее алгоритмы авторизации. Косвенно о том, что система «умеет», можно судить по тому, насколько легко получить к ней доступ: чем проще, тем примитивнее функционал.
Константин Кузовкин, начальник отдела технических решений департамента информбезопасности «Айтеко»:– Проверка подлинности, причем как отправителя, так и получателя сообщения, может быть однофакторной, например по многоразовым паролям, или многофакторной (строгой). Во втором случае пользователь предоставляет несколько аутентифицирующих факторов, например смарт-карту, pin-код, сертификат открытого ключа. Желательно, чтобы «строгий» процесс был организован с применением одноразовых паролей и цифровых сертификатов. При этом необходимо использовать соответствующие аппаратные средства – е-токены, смарт-карты, устройства генерации одноразовых паролей.
Константин Варов, руководитель управления «Фронт-офисные решения» «Диасофта»:– 2-3 года назад многие отечественные банки не понимали смысла использования систем информационной безопасности. Теперь многие пользователи «доросли» до использования электронных финансовых услуг. Не только интернет-банкинга, но и различных платежных систем, личных кабинетов страховых компаний. Банки, заранее не позаботившиеся о предоставлении своим клиентам таких функций, теперь «кусают локти», упустив этот сегмент рынка. Но в целом это направление, за редким исключением, проспала вся российская банковская система.
Алексей Кирюшенков, директор департамента систем электронного банковского обслуживания компании
R-Style Softlab:– Банк сам определяет допустимый уровень угроз и рисков и выстраивает соответствующую систему безопасности. Стоимость решения зависит от сложности схем защиты. Традиционные средства аутентификации – одноразовые пароли. В более серьезных решениях применяются средства криптографической защиты. Большую популярность набирает биометрия. Помимо соответствующего уровня проверки пользователей необходимо обеспечить защиту информации на уровне архитектуры самой системы, с разделением ее на сегменты и определением правил их взаимодействия.
Рубрики