Доверяй, но проверяй!

24 февраля 2015
Доверяй, но проверяй!

Безопасность дистанционных сервисов — основа доверия клиентов, без которого немыслима успешность банковского бизнеса.

В 2014 году в редакции журнала «BIS Journal» прошёл «круглый стол», посвящённый проблеме доверенной среды дистанционного банковского обслуживания. Участники дискуссии обсудили как узкие, организационно-технические, так и широкие, гуманитарно-психологические аспекты взаимного доверия сторон бизнес-процессов. Формулировки вопросов и предложенные ответы, несомненно, будут интересны для сотрудников подразделений информационной безопасности банков.

ЧЕМ ОБОСНОВАТЬ УВЕРЕННОСТЬ

Главный вопрос, поставленный перед участниками обсуждения, был о доверии клиентов банков к дистанционным банковским сервисам, предоставляемым через открытую сеть интернет. Можно ли добиться, чтобы электронным документам, в первую очередь платёжным, доверяли не меньше, чем «бумажным»? На какие жертвы, включая отказ от удобств анонимности, согласятся пойти клиенты банков, чтобы их средствами на электронных счетах не воспользовались мошенники?

Участие в «круглом столе», который вёл Олег Седов, приняли сотрудники государственного регулятора, ведущих банков и компании — поставщика решений по информационной безопасности:

  • Артём Сычев — заместитель начальника Главного управления безопасности и защиты информации Банка России;
  • Василий Окулесский — начальник управления информационной безопасности ОАО «Банк Москвы»;
  • Александр Виноградов — начальник управления информационной безопасности ЗАО КБ «Златкомбанк»;
  • Алексей Сабанов — заместитель генерального директора ЗАО «Аладдин Р.Д.».

Естественным образом за рамками обсуждения остался мировоззренческий вопрос доверия граждан страны к устойчивости национальной финансовой системы. Вкладчики в достаточной степени защищены системой страхования вкладов, хотя у юридических лиц, обслуживающихся в банке, у которого отозвана лицензия, проблем с возвратом своих средств куда больше. Участники «круглого стола» также сошлись во мнении, что доверие между банками и правоохранительными органами в ходе расследования инцидентов информационной безопасности заслуживает отдельного обсуждения.

Необъятно широкую тему доверия быстро конкретизировали до практических отношений банка и клиентов: как создать у клиентов стойкую уверенность в безопасности дистанционных сервисов, без которых в наше время невозможно успешное развитие банковского дела? Но и в этой сравнительно узкой области, как обычно бывает в ходе дискуссий, участники легко переходили с одних разноплановых вопросов на другие. Поднимались концептуальные научные проблемы — что такое доверенная среда, каковы организационно-технические аспекты обеспечения безопасности ДБО, рассматривались актуальные практические вопросы — как сделать клиентские сервисы одновременно удобными и безопасными.

ОБОЮДООСТРАЯ ВЗАИМНОСТЬ

Оказалось, что проблема доверия обоюдоострая: чтобы клиент доверил свои деньги и пользовался дистанционными сервисами, он должен доверять конкретному банку. Клиент должен быть уверен в том, что и его деньги, и конфиденциальная информация, в первую очередь о финансовом состоянии, не «уплыла» на сторону, не попала в руки к злоумышленникам и не нанесла ущерба репутации. Александр Виноградов отметил, что федеральные законы о банковской и коммерческой тайне, о защите персональных данных обязывают хранить такую информацию от несанкционированного доступа и эти требования под угрозой санкций банки выполняют.

Однако чтобы банк, в свою очередь, доверял клиенту, нужно убедиться, что тот не злоумышленник и не растяпа, способный сообщить PIN-код своей банковской карты первому встречному, а потом опротестовывать кражу средств. В качестве отправной точки дискуссии был приведён наглядный пример «доверенной среды» в реальном мире — подтверждение личности клиента в банковском офисе.

Сотрудник банка лично убеждается, что перед ним — действительно владелец представленного паспорта гражданина РФ. Этот документ сканируется, копия остаётся в банке, затем производится проверка по 5 базам данных, в том числе на отсутствие в списке лиц, причастных к финансированию терроризма. Только по итогам этой проверки принимается решение о заключении договора о банковском обслуживании. При этом «арсенал» сотрудников банка сегодня чрезвычайно ограничен законодательством — проверка «благонадёжности» клиентов проводится через находящиеся в свободном доступе базы данных госорганов.

Идентификация клиента даже при его личном присутствии может сталкиваться с проблемами, отметил Александр Виноградов. Добропорядочный гражданин способен оказаться загримированным мошенником, паспорт поддельным, а сведения, предоставленные банку, заведомо ложными. Схожие угрозы возникают и в процессе электронной аутентификации клиента в системе ДБО.

Для расследования подобных инцидентов повсеместно будет вводиться практика, зарекомендовавшая себя за рубежом — документирование всех процедур идентификации и хранение протоколов. В этом направлении движется Банк России, отметил Артём Сычев, в нормативных документах рекомендуя банкам хранить идентификационную информацию о средствах, при помощи которых клиент осуществляет денежные переводы. Такие идентификаторы как IP-адрес, MAC-адрес, номера мобильных телефонов и т.п. должны протоколироваться с указанием даты и времени совершения операции, а также совершённых действий. Подобная база данных помогает и расследовать инциденты, и, при необходимости, формировать убедительную для суда доказательную базу уголовного дела. Алексей Сабанов добавил к сказанному, что аналогичные меры уже многие годы применяются за рубежом, облегчая деятельность правоохранительным органам и юротделам банков.

ОПАСНЫЙ, АГРЕССИВНЫЙ ИНТЕРНЕТ

Если существуют «подводные камни» идентификации клиента даже при его личном визите в офис банка, то в дистанционных сервисах их неизмеримо больше. Безопасность электронного документооборота между банками друг с другом и с государственными организациями находится на высоком уровне. Чего нельзя сказать о дистанционном общении банка с клиентами, которые могут стать жертвами прямого обмана — «социального инжиниринга», а их «рабочие места», персональные компьютеры и мобильные устройства — мишенями информационных атак. Особый источник опасности — телекоммуникационная среда, посредством которой осуществляется передача данных при дистанционном банковском обслуживании. В большей степени это относится к интернету, в намного меньшей — к мобильной связи.

Как подчеркнул Алексей Сабанов, интернет, телекоммуникационная среда транспортировки IP-пакетов, заведомо является средой открытой и не доверенной, где трудно создать «островки доверия». Потому что «по умолчанию» предполагаются анонимность пользователей и по структуре, и по происхождению, а также множественность маршрутов. Василий Окулесский выдвинул более радикальную точку зрения: что по этой причине интернет является агрессивной средой для любого бизнеса, и особенности этой среды помогают злоумышленникам похитить, исказить, подменить или уничтожить критически важную информацию.

Анонимность в интернете удобна для пользователей, но, в то же время, сопутствует множеству разнообразных угроз. От координации криминальной деятельности и кибердиверсий, шантажа и клеветы до нарушения неприкосновенности личной жизни. Оптимальное соотношение удобства и безопасности дистанционных финансовых сервисов стараются определить и федеральные органы государственной власти, и банки, и операторы платёжных систем. Одним из средств является ограничение суммы и количества анонимных электронных денежных транзакций в определённый период времени.

Государство, озабоченное противодействием финансированию и отмыванию нелегальных доходов, в настоящее время ограничивает анонимный денежный перевод суммой в 15 000 рублей. Банки и операторы мобильной связи, заботясь о безопасности своих клиентов, чаще всего проводят без идентификации плательщика разовые платежи до 3 000 рублей.

ЛУЧШИЙ КЛИЕНТ — ХОРОШО ИНФОРМИРОВАННЫЙ

Эти меры встречают понимание у граждан России, согласно приведённым Олегом Седовым результатам недавнего исследования, осуществлённого компанией EMC. По «индексу конфиденциальности» наши соотечественники оказались на 7 месте среди опрошенных граждан 15 стран: 38% населения России готовы поступиться конфиденциальностью личных данных ради доступности интернет-сервисов.

В свою очередь, банкам приходится определять баланс между удобством и безопасностью сервисов, предлагаемых клиентам, выбирая оптимальное сочетание доверенных, условно-доверенных и заведомо не доверенных элементов и сред. Самое главное — правильно понимать степень доверенности той или иной среды и сопутствующие риски, чтобы использовать адекватные угрозам средства обеспечения безопасности. В банке этим занимаются квалифицированные специалисты, отметил Василий Окулесский, целые подразделения информационной безопасности.

Именно банкам приходится думать, как обеспечить безопасность дистанционных сервисов со стороны клиента, который чаще всего является дилетантом в вопросах защиты информации. Чем выше доверие к банковским сервисам, тем быстрее расширяется клиентская база, растёт объём оказываемых дистанционных услуг и, соответственно, повышается прибыльность банковского бизнеса. Доверие клиентов, основанное на их убеждении в безопасности дистанционных сервисов, становится всё более действенным конкурентным преимуществом банка.

Чтобы донести до клиента правила безопасности при пользовании интернет- и мобильным банкингом, а также пластиковыми картами банки самостоятельно готовят информационные материалы, размещают их на своих сайтах, раскладывают распечатки в офисах. Эти же правила прописываются в заключаемых договорах банковского обслуживания как обязательства клиента. Если клиент не будет выполнять правила безопасности, которые минимизируют риски несанкционированного использования его идентификационных данных, банк не может гарантировать надёжную защиту платежей.

ОТЧУЖДАЕМАЯ БИОМЕТРИЯ

Особое внимание участники дискуссии уделили техническим средствам идентификации клиента банков в дистанционных сервисах. Алексей Сабанов отметил, что технологии дистанционной аутентификации предполагают выбор минимального набора идентификаторов личности. Речь идёт об уникальных метках, позволяющих отличать в базе данных определённую индивидуальность от прочих. В среднем каждый из нас получает за свою жизнь от 17 до 40 таких идентификаторов — паспортные данные, ИНН, СНИЛС и т.п.

Минус данных официальных документов в том, что они являются отчуждаемыми от человека, а значит, могут быть незаконно скопированы злоумышленниками и использованы для хищений денег жертвы. Более надёжными, хотя и менее удобными для использования, являются неотчуждаемые биометрические данные человека — отпечатки пальцев, рисунок радужной оболочки глаза, код ДНК и другие.

Участники дискуссии отметили, что и у биометрических средств идентификации клиента есть свои минусы. Первый — высокая доля ошибок, для отпечатков пальца — от 5 до 10%. Исследования, проводившиеся в Германии ещё в 2006 году, показали, что 5% из выборки в 400 000 вообще нельзя идентифицировать по отпечатку пальца. Более точными средствами биометрической идентификации являются кисть руки, овал лица и сетчатка глаза, где вероятность ошибки снижается до 1%, а максимальную точность даёт анализ ДНК — ошибка не превышает 0,03%.

Но чем более сложны технологии, тем они более дороги в реализации и менее удобны в практическом применении. Был приведён противоречивый пример коллег из Народного банка в Казахстане: переход на биометрическую идентификацию потребовал так много денег и усилий, что, как говорится, знать бы заранее... Несмотря на то, что сами биометрические параметры не отчуждаемы от человека, тем не менее, злоумышленники могут воспользоваться результатами их оцифровки. Проблемой является и обеспечение целостности при передаче по каналам связи, защита от возможной подмены.

Совсем уж брутальные возможности «принудительного отчуждения» биометрических данных упомянул Артём Сычев, сославшись на опыт африканских стран. Там, где банкоматы были оборудованы устройствами для идентификации по отпечатку пальца, грабители отбирали банковские карты у их законных владельцев вместе с пальцем. Участники дискуссии не могли не согласиться, что биометрические данные, несмотря на ряд преимуществ, не являются панацеей, и требуют применения дополнительных средств идентификации.

БЕЗОПАСНОСТЬ ПРИВЛЕКАТЕЛЬНА

С точки зрения банков сравнительные достоинства и недостатки различных средств идентификации клиентов в условно-доверенной и не доверенной среде оценили Василий Окулесский и Алексей Сабанов. И пришли к общему выводу — разработчики систем ДБО представляют уже готовый продукт со своим набором средств — устройств и технологий для идентификации и аутентификации.

Банкам, приобретая стандартный «коробочный» набор, приходится приспособлять его к конкретике своих бизнес-процессов, сервисов, типов клиентов. Оказывается, нелегко заменить тот или иной компонент готовой разработки на другой, пусть и более привлекательный, но выполненный другой компанией. Бывает нужно затратить немало усилий, чтобы убедить одного поставщика решений, продукт которого в основном устраивает, интегрировать в него более современный и надёжный компонент другого разработчика.

Инструментом убеждения могут служить действующие нормативные документы, подсказал Артём Сычев. С участием Банка России Техническим комитетом № 122 Росстандарта были разработаны соответствующие рекомендации для того, как сертифицировать обеспечение информационной безопасности на всех этапах жизненного цикла приложений автоматизированных банковских систем, начиная с этапа их разработки. Подкрепить эти рекомендации могут консолидированные предложения банковского сообщества, к которым разработчикам будет трудно не прислушаться.

Площадок для выработки коллективных решений много — Ассоциация российских банков, Ассоциация региональных банков России, НП «Национальный платёжный совет» и другие отраслевые общественные организации. Совместно выработанные решения способны оказывать положительное влияние и на устранение нестыковок, повышение эффективности межведомственного взаимодействия ФСБ России, ФСТЭК России, Минкомсвязи России и других отраслевых государственных регуляторов.

Прежде, чем накопится собственный опыт, — пришли к общему знаменателю участники «круглого стола», — для клиента важны внешние свидетельства того, насколько можно считать доверенной среду дистанционных услуг того или иного банка. Такими «плюсами», которые банк может предъявить потенциальному клиенту, являются и присоединение к СТО БР ИББС, и членство в НП «АБИСС», и результаты внешнего аудита обеспечения информационной безопасности. Эти подтверждения надёжности банк может использовать как конкурентное преимущество, чтобы завоёвывать доверие новых и новых клиентов.

КОММЕНТАРИИ

Александр Шестаков,
вице-президент, главный исполнительный директор по информационным технологиям ОАО «Банк Уралсиб»:

— Если рассматривать глобальный рынок, то программного обеспечения и решений в настоящее время более чем достаточно. Однако при проецировании на рынок РФ получаем крайне высокую стоимость владения такими решениями и отсутствие готовности поставщиков к кастомизации: каждый банк хочет иметь хоть на 10%, но уникальное с точки зрения информационной безопасности решение — для снижения рисков при «взломе» стандартного решения.

Таким образом, на текущий момент рынок — скорее продавца, нежели клиента, в результате чего пока мы видим ограниченный круг участников этого рынка в РФ, отсутствие специальной инфраструктуры. Кроме того, под грифом «коммерческая тайна» «процветает» низкая открытость предлагаемых решений, то есть предлагаются «чёрные ящики», без возможности детального анализа кода и/или отсутствие доверенных сертификационных компаний, которым российские банки могут доверять контроль качества и надёжности, а производители — свою «коммерческую тайну» без риска её утечки.

Сергей Потанин,
начальник управления информационной безопасности АКБ «СОЮЗ» (ОАО):

— Сегодня на IT-рынке есть практически все технические решения, устройства, которые позволяют усиливать безопасность ДБО. От самых простых и дешёвых (е-токенов) до самых сложных и дорогих (TrustScreen). Но, на мой взгляд, в этом достаточно длинном ряду не хватает всего одного, простого и универсального, типа устройств, которые относятся либо к типу TrustScreen-ов, либо к типу дополнительных клавиатур. И отличаются лишь тем, что являются однонаправленными, т.е. только выдают в ПК скан-коды нажатых на них клавиш, и в заключение отображают электронную сертифицированную подпись (ЭП) этой последовательности нажатых на них клавиш, а из ПК обратно вообще ничего не получают.

На данный тип устройств, в силу их однонаправленности, остаётся только один тип атак, очень непопулярный среди хакеров — это атаки, связанные со взломом сертифицированной криптографии, используемой в ЭП. Данный класс устройств позволит практически уже сейчас снять все существующие и все будущие угрозы, связанные с подменой контрольных параметров в документах ДБО, фишингом и т.д.

Лично я занимаюсь продвижением этой своей идеи уже третий год, но пока, к сожалению, для клиентов ДБО, безрезультатно — никак не могу заинтересовать наших крупных игроков и производителей рынка этим простейшим подходом к решению большинства проблем безопасности в ДБО. Причём банки готовы приобретать такие устройства, но финансированием IT-стартапов наши банки, к сожалению, не занимаются, и поэтому проект пока буксует. Получается, видимо, что моё устройство слишком простое, дешевое, надежноё и универсальное, чтобы им заинтересовались крупные игроки рынка, в ущерб уже существующим устройствам собственного производства.

Елена Дегтева,
начальник управления дистанционного обслуживания Банк «ВТБ 24» (ЗАО):

— Банки достаточно активно развивают свои системы безопасности. Внедряются новые современные средства подтверждения операций, системы фрод-мониторинга; банковские системы регулярно проверяются на предмет уязвимостей; используются двухфакторные системы аутентификации и шифровка параметров транзакции, исключающая подмену реквизитов. Таким образом, с технической точки зрения современные банки имеют достаточно возможностей для построения надёжной системы информационной защиты.

Главный недостаток предлагаемых устройств и технологий заключается в том, что ни одно устройство не обходится без человека. Не секрет, что львиная доля мошенничества в ДБО приходится на так называемый социальный инжиниринг, т.е. мошеннические схемы, в основе которых лежит невнимательность и доверчивость клиента, его неосведомлённость, либо пренебрежение правилами безопасной работы в интернете.

Именно поэтому донесение до клиента необходимой информации и приучение его к соблюдению этих правил не менее важно, чем совершенствование и внедрение новых технологий обеспечения безопасности в ДБО, и в не меньшей степени влияет на уровень надёжности ДБО. Данная проблема видится в настоящий момент более актуальной, чем нехватка на рынке IT-решений, в которых, на самом деле, недостатков как таковых и нет. Не менее насущная проблема — недостаток законодательной базы в части борьбы с мошенничеством. В первую очередь, видится недостаток в актах, регулирующих ответственность за мошеннические действия (включая уголовное преследование), формирование доказательной базы и т.п., следствием чего является низкая эффективность функционирующих в настоящее время институтов по борьбе с преступлениями в области IT.

Андрей Хохлов,
руководитель направления развития антифрод-решений Компании BSS:

— Сегодня наблюдается тенденция различного подхода банков к развитию и применению средств защиты в системах ДБО для физических и юридических лиц. С одной стороны, подход банков к построению защиты ДБО для юридических лиц более консервативный: удобство не всегда в приоритете над безопасностью. Банки активно применяют современные инструменты — анти-фрод-решения, устройства, создающие доверенную среду на стороне клиента, системы оповещения клиентов. Разумное сочетание этих инструментов с применением комплексного подхода позволяет банкам организовать необходимую и достаточную защиту систем ДБО. При этом не усложняется чрезмерно жизнь клиента, соблюдаются требования законодательства и рекомендации регулятора. С другой стороны, аналогичный подход неприменим к защите розничных клиентов банка. Они ожидают от банка простых и удобных решений, передовых сервисов. Например, использования для взаимодействия с банком всевозможных (заведомо небезопасных!) устройств — смартфонов, планшетов, умных телевизоров. Возможность входа в систему ДБО через аккаунты социальных сетей. Возможность перевода денег через почтовые клиенты, ускоренного исполнения распоряжений вне зависимости от условий формирования. В системах дистанционного обслуживания физических лиц банки делают акцент на удобстве пользователей порой в ущерб безопасности.

Актуальные решения, предлагаемые банкам разработчиками систем ДБО, позволяют создавать полноценную систему защиты клиентов банка. Так, комплексное решение для надежной защиты от мошенничества на основе системы «FRAUD-Анализ» представляет Компания BSS. Эффективность подхода BSS подтверждают более 60 банков РФ и СНГ, выбравших это решение. Но не стоит забывать и о том, что программный продукт — это инструмент, который используется банком, и каждый банк самостоятельно с помощью предлагаемых разработчиками инструментов и рекомендаций определяет актуальное для клиентов соотношение «удобно / безопасно».

Олег Глебов,
ведущий консультант по информационной безопасности компании R-Style:

— Уровень доверия клиентов к банкам определяется возможностью конкретного банка предоставить клиенту чувство защищенности. Раньше клиент, юридическое или физическое лицо, психологически чувствовал себя более защищенным при оповещении о любом нововведении в системе безопасности банка. Однако с ростом числа мошенничества люди потеряли доверие к банкам и технологиям защиты.

Клиенты сами всё чаще задумываются об обеспечении своей безопасности доступными средствами и методами: снятие денежных средств в момент прихода зарплаты, приобретение карт с низким лимитом для оплаты в интернете, хранение денежных средств на картах в небольшом объёме и т.д. В результате, введение более сложных средств аутентификации (виртуальные клавиатуры, рисунки, программные генераторы одноразовых паролей и т.д.) не даёт своего результата при серьёзных затратах на их реализацию.

На мой взгляд, только упрощение процессов распознавания клиентов позволит вернуть доверие к банкам. Для физических лиц методы распознавания прямо из мобильного приложения через камеру телефона, распознавание голоса и другие подобные методы позволят действительно повысить как уровень безопасности, так и уверенность клиентов в банках. Для юридических лиц становится актуальным использование push-технологий, SMS-информирования, подтверждения и распознавания QR-кодов как второго фактора аутентификации.

Источник: BIS journal

Читайте также:

20 февраля 2015

ИТ-альтернативы глазами поставщиков и заказчиков

В сфере ИТ складывается непростая ситуация. Предприятия сокращают ИТ-бюджеты, и к тому же в отличие от предыдущих кризисов появились некоторые формальные ограничения по поставкам отечественным заказчикам базовых продуктов, многие из которых критически важные для функционирования предприятий и экономики страны. Правительство объявило, что в перспективе сокращение импорта достигнет порядка 40%.