показать все 

ДБО: совершенствуем защиту и функционал

Конец прошлого года, когда нестабильный курс рубля вызвал своего рода ажиотаж, еще раз продемонстрировал банкам, насколько важны сейчас развитые и эффективные дистанционные каналы банковского обслуживания (ДБО). Этот опрос о том, каких решений для ДБО не хватает на отечественном рынке и насколько эффективны существующие системы, обеспечивающие его безопасность

1. Какие требования выдвигают заказчики при разработке ДБО?
2. Как можно повысить безопасность ДБО?
3. Каких решений для ДБО не хватает сейчас отечественному рынку? Что в этом сегменте предлагает ваша компания банкам-заказчикам?
4. Каковы основные критерии защищенности ДБО? Как выстроить баланс между стоимостью защиты и ее устойчивостью?
5. Какие ИБ-риски специфичны для ДБО и какие факторы затрудняют его защиту?
6. Какова экономическая эффективность систем Fraud-мониторинга?
7. Какой функционал ДБО можно считать оптимальным как для клиентов, так и для банков? ДБО для организаций – какие решения необходимы?

На вопросы «БИТа» отвечают эксперты ведущих компаний и банков

 

Алексей Снегирев, руководитель развития направления Kaspersky Fraud Prevention в России

Количество пользователей мобильного банкинга уже догоняет традиционные интернет-банки

1. К современным системам дистанционного банковского обслуживания предъявляется ряд концептуальных требований, без которых невозможно создать успешный продукт. В последнее время как у вендоров ДБО, так и усамих банков на первое место выходят вопросы технологического удобства использования продукта конечным потребителем, т.е. клиентом банка. Данный факт не может не сказываться на уровне безопасности работы пользователей в системах ДБО – открытость и простота практически всегда означают увеличение рисков дистанционного обслуживания как для банка, так и для конечных пользователей.

2. В большинстве стран вопросы безопасности денежных операций решаются при непосредственном участии регулятора в финансовом секторе, который предлагает участникам рынка те или иные методы защиты, позволяющие минимизировать риски финансового мошенничества. Аксиомой является использование автоматизированных систем предотвращения мошенничества. Внедрение подобных решений поможет существенно снизить потери банкаот мошенничества с применением систем дистанционного банковского обслуживания. Для банка сейчас существует целый спектр продуктов, позволяющий повысить безопасность и минимизировать риски. Все зависит отстратегии банка по защите систем ДБО и их пользователей.

3. На наш взгляд, в части защиты работы в системах ДБО в настоящий момент преобладает пассивный подход, т.е. банк готовится встречать мошенничество «у дверей» в тот момент, когда киберпреступник готовится сделать финальный этап атаки, а именно совершить транзакцию. Все остальные факторы остаются вне поля зрения финансовых организаций. Разумеется, даже самые изощренные и умные антифрод-системы не всегда могут идентифицировать подобные вещи. Не менее важным моментом остается тот факт, что банки уделяют недостаточное внимание безопасности конечных устройств пользователей. Только в случае крупных инцидентов, когда уже ведется расследование, их начинают проверять. Разумеется, злоумышленники это также принимают во внимание.

4. «Лаборатория Касперского» занимает позицию проактивной защиты от мошенничества в системах ДБО. В то время как современные инфраструктуры банков достаточно надежно защищены, клиенты зачастую работают в так называемой недоверенной среде. Антивирус на компьютере пользователя может быть не установлен либо не обновлен, обновления безопасности ОС и наиболее уязвимых приложений могут не выполняться вовремя. В таком случае риск заражения вредоносным ПО, а следовательно, и атаки на клиентов интернет-банкинга существенно возрастают. С помощью различных средств, таких как кейлоггеры, скринграбберы, атаки MitM, фишинговые страницы и т.д., киберпреступники пытаются получить доступ к учетным данным пользователей либо провести мошеннические транзакции непосредственно с рабочей станции жертвы. В таком случае клиент теряет деньги, абанк несет репутационные потери.

Что касается наших предложений рынку. «Лаборатория Касперского» предлагает комплексное решение по предотвращению мошенничества в системах дистанционного банковского обслуживания. В первую очередь это небольшой агент, который устанавливается на рабочие станции пользователей и предотвращает практически все известные атаки на интернет-банкинг.

Во-вторых, это серверный компонент, устанавливаемый в инфраструктуре банка и отслеживающий поведение пользователей при работе в интернет-банке. Таким образом, даже если пользователь по каким-то причинам неприменяет агентское решение, банк узнает о подозрительной активности на стороне клиента и сможет принять дополнительные меры до подтверждения подозрительной транзакции.

В-третьих, это мобильный SDK – набор инструментов, предназначенный для снижения рисков при работе пользователей в интернет-банке с мобильных устройств. Согласно последним данным количество пользователей мобильного банкинга уже догоняет традиционные интернет-банки, в связи с этим мобильные приложения привлекают все большее внимание киберпреступников.

1. Современный бизнес практически неотделим от информационных технологий, и ДБО – это яркий тому пример. Основные требования сейчас со стороны заказчиков предъявляются к непрерывности работы системы дистанционного банковского обслуживания, к ее производительности, а также целостности и сохранности информации, которая проходит через каналы ДБО.

2. Для банка каждый случай мошенничества – это не только денежные потери, которые нужно возместить из резервного фонда, но и репутационные. Поэтому вопросы информационной безопасности для ДБО действительно стоят довольно остро.

Какие факторы влияют на уровень безопасности дистанционных каналов? Во-первых, очевидно, что банком обязательно должны соблюдаться требования регуляторов в отношении защиты персональных данных. Во-вторых, следует предусмотреть комплексную защиту от кибератак, которые могут привести к временной остановке работы сервисов, потере данных и утечкам информации. Для этого используются, в частности, системы контроля информационных потоков, средства защиты от DDoS-атак, решения класса APT Prevention для анализа поведения программного кода и системы выявления аномалий в сетевом трафике. И, наконец, последний объемный пункт повышения безопасности – это предотвращение мошеннических действий, осуществляемых через ДБО в целях противозаконного получения дохода и кражи денежных средств клиентов. Здесь могут быть полезны как системы многофакторной аутентификации, снижающие риски несанкционированного списания средств, так и инструменты антифрод-анализа всех транзакций на подозрительность.

При этом очень важно предварительно проверить защищаемые бизнес-процессы на устойчивость к возможным мошенническим действиям и рискам и учесть доступность для обработки каких-то неучтенных случаев и схем специалистами заказчика. Например, сейчас мы как раз работаем над несколькими проектами для крупных банков по выявлению подозрительных действий в системах дистанционного банковского обслуживания. Антифрод-система будет анализировать все дистанционно осуществляемые операции, отклонять подозрительные и при необходимости оповещать клиентов о попытках завладеть их средствами. Ручная обработка событий также предусмотрена.

В целом развитие сервисов ДБО в нашей стране идет медленно. Хотелось бы, чтобы любой пользователь мог легко оплатить товары и услуги через Интернет с высокой степенью надежности, чтобы картой можно
было расплачиваться везде, чтобы комиссия была не такой высокой… Но этого пока нет. Мы постоянно сталкиваемся с подделками, фальшивками и фишингом. Участились взломы терминалов, а дела по таким случаям нерассматриваются, так как ущерб составляет, как правило, менее 250 000 рублей.

До тех пор, пока нашим законодательством не будет установлено жесткое наказание за различные виды мошенничества в ДБО (высокие штрафы, исполнительные работы), мы будем вынуждены сталкиваться с этими угрозами каждый день.

Михаил Попов, основатель платформы по управлению личными финансами EasyFinance.ru

Некоторые банки создают подобные решения, с точки зрения затрат этот выбор не эффективен

3. Сегодня дистанционное банковское обслуживание развивается, и клиентам – физическим лицам уже недостаточно просто функционала онлайн-банка для проверки состояния счета и оплаты коммунальных счетов. Клиенты банков, во-первых, хотят дополнительных функций, таких как, например, удобная выплата обязательств по кредиту, возможность привязать дополнительные счета (в том числе счета криптовалюты). Во-вторых, клиенты хотят видеть в банке не только финансового посредника, но и помощника, консультанта, поэтому важно внедрять в онлайн-банкинг системы по учету личных финансов (PFM-системы).

Некоторые банки идут по пути создания собственных подобных решений, но я считаю, что с точки зрения затрат времени и денег этот выбор не эффективен. Гораздо выгоднее и надежнее внедрять готовое PFM-решение. Дело втом, что у обычных разработчиков банковского ПО нет опыта работы с конечным пользователем, как правило, они не имеют с ним обратной связи. А компания-поставщик готового решения не только регулярно мониторит отзывы пользователей о созданной платформе, но и на основе обратной связи вносит обновления и улучшения в систему.

Сейчас мы видим, что со стороны банков спрос на наше решение растет. Нашу PFM-платформу уже внедрил «Русский Стандарт», еще с несколькими банками сейчас ведем активные переговоры об интеграции.

 

Анатолий Чуманский, начальник отдела стратегического развития департамента информационных технологий АИЖК

Разработчикам систем ДБО следует делать акцент на управление личными финансами

АИЖК планирует продолжить дальнейшее развитие функционала системы «Личный кабинет заемщика», которая является современным безопасным способом управления ипотечным кредитом и позволяет клиенту самостоятельно получать информацию по кредиту, контролировать суммы, даты платежей и наличие просроченной задолженности.

Основные перспективы развития дистанционного банковского обслуживания мы связываем с распространением систем с функциональностью управления личными финансами (PFM, Personal Financial Management) и элементами игрофикации (gamification). Подобные решения на текущий момент еще не распространены. На наш взгляд, разработчикам систем ДБО следует делать акцент на эту новую функциональность и обеспечение информационной безопасности предлагаемых решений.

 

Антон Митрофанов, архитектор по информационной безопасности компании «Информзащита»

Основным средством защиты от мошенничества являются системы фрод-мониторинга

1. При построении защиты системы ДБО организации решают две основные задачи – защита финансов клиентов от несанкционированных действий и обеспечение конфиденциальности их данных. Исходя из этих задач можно выделить ряд основных критериев, по которым можно судить о защищенности ДБО: надежность аутентификации пользователя в системе и механизмов подтверждения проводимых операций; наличие технических уязвимостейв ПО и инфраструктуре, позволяющих злоумышленнику захватить контроль над всей системой либо отдельными ее компонентами; использование средств анализа поведения пользователей для выявления аномалий при работе сДБО, а также регулярный анализ накопленных в процессе работы системы данных; наличие процессных контролей при работе с системой, таких как использование дополнительного канала связи для подтверждения подозрительных операций и т.п.

Для того чтобы сохранить баланс стоимости и уровня защищенности при реализации этих критериев, банку необходимо четко понимать приемлемые для него уровни рисков и строить защиту исходя из этого.

2. Одним из рисков, характерных для ДБО, является мошенничество при проведении транзакций. Целью злоумышленика при мошенничестве является выполнение платежа со счета клиента «легитимно» – без взлома ДБО. Длявыполнения таких платежей используются различные средства: ботнеты, шпионское ПО, социальная инженерия. Сложность защиты от подобных атак заключается в том, что они все выполняются в адрес пользователя систем ДБО – клиента банка. Для противодействия таким атакам банк должен регулярно информировать клиентов о правилах безопасной работы с ДБО, оповещать о выявленных методах мошенничества.

3. Основным средством защиты от мошенничества являются системы фрод-мониторинга, позволяющие выполнять анализ больших объемов данных для выявления аномального поведения пользователей.

Средний показатель объема мошеннических операций по России значительно ниже аналогичных показателей по Европе и США, однако в абсолютных значениях этот показатель сильно зависит от размеров банка и объемов финансовых потоков. Для примера: потери одного из самых крупных российских банков от мошенничества составляли до $1 млн в месяц. Нужно отметить, что сейчас около 80% потерь банков от мошенничества через канал ДБО приходится на операции юридических лиц и только 20% на физические лица.

Таким образом, экономическая эффективность системы фрод-мониторинга напрямую зависит от потерь, связанных с мошенничеством. Для крупных банков с большим оборотом окупаемость может составлять несколько месяцев, а для небольших – до нескольких лет.

Катажина Хоффман-Селицка, менеджер по продажам в Восточной Европе HID Global

Наиболее оптимальными являются системы многофакторной аутентификации

5. Рост популярности систем интернет- и мобильного банкинга способствует повышению активности киберпреступников и увеличению количества вредоносного ПО.

В последнее время в мошеннической среде стали востребованными так называемые атаки «Человек-в-браузере» (Man-in-the-Browser). С помощью Man-in-the-Browser злоумышленники могут без труда обойти двухфакторные системы безопасности последнего поколения, используемые в онлайн-банкинге. Суть подобных атак состоит в том, что при их реализации злоумышленники изменяют параметры транзакции в буквальном смысле на лету.

Вредоносное ПО внедряется в клиентский интернет-браузер и становится своего рода посредником между пользователем и веб-сайтом. Когда клиент начинает процесс перевода денежных средств, параметры транзакции засчитанные секунды меняются так, как угодно мошеннику. При этом сам факт проведения атаки предельно скрыт. Защиту ДБО затрудняет то, что ни сам пользователь, ни антивирус не могут обнаружить проведение атаки Man-in-the-Browser. Эффективным способом обороны является система Fraud-мониторинга.

6. Системы Fraud-мониторинга являются экономически весьма эффективными. Мы считаем, что сервер аутентификации с сервисом обнаружения угроз должны окупиться в течение трех-четырех месяцев. Это происходит потому, что, применяя данную систему, банк уменьшает затраты из-за мошенничества и снижает расходы на аутентификацию SMS по меньшей мере на 50%.

7. Это сложный многомерный вопрос. Статистика показывает, что наиболее оптимальными являются системы многофакторной аутентификации, с помощью которых можно обеспечить максимальный уровень защиты банковских операций как для частных пользователей, так и для корпоративных клиентов. То есть к двухфакторной аутентификации банки добавляют дополнительные уровни безопасности.

 

Яков Ставринов, руководитель направления по работе с заказчиками кредитно-финансового сектора компании «Аладдин Р.Д.»

Можно отметить несоблюдение клиентами банков требований по защите информации

4. Основными критериями защищенности систем ДБО являются строгая взаимная двухфакторная аутентификация клиента системы ДБО и самой системы, защищенность каналов связи и передачи данных, электронная подпись всех проводимых операций, обеспечивающая факт совершения операций или действий. Важным аспектом в этой связи является визуализация подписываемых данных в доверенной среде с использованием доверенного устройства, наличие которого и принадлежность реальному клиенту банк может проверить. В этом смысле самой надежной является технология SWYX-аутентификации (Sign What You eXecute, «подписываешь то, чтовыполняешь»). Таким устройством может служить «Антифрод-терминал» от компании «Аладдин Р.Д.».

5. Для ДБО характерны кибератаки и все чаще встречающаяся подмена подписываемых данных – когда на экране клиент видит одни реквизиты, а при отправке платежного поручения в банк удаленно подключившийся злоумышленник меняет реквизиты, и денежная сумма отправляется в «неизвестном направлении» другому контрагенту. В числе факторов, затрудняющих защиту ДБО, можно особо отметить «человеческий фактор» инесоблюдение элементарных правил и требований по защите информации со стороны самих клиентов банков. «Антифрод-терминал» реализует механизмы, позволяющие банку проводить расследования инцидентов иосуществлять разбор конфликтных ситуаций.

6. В настоящий момент банками используются различные системы фрод-мониторинга. Они, безусловно, весьма эффективны в тех случаях, когда удается приостановить подозрительные платежи. Но надо учитывать, что системы фрод-мониторинга – технология на стороне банка. Для обеспечения более высокого уровня защищенности нужна и клиентская сторона – решение, позволяющее подтвердить или отклонить подозрительную операцию самим пользователем online в доверенной среде, приостановленную ранее системой фрод-мониторинга.

7. Оптимальный набор функций сформирован и на сегодняшний день реализуется практически во всех системах ДБО. Важным конкурентным преимуществом является поддержка мобильных сервисов, которые позволяют совершать защищенные операции не только со стационарных компьютеров, но и с мобильных устройств на разных платформах. При этом оптимальным решением станет то, которое будет поддерживать весь набор функций, доступных и для обычных ПК. Тут прежде всего должна применяться электронная подпись. Решение JC-Mobile от компании «Аладдин Р.Д.», разработанное специально для мобильных устройств, позволяет организовать безопасный доступ к системам и сервисам с мобильных устройств и обеспечивает юридическую значимость подписываемых электронных документов и проводимых операций.

 

Александр Беспалов, старший партнер консалтинговой компании «Беспалов и партнеры»

Отсутствие грамотности в сфере информационной безопасности – фактор, затрудняющий защиту

4. Основной критерий защищенности – отсутствие возможности у злоумышленника получить доступ к управлению средствами клиента банка. Понятно, что, как и в любой другой информационной системе, должна быть некая «золотая середина» между стоимостью такой защиты и экономической целесообразностью ее использования.

Например, пытаться внедрить некие токены и hard-системы с одноразовыми ключами для массового потребителя кредитных карт (интернет-банкинга для частного пользователя), экономически нецелесообразно. С другой стороны, использование таких систем для корпоративных клиентов часто имеет экономический смысл, так как размер потерь может быть на порядки больше.

5. ДБО – это обычная информационная система, тут сложно выделять специфические риски. Везде они одни и те же – компрометация ключей, получение доступа злоумышленника к личному кабинету и управлению им, внедрение шпионских программ в каналы связи и прочее. Факторы, затрудняющие защиту, – опять-таки как и в любых системах – человеческие. Потери ключей и токенов, хранение паролей в открытом виде, передача илипотеря телефона, на который заведено смс-информирование и пр.

Отсутствие грамотности в сфере информационной безопасности – самый главный фактор.

6. Эффективность системы Fraud-мониторинга зависит от степени эффективности ее внедрения в конкретном банке. Без нее эффективность защиты фактически ложится на пользователя, который сам должен контролировать свой счет. В случае же внедрения Fraud-мониторинга частично эти функции берет на себя банк, что определенно позитивно с точки зрения клиента, но налагает дополнительные траты с точки зрения банка.

7. Мое мнение как клиента такое: мне бы хотелось иметь интуитивно понятный интерфейс с полным функционалом – возможностью открывать и закрывать вклады, получать кредиты, производить оплаты любому контрагенту ипр. С точки зрения корпоративного клиента функционал зависит и от самого банка, и от специфики деятельности клиента.