.: Навигация :.
Обо всем
Камеральная проверка
Выездной контроль
Прибыль
НДС
НДФЛ и изменения с 2014 года
ЕНВД и новые изменения
УСН
Налоговая выгода
Судебные споры
Новости налогообложения
Трансфертное ценообразование
Налоговику
Бухгалтеру
Nanalog.ru » Финансы и Банки » Информационная безопасность в кредитных системах ДБО

Информационная безопасность в кредитных системах ДБО



Кто хочет, чтобы его не поглотила пучина,
должен уметь плавать.
Генрик Сенкевич

В статье затронуты вопросы, связанные с обеспечением информационной безопасности в кредитных организациях. Описывается американский опыт по отношению государства к информационным войнам и новый подход к организации банковской деятельности на примере финансового учреждения Movenbank. Также автором рассмотрены основные угрозы для технологий дистанционного банковского обслуживания .
--------------------------------
Настоящая статья выражает исключительно мнение автора и не отражает позицию Банка России.

Международный опыт в обеспечении информационной безопасности
Лидером в области обеспечения информационной безопасности и контроля над глобальной сетью Интернет являются США.
В "Стратегии национальной безопасности Соединенных Штатов", обнародованной в мае 2010 г. , содержится ряд существенных нововведений, которые позволяют говорить, что политика Соединенных Штатов в сфере национальной безопасности претерпела значительные изменения. В отношении информационных технологий отмечается, что они "обеспечивают военное превосходство США, но делают американскую гражданскую экономику чрезвычайно уязвимой" . Это означает, что широкое распространение данных технологий в американской экономике во многом истощает ресурсы ее надежности и устойчивости .
--------------------------------
Бывший глава Федеральной резервной системы США (1987 - 2006 гг.) Алан Гринспен называл такую экономику слишком "реактивной".
Рогов С.М. Стратегия национальной безопасности администрации Обамы: американское лидерство в многополярном мире // Независимое военное обозрение. 11 июня 2010 г.

Очевидно, что США стремятся завоевать доминирующее положение в глобальном информационном пространстве. Создавая военные подразделения по кибербезопасности, США подтверждают, что придают большое значение победе в информационной войне. Эксперты в области военных наук США считают, что победа на этом фронте может быть достигнута не на основе достаточности средств защиты от существующих угроз и даже не путем отражения киберопасности паритетными встречными угрозами, а с помощью стратегии абсолютного информационно-технологического преобладания над потенциальным противником, а именно:
1) достижением проницаемости информационного пространства потенциальных противников, достаточной для заблаговременного выявления угрозы своим интересам;
2) опережающим "изобретением" новых информационных угроз, неприемлемых для потенциальных противников;
3) надежной защитой собственной информационной инфраструктуры .
--------------------------------
Роговский Е.А. Политика США по обеспечению безопасности киберпространства // США. Канада. Экономика, политика, культура. 2012. N 6.

Судя по интервью, которое дал один из наиболее авторитетных специалистов ФБР по борьбе с компьютерными преступлениями Ш. Генри (размещено в марте 2012 г. на сайте ФБР) , в настоящее время серьезную угрозу для США представляют не "свободные юнцы-хакеры", а следующие три источника кибератак:
- организованные преступные группы, которые, как правило, ориентируются на сектор финансовых услуг, постоянно наращивают количество и разнообразие своих атак;
- зарубежные государственные структуры, которые интересуются кражей данных, в том числе интеллектуальной собственности, у компаний-разработчиков, правительственных агентств и корпораций - военных подрядчиков;
- террористические группы, ищущие новые способы повлиять на политику США с помощью масштабных кибератак на критически важные объекты инфраструктуры, от которых в существенной степени зависит весь американский образ жизни.
--------------------------------

Новые принципы банковской деятельности
С учетом того что за последние 10 - 15 лет почти все коммерческие банки стали активно использовать новейшие достижения в области информационных и телекоммуникационных технологий и на их основе предлагать услуги ДБО (уязвимость которых напрямую зависит от уровня обеспечения информационной безопасности), задача обеспечения общей безопасности кредитных учреждений не может быть решена без обеспечения должного уровня информационной безопасности систем ДБО.
Дистанционный способ осуществления банковских операций привлекает клиентов, которые ценят свое время и желают его сэкономить за счет альтернативных методов контактирования с банком. Другая особенность современного банковского бизнеса связана с тем, что небанковские структуры могут теперь обслуживать клиентов без "реального" взаимодействия и соблюдения принципа "Знай своего клиента", оттого в этом отношении они гораздо более привлекательны. Упор в данном случае делается на быстрое привлечение новых потребителей с использованием современных коммуникационных технологий, а также на практичность такого подхода и его соответствие ожиданиям современного человека.
Появление различных способов осуществления расчетов с использованием ДБО привело к тому, что банки, которые в принципе являются более медленными, предсказуемыми и воздерживающимися от рисков организациями, фактически дали новым игрокам возможность взаимодействовать между собой и с клиентами. В итоге финансовые институты оказались далеко не единственными провайдерами финансовых услуг для конечных потребителей.

Мнение. М.Н. Симаков, КБ "Первый Экспресс" (ОАО), заместитель начальника отдела экономической безопасности
Система ДБО, как и любое порождение высоких технологий, не лишена недостатков, в том числе опасности взлома и кражи денежных средств. Существует целый ряд мер, позволяющих уменьшить риск кражи информации, а возможно, и денег со счетов клиентов ДБО.
Целый ряд производителей программного обеспечения для систем ДБО в настоящее время разрабатывают системы работы с "постороннего" компьютера. Некоторые из этих систем работают в самостоятельно создаваемой "закрытой" программной среде. При запуске клиентом интернет-банка на компьютере начинает работать своеобразная "виртуальная машина", защищенная от "внешнего мира", что позволяет даже на зараженном компьютере сохранить ключевую информацию в тайне от преступника. Это, конечно, очень приближенная схема, и для ее реализации разработчикам приходится очень много работать.
Есть два варианта решения этой задачи. Первый - небольшой USB-токен, на который невозможна запись с компьютера и на котором развернуты операционная система и все необходимые приложения для работы в системе "Клиент-Банк". При подключении к системе "Клиент-Банк" клиенту предлагают подключить данный токен к компьютеру через USB-порт, после чего запускается встроенная операционная система и "Клиент-Банк" работает уже только с ней.
И второй вариант создания "закрытой среды": при запуске системы "Клиент-Банк" в компьютер с сервера банка загружается небольшая программа-"контролер", которая проверяет все программы и процессы, работающие на компьютере в данный момент. Если какой-либо процесс может угрожать безопасности клиента, то либо последнему предлагается прекратить использовать данный компьютер или закрыть программы, которые работают с этим процессом, либо программа самостоятельно завершает все неугодные ей процессы. После такой очистки памяти компьютера запускается "Клиент-Банк", а "контролер" в свою очередь проверяет, чтобы ненужные процессы не запустились и связь компьютера клиента происходила только с сервером ДБО, и ни с кем больше.

Преимущества финансового учреждения Movenbank
В последнее время одним из наиболее инновационных финансовых учреждений на рынке США можно назвать первый в стране "мобильный банк" - Movenbank, в основу деятельности которого заложены совершенно нетрадиционные принципы.
Основатель нового банка Бретт Кинг отрицательно относится к банковским отделениям. За последние годы он участвовал во многих конференциях, на которых неизменно заявлял, что отделения "мертвы" или "умирают" и вскоре их полностью заменят электронные сервисные платформы, в частности мобильный канал. Предполагается, что у Movenbank не будет не только отделений в привычном понимании этого слова, но и банкоматов. Вместо этого клиенты будут взаимодействовать с финансовым учреждением при помощи мобильных телефонов и компьютеров, включая открытие вкладов, снятие средств со счета и оформление кредитов.
Даже в такой стране, как США, где банковский надзор имеет более чем 100-летнюю историю, есть проблемы в построении взаимоотношений кредитных учреждений с регулирующими органами при дистанционном обслуживании клиентов, а в случае с Movenbank эти отношения значительно усложняются (законодательная база, регулирующая проведение мобильных финансовых транзакций, пока что остается во многом недоработанной). Формально Movenbank не может считаться банком, поскольку не имеет соответствующей лицензии, а услуги по обслуживанию счетов его клиентов будет предоставлять Bancorp Bank. Само инновационное финансовое учреждение обеспечивает лишь пользовательский интерфейс и продвижение бренда . Планируется, что клиенты нового финансового учреждения смогут делать вклады двумя основными способами:
- переводом из другого банка;
- посредством дистанционного депонирования средств .
--------------------------------
Но, по словам Бретта Кинга, Movenbank не будет подпадать под юрисдикцию Бюро по финансовой защите потребителей, которое осуществляет надзор в том числе и за деятельностью Bancorp Bank. Таким образом, банк-партнер будет обеспечивать сохранность вкладов, а управление взаимоотношениями с клиентами Movenbank полностью возьмет на себя.
Механизм данной операции планируется внедрить в ближайшем будущем.

Для снятия наличных клиент может посетить торговую точку, оборудованную бесконтактным платежным терминалом, либо воспользоваться бесконтактным банкоматом, управляя им по каналу NFC при помощи мобильного устройства с поддержкой данной технологии.
--------------------------------
NFC (Near Field Communication) - это технология беспроводной высокочастотной связи малого радиуса действия (до 3 - 5 см), позволяющая осуществлять бесконтактный обмен данными между мобильными телефонами, смарт-картами, платежными терминалами, системами контроля доступа и прочими устройствами.

Благодаря отсутствию расходов на отделения и операционную деятельность, присущих традиционным финансовым учреждениям, ожидается, что деятельность Movenbank будет весьма прибыльной, что позволит удерживать комиссии на низком уровне и предлагать более высокие проценты по вкладам.
Помимо существенного сокращения операционных расходов, Movenbank планирует поощрять клиентов, которые являются пользователями социальной сети Facebook, так как, рекомендуя банк своим друзьям в социальных сетях, они могут помочь расширить потребительскую базу.
Многие банки сегодня рассматривают Facebook как важный источник информации, поскольку данная социальная сеть содержит огромное количество информации о пользователях. Эти данные могут быть использованы для оценки кредитных рисков и кредитоспособности клиентов.
--------------------------------
Имея около 850 млн зарегистрированных пользователей, данная социальная сеть фактически является крупнейшей базой данных в мире.

В одном из своих интервью директор Центра технологических исследований ОАО "Сбербанк России" Мирчей Михаэску сказал: "Сегодня в сети Facebook больше пользователей, чем на любом другом веб-сайте. Больше, чем на Google. Социальное поведение воздействует на бизнес. Никто сегодня не знает, захотят ли пользователи социальных сетей пользоваться в сетях банковскими услугами или не захотят. Пока никто не знает. Но мы должны быть там, в социальных медиа, потому что там наши клиенты" .
--------------------------------
См. подробнее: Banki.ru. 18 июня 2012 г.

Угрозы безопасности ДБО
Одним из основных условий повышения доверия со стороны клиентов к системам ДБО является обеспечение информационной безопасности.
Очевидно, что абсолютной защиты от угроз для ДБО не существует. Компьютерные злоумышленники в состоянии взломать практически любую систему . Однако непрерывная работа по поддержанию достаточного уровня информационной безопасности может существенно осложнить работу кибермошенников и (или) свести к минимуму их возможности.
--------------------------------
Плюс сами банки иногда используют недостаточно надежные системы ДБО.

Например, иногда банки предоставляют клиентам для работы в системе ДБО только логин/пароль и электронно-цифровую подпись (далее - ЭЦП). В таком случае злоумышленник может провести операцию из любого региона, предварительно скопировав незащищенную ЭЦП. Одним из самых популярных решений для такой защиты может быть использование токенов, с которых ЭЦП извлечь практически невозможно. Однако, если USB-токены оставлять подключенными к компьютеру, когда бухгалтер не работает с системой интернет-банкинга, злоумышленники могут удаленно подключиться к компьютеру и провести операцию непосредственно с него.
Есть и более сложная система для защиты - использование одноразовых паролей, которые распечатываются банком или присылаются клиенту по SMS . Этот способ защиты злоумышленники обходят иначе - они "подменяют" платежное поручение. То есть бухгалтер создает платежное поручение и указывает необходимые реквизиты, однако за считанные мгновения перед вводом одноразового пароля мошенники изменяют некоторые данные. В тот момент, когда пользователь нажимает кнопку "подписать", реквизиты меняются и платеж уходит на счет хакеров.
--------------------------------
Юридические лица, как правило, используют пароли на бумаге, а физические - пользуются системой SMS-паролей.

Киберпреступники также могут "нарисовать" в браузере фальшивое окно для ввода одноразового пароля. Далее ничего не подозревающий бухгалтер вводит пароль и после долгого обрабатывания браузер сообщает, что время ожидания истекло и необходимо ввести следующий одноразовый пароль, так как предыдущая операция не прошла. Бухгалтер вводит следующий пароль, и у злоумышленников в распоряжении уже два актуальных одноразовых пароля, которые должны быть использованы по порядку (первый - для того чтобы войти в систему, второй - чтобы непосредственно отправить платежное поручение).
В этой схеме неважно, приходит пароль через SMS или распечатывается на бумаге - пользователь все равно эти данные вводит сам.
Если сумма украденного составляет не более 1 - 1,5 млн руб., деньги выводят сразу на пластиковые карты так называемых дропов (специально нанятых владельцев банковских карт, которые занимаются обналичиванием похищенных денег). Обычно в течение 15 минут после того, как деньги поступили на карточные счета, дропы обналичивают их через банкоматы и затем отдают своим нанимателям/

Если суммы крупнее, используются более сложные схемы обналичивания. Они применяются обычно при хищении средств в объеме от 1 до 5 млн руб. В этом случае деньги предварительно переводят на счет юридического лица. Дальше сумму могут раздробить и распределить по другим счетам, чтобы надежнее запутать следы/

Группы мошенников, специализирующиеся на обналичивании, минимум 50% суммы оставляют себе. Такой большой процент объясняется тем, что хищению предшествует длительный период подготовки. Специалисты по обналичиванию и похитители договариваются заранее. К моменту, когда производится хищение, у первых уже все готово: создано подставное юридическое лицо, открыт счет в банке и выпущены карты, которые раздали дропам.
Нынешняя система позволяет любому юридическому лицу удаленно создать "зарплатный проект". Условно говоря, представитель компании сообщает в банк: у нас работают 15 человек, нам нужны зарплатные карты. Далее банку предоставляются паспортные данные "сотрудников", и тот выпускает карты. Паспортные данные берутся у тех же дропов или покупаются на хакерских форумах.
Киберпреступность и обычная преступность тесно связаны между собой. Весь бизнес по обналичиванию денег исторически находится "под крылом" традиционных преступных группировок. Изначально специалисты по обналичиванию находились в тесных связях с обычными организованными преступными группировками и в основном привлекались для легализации доходов, полученных от незаконной деятельности (продажа наркотиков, оружия, взятки и т.д.).
Кибермошенники чаще прибегают к помощи специалистов по обналичиванию, чем самостоятельно разворачивают дроп-проекты .
--------------------------------
Главари организованных преступных группировок с большим интересом участвуют в их махинациях, так как хакеры готовы отдавать до 50% украденных денег.

В последнее время участились кражи из электронных платежных систем. Схемы примерно те же, только деньги выводятся либо на другие кошельки, либо опять же на банковские карты.
Деньги легко могут затеряться: похитили у пользователя одной системы, перевели в другую, затем в третью, потом обналичили и вернули опять в первую. Схем может быть очень много. Тем более что многие платежные системы зарегистрированы в офшорных странах .
--------------------------------
Основные причины использования офшорных зон - это льготное налогообложение и запрет на выдачу информации по клиентам и их операциям.

Похищать деньги из электронных платежных систем в какой-то мере мошенникам даже проще, так как не нужны ни дропы, ни подставные компании. К тому же банки позволяют делать chargeback (возврат денег): если факт кражи быстро раскрывается, деньги могут заморозить и вернуть на счет жертвы. В большинстве электронных платежных систем такой процедуры нет.
При атаках на платежные системы деньги иногда выводятся на телефонный счет: сейчас некоторые операторы позволяют обналичивать мобильные счета. Бывает и такое, что деньги обналичивают с помощью покупки железнодорожных билетов. Сначала покупают через Интернет какой-нибудь дорогой билет на поезд типа "Москва-Владивосток", а потом возвращают его. При этом преступникам удается вернуть большую часть цены билета.
Масштабы кибермошенничества заставляют серьезно относиться к данному виду преступлений. Так, например, в июне 2012 г. новостные агентства распространили информацию о задержании преступной группы, включая ее организатора , который вместе со своими сообщниками похитил из систем ДБО более 150 млн руб.
--------------------------------
Более известный во всемирной сети под псевдонимами "Гермес" и "Араши".

По словам генерального директора компании Group-IB Ильи Сачкова, принимавшего участие в расследовании деятельности данной преступной группы, это самая большая по численности участников киберпреступная группировка в России из тех, о которых известно специалистам по информационной безопасности . В течение 2011 г. работала целая группа технических специалистов: заливщиков (распространителей вредоносного программного обеспечения), специалистов по шифрованию, администраторов, обслуживавших бот-сети, и др.
--------------------------------
Компания Group-IB является международной компанией - лидером российского рынка по оказанию полного комплекса услуг в области расследований инцидентов информационной безопасности и компьютерных преступлений начиная от оперативного реагирования на инцидент и заканчивая постинцидентным консалтингом.
См. подробнее: интервью Ильи Сачкова для РИА Новости "Хакер, укравший 150 миллионов рублей, работал с 25 сообщниками" // Прайм. Бизнес-лента 22 июня 2012 г.; а также: Гендиректор Group-IB: у хакеров есть несколько собственных платежных систем // ПЛАС-daily. 19 июля 2012 г.

В течение последних трех лет, по данным Group-IB, мошенники использовали зарекомендовавшую себя в хакерских кругах троянскую программу Carberp.
Carberp - распространенная среди киберпреступников вредоносная программа. Она собирает информацию о пользователе и системе и отправляет ее на сервер злоумышленников. Также бот может делать снимки экрана, перехватывать нажатие клавиш, содержимое буфера обмена и отправлять на сервер. Троянец имеет возможность самоудаления и установки дополнительных вредоносных модулей, кражи цифровых сертификатов для популярных систем ДБО. Иными словами, программа практически идеально подходит для атак на системы ДБО .
--------------------------------
По данным Россельхозбанка, ежедневно в Российской Федерации фиксируется 15 - 20 попыток хищения денег из систем ДБО. При этом в среднем хакеры пытаются похитить около 400 тыс. руб. за один раз.

Впервые о программе сообщила антивирусная компания Eset в ноябре прошлого года. Тогда, по данным компании, более 70% заражений Carberp происходило в России. Однако же и западные пользователи не остались без внимания хакеров.

Рекомендации по защите ДБО
Основная угроза безопасности ДБО, которая исходит от кибермошенников, направлена на кражу наиболее распространенных средств аутентификации пользователей - паролей. Для защиты пользователям систем ДБО следует своевременно устанавливать обновления операционной системы и приложений, применять антивирусное программное обеспечение или персональный межсетевой экран со средствами обнаружения вторжений и т.п. Криптографические ключи и сертификаты, если они не защищены специальными аппаратными устройствами (токенами, смарт-картами), также уязвимы для троянских программ. Чаще всего троянские программы попадают на компьютеры пользователей при посещении ими сайтов с "плохой" репутацией и загрузке программного обеспечения из непроверенных источников. Отказ от таких действий может стать хорошим способом минимизации рисков, связанных с недостатками в обеспечении информационной безопасности.
Одна из защитных мер для противодействия этим видам атак была известна давно - использование аппаратных устройств (смарт-карт и токенов для защиты криптоключей). Другая - одноразовые пароли, которые выдаются в банкомате, печатаются на скретч-карте или высылаются с помощью SMS на мобильный телефон клиента. Каждая значимая банковская операция подтверждается новым одноразовым паролем.
Однако и эти средства защиты уязвимы для атак типа "человек посередине" (англ. man in the middle). Как показала практика, наиболее эффективные на сегодняшний день средства защиты - это одноразовые пароли, формируемые на основании информации о транзакции, и криптографические USB-токены.
Другая разновидность атак на системы ДБО - атака "человек в браузере" (англ. man in the Browser). Этот тип троянского кода применяется в тех случаях, когда криптоключи хранятся на токене и их нельзя украсть. Но можно "подложить" на подпись пользователю поддельное платежное поручение, а на экране компьютера клиента банка отобразить (с помощью вредоносного кода) действительно сформированное пользователем платежное поручение. Весь процесс проходит скрыто, без каких-либо очевидных для пользователя признаков. Средством защиты от этого вида атак может стать считыватель смарт-карт с возможностью визуального контроля подписываемого документа. Устройство позволяет показать клиенту в защищенной среде (на экране смарт-карты) номер счета, куда будет переведен его платеж, в надежде, что пользователь сравнит длинную последовательность цифр с той, которая на экране компьютера. К сожалению, не все пользователи применяют этот метод.

Выводы
Относительно развития систем ДБО и обеспечения информационной безопасности ДБО можно сделать следующие выводы:
- современный банковский бизнес будет стремиться расширять дистанционные банковские услуги;
- коммерческим банкам придется конкурировать с различными предприятиями, осуществляющими аналогичные услуги, которые будут постоянно снижать комиссию за осуществление транзакций;
- регулирующим органам необходимо в кратчайшее время принять необходимые нормативные и законодательные акты в сфере дистанционных банковских услуг;
- идеальных способов и средств обеспечения информационной безопасности в сетевых структурах в настоящее время не существует. Каждое из возможных средств защиты характеризуется индивидуальными специфическими недостатками. В связи с этим целесообразно строить многоуровневую, "эшелонированную" систему защиты, в которой различные барьеры в виде политик, методов, процедур, средств разного уровня работают совместно;
- необходимо проводить с клиентами кредитных организаций, пожелавших использовать для выполнения своих операций технологии ДБО, разъяснительную работу по порядку хранения носителей с конфиденциальной информацией, а также информировать их о наиболее распространенных способах мошенничества в системах ДБО.


.: Курс валюты :.
    26/09 27/09
    информер курса валют
    USD
    57,5660  57,5186
    EUR
    68,5553  68,0215
    БВК
    76,5749  76,1100
.: Опрос на сайте :.

    Да, плачу самый минимум
    Да, немного укрываю
    Нет, я честно плачу налоги