Безопасность интернет-банкинга требует зрелых подходов

В последние годы, в связи с развитием инфо-коммуникационных технологий, большой импульс среди предоставляемых клиентам банковских сервисов получили технологии интернет-банка. Долгое время функционал соответствующих систем был ограничен. Клиентам банков были доступны в основном функции информирования. Однако современные возможности интернет-банкинга весьма широки: они позволяет осуществлять переводы денежных средств, открывать вклады и совершать массу других операций, напрямую финансовые интересы клиента банка.

 

При этом расширение возможностей интернет-банкинга влечет и рост числа угроз безопасности. В связи с этим банковской службе ИБ приходится уделять повышенное внимание вопросам защиты.

 

Базовые средства

Защита интернет-банка – комплексная задача, решение которой связано с применением средств защиты информации на всех этапах его жизненного цикла. В процессе разработки применяются анализаторы кода, которые позволяют устранить основную часть потенциальных уязвимостей до ввода системы в продуктивную эксплуатацию.

 

В большинстве случаев банками используются передовые средства сетевой безопасности и балансировщики нагрузки. Надо отметить, что доступность – одно из ключевых требований к сервису интернет-банкинга. На прикладном уровне безопасность обеспечивается, например, межсетевыми экранами с функцией риск-менеджмента для анализа корректности осуществления транзакций, параметров доступа пользователей и подозрительных действий. Также современные системы интернет-банкинга должны идти вкупе с аутентификационными центрами с функцией анализа рисков при совершении нетипичной для каждого клиента операции.

 

Алексей Куприянов, ведущий консультант по ИБ Центра информационной безопасности компании «Инфосистемы Джет», отмечает, что в последнее время заметен повышенный спрос со стороны служб ИБ банков к таким решениям, как специализированные сканеры безопасности Web-приложений и решения класса Web Application Firewall (WAF).

 

«Безопасность работы – одна из самых важных характеристик, которые, сегодня используются для оценки уровня любого интернет-банка, – подчеркивает Елена Скурятина, руководитель электронного бизнеса Ситибанк. – Сегодня банками используются различные инструменты, начиная от базовых логина и пароля от личного кабинета, дополнительных одноразовых паролей на мобильный телефон и заканчивая маскировкой номеров счетов, sms-оповещением о входе в онлайн / мобильный банк и т.д.».

 

В основной массе для защиты интернет-банкинга используются продукты от зарубежных производителей, говорят специалисты. Российский сегмент средств ИБ только начинает развиваться в данном направлении. Но отдельные отечественные решения уже есть. Так, по словам Михаила Башлыкова, руководителя направления информационной безопасности компании «Крок», некоторые производители систем дистанционного банковского обслуживания (ДБО) уже добавляют в свои продукты средства защиты, например, инструменты разграничения прав доступа. Также есть российские разработчики межсетевых экранов прикладного уровня и сервисов защиты банкинга от DDOS-атак.

 

Рост числа предлагаемых интернет-банкингом услуг приводит к тому, что на интернет-банки начинают распространяться требования регуляторов, обращает внимание Алексей Куприянов. К примеру, введение услуги перевода денег на платежную карту по номеру карты требует соблюдения норм стандарта PCI DSS.

 

Большие не всегда впереди

Прямой взаимосвязи между размером кредитной организации и уровнем обеспечения безопасности интернет-банкинга нет, уверены большинство специалистов. На первое место встает заинтересованность кредитных организаций в обеспечении информационной безопасности и зрелость внутренних процессов.

 

Существуют единые стандарты безопасности, которые регулируются российским законодательством и требованиями Банка России, например, но некоторые стандарты разрабатываются непосредственно каждым банком – индивидуально. «В этом случае, безусловно, у крупных банков есть значительное преимущество, – говорит Елена Скурятина. – В частности, мы широко применяем наиболее передовой опыт других стран, в которых работает Citi, – их больше ста, и это позволяет нам поддерживать высокий уровень безопасности наших систем и постоянно развивать это направление».

 

Даже располагая небольшим бюджетом, службы ИБ могут найти альтернативы дорогим средствам защиты информации и при правильно выстроенных процессах обеспечения ИБ добиться хороших результатов, считает Алексей Куприянов.

 

«С одной стороны, уровень защищенности зависит от вложенных в него ресурсов. С другой же, чем крупнее банк, тем сложнее системы ДБО и больше их количество, и тем больше внимания со стороны злоумышленников, а значит, тем больше средств, времени и сил нужно уделить выстраиванию защиты и ее поддержке», – рассуждает Михаил Башлыков.

 

Также, по словам специалистов, факт наличия широкого набора средств защиты ИБ еще не говорит о надежной защищенности интернет-банкинга, ведь важно уметь правильно управлять ими. Точно так же, недостаточно иметь хороший автомобиль, нужно еще обладать навыками вождения. Поэтому, по словам специалистов, даже у небольших банков могут встречаться зрелые системы защиты и даже заслуживающие внимания разработки.

 

Опыт рынка

Ряд представителей банков поделились с CNews опытом организации защиты интернет-банкинга. Например, «Ханты-Мансийский банк Открытие» кроме давно применяемых решений (например, строгая аутентификация, защита трафика от агентов к серверной части, системы противодействия вторжениям, контроля целостности, фрод-мониторинга) в 2014 году решил использовать еще и более акцентированные методы. В рамках внедрения мобильного банка производился анализ исходного кода серверной и агентской части решения. На конец года запланировано исследование кода и penetration test для внедренного мобильного банка и остальных систем дистанционного банковского обслуживания. «То есть мы нашли силы перескочить как на низкоуровневые решения, так и обратить пристальное внимание на глобальные процессы и возможности фрода в том числе из-за организационных недостатков», – рассказал Вячеслав Касимов, заместитель директора по безопасности «Ханты-Мансийского банка Открытие».

 

Для защиты финансовой информации своих клиентов несколько уровней безопасности организовал Ситибанк. Во-первых, налажена высокая степень шифрования. Все данные, которыми клиент обменивается с банком, со своего персонального компьютера, специальным образом шифруются. Личный пароль не передается через каналы интернета во время регистрации или работы в системе Citibank Online, а сеанс защищается шифрованием с помощью метода Triple DES. Таким образом, исключается вероятность перехвата личного пароля при регистрации или использовании онлайн-системы. Во-вторых, используются одноразовые коды – каждый раз, когда нужно входить в Citibank Online или когда осуществляется финансовая операция при помощи этого сервиса. При этом предусмотрены два уровня доступа. В-третьих, налажено автоматическое отключение. В системе имеется встроенная защитная функция – при отсутствии операций в течение определенного периода времени сеанс безопасной связи с Citibank Online автоматически прекращается. В-четвертых, используется 3D Secure – уникальная система обеспечения безопасности оплаты товаров и услуг в сети интернет, которая выступает одним из ключевых элементов глобальных программ MasterCard SecureCode и Verified byVisa.

 

Богатый опыт внедрения систем защиты интернет-банкинга имеют крупные интеграторы. Например, специалистами «Крок» только в 2013–2014 гг. выполнено порядка 10 крупных проектов. «В первую очередь, рассматривались вопросы анализа защищенности ресурсов, а во вторую – модернизация базовых средств информационной безопасности для эффективного отражения DDOS-атак, управления текущим набором уязвимостей и обеспечения необходимого уровня отказоустойчивости», – делится опытом Михаил Башлыков.

 

Среди перспективных средств защиты интернет-банкинга можно отметить систему динамической авторизации (Risk Based Authentification). Принцип ее действия таков: по заранее заданному алгоритму просчитывается риск той или иной операции, а в случае, если она относится к высокорисковым, может быть запрошена дополнительная верификация. Например, если клиент совершает регулярно одну и ту же операцию с доверенного устройства (например, оплачивает коммунальные услуги), то это может быть сделано без дополнительной верификации. А в случае, если вдруг такой клиент входит в систему из необычного места и пытается совершить нетипичную для себя операцию, система просит ввести дополнительные персональные данные. Этот вариант удобен прежде всего своей гибкостью и учетом индивидуальных особенностей того или иного клиента.

источник: cnews.ru