Безопасность интернет-банкинга требует зрелых подходов
3 июля 2017
Защита интернет-банкинга – одна из основных задач информационной безопасности для современного финансово-кредитного учреждения. Повышение уровня угроз сопровождается усложнением комплекса предлагаемых решений и обязательно должно вести к повышению зрелости процессов ИБ в самом банке.
В последние годы, в связи с развитием инфо-коммуникационных технологий, большой импульс среди предоставляемых клиентам банковских сервисов получили технологии интернет-банка. Долгое время функционал соответствующих систем был ограничен. Клиентам банков были доступны в основном функции информирования.
Однако современные возможности интернет-банкинга весьма широки: они позволяет осуществлять переводы денежных средств, открывать вклады и совершать массу других операций, напрямую финансовые интересы клиента банка.
Однако современные возможности интернет-банкинга весьма широки: они позволяет осуществлять переводы денежных средств, открывать вклады и совершать массу других операций, напрямую финансовые интересы клиента банка.
При этом расширение возможностей интернет-банкинга влечет и рост числа угроз безопасности. В связи с этим банковской службе ИБ приходится уделять повышенное внимание вопросам защиты.
Базовые средства
Защита интернет-банка – комплексная задача, решение которой связано с применением средств защиты информации на всех этапах его жизненного цикла. В процессе разработки применяются анализаторы кода, которые позволяют устранить основную часть потенциальных уязвимостей до ввода системы в продуктивную эксплуатацию.
В большинстве случаев банками используются передовые средства сетевой безопасности и балансировщики нагрузки. Надо отметить, что доступность – одно из ключевых требований к сервису интернет-банкинга.
На прикладном уровне безопасность обеспечивается, например, межсетевыми экранами с функцией риск-менеджмента для анализа корректности осуществления транзакций, параметров доступа пользователей и подозрительных действий.
Также современные системы интернет-банкинга должны идти вкупе с аутентификационными центрами с функцией анализа рисков при совершении нетипичной для каждого клиента операции.
На прикладном уровне безопасность обеспечивается, например, межсетевыми экранами с функцией риск-менеджмента для анализа корректности осуществления транзакций, параметров доступа пользователей и подозрительных действий.
Также современные системы интернет-банкинга должны идти вкупе с аутентификационными центрами с функцией анализа рисков при совершении нетипичной для каждого клиента операции.
Алексей Куприянов, ведущий консультант по ИБ Центра информационной безопасности компании «Инфосистемы Джет», отмечает, что в последнее время заметен повышенный спрос со стороны служб ИБ банков к таким решениям, как специализированные сканеры безопасности Web-приложений и решения класса Web Application Firewall (WAF).
«Безопасность работы – одна из самых важных характеристик, которые, сегодня используются для оценки уровня любого интернет-банка, – подчеркивает Елена Скурятина, руководитель электронного бизнеса Ситибанк. – Сегодня банками используются различные инструменты, начиная от базовых логина и пароля от личного кабинета, дополнительных одноразовых паролей на мобильный телефон и заканчивая маскировкой номеров счетов, sms-оповещением о входе в онлайн / мобильный банк и т.д.».
В основной массе для защиты интернет-банкинга используются продукты от зарубежных производителей, говорят специалисты. Российский сегмент средств ИБ только начинает развиваться в данном направлении.
Но отдельные отечественные решения уже есть. Так, по словам Михаила Башлыкова, руководителя направления информационной безопасности компании «Крок», некоторые производители систем дистанционного банковского обслуживания (ДБО) уже добавляют в свои продукты средства защиты, например, инструменты разграничения прав доступа. Также есть российские разработчики межсетевых экранов прикладного уровня и сервисов защиты банкинга от DDOS-атак.
Но отдельные отечественные решения уже есть. Так, по словам Михаила Башлыкова, руководителя направления информационной безопасности компании «Крок», некоторые производители систем дистанционного банковского обслуживания (ДБО) уже добавляют в свои продукты средства защиты, например, инструменты разграничения прав доступа. Также есть российские разработчики межсетевых экранов прикладного уровня и сервисов защиты банкинга от DDOS-атак.
Рост числа предлагаемых интернет-банкингом услуг приводит к тому, что на интернет-банки начинают распространяться требования регуляторов, обращает внимание Алексей Куприянов. К примеру, введение услуги перевода денег на платежную карту по номеру карты требует соблюдения норм стандарта PCI DSS.
Большие не всегда впереди
Прямой взаимосвязи между размером кредитной организации и уровнем обеспечения безопасности интернет-банкинга нет, уверены большинство специалистов. На первое место встает заинтересованность кредитных организаций в обеспечении информационной безопасности и зрелость внутренних процессов.
Существуют единые стандарты безопасности, которые регулируются российским законодательством и требованиями Банка России, например, но некоторые стандарты разрабатываются непосредственно каждым банком – индивидуально.
«В этом случае, безусловно, у крупных банков есть значительное преимущество, – говорит Елена Скурятина. – В частности, мы широко применяем наиболее передовой опыт других стран, в которых работает Citi, – их больше ста, и это позволяет нам поддерживать высокий уровень безопасности наших систем и постоянно развивать это направление».
«В этом случае, безусловно, у крупных банков есть значительное преимущество, – говорит Елена Скурятина. – В частности, мы широко применяем наиболее передовой опыт других стран, в которых работает Citi, – их больше ста, и это позволяет нам поддерживать высокий уровень безопасности наших систем и постоянно развивать это направление».
Даже располагая небольшим бюджетом, службы ИБ могут найти альтернативы дорогим средствам защиты информации и при правильно выстроенных процессах обеспечения ИБ добиться хороших результатов, считает Алексей Куприянов.
Защита электронного банкинга
Источник: cnews.ru
