Google+
Журнал Плас Плас Журнал http://www.plusworld.ru/
ул. Кржижановского, д. 29, корп. 5 Москва, 117218 Россия
+7 495 961 1065 http://www.plusworld.ru/upload/templates/logo_plus_ru.png
RSS RSS RSS RSS

Клиенты – слабое звено систем ДБО

(Голосов: 2, Рейтинг: 5)

22.07.2012 Количество просмотров 1803 просмотра

Николай Антипов, ведущий консультант
департамента информационной безопасности компании Softline

Андрей Соколов, консультант департамента
информационной безопасности компании Softline


Почему системы ДБО сегодня столь популярны?

Современные тенденции развития информационных технологий в последнее время приобретают все более «мобильный» характер. Ноутбуки, нетбуки, планшетные компьютеры и смартфоны – все эти мобильные устройства уже прочно вошли в обиход современного человека. Повышению мобильности также немало способствуют стремительно набирающие обороты «облачные» технологии, а также обретающая все большую популярность концепция Bring Your Own Device (BYOD), в рамках которой сотрудники используют для работы в офисе личные коммуникационные устройства, что существенно повышает производительность труда. Эти тенденции нашли свое отражение и в подходе к решению бизнес-задач в банковской отрасли в виде систем дистанционного банковского обслуживания (ДБО). Их количество, как и спектр предоставляемых услуг, существенно расширилось за последние несколько лет, и это направление продолжает активно развиваться. В то же время ДБО по понятным причинам является сегодня и одним из наиболее высокорисковых направлений банковской розницы. И самым уязвимым звеном в цепочке «клиент – система ДБО – банк» является именно клиент. Чтобы разобраться в причинах такой ситуации, вначале рассмотрим подробно каждое звено этой цепочки и его роль.

«Участники» ДБО

Система ДБО, помимо совокупности программно-аппаратных средств, также является системой взаимоотношений и разграничений ответственности между банками, разработчиками и конечными пользователями решения – банковскими клиентами (см. рис.1).

 Основные уязвимости участников ДБО:

1. Разработчики как источники уязвимостей ПО.

 В сфере разработки систем ДБО следует выделить два важных процесса обеспечения безопасности решения. Первый – это анализ исходного программного кода на предмет использования небезопасных приемов программирования. Второй – отслеживание новых уязвимостей компонентов систем ДБО компаниями-разработчиками, уведомление о них компаний-клиентов, использующих эти системы ДБО, а также выпуск патчей* для устранения выявленных уязвимостей.

2. Банки и регуляторы как источники уязвимостей правового поля.

 К настоящему времени банками и регуляторами рынка (ЦБ РФ, ФСТЭК, ФСБ) не выработано единых требований к обеспечению безопасности процессов в системах ДБО. Отсутствие данных требований приводит к тому, что каждая из кредитно-финансовых организаций пытается самостоятельно решить проблему уязвимости используемых систем удаленного обслуживания. И в первую очередь проблема решается переносом рисков на клиента, что нашло свое отражение в Федеральном законе от 27.06.2011г. № 161ФЗ «О национальной платежной системе», подразумевающем так называемую нулевую ответственность.

Для того чтобы переломить сложившуюся в данной сфере ситуацию, необходимо выработать единые требования по безопасности к системам ДБО. Осуществить это можно различными способами, в том числе обеспечив:

 • разработку и добавление отдельного раздела по обеспечению безопасности систем ДБО на всех этапах жизненного цикла в стандарте СТО БР ИББС;

• разработку и принятие российского стандарта по разработке систем ДБО на основе лучших мировых практик (PA DSS, OWASP идр.).

 Хотелось бы особым образом отметить, что без согласованной совместной работы кредитно-финансовых организаций и операторов услуг связи по созданию координирующего органа для работы над противодействием мошенничеству в системах ДБО успешного решения данной проблемы не предвидится. Одним из способов такого взаимодействия может служить единая площадка для обмена информацией о выявленных мошеннических операциях.

Зачастую клиенты банков, пострадавшие от действий мошенников при использовании каналов ДБО, обращаются в правоохранительные органы с заявлениями о возбуждении уголовных дел. Однако выявлением, поимкой и осуждением преступников такие дела заканчиваются далеко не всегда.

Внесение изменений в нормативно-правовые акты России в отношении преступлений в сфере высоких технологий позволит устрожить уголовную ответственность за совершаемые преступления. Нормативно-правовые акты можно совершенствовать путем введения нового квалифицирующего признака в состав мошенничества.

3. Клиент – самое слабое звено любой системы защиты.

Несомненно, обеспечение безопасности систем ДБО, как со стороны разработчиков, так и со стороны банков, в которых они установлены, является обязательным требованием, гарантирующим защищенность данных систем. Но гарантировать клиентам полную безопасность можно только в том случае, если и сами клиенты систем ДБО будут добросовестно выполнять комплекс мер, обеспечивающий безопасность проводимых операций.

Одним из стандартных условий при подключении к системе ДБО является ознакомление клиента с правилами ее эксплуатации, а также требование следовать этим правилам при дальнейшем использовании системы. Однако, как показывает практика, этим правилам следуют далеко не все клиенты, а некоторые из них вообще оставляют этот пункт договора без внимания, чем активно и небезуспешно пользуются злоумышленники. Более того, ни разработчики, ни банки не смогут заставить пользователя системы ДБО следовать правилам в полном объеме до тех пор, пока он сам не осознает необходимость этого. Таким образом, именно клиент вполне обоснованно считается наиболее уязвимым звеном в цепочке взаимодействий «клиент – ДБО – банк».

Меры защиты

 В данном разделе мы приводим перечень рекомендаций и практик, следование которым поможет снизить вероятность хищения критичной информации при взаимодействии клиентов с банком через системы ДБО всем участником цепочки.

1. Для разработчиков:

• использование приемов безопасного программирования при разработке систем ДБО с последующим анализом;

• отслеживание появляющихся уязвимостей;

• периодический анализ защищенности разработанной системы ДБО;

 • выпуск обновлений и патчей.

2. Для банков:

 • Для кредитно-финансовых институтов предлагаемые меры защиты могут выражаться в совершенствовании правового регулирования данной проблемы, а также в применении банками защитных механизмов, к которым можно отнести:

• ограничение функционала пользователя в системе ДБО;

• SMS-информирование о совершаемых операциях;

• одноразовые пароли, передаваемые на карте либо посредством SMS-сообщений;

 • использование системы двухфакторной аутентификации пользователей;

• использование системы фрод-мониторинга.

3. Для клиентов:

Как показывает банковская практика, одной из основных угроз безопасности при работе с системами ДБО являются некорректные действия самого пользователя, его неосведомленность и невнимательность. Поэтому банки в первую очередь должны реализовывать мероприятия по информированию клиентов о существующих угрозах безопасности и о важности соблюдения правил и рекомендаций по эксплуатации систем ДБО, а также о действиях, которые клиенту необходимо совершить в случае возникновения подозрения о случае компрометации личной информации.

Заключение

 Как уже отмечалось, с 1 января 2013 г. вступают в законную силу положения ст. 9 ФЗ № 161 «О НПС», которая обязует оператора по переводу денежных средств (кредитные организации) возмещать клиенту сумму операции, совершенной без согласия клиента (норма «0liability»). Таким образом, если банк не сможет доказать, что клиент нарушил порядок использования электронного средства платежа, повлекший за собой совершение мошенничества, то банк будет обязан выплатить клиенту всю сумму операции. В результате риски, связанные с совершением мошеннических операций, полностью перекладываются на кредитные организации. В решении данной проблемы банковским организациям могут помочь усиление соответствующей части Уголовного кодекса РФ и взаимодействие со специализированными группами силовых ведомств по расследованию преступлений в сфере высоких технологий. Кроме того, российским банкам стоит взять на вооружение одну из лучших мировых практик в области обеспечения безопасности систем ДБО, подразумевающую периодическое проведение независимого квалифицированного аудита таких систем. Данный шаг позволит существенно снизить риски, связанные с хищением денежных средств, а также повысить доверие клиентов к таким системам в целом.


Комментарий эксперта

Андрей Петухов, партнер компании Softline (исполнительный директор, SolidLab)

Совершенно очевидно, что в ближайшем будущем концепция безопасности систем ДБО на российском рынке должна поменяться. Сегодня при разработке отечественных систем ДБО априори предполагается «чистота» клиентского места от установленного вредоносного программного обеспечения (ВПО). В противовес этому на Западе уже не первый год исследуется возможность безопасного использования онлайн-сервисов при наличии, в общем случае, недоверенной клиентской среды. На данный момент как технологии защиты клиента, так и серверные технологии систем ДБО практически беспомощны против атак класса man-in-the-browser. Возможность редактировать любые фрагменты HTML-документов, представляемых пользователю, вместе с возможностью перехвата любых событий, возникающих в документе (ввод данных, клик мышью и т.п.), открывает огромный потенциал для атак.

 Итак, рассмотрим возможные варианты, которые можно противопоставить ВПО класса man-in-the-browser. В первую очередь важно определиться со стратегическими акцентами. Так, логично ставить основной целью удорожание стоимости разработки преступниками специализированного ВПО для конкретной системы ДБО, что сделает такого рода атаки экономически нецелесообразными, а не получение полностью безопасного клиентского места. Для защиты клиентского места применимы разработки из области Trusted Computing: Trusted Platform Module (TPM), remote attestation и т.п. К сожалению, в настоящее время эти технологии недостаточно развиты, и кроме того, их внедрение в России требует согласования со стороны ФСТЭК и ФСБ и масштабной деятельности по разработке вариантов TPM с отечественными криптоалгоритмами.

Помимо этого, должны поменяться сами подходы к обработке данных на стороне сервера системы ДБО и представления данных клиенту. Если сейчас данные, поступившие от клиента, считаются полностью недоверенными, то в перспективе необходимо добавить еще и предположение о том, что эти данные были отправлены без ведома клиента.

Если говорить про затруднение модификации данных, представляемых клиенту, видится логичным использовать вместо обычного текста изображения с цифровыми водяными знаками, а также применять Content Security Policy для запрета загрузки ресурсов из внешних источников.


* от англ. patch – заплатка, автоматизированное отдельно поставляемое программное средство, используемое для устранения проблем в работе программного обеспечения или изменения его функционала


Комментарии (0):

Добавлять комментарии могут только зарегистрированные Пользователи


Читайте в этом номере:
обновить

а вы знаете, что...

… деньги из раковин на Соломоновых островах отличаются устойчивостью к любым финансовым кризисам? Если население отдаленных островов используют раковины в качестве расчетной единицы, то в более цивилизованных местах архипелага такие деньги используются как надежный запас на черный день, в то время как расчеты ведутся «обычными» деньгами. Недостаток у них один – недолговечность: раковины хрупкие, часто ломаются. Из-за этого денежная масса остается стабильной и не нарастает, что позволяет поддерживать постоянный курс.