Зачем банку инвестировать в защиту ДБО

СОДЕРЖАНИЕ 2—7 • СОБЫТИЯ 8–25 • БИЗНЕС 26—59 • ТЕХНОЛОГИИ
60—85 • ОБЩЕСТВО 86—96
Зачем банку инвестировать в защиту ДБО
С развитием дистанционного банковского обслуживания всё большую актуальность приобретают вопросы защиты
финансовой информации клиента, его платежей и сохранности средств на счетах. Но если посмотреть на то, как банки
реагируют на требования клиентов вернуть похищенные мошенниками средства, становится понятно, что кредитные
организации юридически ничем не обязаны своим клиентам, пострадавшим от мошенников. Зачем тогда вообще
банку вкладываться в такие решения? Об этом рассказывает Владимир Михайлов, Директор по развитию процессингового центра Faktura.ru (ГК ЦФТ).
Владимир Михайлов: Банки и компании, предоставляющие услуги дистанционного банкинга в формате аутсорсинга, делают все возможное для обеспечения защиты личных финансов каждого клиента.
Для обеспечения дополнительных гарантий клиенту,
в связке со страховыми компаниями банки сегодня
начинают развивать услуги по страхованию операций, например, онлайн-платежей или исходящих
транзакций по пластиковым картам.
Как правило, «снятие» персональных данных и последующее хищение средств, происходит на стороне
пользователя, которые порой допускают грубейшие
нарушения требований по защите информации: операционная система и антивирусные базы не обновляются, повседневная работа производится под
администратором с пустым паролем, пользователи
заходят на сомнительные сайты, открывают письма
от незнакомых отправителей, средства сетевой безопасности если и установлены, то должным образом не настроены, носители ключей бесконтрольно
передаются от одного пользователя другому, пароль
Владимир Михайлов
написан на носителе и так далее.
Конечно, слухи о всесильности киберпреступников и масштабах их деятельности сильно преуве-
и его финансовые средства становятся практически
личены, однако реальные случаи мошенничества,
неуязвимыми для злоумышленников.
связанные с незаконным использованием персональной информации для финансовых махина-
— Имеют ли смысл системы для борьбы
ций в сети, безусловно, имеют место быть. Поэто-
с мошенничеством при такой слабой
му пользователям систем онлайн-банкинга важно
«киберполиции», какая существует
помнить, что при соблюдении простейших правил
в России? Если инциденты расследовать
(большинство банков обязательно размещает эту
некому и до наказания преступников руки
информацию на своих сайтах) обеспечивается
у правоохранительных органов не доходят,
Текст:
безопасность всех операций. Когда обеспечени-
то к чему все эти технические ухищрения?
Вероника
ем ИТ-безопасности занимается не только система
Владимир Михайлов: То, что киберполиция слабая
Новикова
ИБ, но и ее пользователь, он, его данные, а значит,
в своих действиях, утверждать неправильно, есть
успешно раскрытые преступления, информация
о которых была представлена в СМИ. Думаю, о ряде
раскрытий мы никогда не узнаем в силу специфики
деятельности правоохранительных органов в данной сфере. Как правило, киберхакер боится попасть
Когда обеспечением ИТ-безопасности занимается
не только система ИБ, но и ее пользователь, он, его
данные, а значит, и его финансовые средства становятся
практически неуязвимыми для злоумышленников
70
Аналитический банковский журнал
№3 (197) март 2012
«за решетку» больше, чем обычный преступник,
к тому же, злодеяний в финансовой сфере, на самом деле, не так уж и много — основной ущерб наносят считанные сотни ИТ-преступников. У них два
Защита данных
мотива — непомерные доходы и низкая вероятность
наказания. Значит, даже незначительно повысив
уровень раскрываемости киберпреступлений, можно добиться многократного снижения потерь. Таким
образом, основными условиями достижения успеха
в борьбе с хакерами сейчас являются оперативная
реакция на изменяющиеся угрозы и координация
усилий сторон, заинтересованных в такой борьбе.
— Из чего состоит и как должна работать система
предотвращения мошенничества дистанционного
банковского обслуживания? Что это вообще
за технологии? Как они выглядят «снаружи» (для
клиента банка) и как изнутри (для самого банка)?
Слухи о всесильности киберпреступников и масштабах
их деятельности сильно преувеличены, однако реальные
случаи мошенничества, связанные с незаконным
использованием персональной информации для
финансовых махинаций в сети, безусловно, имеют
место быть. Поэтому пользователям систем онлайнбанкинга важно помнить, что при соблюдении простейших
правил (большинство банков обязательно размещает
эту информацию на своих сайтах) обеспечивается
безопасность всех операций
Владимир Михайлов: Безопасность — это непрерывный процесс, в котором принимают участие
реальную, эффективную, проверенную практикой
три стороны: компания, предоставляющая услуги
комплексную систему безопасности сервисов ДБО.
банкинга, банк и сам клиент. Защищённый онлайн-
Основными условиями достижения успеха
банкинг — это не просто соблюдение правил безо-
в борьбе с хакерами сейчас являются оператив-
пасности и протестированный на предмет уязвимых
ная реакция на изменяющиеся угрозы и коорди-
мест софт. Это глубоко эшелонированная оборона,
нация усилий сторон, заинтересованных в такой
состоящая из взаимосвязанных блоков.
борьбе. Для банков — это сложная, ресурсоем-
Со стороны современных систем Интернет-
кая, да, в общем-то, и непрофильная деятельность.
банкинга для обеспечения информационной
«Облачные» принципы организации сервисов ДБО
безопасности применяется комплексный подход,
уже сегодня помогают консолидированно, а зна-
в котором сочетаются технологии по защите кана-
чит, и более успешно реализовывать комплексные
лов связи, система обнаружения мошенничества
меры обеспечения ИТ-безопасности.
и динамическая аутентификация, использующая
Аутсорсинг ДБО обеспечивает дополнительную
каждый элемент только один раз в отличие от стати-
систему мониторинга и анализа операций, на осно-
ческих паролей. Дополнительными инструментами
ве которого предпринимаются решения о том, какой
информационной защиты могут быть многоступен-
контроль необходим для каждой конкретной из них.
чатая верификация действий пользователя, актив-
Разработанные методики позволяют процессинго-
ные анти-фрод системы, усложнение авторизации
вому центру ЦФТ отслеживать подозрительные опе-
(например, capcha-код) и так далее.
рации по всем пользователям системы и предотвра-
К средствам защиты на стороне пользователей
щать злонамеренные действия киберпреступников.
Интернет-банкинга относятся разовые пароли для
Функция контроля выявления и блокирования по-
входа в систему, сертифицированные средства
дозрительных операций по всем пользователям си-
криптографической защиты с использованием
стемы даёт возможность автоматически определять
внешних хранилищ секретного ключа, использова-
мошеннические операции по заданным критериям
ние шифрования при работе через Интернет, сер-
(IP-адрес, сумма, контрагент), создавать и регуляр-
тифицированные антивирусные средства защиты
но актуализировать «черные списки» IP-адресов.
и межсетевые экраны.
Пользователь получает информацию посредством
Процессинговый центр Faktura.ru защищен на самом высоком уровне, оборудование располагается
SMS и Е-mail-уведомления о фактах входа в систему
и совершенных платежных операциях.
в физически защищенных серверных помещениях.
Основная и резервная серверные оснащены все-
— Какие решения полностью автоматизированы,
ми необходимыми средствами, обеспечивающими
в каких принимает участие человек?
бесперебойное функционирование оборудования.
Владимир Михайлов: На сегодня уровень авто-
Для того чтобы обеспечить защиту от DDOS-атак,
матизации достигает 70%. Мы стремимся к макси-
Faktura.ru использует несколько каналов связи раз-
мальной автоматизации во всех блоках системы
ных операторов, нами заключен договор на защиту
и на всех её уровнях. «Ручную работу» нужно свести
от сетевых атак, мы взаимодействуем с правоохра-
к минимуму, чтобы избежать так называемого «че-
нительными структурами. Все это помогает создать
ловеческого фактора».
Аналитический банковский журнал
A
№3 (197) март 2012
71