Защита удаленных транзакций при дистанционном банковском обслуживании (на примере ОАО «Сбербанк России)

• Федерального закона от 10.01.2002 г. № 1-ФЗ "Об электронной цифровой подписи";
• Стандарта Банка России СТО БР ИББС-1.0-2010 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации;
• Письма Банка России от 03.04.2004 № 16-Т "О рекомендациях по информационному содержанию и организации web-сайтов кредитных организаций в сети Интернет"
• Письма Банка России от 07.12.2007 № 197-Т "О рисках при дистанционном банковском обслуживании"
• Письма Банка России от 31.03.2008 № 36-Т "О рекомендациях по организации управления рисками, возникающими при осуществлении кредитными организациями операций с применением систем интернет-банкинга"
• Письма Банка России от 30.01.2009 № 11-Т "О рекомендациях для кредитных организаций по дополнительным мерам информационной безопасности при использовании систем интернет-банкинга"

В соответствии с письмом от 30.08.2006 №115-Т "Об исполнении ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" в части идентификации клиентов, обслуживаемых с использованием технологий дистанционного банковского обслуживания (включая Интернет-банкинг)" Банк России обязал финансовые институты при оказании таких услуг идентифицировать не только владельца счета, но и других лиц, которые будут пользоваться этим счетом.

При этом ответственность банка по данным вопросам регламентирована достаточно жестко. Нарушение требований закона может повлечь применение к Банку ответственности, предусмотренной ФЗ от 10.07.2002 года №86-ФЗ "О Центральном банке Российской Федерации (Банке России)" (рекомендуемые меры воздействия предусмотрены Письмом Банка России от 13.07.2005 года №98-Т "О методических рекомендациях по применению Инструкции Банка России от 31.03.1997 № 59 "О применении к кредитным организациям мер воздействия при нарушениях кредитными организациями нормативных правовых актов в области противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма").

Однако наряду с удобствами, которые получает клиент, осуществление ДБО через Интернет становится причиной возникновения угроз нового типа. С одной стороны это связано с тем, что существенно возрастает доля рисков (угроз), контролировать которые силами финансовой организации практически невозможно, с другой стороны не меньшую долю рисков (угроз) приносят вопросы организации ДБО.

Основными направлениями распределения рисков в области безопасности для систем ДБО являются:

• вопросы организации эксплуатации систем ДБО;
• клиенты, обслуживаемые через Интернет;
• каналы связи, используемые для транзакций;
• глобальная сеть Интернет.

Внедрение систем ДБО подразумевает вовлечение в процесс специалистов различных областей знаний финансовых специалистов, специалистов информатизации, информационной безопасности, юристов и др. Отсутствие четко организованного и регламентированного взаимодействия между различными подразделениями кредитной организации может привести к возникновению уязвимостей, которыми могут воспользоваться нарушители. Практика показывает, что реализация угроз с использованием имеющихся "уязвимостей" в системах ДБО приводит к весьма существенным финансовым потерям и (или) ослаблению конкурентных преимуществ со стороны кредитной организации.

Анализ инцидентов, происходящих в системах ДБО, позволяет разделить потенциальных нарушителей на внешних, по отношению к системе ДБО - то есть клиентов, (как авторизованных, так и нет, то есть хакеров или преступников) и внутренних - из числа сотрудников банка.

Важно понимать, что информация, циркулирующая внутри систем ДБО, фактически эквивалента реальным деньгам, а значит создать условия, при которых угроза несанкционированного использования этой информации будет полностью исключена невозможно. Иными словами, всегда найдётся тот, кто захочет завладеть этой информацией. А значит, её нужно защищать.

Правила работы в системах ДБО не являются конфиденциальной информацией и любой желающий может получить к ним доступ. Единственной защитой клиента от противоправных действий является его идентификационная информация (логин, пароли, криптоключи). Именно за этой информацией идёт охота. В большинстве случаев нарушителю достаточно украсть идентификационную информацию клиента системы, чтобы получить полный доступ к его счёту. Возможностей совершить такую кражу более чем достаточно.

На сегодняшний день, в сети предлагается широкий ассортимент всевозможных программ для перехвата пароля с помощью троянов, keylogger’ов (программ, считывающих вводимую с клавиатуры информацию), "шпионов", которые незаметно для клиента "подсаживаются" на его компьютер и "ждут" действий от пользователя для выполнения какой-либо "полезной нагрузки". Причем пользователь в течение долго времени  может не подозревать о наличии вредоносного кода, ведь даже "активация" такого "шпиона" не всегда приводит к его обнаружению.

Бороться с вредоносными программами и "шпионами" на их нынешнем уровне развития с помощью устаревших технологий сигнатурного анализа, используя для этого мощности компьютера конечного пользователя (что, естественно, связано с замедлением его работы), весьма неэффективно, да и уже практически невозможно. Объясняется это тем, что код "шпионов" и им подобных, как правило, вовсе не является вредоносным для операционной системы компьютера, а их быстрое размножение и развитие ставит под сомнение возможность сигнатурного анализа. Наиболее адекватным решением на сегодняшний день видится совместное использование технологий контентной фильтрации и сигнатурного анализа при помощи комплексного шлюзового решения, установленного "на входе" в корпоративную сеть или же, что еще более правильно, используемого в сети провайдера, предоставляющего доступ в Интернет. Такое решение позволяет блокировать любой неразрешенный трафик, генерируемый "шпионом" с персональных компьютеров сети организации, предоставляет средства антивирусной защиты, web-фильтрации и защиты от спама, предотвращает утечку конфиденциальных сведений, и, наконец, позволяет регулировать время пребывания пользователей в сети Интернет и блокировать их доступ к неразрешенным ресурсам.

Сегодня кража паролей и криптоключей с незащищённых носителей являются обыденным явлением. Но, к сожалению, столь же обыденным можно назвать стремление некоторых банков экономить на системах безопасности. Такая экономия зачастую приводит к многомиллионным потерям и далеко не всегда это потери исключительно клиента. Применение устаревших технологий, таких как организация доступа по "логину" и паролю, использование ключевых носителей не способных защитить от кражи хранящуюся на них информацию.

С другой стороны, часто используемые механизмы защиты не могут обеспечить юридическую значимость совершаемых клиентом действий в системе. А этот вопрос в последнее время приобретает всё более важное значение. Как показывает судебная практика, доказать факт кражи у клиента его идентификационной информации не всегда представляется возможным, а вот то, что пароль был известен сотрудникам банка, доказывается легко. Суды зачастую встают на сторону клиента, даже если в договорных обязательствах предъявляются очень высокие требования по обеспечению ими сохранности своей идентификационной информации. Объясняется это весьма просто, клиент мог не обладать необходимыми знаниями или условиями, указанными в договоре, а вот банк должен был предусмотреть адекватные меры защиты.

Этот факт уже взят на вооружение злоумышленниками. Маскируясь под добросовестных клиентов, они всё чаще начинают пользоваться недоработками кредитных организаций в технологических и юридических вопросах связанных с эксплуатацией систем ДБО для отстаивания своей "правоты" в судах. И надо отметить, что, при квалифицированном подходе, попытки эти бывают весьма успешны.

 

1.2 Электронные платежи в банке

 

Отличительной чертой большинства банковских систем является специальная форма обмена электронными данными - электронных платежей, без которых ни один современный банк не может существовать.

Обмен электронными данными — это межкомпьютерный обмен деловыми, коммерческими, финансовыми электронными документами, например, платежными инструкциями, контрактными предложениями, накладными, квитанциями и т.п.

Обмен электронными данными обеспечивает быстрое взаимодействие торговых партнеров на всех этапах подготовки торговой сделки, заключения контракта и реализации поставки. На этапе оплаты контракта и перевода денежных средств обмен электронными данными может приводить к электронному обмену финансовыми документами. При этом создаются комфортные условия  для торгово-платежных операций:

• Знакомство торговых партнеров с предложениями товаров и услуг, выбор необходимого товара/услуги, уточнение коммерческих условий в реальном времени;
• Заказ товара/услуг или запрос контрактного предложения в реальном времени;
• Оперативный контроль поставки товара, получение по электронной почте сопроводительных документов (накладных, фактур, комплектующих ведомостей и т.д.);
• Подтверждение завершения поставки товара/услуги, выставление и оплата счетов;
• Выполнение банковских кредитных и платежных операций;
• Повышение скорости расчета и оборота денег;
• Повышение удобства расчетов.

 

Существует две ключевые стратегии развития обмена электронными данными:

1. Обмен электронными данными  используется как преимущество  в конкурентной борьбе, позволяющее  осуществлять тесное взаимодействие  с партнерами. Такая стратегия  называется “Подход Расширенного Предприятия”.

2. Обмен электронными данными  используется в некоторых специфических  индустриальных проектах или  в инициативах объединений коммерческих  и других организаций для повышения  эффективности их взаимодействия.

Частным случаем обмена электронными данными являются электронные платежи - обмен финансовыми документами между клиентами и банками, между банками и другими финансовыми и коммерческими организациями.

Суть электронных платежей состоит в том, что пересылаемые по линиям связи сообщения, должным образом оформленные и переданные, являются основанием для выполнения одной или нескольких банковских операций. Никаких бумажных документов для выполнения этих операций в принципе не требуется (хотя они могут быть выданы). Говоря по-другому, пересылаемое по линиям связи сообщение несет информацию о том, что отправитель выполнил некоторые операции над своим счетом, в частности над корреспондентским счетом банка-получателя, и что получатель должен выполнить определенные в сообщении операции. Такие сообщения называются электронными деньгами, а выполнение банковских операций на основании посылки или получения таких сообщений - электронными платежами. Весь процесс осуществления электронных платежей нуждается в защите, иначе банк и его клиентов ожидают серьезные неприятности.

Межбанковские и торговые расчеты производятся между организациями (юридическими лицами), поэтому их называют корпоративными. Расчеты с участием физических лиц-клиентов получили название персональных.

Основные препятствия, встречающиеся на пути создания систем электронных платежей, охватывающих большое число финансовых институтов и их клиентов, являются:

1. Отсутствие единых стандартов  на операции и услуги, что затрудняет  создание объединенных банковских  систем. Каждый крупный банк стремится создать свою сеть обмена электронными данными, что увеличивает расходы на ее эксплуатацию и содержание.

2. Возрастание мобильности денежных  масс, что ведет к увеличению  возможности финансовых спекуляций, расширяет потоки “блуждающих капиталов”.

3. Сбои и отказы технических  и ошибки программных средств  при осуществлении финансовых  расчетов, что может привести  к серьезным осложнениям для  дальнейших расчетов и потере  доверия к банку со стороны  клиентов, особенно в силу тесного переплетения банковских связей (своего рода «размножение ошибки»). При этом возрастает роль и ответственность операторов и администрации системы, которые непосредственно управляют обработкой информации.

В торговых расчетах банки участвуют как посредники при перечислении денег со счета организации-плательщика на счет организации-получателя.

Виды торговых расчетов сильно различаются для разных организаций, но всегда при их осуществлении обрабатывается два типа информации: платежных сообщений и вспомогательная (статистика, сводки, уведомления). Для финансовых организаций наибольший интерес представляет информация платежных сообщений - номера счетов, суммы, баланс и т.д. Для торговых организаций оба вида сведений одинаково важны - первый дает ключ к финансовому состоянию, второй - помогает при принятии решений и выработке политики.

В мире существует достаточно много систем - от небольших, связывающих несколько банков или филиалов, до международных, связывающих тысячи участников. Наиболее известной системой этого класса является SWIFT.

Пересылка денег с помощью системы электронных платежей состоит из нескольких этапов:

1. Определенный счет в системе  первого банка уменьшается на  требуемую сумму.

2. Корреспондентский счет второго  банка в первом увеличивается  на ту же сумму.

3. От первого банка второму  посылается сообщение, содержащее  информацию о выполняемых действиях (идентификаторы счетов, сумма, дата, условия и т.д.); при этом пересылаемое  сообщение должно быть соответствующим  образом защищено от подделки: зашифровано, снабжено цифровой подписью и контрольными полями и т.д.

4. С корреспондентского счета  первого банка во втором списывается  требуемая сумма.

5. Определенный счет во втором  банке увеличивается на требуемую  сумму.

6. Второй банк посылает первому  уведомление о произведенных корректировках счета; это сообщение также должно быть защищено от подделки способом, аналогичным защите платежного сообщения.

7. Протокол обмена фиксируется  у обоих абонентов и, возможно, у третьего лица (в центре управления  сетью) для предотвращения конфликтов.

 

1.3 Современные системы дистанционного  банковского обслуживания

1.3.1 Интернет банкинг

 

Интернет-банкинг — это дополнительный канал обслуживания в банке, при помощи которого вы можете дистанционно управлять своими текущими и карточными счетами, открывать депозиты, совершать платежи и другие операции.

Человек может осуществлять большинство банковских операций 24 часа в сутки 7 дней в неделю, независимо от местоположения — при наличии компьютера, ноутбука или мобильного телефона с подключением к интернету.

Существующие системы “Клиент – банк” подразделяются на 2 типа ( “толстый” клиент и “тонкий” клиент ):

Построение системы на основе технологий “толстого клиента” система “Клиент-банк” является частью коммерческого банка и требует установки у клиента банка специального программного обеспечения, состоящего из программы обработки данных и базы данных.