Защита удаленных транзакций при дистанционном банковском обслуживании (на примере ОАО «Сбербанк России)

специфики этого вида деятельности, зачастую отдельные из них не могут даже сформулировать саму информационную проблему и, как следствие этого, наблюдается непонимание цены информационных услуг (труда, интеллекта, финансовых затрат). И хотя на рынке появился и достаточно хорошо зарекомендовал себя ряд информационных фирм, их информационные базы и усилия пока не объединены в единую систему, каждая фирма развивается сама по себе.

Таким образом, ситуация в сфере обеспечения безопасности бизнеса, реакция общественности на убийства известных предпринимателей свидетельствуют о том, что одной из главных причин низкой эффективности системы обеспечения безопасности бизнеса является недостаточное взаимодействие, во-первых, в самой предпринимательской среде, во-вторых,

с государственными правоохранительными и специальными органами и, в-третьих, отсутствие достаточной государственной поддержки.

Концепция любого банка выражает систему взглядов на проблему безопасности банка на различных этапах и уровнях производственной деятельности, а также основные принципы, направления и этапы реализации мер безопасности. Зарубежный и отечественный опыт обеспечения безопасности свидетельствует, что для борьбы со всей совокупностью преступных и противоправных действий необходима стройная и целенаправленная организация процесса противодействия. Причем в организации этого процесса должны участвовать профессиональные специалисты, администрация банка, сотрудники и пользователи, что и определяет повышенную значимость организационной стороны вопроса.

Накопленный опыт также показывает, что:

• обеспечение безопасности не может быть одноразовым актом. Это непрерывный процесс, заключающийся в обосновании и реализации наиболее рациональных форм, методов, способов и путей создания, совершенствования и развития системы безопасности, не-

прерывном управлении ею, контроле, выявлении ее узких мест и потенциальных угроз банку;

• безопасность может быть обеспечена лишь при комплексном использовании всего арсенала средств защиты и противодействия во всех структурных элементах производственной системы и на всех этапах технологического цикла. Наибольший эффект достигается тогда, когда все используемые средства, методы и мероприятия объединяются в единый целостный механизм – систему безопасности банка (СББ);
• никакая система безопасности банка не может обеспечить требуемый уровень безопасности без надлежащий подготовки персонала банка и пользователей и соблюдения ими всех установленных правил, направленных на обеспечение безопасности.

С учетом накопленного опыта СББ можно определить как организованную совокупность специальных органов, средств, методов и мероприятий, обеспечивающих защиту деятельности банка от внутренних и внешних угроз.

Организация и функционирование системы безопасности должны осуществляться на основе следующих принципов.

1. Комплексность:

• обеспечение безопасности персонала, материальных и финансовых ресурсов от возможных угроз всеми доступными законными средствами, методами и мероприятиями;
• обеспечение безопасности информационных ресурсов в течение всего их жизненного цикла, на всех технологических этапах их обработки (преобразования) и использования, во всех режимах функционирования;
• способность системы к развитию и совершенствованию в соответствии с изменениями условий функционирования банка.

2. Своевременность - упреждающий характер  мер обеспечения безопасности. Своевременность  предполагает постановку задач  по комплексной безопасности  на ранних стадиях разработки  системы безопасности на основе  анализа и прогнозирования обстановки, угроз безопасности, а также разработку эффективных мер предупреждения посягательств на законные интересы.

3. Непрерывность - считается, что злоумышленники  только и тут возможность, как  бы обойти защитные меры, прибегая  для этого к легальным и  нелегальным методам.

4. Активность. Защищать интересы банка необходимо с достаточной степенью настойчивости, широко используя маневр силами и средствами обеспечения безопасности и нестандартные меры защиты.

5. Законность. Предполагает разработку  системы безопасности на основе  федерального законодательства в области предпринимательской деятельности, информатизации и защиты информации, частной охранной деятельности, а также других нормативных актов по безопасности, утвержденных органами государственного управления в пределах их компетенции, с применением всех дозволенных методов обнаружения и пресечения правонарушений.

6. Обоснованность. Предлагаемые меры  и средства защиты должны реализоваться  на современном уровне развития  науки и техники, быть обоснованными  с точки зрения заданного уровня безопасности и соответствовать установленным требованиям и нормам.

7. Экономическая целесообразность  и сопоставимость возможного  ущерба и затрат на обеспечение  безопасности (критерий "эффективность - стоимость").

8. Специализация. Предполагается привлечение  к разработке и внедрению мер  и средств защиты специализированных организаций, наиболее подготовленных к конкретному виду деятельности по обеспечению безопасности, имеющих опыт практической работы и

государственную лицензию на право оказания услуг в этой области. Эксплуатация технических средств и реализация мер безопасности должны осуществляться профессионально подготовленными специалистами службы безопасности, ее функциональных и обслуживающих подразделений.

9. Взаимодействие и координация. Предполагает осуществление мер  обеспечения безопасности на  основе четкого взаимодействия всех заинтересованных подразделений и служб, сторонних специализированных организаций в этой области, координацию их усилий

для достижения поставленных целей, а также интеграцию деятельности с органами государственного управления и правоохранительными органами.

10. Совершенствование. Предусматривает  совершенствование мер и средств  защиты на основе собственного  опыта, появления новых технических  средств с учетом изменений  в методах и средствах разведки  и промышленного шпионажа, нормативно-технических требований, накопленного отечественного и зарубежного опыта.

11. Централизация управления. Предполагает  самостоятельное функционирование  системы безопасности по единым  организационным, функциональным и  методологическим принципам с  централизованным управлением деятельностью системы безопасности. Особое

внимание необходимо уделять принципу комплексности, обеспечения безопасности во всем многообразии структурных элементов банка, при множестве угроз и способов несанкционированного доступа должны применяться все виды и формы защиты и противодействия в

полном объеме. Недопустимо применять отдельные формы или технические средства.

Под комплексной безопасностью следует понимать полный охват объектов защиты всей совокупностью форм противодействия и защиты (охрана, режим, кадры, документы и т.д.) на основе правовых, организационных и инженерно-технических мероприятий.

К объектам, подлежащим защите от потенциальных угроз и противоправных посягательств, относятся:

• персонал (руководящие работники, производственный персонал, владеющий информацией, составляющей коммерческую тайну, работники внешних служб и другой "уязвимый" персонал);
• финансовые средства (валюта, драгоценности, финансовые документы и др.);
• материальные средства (здания, сооружения, хранилища, оборудование, транспорт и т.д.);
• информационные ресурсы с ограниченным доступом, составляющие служебную и коммерческую тайну, а также иная конфиденциальная информация на бумажной, магнитной, оптической основе, информационные массивы и базы данных, программное обеспечение, информативные физические поля различного характера;
• средства и системы информатизации (автоматизированные системы и вычислительные сети различного уровня и назначения, линии телеграфной, телефонной, факсимильной, пейджинговой радио- и космической связи, технические средства передачи информации, вспомогательные средства и системы);
• технические средства и системы охраны и защиты материальных и информационных ресурсов.

 

2.2 Безопасность удаленных электронных  платежей

 

Отличительной чертой защиты банковских систем является специальная форма обмена электронными данными - электронных платежей, без которых ни один современный банк не может существовать.

Обмен электронными данными (ОЭД) — это межкомпьютерный обмен деловыми, коммерческими, финансовыми электронными документами. Например, заказами, платежными инструкциями, контрактными предложениями, накладными, квитанциями.

ОЭД обеспечивает оперативное взаимодействие торговых партнеров (клиентов, поставщиков, торговых посредников и др.) на всех этапах подготовки торговой сделки, заключения контракта и реализации поставки. На этапе оплаты контракта и перевода денежных средств ОЭД может приводить к электронному обмену финансовыми документами. При этом создается эффективная среда для торгово-платежных операций:

- возможно ознакомление торговых партнеров с предложениями товаров и услуг, выбор необходимого товара/услуги, уточнение коммерческих условий в реальном масштабе времени;

- заказ товара/услуг или запрос  контрактного предложения в реальном  масштабе времени;

- оперативный контроль поставки товара, получение по электронной почте сопроводительных документов (накладных, фактур, комплектующих ведомостей и т.д.);

- подтверждение завершения поставки  товара/услуги, выставление и оплата  счетов;

- выполнение банковских кредитных и платежных операций.

К достоинствам ОЭД следует отнести:

- уменьшение стоимости операций  за счет перехода на безбумажную  технологию. Эксперты оценивают  стоимость обработки и ведения  бумажной документации в 3-8 % от  общей стоимости коммерческих  операций и доставки товаров. Выигрыш от применения ОЭД оценивается, например, в автомобильной промышленности США более чем в 200 условных единиц на один изготовленный автомобиль;

- повышение скорости расчета  и оборота денег;

- повышение удобства расчетов.

Суть концепции удаленных электронных платежей заключается в том, что пересылаемые по линиям связи сообщения, должным образом оформленные и переданные, являются основанием для выполнения одной или нескольких банковских операций. Никаких бумажных документов для выполнения этих операций в принципе не требуется (хотя они могут быть выданы). Другими словами, пересылаемое по линиям связи сообщение несет информацию о том, что отправитель выполнил некоторые операции над своим счетом, в частности над корреспондентским счетом банка-получателя (в роли которого может выступать клиринговый центр), и что получатель должен выполнить определенные в сообщении операции. На основании такого сообщения можно переслать или получить деньги, открыть кредит, оплатить покупку или услугу и выполнить любую другую банковскую операцию. Такие сообщения называются электронными деньгами, а выполнение банковских операций на основании посылки или получения таких сообщений - электронными платежами. Естественно, весь процесс осуществления электронных платежей нуждается в надежной защите. Иначе банк и его клиентов ожидают серьезные неприятности. Электронные платежи применяются при межбанковских, торговых и персональных расчетах.

Пересылка денег с помощью системы электронных платежей включает следующие этапы (в зависимости от конкретных условий и самой системы порядок может меняться):

- определенный счет в системе  первого банка уменьшается на  требуемую сумму;

- корреспондентский счет второго  банка в первом увеличивается  на ту же сумму;

- от первого банка второму посылается сообщение, содержащее информацию о выполняемых действиях (идентификаторы счетов, сумма, дата, условия и т.д.); при этом пересылаемое сообщение должно быть соответствующим образом защищено от подделки: зашифровано, снабжено цифровой подписью и контрольными полями и т.д.;

- с корреспондентского счета  первого банка во втором списывается  требуемая сумма;

- определенный счет во втором  банке увеличивается на требуемую  сумму;

- второй банк посылает первому  уведомление о произведенных  корректировках счета; это сообщение также должно быть защищено от подделки способом, аналогичным защите платежного сообщения;

- протокол обмена фиксируется  у обоих абонентов и, возможно, у третьего лица (в центре управления  сетью) для предотвращения конфликтов.

На пути передачи сообщений могут быть посредники - клиринговые центры, банки-посредники в передаче информации и т.п. Основная сложность таких расчетов - уверенность в своем партнере, то есть каждый из абонентов должен быть уверен, что его корреспондент выполнит все необходимые действия.

Для определения общих проблем защиты удаленных транзакций, можно выделить три основных этапа:

- подготовка документа к отправке;

- передача документа по каналу  связи;

- прием документа и его обратное  преобразование.

С точки зрения защиты в системах удаленных платежей существуют следующие уязвимые места:

- пересылка платежных и других  сообщений между банками или  между банком и клиентом

- обработка информации внутри  организаций отправителя и получателя;

- доступ клиента к средствам, аккумулированным на счете.

При пересылке платежных и других сообщений возникают следующие проблемы:

- внутренние системы организаций  получателя и отправителя должны  быть приспособлены к получению/отправке  электронных документов и обеспечивать  необходимую защиту при их обработке внутри организации (защита оконечных систем);

- взаимодействие получателя и  отправителя документа осуществляется  опосредованно - через канал связи. Это порождает такие виды проблем  как взаимное опознавания абонентов (проблема установления аутентификации при установлении соединения), защиты документов, передаваемых по каналам связи (обеспечение целостности и конфиденциальности документов), защиты самого процесса обмена документами (проблема доказательства отправления/доставки документа);