журналы подразделения новости подписка контакты home

архив
2001 год
2002 год
2003 год
2004 год
2005 год
2006 год
2007 год
2008 год
2009 год
2010 год
рубрики
БАНКОВСКИЙ КРИЗИС

Банковский кризис

Новые рыночные страны

СПЕЦВЫПУСК: ИНФОРМАЦИОННЫЕ РЕШЕНИЯ

СПЕЦВЫПУСК: ЭЛЕКТРОННЫЕ УСЛУГИ

СПЕЦВЫПУСК: ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ

СПЕЦВЫПУСК: БАНКОВСКОЕ ОБОРУДОВАНИЕ

СПЕЦВЫПУСК: МОБИЛЬНЫЙ БАНКИНГ

СПЕЦВЫПУСК: КАРТОЧКИ

БАНКОВСКИЙ ПЕРСОНАЛ

БАНКОВСКИЙ МЕНЕДЖМЕНТ

гостям
Агентство "Стандарт" предлагает вам подписаться на экномические журналы – лидеры в своей области.
























"Банковская практика за рубежом" – №10, 2002

СПЕЦВЫПУСК: ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ

Актуальная проблема завтрашнего дня

Хотя все без исключения банки весьма озабочены проблемой безопасности онлайновых операций, еще проидет немало времени, прежде чем разрозненные усилия приведут к созданию единых стандартов

Несмотря на то что в последние месяцы инвестиции многих крупных западных банков в развитие и внедрение новых информационных технологий несколько сократились, темпы улучшения качества и увеличения количества электронных банковских услуг, предоставляемых через Интернет, не могут не вызывать восхищения. Практически каждый уважающий себя западный банк уже предоставляет через свой веб-сайт доступ к основным розничным услугам и информации о текущем состоянии счета. Таким образом, для совершения большинства розничных банковских операций клиентам уже нет надобности ходить в отделения, а достаточно лишь включить собственный ПК, ввести пароль... и добавить головной боли банкирам.

Вся проблема в том, что онлайновые банковские услуги означают не только новые возможности для обслуживания клиентов и получения дополнительной прибыли, но и требуют проведения комплекса различных мероприятий по информационной безопасности, которые со временем не только все более усложняются без удобств для клиента, но и причиняют массу беспокойств банкирам.

На первый взгляд, никаких сложностей с обслуживанием клиента через сеть не должно возникать. Клиент пользуется корпоративной страницей банка, вводит личный пароль и получает возможность совершать трансакции, не выходя из дома. Однако передовые банки уже рассматривают такую концепцию как морально устаревшую и не оправдывающую возложенных на нее надежд. Сейчас по мере развития онлайновых банковских технологий многие финансовые институты уже более придирчиво рассматривают возможность предоставления доступа к полному набору всех банковских услуг через единый, удобный для клиента портал, где будут представлены услуги различных банков.

В качестве примера подобных специализированных порталов можно привести, скажем, LendingTree. Здесь клиенту предоставляется возможность выбора услуг 140 банков, предлагающих различные виды финансовых продуктов – от автомобильного и ипотечного кредитования до депозитных сертификатов и расширения оборотного капитала. С другой стороны, наличие таких систем предполагает и внешне скрытую проблему, означающую, что различные системы авторизации клиента, используемые банками, необходимо включить в единую многостороннюю групповую систему. Соответственно, встают вопросы о единых общих стандартах безопасности.

Однако интеграция различных подходов к обеспечению безопасности трансакции – лишь часть проблемы. Необходимо также учитывать, что, кроме банков, в трансакции обычно участвуют и третьи стороны. Наиболее простым примером будет перевод денег из одного банка в другой для какой-либо онлайновой компании. В таких случаях для проведения трансакции банку через большое число серверов, принадлежащих различным компаниям, приходится контактировать с получателем, и ему, соответственно, не избежать риска утечки информации.

По словам Стефана Миллса, одного из партнеров в консалтинговой компании Accenture, основная проблема лежит в существующей политике информационной безопасности. Так, например, в Интернете сейчас существуют системы, позволяющие клиенту отслеживать цену облигаций или депозитных сертификатов, находящихся на его виртуальном счете, продавать и покупать ценные бумаги. В данном случае кража пароля клиента практически ничего не даст хакеру, который сможет продать сертификат, однако не сможет воспользоваться деньгами, поскольку такие системы лишены доступа к счету и денежным средствам. Совершенно иная ситуация возникнет, если удастся похитить пароль доступа к самому счету, деньгами на котором уже можно воспользоваться. Соответственно, система безопасности во втором случае должна быть гораздо тщательнее продумана.

Однако вопросы контроля не ограничиваются лишь этим. Ведь возникает вопрос, может ли клиент использовать свои логин и пароль для проведения принципиально разных операций, если банк предлагает единую систему регистрации. Необходимо учитывать, что в платежных системах задействуется больше сторон – продавец и покупатель, банк продавца и банк покупателя. Таким образом, необходимо следить за безопасностью в различных направлениях, а, таким образом, уже следует решать вопрос не только о доверии банка клиенту, но и доверии продавца и покупателя или, в отдельных случаях, банка покупателя и банка продавца.

В настоящий момент созданы некоторые доверительные схемы, использующие новейшие технологии, включающие персональные идентификационные коды, цифровые сертификаты и т.п. Пример – недавно запущенная программа VbV (Verified by Visa), позволяющая владельцам карточки Visa применять персональный пароль для подтверждения аутентичности практически в любых онлайновых операциях. Однако примеров таких систем все еще мало, а их применение достаточно ограничено. Многие финансовые компании отказываются от использования современных систем подтверждения аутентичности пользователя из-за их высокой стоимости и сложности внедрения и эксплуатации.

Учитывая это, можно сделать вывод о том, что авторизация и аутентификация пользователей могут быть гарантированно обеспечены лишь с разработкой общих стандартов безопасности. В принципе необходимость их принятия и использования очевидна, хотя некоторые аналитики полагают, что на сегодняшний день еще рано говорить о реальной потребности в таких вещах. Сейчас, например, когда банкоматы и онлайновые банковские киоски стали повсеместным явлением, международные карточные ассоциации внедрили ряд общих стандартов удостоверения личности пользователя.

Если же говорить об онлайновых банковских услугах, то следует признать, что единые стандарты в этой области все еще отсутствуют. Все это вызвано тем, что сейчас в абсолютном большинстве случаев в отношениях "банк-клиент" нет третьих лиц. Клиент элементрано заходит на веб-страницу банка и ставит задачи, которые банк выполняет по своим каналам. Лишь по мере агрегации услуг различных банков такие непосредственные отношения могут быть разорваны и пойдет речь о каких-либо стандартах.

Существует большое количество различных достаточно надежных систем аутентификации пользователей, применяемых в иных сферах (например, аутентификация мобильного телефона для мобильных банковских услуг, использование смарт-карт и подобные системы). Проблема, однако, заключается в нерешенности вопроса, кому нести затраты по разработке и поддержанию работоспособности системы. Так, например, банки не спешат раздавать своим клиентам терминалы для считывания смарт-карт, которые позволили бы им пользоваться услугами конкурирующего банка; клиенты, в свою очередь, не спешат покупать компьютеры со встроенными считывающими терминалами.

Однако, если глобальный договор об общих стандартах аутентификации все еще в слишком далекой перспективе, чтобы говорить о нем всерьез, то гибридная система может быть вполне реальной даже на сегодняшнем этапе. Идея заключается в том, чтобы авторизационная архитектура была частично централизованной, позволяя использовать современные достижения в сфере безопасности (например, авторизационные сообщения, которые были раньше сгенерированы брандмауэрами и не могут быть заново созданы с помощью другого компьютера).

Пример действия похожей структуры – мобильная коммерция. В этом случае сотрудничают не только банк, клиент и компания, предоставляющая услуги, но и оператор телефонной связи. В мобильной коммерции также поднимается вопрос об аутентичности клиента. Однако в этом случае оператор владеет системой аутентификации и контролем доступа клиента через его мобильный телефон, а провайдер услуг или корпоративная служба безопасности следит за авторизацией и контролем доступа к определенным продуктам.

Несмотря на это для работы в он-лайне банки до сих пор пытаются копировать традиционную инфраструктуру, совершенно не приспособленную к таким операциям. Действительно, обеспечение работы в режиме реального времени и свободный доступ к информации должны находиться в балансе с затратами и безопасностью. Однако, если к существующим проблемам добавить необходимость постоянного обновления банковского программного обеспечения и решение различных вопросов, связанных с существующими информационными системами, становится ясно, что до полного решения таких проблем еще довольно далеко.

Несмотря на это, некоторые шаги в этом направлении уже предпринимаются, а ситуацию в секторе можно считать "тихой революцией", результаты которой будут заметны где-то с 2005 года.

Александр Недилько, по материалам Financial Times

 
© агенство "Стандарт"