журналы подразделения новости подписка контакты home

архив
2001 год
2002 год
2003 год
2004 год
2005 год
2006 год
2007 год
2008 год
2009 год
2010 год
рубрики
БАНКОВСКИЕ СТРАТЕГИИ

РОЗНИЧНЫЙ БИЗНЕС

Банковская деятельность

ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ

БАНКОВСКИЙ МЕНЕДЖМЕНТ

гостям
Агентство "Стандарт" предлагает вам подписаться на экномические журналы – лидеры в своей области.
























"Банковская практика за рубежом" – №11, 2004

ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ

Банковская безопасность для Интернета

Борьба с финансовыми мошенничествами в сети и спамом стала актуальной задачей для западных банков

Информационные технологии давно стали неотъемлемой частью финансового бизнеса и активно применяются различными финансовыми институтами. В западных странах уже практически невозможно представить себе сколько-нибудь серьезный банк, не имеющий подразделения, занимающегося электронными операциями. Опыт банков и их клиентов растет, расширяются и объемы онлайновых трансакций. С другой стороны, увеличивается также число случаев мошенничеств со счетами розничных клиентов в Интернете. Учитывая, что слишком уж сложная система авторизации может только отпугнуть клиентов, банки в то же время должны гарантировать безопасность. А в этой сфере ситуация сейчас не самая лучшая.

Тревога о безопасности

С одной стороны, новые технологии помогают развивать современные виды электронных услуг, которые требуют для успешного своего внедрения определенного доверия со стороны клиентов. С другой стороны, как показывают маркетинговые исследования, доверие клиентов к онлайновым трансакциям падает вследствие широко распространенной в прессе информации о случаях правонарушений в части пользования банковскими данными. К тому же, если у финансовых институтов достаточно серьезные системы защиты своих данных, то компьютеры розничных клиентов практически беззащитны против всякого рода атак с целью завладения конфиденциальной информацией.

По мнению экспертов, успехи интернет-преступников, даже если о таких случаях сразу становится известно, большей частью возможны именно благодаря наивности пользователей или их незнанию способов защиты. Хуже всего то, что многие клиенты достаточно наивны и потому ловятся на такую удочку, как и их друзья или знакомые, однако в дальнейшем они теряют доверие к банковской системе в целом; финансовым же учреждениям со временем становится все сложнее привлекать их к онлайновым трансакциям.

Более того, если раньше финансовыми аферами занимались отдельные личности и группы хакеров, которым не хватало ни знаний, ни умения, для того чтобы нанести существенный вред финансовому сектору и наладить долгосрочные схемы добывания денег, то сегодня ситуация изменилась. Хорошо финансируемые международные преступные группировки изыскали реальные возможности для широкомасштабной мошеннической деятельности в мире электронных финансовых услуг. Изобретя способы отмывания полученных таким путем денег, преступники, в большей части оставаясь без наказания, представляют собой реальную угрозу для безопасности банковских операций. Мероприятия, направленные против таких действий, как правило, недостаточно эффективны и не дают желанного результата. Сложность мошеннических операций и их распространенность постоянно разрастаются.

Однако еще больший вред, чем непосредственно преступления, связанные с электронными деньгами, финансовому сектору наносит падение уровня доверия потенциальных и имеющихся клиентов к различным онлайновым моделям ведения бизнеса. Для удержания клиентов в достаточно прибыльном секторе интернет-банкинга многие финансовые институты начали заниматься их просвещением. В первую очередь, это – рассылка банками своим потребителям информации о том, каким образом лучше всего обезопасить домашний компьютер от внешнего проникновения, а также о потенциальных рисках, которые могут быть связаны с этой проблемой. Шагом в правильном направлении будет использование защитных опций новых операционных систем, таких, например, как WindowsXP.

Несмотря на это мошеннические операции с электронными деньгами приобретают такой размах, что усилий отдельных финансовых институтов для успешной борьбы с ними становится недостаточно. В некоторых странах даже создаются специальные правительственные учреждения, занимающиеся не только поиском преступников, совершивших конкретное преступление, но и работающих в сфере предотвращения мошеннических операций в электронной среде и просвещения ее пользователей.

Первой из стран, осознавших необходимость создания такой структуры, стала Великобритания. Специально для борьбы с преступниками, использующими для своих операций Интернет, здесь было открыто подразделение по борьбе с криминалом в области высоких технологий – National Hi-Tech Crime Unit (NHTCU). Одним из видов деятельности NHTCU стала рассылка населению сообщений о безопасности финансовых интернет-операций, при этом, с фокусировкой внимания на том, насколько важно вовремя обновлять антивирусные базы, а также с попыткой довести до сведения масс, что банки никогда не станут требовать выслать электронным письмом пин-коды, пароли или иную конфиденциальную информацию.

Даже такие простые примеры демонстрируют достаточно важные механизмы, например, использование электронной почты в качестве маркетингового инструмента. Электронная почта для банков стала относительно недорогим и широко распространенным способом создания клиентской базы, а также продажи новых услуг и продуктов. В то же время, не исключена и опасность того, что этим средством могут воспользоваться и правонарушители. Для предотвращения мошенничества и просвещения клиентов некоторые банки в своих рекламных письмах также иногда обращают внимание именно на такие случаи. Например, если к клиенту письменно обратились с просьбой сообщить какую-либо информацию или непосредственно сослались на "веб-страницу с новой услугой", то такие сообщения необходимо сразу же удалять без выполнения содержащихся инструкций. В результате проделанной работы действительно резко уменьшились случаи воровства конфиденциальной информации через запрос электронным письмом или с предложением фальшивой интернет-страницы.

Другая проблема состоит в том, что новые продукты часто не проходят необходимой проверки на защищенность против неавторизованного доступа или вирусов. Некоторые банки, покупая или разрабатывая новые продукты, не имеющие аналогов на рынке, стремятся с курьерской скоростью запустить их в работу или же, направляя все силы на достижение максимального конкурентного преимущества самого продукта, недостаточно внимания уделяют безопасности системы в целом. В таких случаях программные приложения, не прошедшие должной проверки относительно безопасности, становятся потенциальной пробоиной в системе банка и способны быстро девальвировать все полученные ранее преимущества.

Разнообразие применяемых сегодня в Интернете подходов к передаче информации сильно усложняет вопрос защиты сетей и веб-страниц от неавторизованного доступа. Простых решений на пути к завоеванию доверия клиентов в онлайновом банкинге нет, тем более что в банковских структурах вопрос касается не столько технологии, сколько маркетинговой политики и подходов.

Британский банк Lloyds TSB, например, проанализировав проблему идентификации клиентов, принял решение отказаться от авторизации через клавиатуру и пойти иным путем. Учитывая широкое распространение программ, дающих злоумышленникам возможность отслеживать каждое нажатие на клавиши, мошенники практически могут собрать любую конфиденциальную информацию и использовать ее в личных целях. Для защиты от такого рода атак Lloyds TSB впервые в банковской практике применил знакомую даже самым неумелым пользователям технологию – выпадающие меню. После того как клиент войдет на веб-страницу банка и введет часть пароля традиционным способом, на мониторе появляется несколько меню с конкретными буквами и цифрами, необходимыми для завершения ввода пароля. Эта часть пароля реализуется простым наведением курсора на соответствующий знак и нажатием мышки. Значки располагаются в меню в произвольном порядке, что, по мнению банка, очевидно, исключит покушение на кражу пароля находящимся неподалеку субъектом, который может видеть экран компьютера.

Lloyds TSB продолжает свои опыты с таким способом введения данных и, скорее всего, откажется от выпадающих меню и произвольного расположения цифр и значков, поскольку, как показала практика, это слишком сложно для многих пользователей, особенно не обладающих определенными профессиональными навыками работы с компьютером. Учитывая, что около половины клиентов ошибаются при работе с произвольным расположением клавиш, банк решил применить испытанный вариант с виртуальной клавиатурой, когда клиент все равно действует только мышкой.

Поскольку банки, внедряющие новые технологии безопасности, после распространения информации о нововведениях часто подвергаются дополнительным атакам со стороны хакеров, новый элемент защиты был внедрен безо всякого предварительного оповещения. Несмотря на то что банк не предоставляет конкретных данных о количестве атак, Джеймсон Бэкон, начальник отдела стратегического развития интернет-каналов, утверждает, что таким образом все же удалось избежать роста их числа с использованием данных, украденных с клавиатуры.

Борьба с загрязнением электронной среды

Кроме борьбы с интернет-преступниками, похищающими информацию и деньги, банки вынуждены противостоять и еще одной напасти в Интернете – спаму (безадресным рекламным сообщениям, рассылаемым миллионам владельцев электронных адресов). Сражаться со спамом – а ущерб от него оценивается в круглые суммы – американские банки начинают отнюдь не по доброй воле. В калифорнийском отделении Credit Union of Southern California (Cu SoCal), например, раскошелиться на антиспамовое программное обеспечение пришлось после судебного иска, связанного с фактом сексуального домогательства на рабочем месте, который мог быть спровоцирован, как пытались доказать юристы, большим количеством спама сексуальной тематики. Кроме того, отделы информационных технологий получали много жалоб на непрекращающийся поток писем с не представляющей интерес рекламой.

Этот случай, конечно, слишком уж экстремальный, однако сама проблема от этого не становится менее весомой. Исследования показывают, что, в среднем, каждый сотрудник американского банка теряет в день до 90 минут рабочего времени, разбирая электронную почту и отделяя нужную корреспонденцию от нежелательных рекламных сообщений. Если же сотрудники пользуются услугами почтовых серверов Yahoo или Hotmail, через которые проходит львиная доля спама, то требуемое для этого время еще более возрастает. При этом, количество потерянного времени практически не зависит от того, насколько активно пользуется сотрудник электронной почтой. Результат один – времени, требуемого для очистки почтового ящика, требуется с каждым разом все больше и больше.

Для борьбы с такими вредоносными проявлениями компьютеризации многие используют различного рода сетевые фильтры, отсеивающие письма с рекламной мишурой. Credit Union of Southern California, например, предпочел программное приложение Enterprise Gateway компании Commtouch, обеспечивающее как централизованное администрирование сети, так и индивидуальную антиспамовую настройку каждого пользователя. По словам Рея Раундса, вице-президента по информационным услугам Cu SoCal, жалобы на спам после внедрения данной системы прекратились практически моментально, сейчас отдел информационных технологий получает их даже реже, чем раз в месяц. Кроме того, с помощью такой системы банк значительно снизил степень риска заражения сети вирусами, часто пересылаемыми с электронными сообщениями. Система также дает администратору сети возможность просматривать адреса приходящих сотрудникам банка сообщений еще до того, как они будут доставлены адресатам.

В принципе, многие пользователи Интернета в своих почтовых системах самостоятельно настраивают антиспамовые фильтры, однако это все равно забирает массу времени. Кроме того, далеко не все пользователи несмотря на широкое распространение компьютерной техники могут самостоятельно справиться с такой задачей. Помочь в этом может лишь сетевой фильтр, установленный на центральном сервере. Сейчас Cu SoCal проводит тестовые испытания своей новой системы, но в ближайшем будущем планирует установить ее для всех пользователей и включить в программу обучения в своем учебном центре.

Однако не все банки разделяют такой оптимизм. Многие специалисты считают, что антиспамовые программы – это, в принципе, ошибочный метод решения проблемы, полагая, что они совершенно не помогают в реальном мире электронного общения: во-первых, достаточно громоздки и требуют дополнительных ресурсов компьютерной техники; во-вторых, слишком дорогие и недостаточно надежные. Кроме того, все такие системы зачастую отфильтровывают также и обычные деловые письма, а это резко снижает доверие к ним. По мнению этих экспертов, спам необходимо искоренять не методами пассивной защиты, а активно противодействуя его распространителям, используя авторизованный индивидуальный доступ к почтовым серверам, отслеживая и блокируя пользователей, рассылающих слишком большой объем сообщений.

Однако рынок наполняется все большим и большим количеством продуктов, основным предназначением которых становится именно защита от спама. Новые продукты, например, Anti-Spam Enterprise Edition (совместная разработка компаний MX Logic и Brightmail) или Qurb (новое программное обеспечение от компании AvantGo Inc.), используя аналитические методы оценки содержимого корреспонденции, отфильтровывают порядка 92% спама, а неправильно удаленные "важные" письма составляют лишь одно на миллион. При этом, предлагаемое программное обеспечение характеризируется простотой в установке и использовании, оно работает в различных операционных системах, таких как Linux, Windows или Solaris. И, хотя эти программы все еще не лишены определенных недостатков, банки, по крайней мере, имеют какой-то набор средств защиты от спама.

Однако вирусы и спам – не единственная угроза для банков. Несмотря на то что многие банки заявляют о практической неуязвимости своих сетей для внешнего агрессора, многие аналитики не согласны с таким утверждением, особенно, если речь идет о новых технологиях пересылки данных. Так, например, указывается на уязвимость популярного программного приложения Skype, обеспечивающего совместное применение файлов, обмен информационными сообщениями и телефонные звонки с помощью IP-телефонии.

Высокая функциональность данной системы быстро привела к тому, что Skype был установлен во всех крупных американских банках. По мнению пользователей, это уникальный инструмент для коммуникации, выполняющий свою работу быстро и качественно. Для этих целей он, возможно, и хорош, но эта система, в то же время, потенциально пробивает брешь в системе безопасности, как утверждают специалисты американской Федеральной корпорации страхования банковских вкладов (FDIC), проанализировав сложившуюся ситуацию. По их мнению, Skype – идеальная база для существования и распространения интернет-червей и вирусов. Кроме того, систему практически нельзя контролировать, точно так же, как нельзя проверять и архивы сообщений, поскольку банки должны соответствовать требованиям конфиденциальности.

Таким образом, под сомнение поставлена безопасность практически всех финансовых институтов, которые теперь стоят перед нелегким выбором: решать в пользу удобства общения или безопасности? FDIC еще летом 2004 года потребовала гармонизации с требованиями в части информационной безопасности всех стандартов передачи информационных сообщений, а также оценки необходимости такого вида коммуникации. Большинство банков позитивно оценивают опыт работы со Skype, решив, что удобство работы с клиентами даже внутри компании стоит выше потенциальной опасности проникновения в систему вирусов через дыры в программном обеспечении.

Кроме того, многие банкиры не разделяют мнения насчет потенциальной угрозы Skype в сфере безопасности. По их мнению, если бы система не была достаточно надежной, она бы не нашла столь широкого применения, тем более что ее бесплатное распространение и удобство уже привели к тому, что программа внедрена в большинстве финансовых институтов и уже нет никакой практической возможности отказаться от схемы быстрого обмена данными. Такого же мнения придерживаются и специалисты по обеспечению банковской безопасности FDIC, которые не находят особой угрозы со стороны системы, оговаривая лишь необходимость ограничения количества сотрудников, имеющих к ней доступ.

Александр Недилько, по материалам Bank Systems & Technology, Wall Street & Technology, Bank Technology News, Financial Director

 
© агенство "Стандарт"