журналы подразделения новости подписка контакты home

архив
2001 год
2002 год
2003 год
2004 год
2005 год
2006 год
2007 год
2008 год
2009 год
2010 год
рубрики
ИТОГИ И ТЕНДЕНЦИИ

БАНКОВСКИЕ СТРАТЕГИИ

БАНКОВСКИЕ СИСТЕМЫ

БАНКОВСКИЙ СЕРВИС

АЛЬТЕРНАТИВНЫЕ БАНКИ

БАНКОВСКИЙ МАРКЕТИНГ

ПЛАТЕЖНЫЕ КАРТОЧКИ

Банковское оборудование

БАНКОВСКАЯ БЕЗОПАСНОСТЬ

БАНКОВСКИЕ РЕЙТИНГИ

гостям
Агентство "Стандарт" предлагает вам подписаться на экномические журналы – лидеры в своей области.
























"Банковская практика за рубежом" – №12, 2005

БАНКОВСКАЯ БЕЗОПАСНОСТЬ

Аутентификационные системы: много защиты никогда не бывает

Банки ищут пути надежной аутентификации клиентов

Времена, когда единственной защитой онлайновых счетов клиентов был пароль, уже прошли. Сейчас доступно много новых аутентификационных технологий, финансовые институты изучают их эффективность, практичность и затраты на внедрение. Главный вопрос – насколько сильно клиенты заинтересованы в более продвинутой защите своих счетов и до какой степени они готовы терпеть неудобства, связанные с усложнившимися системами безопасности. Финансовые институты достойно отвечают на рекомендации регуляторных органов, обеспокоенность клиентов по поводу слабых онлайновых систем безопасности банков с помощью внедрения более совершенных форм аутентификации, чем просто имя пользователя и пароль. Такие решения включают в себя двустороннюю графическую систему удостоверения подлинности личности клиента и аутентичности веб-сайта, код-пароль, генерированный с помощью токенов, биометрические характеристики пользователя, заранее заготовленные вопросы, ответы на которые знает только данный клиент, и программное обеспечение, распознающее любой обман, основанный на вхождении в систему или другой деятельности мошенников.

Реальная опасность

В последнее время финансовые институты Америки понесли значительные убытки из-за различных видов онлайнового банковского мошенничества, таких, например, как отправление «спам»-сообщений клиентам для получения секретных данных о личных счетах или злонамеренные действия нарушителей под видом законного пользователя. Поэтому организации начали внедрять более надежные формы аутентификации.

«Банковские клиенты должны допускать, что их регистрационное имя и пароль подвергаются определенному риску и опасности, – говорит Джордж Тубин, старший аналитик из американской консалтинговой компании TowerGroup. – Нам же следует повышать безопасность наших клиентов, ибо всегда присутствует опасность кражи такой информации клиентов как их регистрационные имена и пароли». Действительно, американское государственное агентство Federal Deposit Insurance Corp. (FDIC) в своем отчете за декабрь 2004 года рекомендовала всем финансовым институтам модернизировать системы, использующие парольную защиту, и внедрять более сложное программное обеспечение для обнаружения любой подозрительной деятельности, связанной с банковскими счетами.

Сегодня на рынке присутствует несколько различных аутентификационных технологий, например, таких как токены (специальные устройства, генерирующие одноразовые пароли), биометрические характеристики клиентов и графические системы. Сложность и уровни факторов этих систем могут варьироваться. Аутнетификация основывается на идее, что человек может доказать свою личность с помощью чего-то реального, вещественного и осязаемого (например, водительских прав или паспорта), чего-то, что он знает (например, персонального идентификационного номера – PIN-кода – или пароля), или чего-то индивидуального, личного (например, отпечаток пальца или сканирование сетчатки глаза).

Предоставление только одной такой системы защиты называется «однофакторной аутентификацией», подтверждение личности с помощью двух параметров – «двухфакторной аутентификацией».

Сегодня финансовым институтам следует найти оптимальное соотношение между эффективностью аутентификационного решения защиты счетов клиентов и их принятия клиентами. Дело в том, что защитная система может быть настолько мощной, что клиенты не смогут с нею работать из-за сложности или она будет для них слишком утомительной и тяжелой в пользовании. Руководителям организаций следует задуматься над тем, насколько сложно будет пользователям получить доступ к своим финансовым счетам. Даже наилучшая аутентификационная система в мире будет абсолютно бесполезна, если клиенты не будут ею пользоваться.

Поэтому, выбирая между различными системами, банки стараются найти баланс между защитой, с одной стороны, и удобством и простотой использования, с другой. Идеальный вариант – найти золотую середину. Но, как не бывает в мире двух абсолютно одинаковых финансовых институтов, так нет и единственно правильного аутентификационного решения, подходящего каждому банку. Определенные технологии сочетаются только с некоторыми базами или определенными сегментами клиентов.

Парольная проблема

Сегодня финансовые институты понимают всю необходимость внедрения эффективной аутентификации. Традиционная система защиты, основанная на использовании паролей, обеспечивала надежную безопасность лишь до некоторых пор, пока пару лет назад финансовый сектор не подвергся массированным нападениям хакеров, использующих «фишинг» (вид банковского мошенничества за счет отправления сообщений по электронной почте клиентам для получения их секретных личных данных или финансовой информации о личных счетах) и «спуфинг» (использование фальшивых веб-сайтов, имитирующих настоящие интернет-сайты финансовых институтов).

Многие крупные американские банки пострадали от «фишинга» и «спуфинга». Это, например, U.S. Bancorp, Citigroup, Washington Mutual, Wachovia, Bank of America. По данным FDIC, в период с мая 2003 года и по апрель 2004 года более 2 млн. американских интернет-пользователей пострадали от атак хакеров.

И они продолжаются. Амир Орад, исполнительный вице-президент компании Cyota, Inc., занимающейся разработкой систем безопасности, считает, что за последние полтора года онлайновые мошенники при попытке взлома защитных систем финансовых институтов стали использовать более инновационные и сложные способы.

Тем более что, когда многие банки внедрили со своей стороны очень эффективные защитные решения, мошенники переключили все внимание на наиболее слабые элементы в защитных системах: аутентификацию пользователей финансовым институтом, с одной стороны, и, с другой, проверку клиентами, что интернет-сайт банка или сообщения электронной почты настоящие.

«Слабым звеном здесь обычно выступают пользователь и его персональный компьютер, – говорит Джим Мэлони, руководитель отдела безопасности американской фирмы Corillian Corp., занимающейся разработкой онлайнового финансового программного обеспечения. – Просто использование имени пользователя и пароля уже не обеспечивает должной защиты».

Традиционные пароли могут быть легко раскрыты или украдены. Также их использование ограничено только верификацией идентичности. Они не могут сказать институту, например, откуда клиент вошел в систему и совпадает ли выполненная им трансакция с «типичным» поведением этого клиента.

В результате некоторые институты внедряют новые аутентификационные технологии. Во многих случаях они требуют, чтобы клиенты предоставляли два вида идентификации личности: так называемые «факторы» идентификационной информации для доступа в клиентские онлайновые счета, в банковском отделении или в банковском центре телефонного обслуживания.

Нормативно-правовое

регулирование

В своем декабрьском отчете 2004 года FDIC обращает внимание на то, что «для совершения мошенничества или кражи личной информации клиентов правонарушители пользуются тем, что банки полагаются лишь на однофакторную аутентификацию для удаленного доступа онлайнового банкинга и используют недостаточно эффективные решения по подтверждению валидности электронной почты и веб-сайта».

Понимая, что регуляторные органы могут оштрафовать банки, из-за того что они не внедряют улучшенных аутентификационных решений добровольно, банки начали предпринимать активные действия в этом направлении. Они модернизируют свои системы до двухфакторной аутентификации, используют сканирующее программное обеспечение для защиты против «фишинга», сообщают клиентам, как нужно пользоваться новыми аутентификационными системами и обмениваться информацией с другими финансовыми институтами, государственными учреждениями и разработчками технологий. «Когда FDIC предложила четкие и убедительные рекомендации, банки прислушались к ним», – сообщает Тубин.

В начале октября Федеральный совет по надзору за финансовыми учреждениями ужесточил требования к финансовым институтам, рекомендуя всем банкам, которые работают с уязвимой онлайновой информацией, внедрить у себя к концу 2006 года двухфакторную аутентификацию.

Тем не менее, Кевин Уотсон, исполнительный директор компании Verid, разработчика технологий безопасности, полагает, что стремление финансовой индустрии к улучшенной аутентификации «в большей степени связано с потребителями, а не с давлением регуляторных органов». Уотсон считает, что существующие директивы и предписания законов Bank Secrecy Act и Patriot Act уже подчеркнули всю важность знания банками своих клиентов.

Недавнее исследование показало, что вкладчики всерьез обеспокоены защищенностью своей онлайновой идентификационной информации. В мае 2005 года опрос, проведенный компанией RSA Security среди более 8 тыс. американских потребителей, выявил, что 8 из 10 респондентов были бы более удовлетворены и доверяли бы больше своему банку, если бы он предложил им сильную аутентификационную систему защиты. При этом, 45% опрошенных клиентов сказали, что с большей или меньшей степенью вероятности поменяли бы свой финансовый институт, если бы его конкурент предложил им более эффективную аутентификационную систему защиты, чем их нынешний провайдер. Исследование также обнаружило, что 67% клиентов охотно сменят банк при возможности использовать аутентификационное оборудование.

Банки и другие институты сейчас инвестируют значительные средства в улучшение аутентификации. По данным технологической исследовательской фирмы Yankee Group, расходы на аутентификационные системы и инструменты финансовых организаций в США практически удвоятся: от $1.4 млрд. в 2003 году до $2.4 млрд. в 2008 году. Это будет вызвано, прежде всего, постоянно возрастающим количеством обманов и афер, а также еще нерешенными глобальными проблемами безопасности.

Сопоставление пользы

и выгоды

Во время изучения доступных на рынке технологий процесс оценки обязательно должен рассматривать не только эффективность выбранной системы, но также ее стоимость и удобство для пользователей. «Клиенты хотят иметь улушенную систему защиты от мошенников, но они также настаивают на том, чтобы такие системы были просты в применении, – говорит Мэлони. – Клиенты находят многие решения слишком сложными».

Мэлони полагает, что банки не напрасно опасаются того, что, если они установят систему, которая окажется слишком сложной для клиентов, последние, в свою очередь, просто откажутся от использования онлайнового канала для доступа к своей банковской информации или, что еще хуже, мгновенно уйдут в другой банк, предложивший более удобную и простую аутентификационную технологию и меньше ограничений. Гейл Велборн, руководитель отдела онлайновых продуктов и обслуживания финансового института Bank of America, говорит: «Вы можете использовать очень мощную технологию, но, если клиенты будут ею не довольны, она не заработает».

Натан Джонс, руководитель отдела технологического надзора (контроля) компании FDIC, согласен с Велборном: «Фирмы должны рассматривать онлайновую информацию как риск, так как всегда может быть незаконная утечка информации. Также им следует определить, какая система лучше для их клиентов».

«В большинстве своем потребители предпочитают простое в использовании аутентификационное техническое оборудование, – считает Брюс Кандифф, аналитик из компании Javelin Research. – Например, компания недавно провела опрос клиентов и выявила, что среди разных форм аутентификации наиболее предпочтительна (52%) среди потребителей форма верификации, содержащая ответы на заранее подготовленные самим клиентом вопросы. Одна треть (33%) опрошенных заявили, что выбрали бы программное обеспечение, которое может распознать и давать доступ только к их конкретному компьютеру, а 29% сказали, что хотели бы использовать биометрическое сканирование с идентификацией отпечатков пальцев».

Будущее за

многофакторностью

аутентификационных

систем

Руководство банка Wachovia ищут разные решения аутентификационной проблемы и в аппаратном обеспечении, и в программном, хотя Илева Агеенко, директор отдела развивающихся приложений банка, говорит, что их институт склоняется к последнему варианту решения. В то время как Wachovia уже предлагает токены (устройства, генерирующие одноразовые пароли) в качестве аутентификационного решения для корпоративных клиентов, специалисты банка сомневаются в целесообразности предоставления токенов для более широкой клиентской базы.

«Большой минус токенов – это то, что клиенты вынуждены постоянно носить эти устройства с собой, куда бы ни пошли», – говорит Агеенко.

«К концу первого квартала 2006 года Wachovia начнет тестирование системы, состоящей из нескольких аутентификационных программ, ориентированных на клиентов, – говорит Илева Агеенко. – Пробная программа, скорее всего, будет тестироваться в течение трех месяцев. В нее будет вовлечено от двух до трех тысяч наших онлайновых банковских клиентов». Агеенко также считает, что, возможно, они запустят еще и вторую экспериментальную программу, основанную на разных технологиях, прежде чем банк официально представит своим клиентам новую аутентификационную систему в следующем году.

«Каждый банк обслуживает разные рынки, – рассказывает Тубин. – Здесь важно все: и стоимость решения, и принятие технологии потребителем, и насколько эффективна система при определении несанкционированного входа в нее. Поэтому каждому институту следует определить, какой уровень им больше всего подойдет».

Например, одним из важнейших способов оценки решения будет то, как данная аутентификационная технология вписывается в общую стратегию финансового института. И даже в этом случае, как считают эксперты, наиболее успешные ситемы аутентификации используют, в основном, более одного, а иногда и множество различных решений.

Так, Bank of America предлагает основанную на картинках систему SiteKey, разработанную компанией PassMark Security, которая предлагает клиентам в качестве пароля при авторизации выбрать одну из заранее условленных картинок. О том, какая именно картинка должна быть выбрана, знают только банк и клиент, проследить же выбор пользователя при помощи существующих сегодня средств наблюдения технически невозможно, если, конечно, не установить в пределах прямой видимости экрана скрытую камеру. Но этим дело не ограничивается. В случае, когда клиент работает не с домашнего компьютера, а выходит на сайт банка с постороннего, еще не известного защитным системам ПК, ему при попытке авторизации придется также ответить на дополнительный вопрос, который, известен только самому клиенту и, соответственно, – банку.

Более того, клиенты банка при желании могут приобрести и токен – специальное устройство, генерирующее разные символы в определенной последовательности каждую минуту. Соответственно с той же частотой меняется и контрольное число на сайте банка, а у каждого клиента имеется своя, уникальная последовательность генерации, строго синхронизированная с работой клиентской части устройства. Таким образом, не обладая нужным типом генератора, потенциальный злоумышленник, даже зная пароль пользователя, мошенничать с его счетом не сможет.

Тем не менее, Велборн говорит, что банк все равно продолжает искать и другие решения: «Безопасность – это непрерывный и постоянно продолжающийся процесс». Он также добавляет, что даже токены могут занять определенное место в аутентификационной системе банка, но они, скорее всего, будут ориентированы лишь на «небольшую и более целевую аудиторию».

Компания E-Trade Financial Corp., оператор известного брокерского веб-сайта, имеющего много клиентов, использует такие токены, разработанные компанией RSA Security. Быстрое прекращения срока действия токенов, генерирующих одноразовые коды-пароли ежеминутно, существенно ограничивает возможность мошенничества, которое может произойти при использовании статичных и неизменяемых паролей. Однако Джо Реймонд, руководитель отдела разработки продуктов и веб-оптимизации E-Trade Financial, говорит, что они также рассматривают и изучают многие системы защиты аутентификации клиентов, включающие в себя программное обеспечение, способное определять характерную для клиента модель поведения или определять устройство, с помощью которого клиент зашел в систему.

Независимо от того, в пользу какого решения был сделан выбор, финансовые институты всячески поощряются обществом и государственными органами в их намерении установить более надежные системы аутентификации. «Ключевое понятие – это то, что клиенты ищут и требуют больше безопасности и защищенности, – говорит Кристофер Янг, вице-президент отдела клиентских аутентификационных услуг компании RSA Security. – Конечно же, клиенты не хотят следовать известной пословице: гром не грянет – мужик не перекрестится. Поэтому уже сейчас они хотят больше защиты».

Многоканальные отношения, умные клиенты и очень сообразительные мошенники – все это часть современных банковских отношений. Поэтому задача финансовых институтов – всегда на шаг или два опережать злоумышленников.

Александр Скороходов,
по материалам
Bank Strategies

 
© агенство "Стандарт"