журналы подразделения новости подписка контакты home

архив
2001 год
2002 год
2003 год
2004 год
2005 год
2006 год
2007 год
2008 год
2009 год
2010 год
рубрики
ИТОГИ И ТЕНДЕНЦИИ

Новые рыночные страны

БАНКОВСКИЕ СИСТЕМЫ

МОБИЛЬНЫЙ БАНКИНГ

БАНКОВСКИЙ СЕРВИС

БАНКОВСКИЙ МАРКЕТИНГ

БАНКОВСКИЙ МЕНЕДЖМЕНТ

Банковская деятельность

БАНКОВСКАЯ БЕЗОПАСНОСТЬ

ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ

гостям
Агентство "Стандарт" предлагает вам подписаться на экномические журналы – лидеры в своей области.
























"Банковская практика за рубежом" – №3, 2008

БАНКОВСКАЯ БЕЗОПАСНОСТЬ

«Сильная аутентификация» и «цифровая идентификация»

Новые технологии онлайновой безопасности для банков и их интернет-клиентов

Любой банк независимо от размера и финансовой специализации всегда стремится к тому, чтобы завоевать авторитет и доверие среди своих вкладчиков. Серьезно помочь финансовым институтам в решении этих вопросов и повышении лояльности потребителей к ним, как полагают международные эксперты, должны появившиеся недавно технологические решения «цифровой идентичности» (digital identity), представляющей собой своего рода «цифровое удостоверение» – набор характеристик (или «утверждений»), по которым можно распознать или отличить – кого-то или что-то – в цифровом мире. Процедура установления тождественности digital identity, к примеру, поможет определить цифровую идентичность человека по «цифровым идентификационным характеристикам». Кроме того, как считают аналитики, решения «цифровой идентичности» могут изменить традиционную среду, сложившуюся вокруг стандартных трансакций между банками и корпорациями (bank-to-corporate transactions), поскольку эти технологии дают возможность упростить их и повысить уровень безопасности подобных операций.

«Знай своего клиента»

В сфере отношений между банками и корпорациями требования отраслевого стандарта “Знай своего клиента” (Know Your Customer – KYC) продолжают оставаться важными и существенными. А ввод в действие в США таких законодательных актов как Anti-Money Laundering Regulations («Регулятивные нормативы по борьбе с отмыванием грязных денег»), Sarbanes-Oxley (“Закон Сарбейнса-Оксли” для борьбы с корпоративным мошенничеством) и Financial Transactions Reforms («Реформы финансовых трансакций»), ставших своеобразным международным нормативом, еще более отчетливо подчеркнул важность KYC.

По оценкам экспертов, в последнее время широкое распространение для перехвата мошенниками идентификационной информации получили так называемые атаки хакеров с использованием промежуточного компьютера (man-in-the-middle attacks). В сфере финансовых услуг такие атаки представляют собой действия компьютерных мошенников по перехвату конфиденциальных сообщений между банком и клиентом, при этом, ни тот, ни другой зачастую понятия не имеют о том, что в их связь кто-то вклинился. После этого хакеры используют полученную информацию, в частности, клиентские идентификационные данные и пароль, для получения доступа к персональным счетам.

Комплексное решение по управлению идентификацией и доступом (Identity and Access Management – IAM) включает в себя следующие четыре ключевых элемента, унифицирующих и упрощающих управление безопасностью в масштабах всего предприятия:

идентификация индивидуального (юридического) лица благодаря использованию традиционных методов проверки его идентификационных данных;

идентификация организации или группы организаций, которые это индивидуальное лицо уполномочено представлять;

идентификация онлайновых банковских приложений, к которым данное юридическое лицо уполномочено иметь доступ;

аутентификация юридического лица посредством цифровой идентичности, после чего эта цифровая идентичность используется конкретным лицом в качестве электронного подтверждения своих идентификационных данных для проведения интернетовских трансакций.

Объединение этих четырех элементов в единое целое предоставляет корпорациям возможность осуществлять единую однократную регистрацию (Single Sign-On – SSO) на все онлайновые банковские приложения, предлагаемые их банками. Форма и вид цифровой идентичности могут варьироваться в зависимости от ценности и риска проводимой трансакции. Так, к примеру, трансакция с малым риском, в частности, просмотр состояния балансов на счетах, может потребовать лишь использования традиционного имени пользователя и пароля, в то время как действия с высоким риском (платежные операции) – двухфакторной аутентификации, т.е. одноразового пароля, а также цифровой подписи, хранимой в чипе платежной карточки, или PIN-кода.

Предназначение системы Single Sign-On – снятие необходимости многократно вводить пароли (или аутентифицироваться каким-либо иным способом) при работе с разными приложениями. Вместо ввода нескольких паролей пользователь вводит один или использует какой-либо способ физической аутентификации (смарт-карты, отпечатки пальцев, криптографические калькуляторы и т.д.). Выгода от внедрения SSO очевидна для пользователя с первого раза: отпадает необходимость в запоминании множества паролей и трате времени на аутентификацию при входе в каждую конкретную систему. Этим, однако, польза от SSO не ограничивается.

Во-первых, правильно внедренная система SSO усиливает безопасность. На практике, если пользователю требуется более одного пароля, он просто примет решение сделать все свои пароли идентичными. Это ведет к эффекту «слабейшего звена»: при взломе слабейшей из систем (например, при помощи программы-сниффера) злоумышленник получает доступ ко всем системам одновременно. Естественно, определенная доля риска присутствует и при внедрении SSO (одно действие обеспечивает доступ ко всем системам). Однако системы SSO, как правило, хорошо защищены от несанкционированного доступа, к тому же, средства физической аутентификации создают дополнительный «защитный уровень». Во-вторых, не следует забывать и о том, что однократная регистрация не просто удобна для пользователей, но и снижает нагрузку на службу поддержки по обслуживанию паролей (плановая или внеплановая смена паролей, работа с забытыми паролями и пр.).

Строго говоря, аутентификация после внедрения систем однократной регистрации вовсе не обязательно должна стать действительно «однократной» в смысле «одна аутентификация при входе в операционную систему». Скорее, процесс аутентификации должен быть контролируемым. Например, имеет смысл требовать от пользователя проведения повторной аутентификации в определенное время или запрашивать идентификацию при проведении особенно важных банковских операций.

В любом случае решение Single Sign-On помогает упростить и усовершенствовать систему безопасности, обеспечивая единую регистрацию, управление доступом и паролями практически для любых банковских приложений. Способность пакета Single Sign-On обеспечить единую регистрацию пользователей для банковских приложений в архитектуре «клиент-сервер» и веб-приложений чрезвычайно востребована сегодня в финансовом мире, для которого характерны большое количество унаследованных приложений и необходимость соблюдения обязательных законодательных требований информационной безопасности.

Технологический продукт Single Sign-On обеспечивает корпорации единым решением в части управления идентификацией, дает им возможность организовать безопасный доступ к своим корпоративным информационным ресурсам, не отягощая пользователей запоминанием отдельных паролей и идентификационных данных для каждой системы и каждого приложения. Это позволяет корпорациям укрепить информационную безопасность, улучшить условия работы пользователей и сократить затраты на администрирование за счет снижения рисков и потерь, связанных с использованием большого количества паролей для доступа к приложениям.

Внедрение цифровых идентификационных технологий – особенно электронных цифровых подписей (digital signatures) – для поддержки конкретных финансовых продуктов и услуг чрезвычайно важно в деле проведения безопасных онлайновых банковских трансакций между финансовыми институтами в глобальном масштабе. Так, реализация технологий цифровой подписи базируется на инфраструктуре открытых ключей (public key infrastructure – PKI), обеспечивая организациям возможность подписывать в цифровом режиме инструкции к трансакциям на уровне пользователя. По сути, цифровые подписи на сегодняшний день можно считать самой безопасной формой проведения трансакции. Они в отличие от других средств защиты надежно противостоят атакам хакеров, поскольку требуют от пользователей применения для аутентификации специальной PKI-карточки, а также пароля.

«Сильная

аутентификация»

На базе использования всех элементов PKI электронные цифровые подписи в настоящее время юридически обязательны в более чем 200 странах мира и, безусловно, способны заменить рукописные подписи (hand-written signatures). Так, к примеру, закон об электронных трансакциях (Electronic Transaction Act) в США юридически признает законность использования цифровых подписей. Подобные законодательные акты приняты во многих государствах мира. Кроме того, цифровые подписи, хранимые в устройствах безопасности с двухфакторной идентификацией (чип- и PIN-технологии), фактически исключают искажение смысла передаваемой информации или передачу ложных сведений.

Между тем, замена рукописной подписи на индивидуальную (персонифицированную) цифровую подпись, проставляемую банком, открывает новые возможности для так называемой «дематериализации» процессов, связанных с обработкой бумажных документов как в банках, так и в обслуживаемых ими корпорациях. В настоящее время крупные компании все чаще не довольны трудоемкими операциями, необходимыми для обработки разного рода бумаг для проведения таких, к примеру, простейших трансакций как открытие счета или подача заявки в банк на приобретение новых финансовых продуктов или услуг.

Внедрение же цифровой подписи на уровне бизнес-отношений между банками и корпорациями, по мнению экспертов, существенно улучшает обслуживание клиентов и повышает степень их удовлетворенности предлагаемым банковским сервисом. Кроме того, можно наладить прямоточную обработку данных (straight through processing – STP) за счет оперативного подтверждения в реальном масштабе времени идентификационных данных инициатора трансакции, с тем чтобы сократить расходы, время и риск.

Таким образом, использование цифровой подписи позволяет получателю данных через открытые сети проверить и подтвердить достоверность этих данных, а также убедиться в том, что они не были изменены. Благодаря этому участники трансакции (будь то банк или корпорации) получают выгоду от использования цифровой подписи, в частности, между ними растет доверие друг к другу, каждый из них получает возможность уменьшить операционные расходы, а также повысить эффективность своей бизнес-деятельности за счет снижения бремени нагрузок, связанных с обработкой бумажной документации.

Однако, как уже было отмечено, всякое «цифровое удостоверение» (в том числе и цифровая подпись) требует верификации и подтверждения подлинности, что невозможно без идентификации пользователя – одного из важнейших элементов современной системы безопасности, обеспечивающей защиту банковских трансакций от посягательств финансовых мошенников. Защита доступа к конфиденциальной информации и контроль за действиями сотрудников в части соблюдения ими инструкций по безопасности банковских трансакций, пожалуй, самые важные задачи, стоящие перед теми, кто отвечает за безопасность в любом финучреждении.

Не секрет, что традиционный путь повышения уровня защиты доступа к конфиденциальной информации – это работа с паролями, в частности, увеличение их вариаций, количества символов в них, частая смена паролей. Однако резкий рост числа загрузок в сеть, а также связанное с этим увеличение количества паролей, которые должен помнить пользователь, приводит к тому, что банки вынуждены рассматривать возможность применения и других технологий безопасности, с одной стороны, обеспечивающих надежную защиту доступа к конфиденциальным данным, а, с другой, – простоту их применения банковскими служащими.

Одной из главных движущих сил, заставляющих финансовые институты уделять больше внимания внедрению современных идентификационных технологий и повышению уровня безопасности банковских трансакций, во многих странах мира является ужесточение законодательства в этой сфере. К уже упомянутым нами законодательным актам можно добавить, к примеру, Закон о защите данных (Data Protection Act), принятый не так давно в Великобритании, регулятивные нормативы Basel II и стандарты безопасности для карточной отрасли Payment Card Industry Data Security Standard (PCI DSS), а также стандарты безопасности для банковских трансакций BS7799 (в Великобритании), BS7799-2 и ISO 17799 (в мировом масштабе). Неотъемлемая часть всех этих регулятивных нормативов и стандартов – так называемая «сильная», или «строгая», аутентификация (strong authentication), обязательная на сегодняшний день для внедрения в каждом банке или финансовом учреждении.

До последнего времени наиболее часто для проведения интернетовских финансовых трансакций применялась парольная аутентификация, когда проверка пользователя фактически сводилась к установлению факта, что он знает некий предопределенный пароль. Однако парольная аутентификация обладает рядом недостатков, причем, самый главный из них – передача пароля в открытом виде по сети, если аутентифицируемый пользователь находится на удалении от компьютера, где он проходит аутентификацию. Естественно, перехвативший пароль злоумышленник может им воспользоваться, чтобы пройти проверку вместо легального пользователя. А в очень многих применениях это недопустимо (предположим, пользователь аутентифицируется для удаленного управления своим банковским счетом).

Проведенный в 2005 году в Великобритании социальный эксперимент еще более развенчал миф о достаточной надежности парольной защиты. В ходе этого эксперимента были выявлены следующие тревожные факты:

около 90% участников опроса обменяли свои пароли на шариковые ручки;

более 12% проверяемых сетевых учетных записей имели слово “password” в качестве пароля;

до 5% проверяемых сетевых учетных записей содержали имя или фамилию пользователя в качестве пароля;

порядка 66% участников опроса уже ознакомили кого-то со своими паролями;

свыше 35% паролей могут быть найдены в рабочей области пользователя, например, на стикере, приклеенном к монитору, или на обратной стороне клавиатуры;

по оценкам экспертов, почти 40% паролей в компаниях могут быть взломаны в течение 5 минут.

Напротив, сильная аутентификация предполагает такой прием, при котором секретная информация, обеспечивающая проверку подлинности пользователя, не передается в открытом виде. А еще лучше, если такая секретная информация вообще не покидает некоего устройства, которое пользователь предъявляет для аутентификации.

Два типа систем

Итак, сильная аутентификация предусматривает использование «того, что вы знаете», с помощью «того, что у вас есть»; в большинстве случаев это будет комбинация пароля или PIN-кода со вторым фактором, который пользователь всегда «носит» с собой. Речь в данном случае идет о двухфакторной аутентификации (two-factor authentication), которая, наряду с сервисами и протоколами, базирующимися на соответствующих стандартах (например, протоколах SSH, SSL, S/MIME), широко используется в сильной аутентификации. Понятно, что, требуя от пользователя иметь два разных «мандата» для получения доступа, например, к своему счету, банки существенно повышают уровень безопасности финансовых трансакций.

Понятно и другое: даже если пароль пользователя будет похищен без его ведома мошенником или еще кем-либо, злоумышленник все равно не сможет получить доступ к интересующей его веб-странице или приложению. Комбинация нескольких сильных аутентификационных факторов может быть использована и для других сфер финансового бизнеса, где следует обеспечить высокий уровень безопасности трансакционной деятельности.

Системы сильной (строгой) аутентификации условно можно подразделять на два типа:

1. Генерация устройством одноразового пароля с целью проверки (подтверждения) подлинности пользователя.

В этом случае одноразовый пароль генерируется с помощью специального устройства (примерами таких устройств могут служить SafeWord от компании Secure Computing, eToken NG-OTP (One Time Password – OTP) от компании Aladdin Knowledge Systems, RSA SecurID от компании RSA Security) и затем передается на сервер, где сравнивается с паролем, сгенерированным сервером. Такая система намного проще в использовании, чем запоминание сложных паролей, которые, что ни говори, не безопасны. Маленькие карманные устройства генерируют уникальный код всякий раз, когда пользователь регистрируется с их помощью в сети.

Однако наиболее доступными, практичными и удобными в обращении средствами аппаратной защиты считаются устройства генерации одноразовых паролей типа USB-token. Они применяются, в основном, там, где необходимо обеспечить доступ к корпоративным ресурсам из небезопасной среды (из чужого офиса, с терминала в аэропорту, из интернет-кафе и т.п.).

В упрощенном виде проверка с помощью одноразового пароля пользователя на сервере, к которому он хочет получить доступ, осуществляется следующим образом: сервер генерирует случайное число и посылает его пользователю, который с помощью USB-token кодирует его симметричным алгоритмом шифрования на своем секретном ключе и посылает на сервер. Далее сервер расшифровывает полученную информацию на таком же ключе и сравнивает с исходным случайным числом. Если число, полученное в результате расшифровки присланной пользователем информации, совпадает с исходным, то пользователь считается успешно прошедшим проверку, поскольку он обладает необходимым секретным ключом. В противном случае сервер должен отказать пользователю в доступе.

Наиболее типичный сценарий использования аутентификации с одноразовыми паролями в сфере финансовых услуг – удаленное банковское обслуживание. Вкладчики банка, желающие получить доступ к банковскому счету и возможность управления им, подвергаются угрозе хищения идентификационных данных пользователя и параметров кредитных карт. Для них можно предложить введение разового пароля, генерируемого устройством eToken, в дополнение к вводимым регистрационным имени и паролю.

2. Использование двух и более параметров (факторов) в процессе аутентификации. Например, пароль (PIN-код) и смарт-карта или пароль (PIN-код), смарт-карта (eToken) и биометрическая аутентификация. В этом случае применяется специальный принцип аутентификации. “Что знаю?” (PIN-код). “Что имею?” (смарт-карта, eToken). “Кем являюсь?” (биометрия). Типичный пример реализации двухфакторной аутентификации – банковская карта. Для ее использования (получения денег) необходимо вставить карту в считыватель (“Что имею?”) и набрать PIN-код (“Что знаю?”).

Использование eToken (аппаратное устройство строгой аутентификации пользователя) в среде Microsoft Windows 2000/XP/2003 обеспечивает строгую двухфакторную аутентификацию пользователей при входе в сеть Windows и службу каталога Active Directory на основе цифровых сертификатов Х.509. Функции центра сертификации выполняет служба сертификатов, входящая в состав серверов Windows. Такое решение поддерживает технологию Windows Single Sign-On, которая осуществляет единую регистрацию пользователя, устраняя необходимость дополнительной регистрации в каждом из принятых приложений.

В последние годы широкое распространение получил и такой элемент сильной аутентификации как биометрическая идентификация, заключающаяся в использовании отпечатков пальцев или других уникальных физических идентификаторов для аутентификации пользователей и открытия им доступа к системе. Данный метод идентификации стал чрезвычайно популярным в последнее время: цены на устройства, считывающие отпечатки пальцев (ридеры), стремительно падают, а многие банковские служащие уже обучены обращению с ними. Некоторые производители компьютеров уже сегодня включают ридеры отпечатков пальцев в состав стандартного оборудования, которым оснащаются их новые ПК, что открывает новые пути к расширению использование биометрических технологий в ближайшей перспективе.

Еще один элемент строгой аутентификации – активные бесконтактные карточки, или радиокарточки (active proximity card), оснащенные небольшими радиопередатчиком, антенной и приемником. По мере того как пользователь приближается к своему рабочему месту, радиосигнал может разблокировать персональный компьютер и загрузить данные пользователя в сеть. После того, как он покидает рабочее место, радиосигнал «выводит» пользователя из сети и блокирует попытки любого другого лица воспользоваться данным компьютером.

Наконец, в интересах сильной аутентификации послужит и такая опция как идентификационная, или смарт-карточка. Применяя их, к примеру, те же банковские служащие входят в помещение банка. Каким бы ни был тип такой карточки (это может быть карта, оснащенная магнитной полосой, чипом, радиопередатчиком и т.д.), пользователь может «прочитать» ее с помощью ридера, прикрепленного к компьютеру, и войти в сеть так же, как он это делает с помощью PIN-кода.

Хакерские сюрпризы

Тем временем, одним из новых направлений в секторе сильной аутентификации на сегодняшний день становится интеграция информационно-технологической сети (ИТ-сети) с системами физического доступа в помещение. Многие компании, в том числе и финансовые институты, активно внедряют в настоящее время устройства, идентифицирующие пользователя при входе и выходе из здания (помещения), считывая его идентификационные данные с карточки, которую он вставляет или проводит через установленный на двери ридер. Правда, за такой доступ и надлежащее функционирование подобных устройств до последнего времени отвечали не столько представители ИТ-департаментов банков, сколько специалисты, следящие за коммунальным хозяйством самого здания финансового института.

Сегодня, однако, подобная ситуация претерпевает существенные изменения. В частности, предпринимаются шаги по соединению физической и сетевой аутентификации в единое целое, что дает возможность существенно повысить безопасность при проведении финансовых трансакций. Установление контакта между этими двумя отдельными системами (физическая и технологическая) означает, что месторасположение пользователя может быть использовано в качестве фактора для его аутентификации. Например, пользователь на входе проводит через ридер своей карточкой доступа в помещение. При приближении пользователя к своему рабочему месту сетевая система доступа может направить запрос в базу данных физического доступа относительно того, кто вошел в помещение. Если пользователь, к примеру, не идентифицировал себя при входе в здание, доступ к технологическим ресурсам (сети) ему будет закрыт.

Таким образом, данный подход свидетельствует о том, что финансовые институты могут действовать более избирательно при реализации своих стратегий безопасности, в частности, ограничивать или запрещать доступ к своим активам для тех, кто не имеет на это право. Например, ключевые места в банке, в частности, операционный (торговый) зал (trading floor) или помещение, где находится сервер, могут быть доступны только тем лицам, у кого есть разрешение на вход в эти помещения и работу с расположенными в них компьютерами. Если же, к примеру, проникший в эти помещения посторонний человек попытается загрузить ПК, эта попытка мгновенно регистрируется и информация о ней тут же направляется в банковское подразделение безопасности, которое блокирует несанкционированный доступ.

Итак, в мире онлайнового банковского бизнеса (онлайнового банкинга) важна и жизненно необходима безопасная аутентификация. Однако растущие с каждым днем попытки хакеров, фишеров и прочих компьютерных мошенников похитить клиентские идентификационные данные заставляют банки и обслуживаемые ими корпорации создавать надежную и многофункциональную сквозную идентификационную инфраструктуру (end-to-end identification infrastructure).

Не секрет, что текущий год уже стал тяжелым и напряженным для детективов, борющихся с информационно-технологическими правонарушениями по всему миру. Не менее угрожающий размах приняло распространение по всему миру суперсовременных схем получения несанкционированного доступа к финансовым трансакциям с целью хищения клиентской идентификационной информации с использованием промежуточного компьютера.

Наконец, новая волна киберпреступлений порождает новые технологии и технические приемы кражи идентификационных данных. Так, по данным специалистов компании F-Seсure, число атак хакеров на банковские сaйты с целью получения персональных данных продолжает стремительно расти. При этом, используемые ими вpедоносные коды и вирусы постоянно совершенствуются. Одна из таких “хакерских новинок” – технология “Man in the Browsеr”. Суть ее заключается в том, что после заражения компьютера хакерский код запускается только тогда, когда пользователь посещает сайт своего банка. Данный тип программ способен получать информацию (имя пользователя и пароль), которую клиeнт вводит на реальной странице банковского сайта, перехватывая HTML-код его веб-браузеpа. Полученные таким образом клиентские данные отправляются на FTP-cайт злоумышленника.

Наконец, самый последний вызов банкам со стороны финансовых кибермошенников – это созданная ими новая троянская программа (Silentbanker Trojan), направленная против 400 мировых банков. Она способна обходить защиту и в состоянии выполнить перехват банковских трансакций, которые требуют двухфакторной аутентификации. Этот троян работает очень скрытно: клиент банка видит введенные данные, но банку на самом деле отсылаются ложные.

Дело дошло до того, что сегодня онлайновые аферисты могут быстро и легко внести изменения в документацию банка, список имен его руководителей и даже в адресные данные финансового института, о чем последний даже не будет подозревать. После этого киберпреступники используют данную документацию для создания новых счетов или получения доступа к уже действующим с целью совершения своих преступлений, причем, так, что банк будет снова в полном неведении относительно их действий. В этой связи корпорации предпринимают новые шаги по стандартизации подходов к решению проблем идентификации и аутентификации во всех своих подразделениях, а также в финансовых институтах, с которыми они ведут взаимовыгодный бизнес.

Многофакторная

аутентификация

На сегодняшний день уже вполне очевидно, что даже двухфакторная аутентификация, которая еще совсем недавно считалась эталоном защиты банковских трансакций, вовсе не гарантирует сохранения в безопасности персональных клиентских данных. В этой связи, как настаивают специалисты, для обеспечения самого высокого уровня защиты банковских трансакций финансовые институты должны применять так называемую многофакторную аутентификацию (multi-factor authentication) во всех своих структурных подразделениях с использованием передовых технологических решений, которые способны:

обеспечить интеграцию различных решений по персональной идентификации в интересах создания комплексной и надежной системы защиты данных при реализации финансовых трансакций;

проводить перекрестную аутентификацию пользователя при его посещении того или иного сайта;

гарантировать защиту персональных данных пользователя благодаря применению электронного «цифрового сертификата» (digital certificate) , выдаваемого ему только после того, как эти данные проверены и соответствующим образом подтверждены.

В общем, понятно, что на сегодняшний день банки как раз и лидируют среди учреждений, концентрирующих свои усилия на широком внедрении технологий персональной аутентификации в интересах борьбы с финансовым и иными видами кибермошенничества. Кроме того, финансовые институты в обязательном порядке (это определено регулятивными нормативами) должны применять технологии «Знай своего клиента» (Know Your Customer – KYC) перед открытием банковского счета любого типа, благодаря чему процессы аутентификации в банках характеризуются постоянством и последовательностью.

В этой связи именно банки являются надежными хранителями клиентской информации, именно на них могут полагаться обслуживаемые ими корпорации в плане ограничения доступа третьих лиц к персональной информации своих клиентов. Таким образом, финансовые институты, обязанные в законодательном порядке контролировать и защищать собранную и хранимую информацию о потребителях, становятся, по сути, единственной третьей стороной, которой корпорации доверяют решение вопросов обеспечения безопасности персональных данных своих клиентов.

Суммируя все эти особенности деятельности банков и корпораций по обеспечению надежной защиты онлайновых банковских трансакций, сделаем вывод, что и те, и другие при внедрении решений и технологий аутентификации должны обязательно учитывать следующие факторы:

1. Высокий уровень безопасности. Решения сильной (строгой) аутентификации должны обеспечивать высочайшую степень защиты онлайновых финансовых трансакций между банками и корпорациями. Здесь должны применяться все средства и методики – цифровые подписи, удостоверения и сертификаты, однократная регистрация, технологии «Знай своего клиента», двух- и многофакторная аутентификация и т.д. Как банки, так и обслуживаемые ими корпорации, должны требовать от своих клиентов строгого соблюдения правил и нормативов в части использования паролей, PIN-кодов и прочих средств защиты персональной конфиденциальной информации.

2. Простота внедрения. Решения по аутентификации и идентификации должны быть достаточно простыми для внедрения, основываться на процессах автоматизации (например, автоматическая генерация, изменение и дистрибуция паролей), что дает возможность финансовым институтам и корпорациям сокращать как расходы, так и количество обслуживающего персонала.

3. Простота в использовании.

Внедряемые аутентификационные решения и технологии должны быть «дружескими к пользователю», т.е. простыми в применении, в противном случае они будут пассивны в отношении использования новых преимуществ онлайнового банкинга.

4. Легкость в управлении. Любой финансовый институт должен быть в состоянии эффективно управлять всей системой безопасности своей операционной деятельности без осуществления каких-либо глобальных изменений в ней и привлечения значительных инвестиций в собственную технологическую инфраструктуру.

5. Мобильность и возможность удаленной инсталляции. Очень желательно, чтобы решения по аутентификации идентичности пользователей могли внедряться и функционировать в различных средах, например, как в офисе, так и в домашних условиях, в общественных местах, в интернет-кафе и т.д. Кроме того, они должны быть полностью мобильными и легко перемещаемыми.

6. Способность генерировать добавленную стоимость. Аутентификационные решения и технологии должны давать банку возможность предлагать пользователям защитные опции с высокой добавленной стоимостью, включая безопасность компьютера, управление паролями и кодами, шифрование файлов и т.д. В данном случае финансовые институты могут дифференцировать себя в конкурентной борьбе, предлагая гибкие и эффективные пакеты услуг по безопасности, не требующих серьезных вложений в технологические инфраструктуры.

7. Сертификация и масштаб применения. ПО и компьютерное «железо» должны быть сертифицированы в соответствии со стандартом США “Требования безопасности для модулей шифрования” (FIPS 140-2 – Security Requirements for Cryptographic Modules), разработанным Американским институтом стандартов и технологий и регламентирующим характеристики защищенности программных продуктов, в которых используются средства шифрования. В соответствии с американским законодательством финансовые институты применяют стандарт FIPS 140-2 (уровни 2 и 3) для количественной оценки безопасности программных продуктов, предназначенных для выполнения денежных взаиморасчетов. Этот стандарт также обязателен для финансовых органов Канады и признается в Европе и Австралии. В частности, под третим уровнем безопасности подразумеваются устройства, предупреждающие взлом. Эти устройства пытаются предотвратить доступ к критическим параметрам безопасности внутри крипто­модуля (за счет обнуления данных при вскрытии корпуса компьютера). В них используется аутентификация, основанная на идентификаторах субъекта доступа. Что касается масштаба применения, то решения по аутентификации должны быть пригодны для использования в любой среде и для поддержки большого количества пользователей.

Таким образом, аутентификация идентичности признана новой формой борьбы за безопасность онлайновых банковских операций. Уверенность в том, что оба партнера по обе стороны онлайновой финансовой операции находятся в безопасности, становится главным условием борьбы против онлайнового мошенничества, которое серьезно тормозит рост и развитие электронного банкинга. Кроме того, благодаря внедрению новых аутентификационных решений и технологий банки могут вполне успешно обеспечивать защиту внутренних трансакций, проводимых между подразделениями и департаментами финансового института, от несанкционированного вмешательства.

Олег Зайцев,
по материалам GTnews

 
© агенство "Стандарт"