журналы подразделения новости подписка контакты home

архив
2001 год
2002 год
2003 год
2004 год
2005 год
2006 год
2007 год
2008 год
2009 год
2010 год
рубрики
ИТОГИ И ТЕНДЕНЦИИ

ФИНАНСОВЫЙ КРИЗИС

БАНКОВСКИЕ СИСТЕМЫ

МОБИЛЬНЫЙ БАНКИНГ

БАНКОВСКИЙ СЕРВИС

БАНКОВСКИЙ МАРКЕТИНГ

БАНКОВСКИЙ МЕНЕДЖМЕНТ

БАНКОВСКАЯ БЕЗОПАСНОСТЬ

гостям
Агентство "Стандарт" предлагает вам подписаться на экномические журналы – лидеры в своей области.
























"Банковская практика за рубежом" – №1, 2010

БАНКОВСКАЯ БЕЗОПАСНОСТЬ

Хакеры начинают и … выигрывают?

Информационные атаки на банковских клиентов продолжают совершенствоваться

«Соревнование» киберпреступников с защитными системами финучреждений чем-то сродни бесконечной шахматной партии, причем, мошенники почти всегда владеют инициативой и делают первый ход. Тем не менее, информационные специалисты банков не раз доказывали свою способность эффективно противостоять противоправным посягательствам. В ответ на новые методы ведения преступных действий появились новые концепции защитных систем, которые уже успели доказать свое право на существование.

«Инженеры»

человеческих душ

Реалии сегодняшнего дня таковы, что преступники становятся все более активными в поиске слабых мест в банковских системах безопасности. Наиболее популярной среди злоумышленников тактикой обмана банковских клиентов стало применение схем «социальной инженерии». Это метод злонамеренного проникновения в систему, когда хакер, представляясь «своим», вводит в заблуждение пользователей или администраторов сети, в результате чего получает идентификационные данные клиентов. Излишне говорить, какой опасности, при этом, подвергаются счета потенциальных жертв. Кроме того, с одной стороны, отмечается уменьшение количества хакерских атак, направленных на выискивание уязвимых мест в банковских системах безопасности, а, с другой, – рост числа случаев «обработки» клиентов. В такой ситуации потребность в защитном программном обеспечении, способном в масштабах всей организации отслеживать хакерские атаки, проводимые через различные каналы обслуживания, многократно возрастает.

Афера, направленная против банковских клиентов, может принимать множество форм. К сожалению, в настоящее время далеко не всегда банки способны идентифицировать опасность, угрожающую их вкладчикам.

Фактически финучреждениям все труднее отличать мошенников от собственных клиентов в сети. И, поскольку хакерские атаки, проводимые с использованием методов «социальной инженерии» (такие, как фишинг, например), становятся все популярнее, сложнее и продуманнее, сам по себе напрашивается вывод, что злоумышленники все чаще пытаются найти не брешь в системе безопасности банка, а уязвимые места в клиентской базе.

«Основополагающая идея социальной инженерии заключается в том, что можно повышать уровень безопасности информационных систем до любого мыслимого уровня, но, при этом, в них всегда остается слабое звено, так как любая информационная система строится для взаимодействия с человеком, – утверждает Тим Келлен, вице-президент компании VeriSign. – Если хакеры могут обманывать простаков так, что те дают им доступ к защищенным данным, никакая система защиты не поможет».

Подобное мнение и у Бернхардта Аламы, вице-президент американского регионального Bank of Hawaii ($10.8 млрд. активов): «Говорим мы о счетах корпоративных клиентов или физических лиц, проблема, прежде всего, заключается в человеческом факторе, здесь слабость любой системы безопасности».

Банкиры вовремя поняли необходимость изменения подхода к борьбе с противозаконными действиями. Традиционно такая борьба велась отдельно в рамках каждого канала, когда идентифицировались уязвимые места и разрабатывались индивидуальные средства противодействия при угрозе безопасности.

«Дело в том, что хакеры стали гораздо умнее, – отмечает С. Рамакришнан, исполнительный директор подразделения Reveleus and Mantas компании Oracle. – Сейчас они атакуют всю информационную структуру финучреждения при помощи совокупности массы методов». Действительно, сегодня противоправные действия совершаются, чаще всего, с использованием всех имеющихся каналов связи финучреждений с клиентами. Для наиболее эффективной борьбы с правонарушениями в информационной сфере необходимо понимание межканального характера преступных действий современных хакеров.

«Вплоть до 2004-2005 годов финансовые институты применяли модульный подход к борьбе с мошенниками, – подчеркивает Элисон Салливан, директор по управлению производством компании FICO. – Лишь в последние 4-5 лет они начали принимать некоторые концепции общеорганизационного противостояния незаконным действиям».

Общеорганизационный подход к обнаружению и идентификации преступной деятельности очень важен сегодня. Причем, главным доводом в его пользу является широкое распространение преступных методов «социальной инженерии». Разные их виды имеют определенные индивидуальные особенности, однако, подавляющее большинство преступных схем предназначены для того, чтобы клиент тем или иным способом передал третьему лицу свои средства идентификации личности (такие, как имя пользователя и пароль). Это может быть осуществлено в живом разговоре, при помощи электронной почты, мобильного телефона или иным способом. Как правило, банковские клиенты становятся жертвами мошенников именно на этом этапе, в процессе передачи кому-либо персональной информации.

По словам Бена Валлаха, вице-президента американского Regions Bank ($140 млрд. активов), периодическое внесение изменений в финансовые продукты и каналы обслуживания с целью ужесточения норм безопасности приводит к тому, что активность преступников становится волнообразной, циклического характера. По его мнению, сейчас как раз наступил пик применения межканальных мошеннических схем, преступники, как никогда прежде, стремятся использовать одновременно различные каналы обслуживания для совершения противоправных акций.

Современная

защитная система

Для выработки адекватного ответа возрастающей угрозе межканальной безопасности информационные специалисты Regions Bank недавно внедрили новую систему отслеживания противоправных актов, которая нацелена на обнаружение хакерских атак в сфере обслуживания дебетовых карточек и в интернет-банкинге. Она обрабатывает сведения, поступающие из различных каналов. В результате информационные специалисты банка обеспечены полноценным и широким видением состояния защиты информации в масштабах всей организации, что позволяет им использовать более эффективные меры безопасности.

«Весь процесс работы с угрозами, заключающийся в их отслеживании, идентификации и нейтрализации, основан на аналитических методах, создании нормативных актов и оценочных моделей, – поясняет вице-президент Regions Bank Бен Валлах. – К сожалению, методы банковских специалистов по безопасности в этом отношении не особенно изменились за последние годы и часто остаются все такими же фрагментарными, ограниченными рамками отдельных каналов обслуживания либо использования каких-либо финансовых продуктов».

Современные фишинговые атаки, фактически представляющие собой охоту за идентификационными данными пользователей, как правило, нацелены сразу на несколько каналов обслуживания клиентов. Если удастся обмануть пользователя, хакер может получить все необходимые материалы для входа в систему интернет-банкинга под чужим именем. «Подобные действия мошенников направлены на несколько каналов обслуживания сразу, поэтому, если на одном из них наблюдается преступная активность, то, скорее всего, подобное можно будет увидеть и на другом канале, – говорит Валлах, – поэтому наличие эффективной межканальной системы безопасности позволит оперативно реагировать на подобные вызовы».

Проблема, однако, заключается в разработке и внедрении защитной системы, которая может быть тесно интегрирована в различные каналы обслуживания. Кроме того, она должна обладать достаточной гибкостью, для того чтобы оперативно реагировать на изменения. Нужно быть уверенным в том, что система безопасности осуществляет корректный анализ данных, поступающих от источников, и что она будет эффективной при необходимости защиты любых участков и каналов информационной сети, а не только тех, которые подвергаются опасности в конкретный момент времени.

Процесс постановки цели и, в конечном счете, инвестирования средств в общеорганизационную систему безопасности начался в Regions Bank около двух лет тому назад, а функционировать она начала в июне 2009 года. Во ходе процесса экономический эффект от нововведения из-за кризиса оставался довольно скромным. Тем не менее, показательно, что несмотря на изменившиеся экономические условия финучреждению удалось доказать инвесторам необходимость внедрения новой системы безопасности.

Максимальная защита

Несмотря на способность современных систем безопасности давать общеорганизационное видение проблемы идентификации преступной активности, все же, не следует отказываться от применения «точечных» программных средств, дающих дополнительную защиту в рамках отдельных каналов обслуживания. Хакеры способны добывать логины и пароли пользователей систем электронного банкинга через различные каналы, однако использовать их с противоправными целями можно лишь через определенный канал.

Для Bank of Hawaii эта проблема весьма актуальна, ведь число хакерских атак на его клиентов постоянно растет. «В последнее время мы замечаем гораздо более энергичные и настойчивые усилия преступников, направленные на получение идентификационных данных клиентов, в первую очередь, – корпоративных, тогда как ранее основной мишенью для них были розничные клиенты», – отмечает Бернхардт Алама, вице-президент Bank of Hawaii.

В ответ на повысившуюся активность хакеров информационные специалисты финучреждения были вынуждены принять дополнительные меры безопасности, которые выразились в ужесточении процесса идентификации. Во-первых, был введен двойной контроль для корпоративных клиентов. Теперь для того, чтобы совершать финансовые трансакции, корпоративным клиентам требуются согласованные одновременные действия двух их сотрудников.

Кроме того, была внедрена система одноразовых паролей для предотвращения преступных действий, совершаемых при помощи «социальной инженерии». Эта система использует шифрование по методу RSA и предусматривает предоставление клиентам портативных устройств с цифровой клавиатурой, которая используется для введения пин-кода пользователем. Далее устройство генерирует одноразовый шестизначный пароль, однократно используемый клиентом при идентификации в системе интернет-банкинга Bank of Hawaii.

Многие из предпринятых в последнее время мер безопасности были разработаны с участием специалистов компании Online Banking Solutions. По словам Аламы, внедрение новой системы безопасности началось в конце 2008 года, а в полную силу она заработала в третьем квартале 2009-го.

Разработки от Online Banking Solutions, используемые в Bank of Hawaii, включают безопасный интернет-браузер, через который клиенты входят в систему онлайн-банкинга финансового института. Кроме того, возможна инсталляция на компьютере клиента виртуальной клавиатуры M-Secure Virtual Keyboard, обеспечивающей дополнительный уровень безопасности за счет ограничения возможностей доступа к счету, который возможен лишь с определенного компьютера или мобильного устройства.

В данном случае клиент использует для ввода пин-кода виртуальную клавиатуру на экране компьютера вместо физической. При этом, точно так же генерируется одноразовый пароль, автоматически отсылаемый в систему безопасности банка для идентификации пользователя. Этот процесс исключает физическое нажатие клавиш, за счет чего значительно снижается риск подбора кода шпионящими программами, которые могут перехватывать комбинации нажатых клавиш и передавать эту информацию на удаленный компьютер. К сожалению, дополнительные меры безопасности, хотя и помогают качественнее защищать банки и их клиентов от хакерских атак, снижают удобство пользования каналом интернет-банкинга. «Естественно, что пользование нашим электронным каналом обслуживания стало более сложным, особенно для клиентов из числа малого бизнеса, которые имеют небольшой штат, но вынуждены использовать двух сотрудников для входа в систему и совершения трансакций. Тем не менее, эти и подобные им меры значительно повысили уровень защищенности данных от противоправных посягательств», – отмечает вице-президент Bank of Hawaii.

Цена неудобств

Впрочем, клиенты понимают необходимость усложнения процедуры входа в систему. По словам Бернхардта Аламы, еще пару лет назад внедрение подобных мер безопасности было бы чрезвычайно затруднено из-за негативного отношения пользователей. Теперь же клиенты намного более склонны к сотрудничеству с банками в том, что касается защиты от преступников, даже если приходится жертвовать частью удобств.

Баланс между удобством использования и безопасностью был важнейшим критерием оценки при проведении мероприятий по повышению электронной безопасности клиентов Addison Avenue, американского кредитного союза, обслуживающего отдельные группы сотрудников технологических компаний, таких как Hewlett-Packard. С учетом того, что клиенты данного финучреждения рассредоточены по всему миру, главным каналом оказания услуг, бесспорно, служит Интернет. Фактически кредитный союз стремится к построению такого сервиса, когда клиент может выполнить через виртуальную сеть все те операции, что и в отделении.

Функциональность финансового онлайн-сервиса Addison Avenue делает возможным даже открытие счета клиентом через Интернет с использованием электронной подписи. «Мы можем открывать счета для клиентов, которых никогда не видели в лицо, – рассказывает Бланка Герреро, информационный директор кредитного союза. – Риск, конечно же, высокий, но мы, тем не менее, имеем систему безопасности, удостоверяющую, что клиент, который нуждается в займе или в открытии счета, действительно тот, за кого себя выдает».

В 2006 году финучреждение начало сотрудничать с технологической компанией VeriSign для внедрения в свою систему безопасности программных приложений от этого разработчика. Программа от VeriSign отслеживает интернет-трафик, проходящий через сайт Addison Avenue, и создает индивидуальные поведенческие модели клиентов, базирующиеся на таких параметрах как типы проводимых операций, время и место входа клиента в систему. Каждому клиенту характерны индивидуальные особенности в пользовании финансовыми услугами, поэтому, когда система отмечает отклонение от привычной схемы в его действиях, он должен удостоверить свою личность.

Кроме того, определенные, высокорисковые виды финансовых трансакций могут быть подвергнуты дополнительным идентификационным процедурам в соответствии с действующей политикой безопасности финучреждения. Практика Addison Avenue по противостоянию незаконным действиям усилена специальными мерами безопасности, служащими для идентификации пользователей. Как и в системе защиты Bank of Hawaii, здесь используются одноразовые пароли. При необходимости дополнительной идентификации клиент получает этот пароль в текстовом сообщении на мобильный телефон либо по электронной почте.

Используются также и генераторы паролей в виде портативных электронных устройств, предоставляемых пользователям. Владельцы BlackBerry и iPhone могут загружать на них специальные программные приложения, предназначенные для выполнения непосредственно этой функции.

Система безопасности, разработанная VeriSign, начала работать в кредитном союзе в конце 2006 года. С тех пор она уже значительно усовершенствована, расширена ее функциональность. Возможно, такой прогресс наилучшим образом символизирует постоянный процесс борьбы финучреждений с хакерскими атаками, ведь вчерашние практики защиты информации завтра могут стать лишь обузой, особенно если учесть быстрое развитие межканальных угроз безопасности.

Очевидно, что нет какого-либо единого, максимально эффективного «рецепта» защиты от преступных посягательств. Необходимо постоянно развивать и совершенствовать политику безопасности и работать над созданием следующего поколения систем защиты, чтобы иметь возможность отвечать на новые вызовы хакеров.

Андрей Мамонтов,
по материалам Bank System & Technology

 
© агенство "Стандарт"