журналы подразделения новости подписка контакты home

архив
2001 год
2002 год
2003 год
2004 год
2005 год
2006 год
2007 год
2008 год
2009 год
2010 год
рубрики
ИТОГИ И ТЕНДЕНЦИИ

ФИНАНСОВЫЙ КРИЗИС

БАНКОВСКИЕ СИСТЕМЫ

БАНКОВСКИЕ СТРАТЕГИИ

БАНКОВСКИЙ МЕНЕДЖМЕНТ

БАНКОВСКОЕ КРЕДИТОВАНИЕ

МОБИЛЬНЫЙ БАНКИНГ

ПЛАТЕЖНЫЕ КАРТОЧКИ

ПЛАТЕЖИ

БАНКОВСКАЯ БЕЗОПАСНОСТЬ

гостям
Агентство "Стандарт" предлагает вам подписаться на экномические журналы – лидеры в своей области.
























"Банковская практика за рубежом" – №3, 2010

БАНКОВСКАЯ БЕЗОПАСНОСТЬ

«Многоуровневая» безопасность для АТМ

Разнообразие рисков, которым подвергаются банкоматовские трансакции, требует столь же разноплановых мер противодействия

Преступные действия в киберпространстве по разрушению «физических и логических» активов финансовых институтов становятся еще изощреннее и интенсивнее. Среди главных целей киберпреступников продолжают оставаться системы и устройства банковского самообслуживания, в частности, банковские кассовые терминалы (ATM). Поэтому усиление безопасности банкоматовских трансакций сегодня выходит в разряд первоочередных задач среди ведущих компаний в области предоставления продуктов и услуг для финансового самообслуживания. Так, американская компания Diebold представила собственную модель «многоуровневой» безопасности (multi-layered security) банкоматовских трансакций.

Два основных пути

По мнению экспертов корпорации Diebold, современные финансовые преступники используют два основных пути для получения доступа к наличным и их хищения, когда речь идет о банкоматовской технике. Первый путь – это грубая атака на аппарат с применением физической силы, когда АТМ просто вскрывается с помощью какого-либо инструмента для изъятия из него имеющихся денег. Второй путь более изощренный и тонкий, когда правонарушитель скрытно проникает в банкоматовскую сеть финансового института с целью хищения конфиденциальных данных клиента для взлома его банковских счетов и перекачивания с них денег. Организованность мировой финансовой преступности достигла таких высот, что бороться с ней с каждым годом становится все труднее.

Поэтому финансовые институты должны предпринять серьезные шаги для противостояния киберпреступности, внедряя самые передовые и усовершенствованные модели безопасности. Компания Diebold разработала и внедрила новый подход к решению таких проблем, основанный на построении так называемой «многоуровневой безопасности» (multi-layered security approach). Подобная стратегия защиты банкоматовских трансакций предусматривает предоставление единой и полностью интегрированной системы, способной обеспечить сохранность клиентских активов.

По мнению аналитиков из Diebold, в последние годы самым мощным средством управления и снижения риска в арсенале финансовых институтов является видеомониторинг или видеонаблюдение. Применяя двустороннюю интерактивную аудиотехнологию в сочетании с технологией цифровой видеозаписи (digital video recording – DVR), система удаленного мониторинга от Diebold передает круглосуточно и в реальном масштабе времени звуковую информацию и видеоизображения на центральную мониторинговую станцию для верификации и принятия при необходимости соответствующих мер реагирования. Она гарантирует наблюдение за всем пространством возле банкомата, включая сам терминал, сигнализацию, сейфы, двери, органы управления доступом, все это отображается в реальном масштабе времени на центральном пульте оператора.

Еще одним уровнем безопасности АТМ следует назвать сверхпрочную конструкцию самих банкоматов. Ведущие производители банкоматов сертифицируют свою продукцию в соответствии со стандартами американской Лаборатории по технике безопасности и Европейского комитета по стандартизации (European Committee for Standardization – CEN), а также проверяют ее в процессе производства на прочность.

Особое внимание Diebold уделяет защите отдельно расположенных банкоматов, устанавливаемых вне помещений, например, на заправочных станциях, за городом и в прочих местах, которые не всегда оборудованы средствами мониторинга и контроля и поэтому более уязвимы относительно взлома. Разработанная компанией система крепления (фиксации) АТМ к месту инсталлляции обеспечивает силу крепежа (удерживания), примерно, в 32,3 т, что выше соответствующего стандарта американской Лаборатории по технике безопасности почти втрое. Кроме того, эти терминалы оснащены внутренним стальным стабилизатором, придающим им дополнительную прочность. Устройства выдачи (диспенсер) и хранения денег крепятся внутри корпусов этих банкоматов специальными болтами двойного действия, что сильно затрудняет взлом и проникновение внутрь агрегата.

В конце концов, даже если преступнику удалось взломать терминал и проникнуть внутрь, это вовсе не означает, что теперь он спокойно может похитить купюры. В этом случае в действие вступает система нанесения на банкноты чернильных пятен, мгновенно активизирующаяся при обнаружении сбоев в работе параметров системы, что делает попытку ограбления банкомата абсолютно безнадежной.

Еще один дополнительный уровень безопасности банкоматов – это миниатюрные видеокамеры, интегрированные в панель их приборов для оповещения о том, что все действия потенциальных взломщиков фиксируются на пленку. К тому же, в терминалы нового поколения встраивается ряд датчиков (сенсоров), которые наделяют банкомат интеллектуальными возможностями в части обнаружения и предупреждения попыток вскрытия терминала. Интерфейс сетевой сигнализации взаимодействует с локальными и удаленными системами оповещения и передает сигнал на центральную станцию мониторинга в момент, когда обнаружена угроза АТМ. При подобном уровне мониторинга можно не только сократить попытки взлома банкоматов, но и получить реальные доказательства и подтверждения действий преступников, которые могут быть использованы впоследствии против них в суде.

Щит против отмычки

На сегодняшний день преступники используют следующие основные способы хищения конфиденциальной информации с платежных карточек банковских клиентов:

1. Копирование данных с банковской карточки (card skimming – «скимминг») в целях совершения мошеннических действий. В данном случае преступник использует собственное устройство считывания информации (card reader – кардридер) с магнитной полосы на обратной стороне этих карточек.

2. Установка ловушек для карточек и фишинг (fishing – выуживание конфиденциальной информации). Инсталлляция специального устройства над или в прорезь кардридера АТМ, который «ловит» и удерживает карточки после того, как потребители вставляют их в считывающий аппарат.

3. «Серфинг, или взгляд через плечо» (shoulder surfing) – попытка подглядеть реквизиты чужой банковской карточки или PIN-кода при вводе пользователем их на клавиатуре банкомата с целью запоминания этих сведений. В дальнейшем, похитив карточку у этого пользователя, преступник может использовать ее для снятия денег.

4. Сканирование PIN-кода с помощью скрытой камеры или считывание его с устройства ввода пароля в местах расчета за покупки. Используя скопированные с банковской карточки данные и PIN-код, правонарушитель может создать поддельную карточку для снятия наличных с банкомата.

5. Нарушение работы устройства выдачи денег (диспенсера). Использование ловушек для купюр или ложных устройств выдачи банкнот для сбоя в нормальном функционированим операции АТМ по выдаче наличных.

6. Ложная отмена трансакции. Использование набора методик для создания ошибки в функционировании банкомата, которая приводит к отмене главным процессом трансакции из-за поступающей на него информации о невозможности выдать наличные.

По мнению экспертов Diebold, из всех вышеописанных видов правонарушений в настоящее время шире всего распространено копирование данных с банковской карточки. Масштабы «скимминга» постоянно растут, принося финансовым институтам и их клиентам ущерб на сотни миллионов долларов в год. Впрочем, для пресечения скимминга компания Diebold предлагает эффективные меры «агрессивной» защиты:

1. Использование джиттера (jitter) – устройства, контролирующего скорость движения карточки по тракту считывающего механизма и делающего это движение прерывистым. Дело в том, что копирование и хищение данных происходит в тот момент, когда карточка плавно перемещается по тракту считывателя. В случае, когда движение карточки прерывистое, считать данные с карточки очень сложно или вообще невозможно.

2. Внедрение технологии EMV (микропроцессорные карточки на базе чиповых технологий), представляющей собой стандарт безопасности, разработанный совместно компаниями Europay, MasterCard и VISA. За счет этого существенно усиливается защита банкоматов, обеспечивается функциональная совместимость между микропроцессорными карточками и сетями, где применяются смарт-карточки. Вводятся микропроцессорные схемы, каждая из которых имеет свой уникальный ключ доступа к информации о владельце карточки, в то время как у обычной карточки все эти данные содержатся на магнитной полосе и могут быть считаны преступником.

3. Применение передовых технологий выявления скимминга с многоуровневым подходом к защите от него. Решение Diebold по обнаружению скимминга предусматривает установку специального интегрированного датчика (сенсора), который в сочетании со светодиодными индикаторами и джиттерами обеспечивает надежную защиту против скимминга. Датчик выявляет попытку мошенника провести скимминг платежной карточки и отправляет сигнал тревоги об обнаружении устройства преступника в кардридере на системы сигнализации банковского отделения или же наблюдения за банкоматовской сетью.

4. Защита клавишной панели для ввода PIN-кода. Для этого служат специальный экран, щиток или козырек, которые используются для того, чтобы затруднить считывание данных мошенником, стоящим сзади пользователя, проводящего банкоматовскую трансакцию, и обычно маскирующимся под обычного банковского клиента, дожидающегося своей очереди к АТМ. Существенно усложнить «серфинг через плечо» может также установка панели для ввода PIN-кода в специальное углубление в корпусе банкомата.

Логическая безопасность

Наряду с оснащением своих банкоматов функциями многоуровневой физической безопасности (т.е. накладываемыми друг на друга несколькими уровнями защиты от физического взлома АТМ преступником и его проникновения внутрь корпуса банкомата с целью кражи денег), специалисты Diebold разработали комплекс мер и для так называемой «логической» безопасности (logical security), включающей доступ пользователей по идентификатору и паролю, а также проверку их подлинности и прав доступа. Эти меры безопасности гарантируют то, что только пользователи, прошедшие проверку, могут выполнять действия или иметь доступ к проведению трансакции через банкоматы. Таким образом, логическая безопасность предполагает, в частности, антивирусные программы, доступ по паролям и идентификационным кодам, системы защиты от несанкционированного доступа, системы идентификации и кодирования, а также выбор качественного программного обеспечения.

Ключевым элементом пакета безопасности от компании Diebold является программное обеспечение (ПО) Symantec, которое защищает банкомат благодаря контролю над электронными пунктами доступа, что делает их невидимыми для кибератак и угроз. Кроме того, это ПО ведет мониторинг, анализирует и идентифицирует любой внешний источник, пытающийся подключиться или подсоединиться к банкомату. При этом, блокируются любые внешние действия, которые программное обеспечение не в состоянии распознать. Наконец, им проводится сравнение поведения нового мошенника с атаками на банкомат, которые предпринимались ранее. Если ПО находит какие-либо аналогии, то сигнализирует о подозрительной деятельности вокруг АТМ.

Наряду с этим, пакет мер логической безопасности от Diebold включает также и такие процессы как централизованное управление и мониторинг. Для этого, в частности, в банкоматах используется программное обеспечение Symantec Management Server с широкими возможностями в части обнаружения, распределения, управления и контроля для серверных инфраструктур на разных платформах – как для физических, так и для виртуальных серверов. Данное ПО также представляет собой новый и простой в применении набор инструментов для интеллектуального мониторинга основных параметров производительности и быстрой диагностики проблем с использованием исторических данных. Кроме того, если банкомат выходит из строя или отключается от общей сети, то центральный сервер управления указывает на то, что он не может подключить АТМ к средствам защиты и поэтому отображает этот терминал как не работающий.

Как поясняют эксперты, современный банкомат сегодня должен быть оснащен функцией безопасности, способной блокировать любое несанкционированное подключение к нему с использованием устройства, которое могло бы вызвать сбои в работе АТМ и всей банкоматовской сети. Так, терминалы от Diebold оснащены функцией Endpoint Protection, разработанной компанией Symantec, которая включает, в частности, блокирующее программное обеспечение (USB blocking software), защищающее банкомат от любых попыток установить на банкомате другое несанкционированное программное обеспечение с подключением через разъем USB. Данное ПО также противодействует действиям по снятию какой бы то ни было информации с АТМ. Оно включает готовые активные технологии, которые автоматически анализируют поведение приложений и сетевых подключений для обнаружения и блокировки подозрительных действий.

Еще одной «линией обороны» для современных банкоматов выступает технология двухфакторной аутентификации, которая используется для усиления контроля доступа к банкоматам технического персонала во время проведения техобслуживания терминалов. Она базируется на применении защищенных USB-устройств, способных идентифицировать и авторизовать действия технического персонала. По данным специалистов компании Diebold, данное решение не только создает дополнительный уровень защиты банков, но и ведет подробный журнал совершенных операций и обслуживавших банкоматы лиц.

До внедрения нового решения ValiTech техническому персоналу Diebold приходилось использовать временный пароль, предоставляемый банком, всякий раз, когда заявка на техобслуживание требовала доступа специалиста к системному уровню банкомата. Эта практика распространялась на любого технического специалиста по обслуживанию, работающего с банкоматами, что требовало множества заявок и создания многочисленных временных паролей. При использовании новой технологии ValiTech каждый уполномоченный технический специалист получает доступ к аппаратному шифровальному устройству USB, или токену, с использованием цифрового сертификата от VeriSign (основное его предназначение – подтверждение подлинности отправителя информации и отсутствия искажений в ней).

Доступ дополнительно контролируется с помощью персонального идентификационного номера (PIN) или фразы-пароля, задаваемой только самим специалистом по обслуживанию и известной лишь ему. Такой пароль устанавливает соответствие данного лица цифровому сертификату и USB-устройству. С помощью технологии ValiTech банкомат может точно идентифицировать уполномоченного сотрудника, осуществляющего доступ к системе, и предоставить ему ограниченный доступ к системным функциям устройства в зависимости от его роли и статуса. Затем ValiTech делает уникальную запись в регистрационном журнале, где документируется каждый доступ, предоставленный такому техническому специалисту, и регистрирует все его действия во время техобслуживания.

Впрочем, обеспечение надежной безопасности банкомата – дело не только компании – поставщика терминалов, но и всех субъектов, участвующих в процессах банковского самообслуживания, а именно банковских клиентов, финансовых институтов, их сотрудников, а также провайдеров систем и технологий безопасности. Поэтому понятие «многоуровневая» безопасность банкоматовских трансакций должна обязательно включать активное содействие со стороны всех заинтересованных лиц.

Олег Зайцев,
по материалам компании Diebold

 
© агенство "Стандарт"