Безопасность интернет-банкинга

При осуществлении ДБО возникает множество рисков. Основная проблема состоит в обеспечении доверенности среды исполнения банковских приложений. При этом собственно банки, имея необходимые средства и специалистов (или возможность таких специалистов привлечь со стороны), обычно оказываются достаточно защищенными, тогда как на стороне клиента очень часто возникают проблемы. Многие банки придерживаются той точки зрения, что клиент должен защищаться самостоятельно, и минимизируют собственные риски составлением клиентского договора, по которому практически всю ответственность за возможные проблемы несет клиент. Такая стратегия не совсем корректна, так как для минимизации рисков необходимы усилия обеих сторон (в том числе с целью снижения репутационных рисков).

На мой взгляд, банк должен предоставить клиенту возможность применения наиболее современных и адекватных в отношении текущего уровня рисков средств защиты (и желательно обеспечить возможность выбора). Клиент должен с пониманием ситуации (а понимание возникает не само по себе, здесь тоже требуются усилия обеих сторон) сопоставить собственную оценку рисков с возможными затратами на их минимизацию и сделать осознанный выбор: осуществлять ли защиту собственных средств, и если да, то каким образом. Отсюда следует вторая задача банка: донести до клиента, который не обязан быть специалистом в области информационной безопасности, суть проблемы и объяснить разницу между предлагаемыми средствами защиты и особенностями их эксплуатации.

Что происходит со средой исполнения банковских программ на стороне клиента? Во-первых, зачастую клиенты используют одни и те же компьютеры и для повседневной деятельности, и для работы с ДБО. Эти же компьютеры используются и для доступа к самым разным ресурсам Интернета, поэтому риск заражения компьютера вредоносными программами, нацеленными на атаку систем дистанционного банковского обслуживания, очень велик. Но, даже формально понимая это, многие клиенты экономят на антивирусной защите и устанавливают программное обеспечение от совершенно неизвестных производителей либо бесплатные варианты с усеченной функциональностью. Здесь же возникает проблема, связанная с самими программами ДБО, их модулями, библиотеками, которые устанавливаются на компьютере пользователя. Вариант сотрудничества, когда от пользователя не требуется установка, значительно более надежен, поскольку если компьютер вдруг окажется зараженным, неизвестно, как это отразится на программе ДБО.

Во-вторых, тонкое место любой системы ДБО — вопрос аутентификации: клиент должен быть уверен, что он попал в банк, а банк соответственно должен быть уверен, что к нему обратился клиент. Все старые средства аутентификации типа логин-пароль на данный момент не актуальны. Успешная атака на такие варианты защиты проходит очень легко, и потеря средств практически гарантирована. Минимум, который банк должен предложить клиенту, — двухфакторная аутентификация. Прежде всего, это USB-токены (или смарт-карты), в которых хранение ключей и сертификатов реализовано на аппаратном уровне в неизвлекаемом виде.

Однако и наличие одних лишь средств двухфакторной аутентификации на данный момент уже не гарантирует от потерь. Крайне желательно иметь не просто двухфакторную, а многофакторную аутентификацию (т.е. дополнять аутентификацию по токену или смарт-карте еще одним фактором). Некоторые банки уже предлагают клиентам варианты с дополнительным введением одноразовых паролей. Эта система может быть реализована по-разному: как в виде OTP-токенов, так и с использованием SMS-канала. Хорошим вариантом дополнительного фактора аутентификации является биометрия. Она может использоваться как средство доступа к токену, если считыватель смарт-карты оснащен еще и биометрическим датчиком. Применение биометрии делает перехват пароля к USB-ключу гораздо более проблематичным.

Основная проблема состоит в том, что 100%-ной защиты от угроз не существует, и она не решается раз и навсегда. Верная стратегия состоит в том, чтобы увеличить стоимость атаки, таким образом понижая вероятность самой атаки и ее эффективность. Разумеется, это требует инвестиций и продуманного подхода к информационной безопасности со стороны банков, но в противном случае трудно ожидать стабильного дохода от такой приобретающей постепенно массовый характер услуги, как интернет-банкинг.