ДБО: совершенствуем защиту и функционал
Экспертный комментарий Якова Ставринова, руководителя направления по работе с заказчиками кредитно-финансового сектора компании "Аладдин Р.Д."
Конец прошлого года, когда нестабильный курс рубля вызвал своего рода ажиотаж, ещё раз продемонстрировал банкам, насколько важны сейчас развитые и эффективные дистанционные каналы банковского обслуживания (ДБО). Этот опрос о том, каких решений для ДБО не хватает на отечественном рынке и насколько эффективны существующие системы, обеспечивающие его безопасность.
Яков Ставринов, руководитель направления по работе с заказчиками кредитно-финансового сектора компании "Аладдин Р.Д."
- Каковы основные критерии защищённости ДБО? Как выстроить баланс между стоимостью защиты и её устойчивостью?
Основными критериями защищённости систем ДБО являются строгая взаимная двухфакторная аутентификация клиента системы ДБО и самой системы, защищённость каналов связи и передачи данных, электронная подпись всех проводимых операций, обеспечивающая факт совершения операций или действий. Важным аспектом в этой связи является визуализация подписываемых данных в доверенной среде с использованием доверенного устройства, наличие которого и принадлежность реальному клиенту банк может проверить. В этом смысле самой надёжной является технология SWYX-аутентификации (Sign What You eXecute, "подписываешь то, что выполняешь"). Таким устройством может служить "Антифрод-терминал" от компании "Аладдин Р.Д.".
- Какие ИБ-риски специфичны для ДБО и какие факторы затрудняют его защиту?
Для ДБО характерны кибератаки и всё чаще встречающаяся подмена подписываемых данных – когда на экране клиент видит одни реквизиты, а при отправке платёжного поручения в банк удалённо подключившийся злоумышленник меняет реквизиты, и денежная сумма отправляется в "неизвестном направлении" другому контрагенту. В числе факторов, затрудняющих защиту ДБО, можно особо отметить "человеческий фактор" и несоблюдение элементарных правил и требований по защите информации со стороны самих клиентов банков. "Антифрод-терминал" реализует механизмы, позволяющие банку проводить расследования инцидентов и осуществлять разбор конфликтных ситуаций.
- Какова экономическая эффективность систем Fraud-мониторинга?
В настоящий момент банками используются различные системы фрод-мониторинга. Они, безусловно, весьма эффективны в тех случаях, когда удаётся приостановить подозрительные платежи. Но надо учитывать, что системы фрод-мониторинга – технология на стороне банка. Для обеспечения более высокого уровня защищённости нужна и клиентская сторона – решение, позволяющее подтвердить или отклонить подозрительную операцию самим пользователем online в доверенной среде, приостановленную ранее системой фрод-мониторинга.
- Какой функционал ДБО можно считать оптимальным как для клиентов, так и для банков? ДБО для организаций – какие решения необходимы?
Оптимальный набор функций сформирован и на сегодняшний день реализуется практически во всех системах ДБО. Важным конкурентным преимуществом является поддержка мобильных сервисов, которые позволяют совершать защищённые операции не только со стационарных компьютеров, но и с мобильных устройств на разных платформах. При этом оптимальным решением станет то, которое будет поддерживать весь набор функций, доступных и для обычных ПК. Тут прежде всего должна применяться электронная подпись. Решение JC-Mobile от компании "Аладдин Р.Д.", разработанное специально для мобильных устройств, позволяет организовать безопасный доступ к системам и сервисам с мобильных устройств и обеспечивает юридическую значимость подписываемых электронных документов и проводимых операций.