Клиент будущего и его банк. Безопасность – угрозы и средства защиты
Статья Николая Афанасьева, менеджера по развитию продукта компании "Аладдин Р.Д."
Согласно проведённым исследованиям, посещение офиса банка одним клиентом обходится банку в среднем в сумму около 900 рублей в Москве и около 700 рублей в регионах. Понимая это, банки стараются минимизировать свои затраты, предлагая клиентам всё больший спектр услуг удалённо с целью сокращения количества посещений офисов и центров обслуживания. Примечательно, что некоторые относительно новые банки изначально сделали основную ставку только на удалённое обслуживание, что позволило обеспечить динамичный рост и хорошие финансовые показатели.
Закон 63-Ф3 "Об электронной подписи" дал зелёный свет для ещё более динамичного развития систем дистанционного банковского обслуживания и интернет-банкинга в частности, так как расширил и урегулировал возможности применения электронной подписи для придания юридической значимости электронным документам.
Таким образом, клиент будущего для банка - это пользователь, который получает полный спектр услуг в системе электронного банкинга (платежи, кредиты, депозиты и тд) удалённо без необходимости обращения в офисы и центры обслуживания банка.
Банки стараются сделать свои сервисы максимально удобными для удалённых клиентов. Вместе с тем такое удобство имеет и "оборотную сторону медали" - повышаются риски безопасности Пользователи систем электронного банкинга стали заманчивой мишенью для киберпреступников, которые постоянно находят новые уязвимые места в системах безопасности электронных сервисов и проводят успешные атаки, связанные с кражей денежных средств. Такие атаки, как правило, реализуются с помощью специализированного "трояна", которым заражается компьютер жертвы и/или его мобильное устройство. При работе с системой электронного банкинга при определённых условиях такой троян способен формировать поддельные транзакции от лица легального клиента и "уводить" денежные средства на счета мошенников.
Почему это возможно? Дело в том, что антивирусное ПО не может дать гарантий отсутствия вредоносного ПО, а используемый ПК или мобильное устройство могут иметь закладки. Поэтому практически все пользователи Интернета, как правило, работают в недоверенной среде.
В такой ситуации возникает закономерный вопрос - что делать? Если среда, в которой работает пользователь, - недоверенная, каким образом обеспечить доверие к выполняемым транзакциям?
Ответ прост - нужно создать доверенную среду вне ПК или мобильного устройства пользователя.
Для реализации доверенной среды на рынке уже появились устройства типа TrustScreen, которые работают в связке с ПК и позволяют реализовывать безопасную авторизацию и подтверждение выполняемых транзакций. Такие устройства позволяют отображать на своём экране ключевые данные совершаемых транзакций и принимать подтверждения пользователя на выполнение этих транзакций.
Ввиду того, что системы интернет-банкинга всё больше и больше будут расширять спектр предоставляемых услуг (в том числе предоставлять возможность удалённого подписания кредитных и других договоров), а кибермошенники будут находить всё более изощрённые способы увода денежных средств в недоверенной среде, использование устройств типа TrustScreen будет постепенно становиться необходимым условием для полноценной работы с системами интернет-банкинга как в корпоративном сегменте, так и при работе физических лиц.
Наиболее безопасным решением типа TrustScreen, работающим с использованием смарт-карт, на сегодняшний день является решение "Антифрод-терминал", в котором реализована инновационная технология SWYX для аутентификации терминала и выполняемых транзакций на сервере (SWYX - Sign What You eXecuted).
Недавно "Антифрод-терминал" был успешно интегрирован с бизнес-приложением для создания единого пространства обслуживания корпоративных клиентов банка InterBank Corporate, входящим в состав высокотехнологичной платформы для построения фронт-офиса и реализации полноценного ДБО InterBank RS от компании R-Style Softlab. В данный момент воспользоваться решением уже могут корпоративные клиенты Пробизнесбанка. Также завершён проект по интеграции "Аптифрод-терминала" с системой обслуживания корпоративных клиентов TEJIEBAHK\Enterprise, разработанной компанией "Степ Ап". Надеемся, что в скором времени число таких проектов увеличится, благодаря чему банковские организации смогут не только защитить транзакции своих клиентов от кибератак, но и обеспечить доказательную базу при расследовании инцидентов, а конечные пользователи получат безопасный и простой в использовании сервис.