13.11.2010

В вопросах безопасности банки упустили два-три года

Экспертная колонка Дениса Калемберга, руководителя направления по работе с финансовыми организациями компании «Аладдин Р.Д.»
banki.ru

Экспертная колонка Дениса Калемберга, руководителя направления по работе с финансовыми организациями компании «Аладдин Р.Д.»
banki.ru

Денис Калемберг. Специалист в области информационной безопасности. В 2004 году окончил Тихоокеанский государственный университет (факультет информационных технологий) в Хабаровске. Работал в Дальневосточном банке Сбербанка РФ инженером, а затем старшим инженером отдела защиты информационных технологий. С августа 2007 года - руководитель направления по работе с финансовыми организациями компании «Аладдин Р.Д.».

Я достаточно консервативный человек, поэтому последние несколько лет пользуюсь одной и той же системой интернет-банкинга от ВТБ 24 (Телебанк). Правда, выбирал ее достаточно обстоятельно, читал отзывы, рейтинги и т. д. Можно сказать, что и клиентом ВТБ 24 я стал (и остаюсь) только из-за нее, так как обслуживанием в офисах не очень доволен. Зато возможность оплатить ЖКХ/налоги/связь, не вставая с кресла, перекрывает все неудобства. Что касается недостатков интерфейса, то в Телебанке нельзя самостоятельно присваивать своим счетам и картам определенные названия. Поэтому приходится каждый раз выискивать нужную карту по номеру и предполагаемому остатку на ней. Это, кстати, на заметку разработчикам системы.

Помимо Телебанка еще попробовал поработать с PSB-Retail. Впечатления остались, в общем-то, аналогичные — просто и функционально, но пока что я не «созрел» для того, чтобы сделать ее основной системой. Кроме того, для меня очень важен уровень безопасности интернет-банкинга. Хоть я и не храню на «мобильном» счете миллионы, очень не хотелось бы расставаться со своими «кровными» из-за несовершенства систем защиты.

С вопросами безопасности дистанционного банкинга в первый раз я столкнулся лет шесть назад, когда еще работал в отделе защиты информационных технологий Сбербанка. В то время мне часто приходилось выезжать к крупным клиентам, которые самостоятельно не могли установить набор средств защиты, предлагаемый к использованию совместно с системой «Клиент-Банк». Наверное, именно тогда я первый раз задумался о правильном балансе между уровнем безопасности и удобством использования таких сервисов. Самое интересное, что три года назад повышение защищенности систем дистанционного банковского обслуживания (ДБО) стало основным направлением моей работы в компании «Аладдин Р. Д.».

Задача на самом деле оказалась очень интересной: пришлось собрать очень много материалов по теме безопасности ДБО, вооружиться западной аналитикой, пообщаться с пострадавшими клиентами, с руководителями служб информационной безопасности банков, убеждать последних в том, что проблема хищений с использованием систем ДБО скоро станет глобальной. Хотя в 2007 году в это мало кто верил и уровень бизнес-сервисов дистанционного банкинга продолжал развиваться намного быстрее, чем уровень их защиты.

Сейчас, конечно, доказывать ничего не приходится. Но многие банки упустили два-три года, которые можно было потратить на проработку вопросов безопасности, выбор оптимального решения и его внедрение.

А в это время злоумышленники не сидели сложа руки (да и просто — не «сидели», скажем «спасибо» нашим правоохранительным органам). Уровень последних разработок для атак на системы ДБО потрясает воображение — продумано буквально все, вплоть до user-friendly — интерфейса систем атаки. Преступные группы насчитывают до нескольких десятков человек, каждый из которых выполняет свою специфическую задачу — от разработки вредоносного ПО и проведения атак на зараженные компьютеры до регистрации подставных фирм и обналичивания денег. Насколько мне известно, обороты одной крупной группировки могут достигать 20 млн долларов в месяц.

При этом основной вектор угроз направлен не на сами банки, которые обычно защищены очень неплохо, а на их клиентов, которые пользуются услугами ДБО. К сожалению, эти атаки в большинстве случаев успешны, так как уровень образованности среднестатистического пользователя в вопросах информационной безопасности оставляет желать лучшего, а чисто российская привычка использовать «бесплатные версии» операционных систем, антивирусного ПО и т. д. открывает прекрасные перспективы для заражения их компьютеров вредоносным ПО.

Хотя и не все банки здесь выглядят такими уж «белыми и пушистыми». По-моему, любая современная система должна предлагать на выбор несколько уровней защиты на любой вкус и кошелек. Например, одноразовые пароли. Очень удобно, достаточно дешево, а главное — максимально мобильно: вы можете получить доступ к своему счету с любого устройства, подключенного к Интернету. Сегодня большинство банков предлагают данную технологию в нескольких вариантах:

  • Скретч-карты. Самый дешевый вариант, но не очень удобно, так как приходится регулярно ездить в офис банка для получения новых карточек.
  • Брелок — генератор паролей. Технологично, удобно, хватает на несколько лет, но дороже, чем скретч-карта. Хотя на поездки в банк за карточками я, наверное, уже потратил больше, чем стоит такое устройство.
  • СМС-пароли. Очень распространенный вариант, но, по-моему, не очень удобный, так как телефон может быть «вне зоны доступа» или разряжен, а кроме того, он менее безопасен. Многие читатели портала Банки.ру помнят статьи о краже денег у клиентов Альфа-Банка. Тогда злоумышленники по поддельной доверенности изготовили себе дубликаты сим-карт и получили нужные пароли вместо законных владельцев.

Используя для подтверждения проводок по своему счету одноразовые пароли, следует помнить, что они защищают только от «любительских» атак. Как только на вашем счете появится существенная сумма (более 100 тыс. рублей), ею могут заинтересоваться профессионалы, и тогда лучше позаботиться о более серьезном уровне безопасности. Например, электронная цифровая подпись (ЭЦП). Изначально очень безопасная технология, но имеет существенный минус: если кто-либо, кроме вас, получил доступ к секретному ключу ЭЦП, то с большой вероятностью можно попрощаться со своими деньгами. А сделать это, если данный ключ хранится на флешке или жестком диске, сможет даже «продвинутый» школьник. Именно поэтому в последнее время банки стали предлагать своим клиентам приобрести специальные устройства для защиты секретных ключей ЭЦП, так называемые токены.

Токены — штука достаточно удобная, очень похожа на флешку, с которой ее часто путают. Однако она обеспечивает действительно очень высокий уровень безопасности. В случае использования токена с аппаратно реализованной криптографией никто не может скопировать ключ ЭЦП и с его помощью украсть деньги. Правда, остается еще один вариант атаки — если клиент подключил данное устройство к компьютеру и отошел даже на пару минут, злоумышленник может удаленно подключиться к рабочей станции и воспользоваться токеном для подписи «левых» платежек. Только такая атака очень сложна как с технической, так и с организационной точки зрения, поэтому вряд ли будет применяться против физических лиц хотя бы в ближайшие год-два. Как еще один рубеж защиты очень эффективным будет дополнительное подтверждение каждой платежки одноразовым паролем.

Напоследок хотелось бы рассказать еще об одном интересном проекте в сфере безопасности ДБО — страхование рисков клиентов от хищений их средств при помощи дистанционного банкинга. Я бы сравнил его со страхованием автомобиля от угона: если у вас нет сигнализации, страховка стоит дорого. Если есть — намного дешевле (в конечном итоге средство защиты окупается). Соответственно, если у вас украли деньги через систему интернет-банка, то страховая компания возмещает эти убытки. Насколько мне известно, такая практика достаточно широко применяется на Западе. Только вот интересно — приживется ли она и у нас...