Эксперт по ИТ-безопасности: системы интернет-банкинга нередко пытаются взламывать

С какими проблемами IT-безопасности банки сталкиваются чаще всего?

Чаще всего банки сталкиваются со случаями взлома систем "Клиент-Банк" и мошенничества при использовании клиентами платежных карт. Менее распространены проблемы утечек информации и попыток противоправного доступа к платежным системам.

О внешних атаках на систему информбезопасности банков говорят достаточно мало. Почему?

Дело в том, что инцидент такого рода является показателем ненадежности системы информационной безопасности банка либо в комплексе, либо отдельных ее элементов. Разумеется, банки не будут выносить сор из избы, ведь это антиреклама для них.

Бывают ли ситуации, когда мошенниками выступают банковские сотрудники?

Такие ситуации есть. Как правило, наиболее распространены случаи утечки служебной и нормативной документации. Например, сотрудники переносят наработанные материалы с одного места работы на другое или "делятся" таковыми с коллегами из других банков и иного рода "желающими". Случаи получения злоумышленниками доступа непосредственно к системам операционного дня банков мне неизвестны. И, скорее всего, в настоящее время их и нет вовсе, поскольку реализация атаки такого рода чрезвычайно затруднительна, и требует затрат, как правило, сравнимых с ожидаемой выгодой.

А какие случаи мошенничества со стороны клиентов наиболее распространены?

Фальсификация злоупотреблений в тех сегментах, которые не входят напрямую в сферу ответственности банка. Выглядит это, например, так. Клиент заявляет о краже средств с его платежной карты или с расчетного счета, обслуживаемого в системе дистанционного управления. В Украине не предусмотрена безусловная компенсация украденных средств банком. Поэтому далее следует предложение "деньги в обмен на отсутствие скандала" в различных вариантах. Как правило, продолжение этой истории происходит уже в стенах органа дознания. Инциденты подобного типа пока встречаются крайне редко. Но, если, по примеру других государств у нас будет принято официальное решение о безусловной компенсации банками клиентам их потерь от такого рода преступлений — число таких инцидентов, разумеется, резко увеличится.

В каких случаях сами клиенты могут повлиять на безопасность своих операций?

В первую очередь, это операции, связанные с использованием платежных карт. Здесь немалая доля ответственности лежит и на держателе карты — клиенте. Да, банк обязан обеспечить безопасность канала передачи данных между банкоматом и процессинговым центром, обязан обеспечить невозможность получения административного доступа к устройству злоумышленником. В какой-то мере он может сделать невозможной установку злоумышленником "скиммеров" и аналогичных устройств. Все прочее — это сфера ответственности клиента. Именно клиент должен осмотреть банкомат на предмет наличия "скиммера", именно клиент должен не пойти на поводу у мошенника, пытающегося заполучить его карту или данные с нее.

Эффективны ли действующие в Украине стандарты безопасности для банков?

В Украине действуют отраслевые стандарты Национального банка. Кроме того, вопросы банковской безопасности частично затрагивает Закон Украины "О защите персональных данных" и связанные с ним документы. К сожалению, стандарты существуют, но отсутствуют документы и нормативные акты "нижнего уровня", детализирующие порядок исполнения положений законов и стандартов. Многие проекты, которые сейчас обсуждаются на государственном уровне, выглядят весьма непрофессионально. Например, предложение проверять состояние информационной безопасности клиентов перед подключением их к системам дистанционного обслуживания. Или ограничение доступ клиентов к этим системам по MAC-адресам их компьютеров. И то, и другое, с точки зрения специалистов по информационной безопасности, просто нонсенс.

Насколько отличаются системы безопасности в маленьких и крупных банках? В банках с украинскими, российскими и западными "корнями"? В корпоративных и розничных банках?

Силы и средства, используемые при решении задач информационной безопасности, стоят денег, и денег очень немаленьких. В особенности дороги системы контроля движения информационных потоков и выявления уязвимостей. Не говоря уже о средствах, необходимых для обеспечения функционирования системы информационной безопасности в целом. Ситуация усугубляется, как правило, тем обстоятельством, что в "малых" банках чрезвычайно сложно обеспечить грамотное разграничение полномочий, а в "больших" — эффективный процесс контроля. В "западных" банках, как правило, система управления информационной безопасностью уже отлажена на протяжении ряда лет. Примерно та же ситуация в "российских" банках, и их украинские дочки просто наследуют корпоративный стандарт.

Какие продвинутые западные технологии информационной безопасности все еще не нашли применения в Украине?

С моей точки зрения, есть одна, которой остро не хватает в Украине. Это построение систем дистанционного обслуживания на базе специализированного терминала или, как минимум, загрузочного устройства, защищенного от записи. Такой "терминал" представляет собой небольшой планшет или нетбук. Он предназначен только для выполнения финансовых операций с использованием системы дистанционного обслуживания конкретного банка. Этот терминал не позволяет просматривать ресурсы сети Интернет, работать с электронной почтой, в него нельзя перезаписать операционную систему и прикладное программное обеспечение. Все это закрывает максимум каналов, по которым злоумышленник может получить доступ к закрытой информации. С точки зрения бухгалтеров, которые работают со связкой программ "1С"—"Клиент-Банк", новации довольно болезненные. Однако когда вопрос IТ-безопасности становится особенно актуальным, путь внедрения значительно сокращается.

В целом за последнее время были сдвиги в обеспечении безопасности дистанционных операций?

В настоящий момент системы дистанционного обслуживания развиваются в двух основных и взаимодействующих направлениях. С одной стороны, постоянно расширяются функциональные возможности этих систем, что хорошо с точки зрения бизнеса: клиент получает новые бизнес-продукты и услуги, и, соответственно, растет прибыль банка. Но с другой стороны, расширение функционала приводит к необходимости усиления защиты — а это ухудшает эргономику системы, поскольку наличие любой защиты усложняет операции с системой в целом. В связи с необходимостью усиления защиты все шире внедряются многофакторные системы аутентификации, происходит постепенный переход на исключительное использование аппаратных криптоконтейнеров, внедряются системы обратной связи.

И насколько это помогает защитить клиентов?

Дело в том, что основным недостатком систем дистанционного обслуживания, с моей точки зрения, была и есть их низкая защищенность, во многом определяемая самими пользователями. По моим наблюдениям, с конца 2006-го системы удаленного доступа типа "Клиент-Банк" (интернет-банкинг) подвергаются атакам злоумышленников так же часто, как и системы, использующие платежные карты.