Расширенный поиск

Стало известно, что Центробанк РФ намерен уже к 2017 году ввести единые правила по безопасности российского интернет-банкинга. К такому решению координатор всей кредитно-денежной системы России пришел из-за различий уровня защиты данных в разных российских банках.

ЦБ намерен четко прописать правила по организации защиты информации клиентов и привести все банки к единому стандарту.

По мнению некоторых экспертов, это решение было вызвано не только масштабами электронного мошенничества, которое согласно официальной статистике достигает нескольких миллиардов рублей в год, но и количеством совершаемых правонарушений. К примеру, уголовные дела по хищению средств клиентов возбуждаются только по 1-5% от общего количества таких преступлений.

Известно, что на сегодняшний день ЦБ России совместно с ФСБ заняты анализом защищиты банковских систем коммерческих организаций. По завершению проверки появится отчет, с которым кабинет министров будет ознакомлен уже к концу этого месяца.

Digital Report попросил прокомментировать нынешнюю ситуацию с защитой интернет-банкинга директора департамента аудита защищенности Digital Security Алексея Тюрина.

— Для начала следует внести ряд пояснений касательно общей защиты банковской системы. Во-первых, желательно разделить ДБО системы на юридических и физических лиц.

В первом случае с юридическими лицами, чаще всего используется логин/пароль и электронная подпись. Во втором — чаще всего, логин/пароль и одноразовые пароли.

Во-вторых, можно выявить три основных типа атак на клиентов банка:

— когда атакующий получает доступ к компьютеру клиента и проводит операции, используя трояны;

— когда из-за уязвимостей в интернет-банкинге злоумышленник может украсть данные клиента, провести операции в банкинге или опять-таки заразить клиента трояном;

— когда злоумышленник получает удаленный доступ во внутреннюю сеть банка (сделать это не трудно), и, проводя атаки на внутренние банковские системы, может украсть деньги у клиента (или даже у самого банка).

Из-за того, что многие клиенты технически плохо образованны, они легко могут стать жертвой злоумышленников с их троянами.

Таким образом, мы имеем следующее. Формально банки технически достойно защищены: логин/пароль + второй фактор (одноразовый пароль или электронная подпись). Но реально ситуация значительно хуже. Различные уязвимости в большинстве систем интернет-банкинга позволяют атаковать их клиентов. Например, типовая простейшая уязвимость — когда можно читать платежные документы или письма других клиентов банка.

Все, что требуется, чаще всего — поменять идентификатор документа на принадлежащий другому клиенту.

Второй момент — некорректное внедрение второго фактора. Например, когда можно совсем не подтверждать платежки («пропускать» данный шаг), или когда можно автоматически подписать и отправить любую платежку незаметно для клиента банка. Т.е. он входит на сайт злоумышленника, а с этого сайта злоумышленник заставляет браузер клиента создать, подписать и отравить в банк платежку. И все это визуально незаметно для клиента. Примеров подобных атак — масса.

Что хуже всего, доказать клиенту, что деньги украли не по его вине, а из-за уязвимостей банка — очень трудно (чисто технически, не говоря уж о разбирательстве в суде).

Ситуация же с атаками на внутренние банковские системы — вообще катастрофическая. Потому как банки чаще всего считают свою внутреннюю сеть доверенной средой. А потому — защита внутри практически отсутствует. Даже захватив контроль над компьютером секретарши в банке, злоумышленник может атаковать центральную банковскую систему (АБС) и делать все, что ему угодно дальше. Например — любые операции со счетами напрямую.

Поэтому, по моему мнению, в первую очередь всем банкам было бы необходимо проверить безопасность своих продуктов (системах интернет-банкинга), а так же — в своей внутренней безопасности. Провести антифрод, мониторинг попыток атак на банк-клиент и взаимодействие с клиентами при подозрениях на атаки. Также не помешает ввести информирование клиентов об операциях и обучение клиентов о правильном и безопасным пользовании банкингом.

Об авторе

Digital Report

Digital Report рассказывает о цифровой реальности, стремительно меняющей облик стран Евразии: от электронных государственных услуг и международных информационных войн до законодательных нововведений и тенденций рынка информационных технологий.

Написать ответ

Send this to a friend
Перейти к верхней панели