1 ноября 2012 г.
Как известно, с 31 декабря 2012 года вступают в силу новые положения Закона «О национальной платежной системе», согласно которым банк будет обязан вернуть владельцу деньги, в случае, если тот не подтверждает конкретную транзакцию. Причем вернуть, не дожидаясь окончания расследования. Сегодня в России интернет-банкинг использует каждый десятый пользователь сети.
По оценкам экспертов, ежегодные потери от онлайн-преступлений в России составляют порядка 900 млн. руб. Популярность интернет-банкинга растет, а значит, будут расти и эти потери. В первое время после вступления в силу новых положений Закона «О национальной платежной системе» можно ожидать роста мошеннических атак на системы интернет-банкинга: найдутся люди, которые захотят воспользоваться гарантией возврата денег и удвоить свои счета, вступив в сговор с хакерами. По разным оценкам, рост атак может составить до 10%.
В 2011 году самым популярным способом хищений денег с банковских счетов было использование троянских программ. Эта тенденция сохранится и в будущем, так как количество пользователей онлайн-банкинга и в России, и во всем мире постоянно увеличивается. В 2012 году чаще стали применять узконаправленные атаки. Реквизиты кредитных карт и банковских счетов во все большем количестве предлагаются на виртуальных черных рынках. Наиболее эффективными сегодня атаками являются атаки типа Man in the Middle (имеет субкатегории Man in the Browser и Man in the Mobile). Они требуют применения новых средств защиты.
В поиске таких средств российские банки уже перешли на систему скретч-карт или систему паролей на бумажных носителях, но степень надежности этих систем сомнительна. Большого смысла в заранее заготовленном на любом носителе списке паролей, нет: носители неудобны, да и сам априори не защищен. 70% атак на систему дистанционного банковского обслуживания происходит при хранении ключей на незащищенных носителях.
Весьма популярной является генерация пароля через смс, но смысла в этом еще меньше, ибо канал связи не защищен, смс-сообщения легко перехватываются, да и вовсе могут быть отправлены с компьютера злоумышленника.
Посмотрим, как эта проблема решается в странах с развитой экономикой. В Европе банки в массовом порядке переходят на внедрение нового типа защиты - многофакторных систем строгой аутентификации, способных к тому же функционировать в агрессивной среде интернета даже при ненадежном соединении.
Система включает собственный аутентификационный сервер, интегрированный во фронт-офис банка и управляющий дополнительными системами аутентификации. Помимо введения пароля и логина, пользователь обязан ввести уникальный код, который генерируется лишь однажды для конкретной операции. Это генерация уникального одноразового пароля по схеме «запрос-ответ». Система запускается путем ввода специального кода на карте с дисплеем – как правило, в Европе сейчас используются сложные коды из 12-14 символов.
Распространение этой технологии в Европе сегодня достаточно широко. Она используется уже не только в банковской сфере, но и во всех остальных, где требуется надежное подтверждение той или иной операции. Впечатляющий пример использования в Европе технологии генерации одноразового пароля дает и страховой бизнес: чтобы сократить время на обработку требований, не заниматься длительным анализом и подтверждением легальности требований к страховой компании, решение о выплате в пользу страхователя принимается после прохождения им процедуры строгой аутентификации. Проблема возмещения мелких убытков и выплат по дорожно-транспортным происшествиям решается автоматически.
Внедрение новых систем защиты происходило в Европе постепенно. Оно не носило директивного характера и осуществлялось весьма деликатно, на уровне контроля над бизнес-процессами. Статистика красноречива: два года назад, в 2010-м, 80% банков считали процессы аутентификации наиболее рискованными, 65% банков не имели сколь-нибудь эффективной защиты этих процессов, полагаясь на имя пользователя и пароль, и почти 50% страдали от тех или иных атак. Постепенное внедрение многоуровневой аутентификации привело к тому, что в 2012 году эта статистика сократилась вдвое.
Вернемся к закону, защищающему права клиента банка. В свое время в Европе также был принят подобный закон. Закон назывался Директивой о платежных услугах. Подобно внедрению новых систем защиты от злоумышленников, Директива вступала в силу поэтапно: сначала несколько лет велось ее обсуждение, причем банки были активно в это обсуждение вовлечены, затем Директива адаптировалась к законодательству отдельных европейских стран, после чего была принята на уровне ЕС. Весь процесс занял в общей сложности около восьми лет. Половину от этого времени европейские банки занимались поиском и внедрением новых способов информзащиты.
В России все быстрее и суровее. Что делает информзащиту еще востребованнее. В особенности учитывая высокую квалификацию российских хакеров, общий ущерб от деятельности которых оценивается в 2,5 млрд. евро лишь за прошлый год.
Неманья Никитович, управляющий директор Optima Infosecurity