Защита ДБО

Каковы клиентские риски и находится ли под угрозой репутация банков?

За последнее время участились случаи хищения денежных средств со счетов клиентов дистанционного банковского обслуживания (ДБО). Причиной тому, на наш взгляд, является популяризация самого ДБО как жизненно важной банковской услуги. Но достаточно ли развиты технические и организационные средства защиты для услуг такого рода?

ДБО С ТОЧКИ ЗРЕНИЯ БАНКА И КЛИЕНТА

Банк, как продавец услуги, в первую очередь заинтересован в качестве и надежности продаваемого продукта, в удовлетворенности потребителей. Кроме того, контроль со стороны регулирующих органов является мощным стимулом для банков. Предоставляя услуги ДБО, ведущие финансовые организации основываются на требованиях регулирующих органов, международных стандартах и лучших мировых практиках. Многие организации экономят свой бюджет на обслуживании ИТ-инф-раструктур, пользуются услугами «приходящих администраторов», что на практике означает использование средств удаленного управления и т.п. При этом отсутствуют VPN-решения для шифрования каналов связи, регламентированные требования, документированные процессы, политики использования средств вычислительной техники, ключевые и парольные политики, аудиты событий и т.п. Нередко не соблюдаются требования банка, предъявляемые к ИБ: например, доступ к ДБО с многозадачного рабочего места, которое является домашним компьютером и рабочим местом для доступа к корпоративным информационным системам.

КАК ОБЕСПЕЧИТЬ БЕЗОПАСНОСТЬ?

В случае инцидента, связанного с ДБО на стороне клиента, клиент несет материальный ущерб, но и банк попадает под удар репутационных рисков, хотя и действует в данной ситуации легитимно. Снижается лояльность клиентов и, как следствие, происходит отток потребителей услуги.

Любая кредитная организация не станет публично говорить о случившихся инцидентах, образуя, таким образом, некий информационный вакуум. Поэтому так важны мероприятия по информированию клиентов, осознанию необходимости усиления своей защищенности. С технической точки зрения для обеспечения защищенного обмена информацией между банком и клиентом используют шифрование каналов связи, например, на основе HTTPS и SSL при использовании веб-интерфейсов для клиентов - физических лиц или полноценные VPN-решения для клиентов - юридических лиц. Также применяются усиленные способы аутентификации, вплоть до двухфа-кторной аутентификации с применением специализированных средств. Часто для подтверждения операций используют списки одноразовых паролей, sms-сообщения и проверки ввода контрольного значения «каптча». Для юридического подтверждения подлинности документа применяют средства электронной цифровой подписи на основе ГОСТ Р34.10-2001.

Но наряду с этими стандартными подходами к обеспечению безопасности платежной информации сотрудникам подразделений безопасности банков нужно обратить внимание на выбор и применение средств предотвращения мошеннических действий. Такие решения позволяют в режиме онлайн анализировать широкий спектр операций, осуществляемых в интерактивном режиме через различные каналы. С их помощью становится возможным учет и использование при анализе операций данных из автоматизированных банковских систем, процессинговых центров, CRM-систем, в которых обрабатываются сведения по каждой конкретной анализируемой операции. На время анализа в системе выполнение операций временно приостанавливается до момента формирования результата. В ходе анализа исполняются заданные правила, каждое из которых анализирует параметры, связанные с операцией или с окружением ее исполнения. Сами правила, по которым анализируется операция, могут настраиваться бизнес-пользователями без привлечения ИТ-специалистов. В результате возможно сообщение системы о проведении операции, информирование без блокирования, блокирование операции/счета, аннулирование операции и другие меры.

В процессе работы услуг ДБО важной составляющей является постоянное развитие как собственными силами, так и с помощью квалифицированных консультантов. В числе наших компетенций экспертный консалтинг по информационной безопасности, с помощью которого можно получить оценку текущего состояния защищенности ДБО, рекомендации по более эффективному развитию услуг и повышению их защищенности. Только совокупность технических и организационных мер, вовремя предпринятых банком, может минимизировать риски, связанные с защитой от атак злоумышленников.