Ситуация на финансовом рынке значительно изменилась с принятием Федерального закона № 161 «О национальной платежной системе». Согласно этому закону обязанность по защите информации при переводе денежных средств возлагается на операторов. Именно оператор (читай: банк) обязан возместить клиенту сумму понесенного им убытка. Таково однозначное требование закона.
Изменения рыночной конъюнктуры -материя сложная. Далеко не всегда причинно-следственная связь между событиями и наступившими последствиями очевидна. В данном случае, пожалуй, сомнений нет. Именно выход в свет 161-ФЗ дал серьезный импульс развитию сектора информационной безопасности в сфере ИТ.
До той поры, пока факт несанкционированного доступа к чужому счету был, прежде всего, проблемой самого клиента, а также отчасти проблемой правоохранительных органов, можно было рассуждать о необходимости усиления борьбы, об осторожности и пр. Но сейчас закон сказал четко: нужно бороться, клиенту не мешает быть бдительным, но все-таки сначала верните ему украденные деньги, а потом уж разбирайтесь, кто виноват.
Тема информационной безопасности обсуждалась на недавно организованном НБЖ «круглом столе», участником которого мне довелось быть. Разговор получился горячим и чрезвычайно интересным. Поначалу речь шла в основном о страховании как о важнейшей мере по сохранению средств клиентов финансовых организаций. Но довольно скоро участники дискуссии поняли, что, в сущности, подобный разговор просто уводит их от основной проблемы. И дело даже не в том, что нужно еще разобраться, кто именно должен платить за страхование -банк или сам клиент (а это ведь мера не бесплатная, все же понимают). При всей важности страхования, что никто, собственно, и не оспаривает, попытка таким образом решить проблему безопасности будет фактически способствовать деятельности мошенников. А то, что публики подобного рода становится больше и работают эти господа изощреннее, ни для кого не секрет.
Так зачем же прятаться от проблемы, когда на самом деле ее надо решать практически? Какой смысл в страусиной политике? Ведь не обойдется. Если ничего не делать, если всякий раз изобретать новые паллиативные меры, то ситуация будет постоянно ухудшаться.
Необходимо смягчать последствия кибератак на счета клиентов. Это важное дело, и им давно занимаются специалисты. Но все-таки куда важнее сделать практические шаги, и таким образом, чтобы этих последствий было как можно меньше. А лучше всего и вовсе свести возможности киберпреступников на нет. Об этом и следует говорить в первую очередь.
Чем дальше идет развитие финансовой системы, тем менее контактным становится сотрудничество банка и клиента. Неважно, идет речь о юридическом лице или о физическом, никто не хочет сейчас бесконечно бегать в банк, носить документы, отдавать письменные распоряжения. И дело не в лени, а во времени, которое стоит все дороже. Следовательно, развитие систем дистанционного банковского обслуживания (ДБО) неизбежно. А потому данное направление является (и долго еще будет таковым) одним из самых перспективных в деятельности ИТ-компаний, специализирующихся в банковской сфере.
Предлагать системы ДБО, так сказать, в чистом виде, без систем информационной защиты - занятие бесперспективное. Конечно, кредитная организация может взять у одной компании систему ДБО, а потом просить другую приладить к ней защиту. И все-таки в ближайшем будущем серьезный банк захочет получить продукт из разряда all inclusive, то есть максимально защищенный. И будет прав в свете последних законов и постановлений правительства.
До недавнего времени развитие систем информационной безопасности шло понятным и, прямо скажем, нехитрым путем. Использовались так называемые пассивные системы. Речь идет об использовании технологии шифрования и электронной цифровой подписи (ЭЦП). Клиент получал логин, пароль и как дополнительные меры - электронный ключ или SMS-информирование. На определенном этапе это срабатывало, но сейчас все понимают, и это документально подтверждено экспертами: эти меры недостаточные. Уже и ложное SMS-информирование приняло промышленный масштаб. Теперь стало возможным посылать ложные SMS-сообщения на мобильные устройства клиента банка или сразу пересылать SMS-сообщения с одноразовым паролем на мошеннический ресурс.
Все это означает одно: прежний этап развития систем информационной безопасности закончился, усовершенствовать тут больше нечего, нужно выходить на принципиально новый уровень. Какой это уровень? Каким образом будет обеспечиваться безопасность завтра? На мой взгляд, есть несколько направлений, перспективных для разработчиков, и о каждом стоит рассказать подробно.
Антифрод
Это «умная» система, которая строится на следующем очевидном принципе: есть профиль платежей клиента, сформированный за время его обслуживания в данном банке, и есть ряд характерных признаков, привязанных к его профилю. Если признаки меняются, то это факт, на который служба безопасности банка обязана обратить внимание. Да, возможен платеж на необычный счет, и сумма вполне может быть нетипичной. Да, клиент вполне может отдавать распоряжение с какого-то незнакомого IP-адреса, но, в принципе, он имеет право использовать пиринговую сеть или прокси-серверы - анонимайзеры, скрывающие IP-адрес. То есть сами по себе эти признаки не обязательно свидетельствуют, что произошел несанкционированный доступ к счету клиента. Но проверить необходимо. Если служба безопасности, автоматически получив информацию от антифрод-системы, приостановит проведение транзакции до физического подтверждения клиентом своих действий, то какое-то время будет потеряно. Но вместе с тем будет потеряна возможность «увести» деньги со счета. Вряд ли клиент обидится на такую потерю.
Компания БИС разработала модуль «Противодействие мошенничеству», который является антифрод-системой защиты нового поколения. Мы уже применили эту систему на практике: в одном из банков она действует в боевом режиме, планируются и другие внедрения. Рынок давно признал этот способ обеспечения информационной безопасности.
Доверенная среда
Думается, что создание доверенной среды смело можно назвать последним словом в деле безопасности, конечно же, на сегодняшний день. Потому что дальше будут новые угрозы и новые способы их обезвредить. Но мы говорим о том, что есть сейчас. Суть этой системы можно описать достаточно просто: при необходимости провести операцию клиент, независимо от того, где он находится, хотя бы даже и у себя дома, подключает к используемому им компьютеру специальное устройство, которое, в свою очередь, не использует операционную систему этого компьютера. Это главный момент. В компьютере пользователя может находиться вредоносная программа, которая способна искажать данные. Речь идет о ситуации, когда клиент подписывает документ и на экране видит, что именно подписывает, а в реальности банк получает другую сумму и, может быть, другой счет транзакции. Так вот, наличие такой программы не будет иметь никакого значения, потому что в данном случае компьютер будет действовать просто как передатчик информации, к которой он не имеет ни малейшего отношения.
Эта технология уже сегодня позволяет клиенту спокойно подписывать банковские документы в доверенной среде и отправлять их в банк, не опасаясь искажения. При наличии доверенной среды искажение исключено. Алгоритм программы подписи документа устроен таким образом, что если кто-то пытается исправить подписанный клиентом документ по пути в банк, то в банке, там, где документ получают, это становится сразу видно. В доверенной среде нет операционной системы, нет доступа к Интернету, а есть только прошитый код, который выполняет простейшую функцию: подписать и отобразить на экране. Следовательно, в дальнейшем исказить подпись невозможно.
Нет инсайдерам
Думается, об этом тоже следует сказать, хотя противодействие инсайдерам напрямую не связано с деятельностью разработчиков. Просто слишком это серьезная проблема, чтобы ее обойти.
Специалисты говорят, что, когда речь идет о серьезных проникновениях, о крупных атаках на банковские счета, как правило, не обходится без инсайдерской поддержки или социальной инженерии. Да, скажем еще раз, проблема серьезная (у того, кто решил продать информацию на сторону, на лице ничего не написано), но она решаема и решена давно.
По собственному опыту знаю: для того чтобы извести инсайдеров в любой компании, достаточно несколько месяцев, максимум полгода. Дело в том, что любая попытка «слить» информацию оставляет следы. Все, что необходимо для эффективной борьбы с инсайдерами, - это 100% контроль над действиями за компьютером, а также аудио- и видеоконтроль. Не обязательно, чтобы это были тайные меры, можно и нужно объявить о них сотрудникам и документально их зафиксировать, и люди будут понимать, что речь идет не о недоверии, а о мерах безопасности, включая их собственную в случае оказания давления на них со стороны.
Держи вора всем миром
И еще одной темы хотелось бы коснуться. Борьба с мошенниками будет куда более действенной, если мы начнем ее вести все вместе. Только согласованные усилия разработчиков и банковского сообщества могут привести к ощутимому результату. Компания БИС уже инвестировала средства в создание программы, благодаря которой банки смогут бесплатно регистрировать свои инциденты, связанные с попытками хищения денег клиентов.
Нужно понимать, что несанкционированное проникновение к счетам в банке А и мошеннический перевод средств в банк В - это не исключительная проблема банка А, потому что завтра с той же бедой столкнется банк С, потом банк D и т.д. Не разумнее ли действовать сообща, чтобы остановить мошенника-дроппера, пришедшего снимать наличность? Ведь сообща гораздо проще фиксировать дропперов и куда эффективнее с ними бороться.
Хотелось бы, чтоб Национальный платежный совет и Ассоциация российских банков проявили внимание к нашему предложению.
Начать дискуссию