Дистанционное банковское обслуживание (ДБО) - неотъемлемая часть банковских услуг клиенту с использованием телефонных и компьютерных сетей, без его непосредственного визита в банк. Это инструмент снижения операционных расходов, повышения эффективности и конкурентоспособности бизнеса банков [5].
В исследовании агентства CNews Analytics, проведенном в 2017 году, отмечается стабильный рост уровня распространенности ДБО: такие системы используют 94% российских банков. Согласно данным Банка России доступом к своим банковским счетам пользуется несколько миллионов физических лиц.
Распространение ДБО особенно активно происходило в периоды кризисов, на ряду со стремлением руководителей банков сократить свои издержки путем внедрения сравнительно доступной формы обслуживания.
Вместе с тем недостаточное внимание, уделяемое проблемам информационной безопасности и защиты информации, привело к целому ряду уязвимостей, хорошо известных в сфере безопасности приложений, а также угрозам, связанным со спецификой банковской сферы, реализация которых может привести к существенным финансовым и репутационным потерям [1].
Большинство специалистов в области ИБ хорошо знают, какие риски несут в себе системы ДБО, и потому наблюдают за динамичным ростом этого сегмента рынка со вполне понятной настороженностью.
Согласно статистике, около 70% систем ДБО являются собственными разработками банков. В ходе анализа защищенности систем ДБО за 2017 год было выявлено, что во всех системах имеются свои слабые стороны.
В общей сложности было выявлено свыше 170 уязвимостей, большинство из которых определяются низкой степенью риска. Это говорит о том, что в сравнении с результатами предыдущих годов общая доля критически опасных уязвимостей в 2017 году заметно снизилась [5].
МВД России сообщает, что растут как количество, так и размеры хищений денежных средств индивидуальных и корпоративных вкладчиков, осуществляемых с использованием ДБО. При этом денег у юридических лиц крадётся в тысячи раз больше, чем у физических.
Вместе с этим, по сравнению с постоянно растущим объемом возможных угроз, уровень защищенности систем ДБО в целом значительно отстает. Так, по рисунку 1 можно заметить, что по сравнению с 2015-2016 гг., в 2017 году количество серьезных угроз дистанционного обслуживания банков увеличилось на 12% и достигло 90%, что говорит о необходимости принятия необходимых мер, для создания условий полной защищенности (см. рис. 1).
Рис. 1. Распределение по степени риска существующих угроз безопасности в системах ДБО (%)
Согласно оценке экспертов, более чем в 55% в системах ДБО встречаются угрозы, обеспечивающие несанкционированный доступ к данным пользователей (см. таблицу 1) [5].
Таблица 1.
Рейтинг самых распространенных уязвимостей систем ДБО (доля уязвимых систем) (%)
№ |
Уязвимости систем |
Доля (%) |
2017г. |
||
1 |
Слабая парольная политика |
82 |
2 |
Недостаточная защита от Brute Force |
82 |
3 |
Возможна идентификация приложений |
73 |
4 |
Межсайтовое выполнение сценариев |
62 |
5 |
Предсказуемый формат идентификаторов пользователей |
48 |
6 |
Незащищенная передача данных |
43 |
7 |
Стандартные сообщения об ошибках |
38 |
8 |
Возможно проведение атак на сессию |
38 |
9 |
Раскрытие информации об идентификаторах |
38 |
10 |
Отсутствует маскирование PAN |
23 |
Из таблицы видно, что число уязвимостей в связи со слабой парольной политикой при доступе к данным пользователей в 2017 году составляет 82%. Недостаточная защита от Brute Force (атаки методом "грубой силы") под которым понимаются атаки методом подбора пароля так же составили 82%. Доля таких видов атак, как сообщения об ошибках, атаки на сессию и раскрытие информации об идентификаторах, составляет по 38%. И завершающая позиция в десятке критичного набора некритичных уязвимостей систем представлена в 23% на отсутствие маскирования персональной сети передачи данных PAN (Personal Area Network).
Эксперты указывают на то, что безопасность эксплуатации банковских систем усложняется для клиентов их низкой ИБ-культурой.
Они уверяют, что в ближайшем будущем для обеспечения безопасности необходимо сделать акцент на средствах защиты клиентской среды, к которым можно отнести механизмы интеллектуального реагирования на факты мошенничества и инструменты усиленной аутентификации пользователей, подтверждающие легитимность операций системы. Подобные процедуры и политики позволят значительно снизить риски хищения денежных средств со счетов пользователей в тех системах, где корректно реализованы эти механизмы [6].
В сфере кредитно-финансовой деятельности специалисты делают акцент на низком контроле используемых бизнес-процессов и недостаточную эффективность взаимодействия банков между собой и с правоохранительными органами, а также уязвимости в базовом ПО систем ДБО [2].
Низкая защищенность систем банковского обслуживания, находящихся в эксплуатации, явно свидетельствует о необходимости внедрения процессов обеспечения безопасности на всех стадиях жизненного цикла приложений.
Анализ защищенности систем и контроль устранения выявленных погрешностей необходимо проводить и во время ее активного использования клиентами банка на регулярной основе. То есть нужно уделять внимание корректной реализации механизмов защиты [3].
Также следует внедрять процессы безопасной разработки самой системы, обеспечивать всестороннее тестирование безопасности при приемке работ [6].
Подводя итоги, хочется сказать о том, рынок ДБО действительно растет, однако вместе с ним растут и убытки пользователей этих сервисов. Банки инвестируют в проекты по безопасности ДБО десятки миллионов рублей, но проходит время, и мошенники вновь изобретают способ украсть деньги у их клиентов. Самое неприятное здесь в том, что выпускаемые средства защиты не являются предохранительной мерой: в основном они призваны лишь «латать дыры», обнаруженные вследствие уже реализованных атак [5].
Можно перечислить целый ряд стандартных мер и рекомендаций, необходимых для избегания проблем ИБ и повышения безопасности использования системы. Однако, подчеркну лишь значимость федерального закона РФ в области регулирования ДБО № 161-ФЗ “О национальной платежной системе”, принятый 27 июня 2011 года, поскольку его появление, как считают специалисты, свидетельствует о серьезных намерениях нашего государства в регулировании функционирования платежных систем. И мы полагаем и надеемся, что одним из результатов его формирования станет повышение общей защищенности систем ДБО, поскольку разработка и корректировка закона проходит в тесном контакте госрегуляторов, производителей средств ИБ и специалистов служб безопасности банков [2].
Список использованных источников:
Безопасность. // bankdbo.ru – [Электронный ресурс] – Режим доступа. – URL: http://www.bankdbo.ru/bezopasnost.
Информационная безопасность ДБО. // PCWeek – [Электронный ресурс] – Режим доступа. – URL: https://www.itweek.ru/security/article/detail.php?ID=148306.
Обзор основных уязвимостей онлайн-банков. // ИТ-сектор– [Электронный ресурс] – Режим доступа. – URL: https://it-sektor.ru/obzor-osnovnyx-uyazvimosteyi-onlayin-bankov.html.
Пискунов И. Особенности обеспечения информационной безопасности в банковской системе. – [Электронный ресурс] – Режим доступа. – URL: https://www.antimalware.ru/analytics/Technology_Analysis/Features_information_security_in_the_banking_system.
Системы дистанционного банковского обслуживания (рынок ДБО России). // Tadvicer.ru – [Электронный ресурс] – Режим доступа. – URL: http://www.tadviser.ru/index.php.
Уязвимости онлайн-банков 2016: лидируют проблемы авторизации. // habrahabr.ru – [Электронный ресурс] – Режим доступа. – URL: https://habrahabr.ru/company/pt/blog/307450/.