Контакты
Подписка
МЕНЮ
Контакты
Подписка

Онлайн-банкинг: защиты много не бывает

Онлайн-банкинг: защиты много не бывает

В рубрику "Защита информации" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Онлайн-банкинг: защиты много не бывает

Одновременно с ростом онлайн-транзакций увеличиваются и ежегодные потери от онлайн-преступлений. В нашей стране они уже составляют более 900 млн руб., и эта цифра далеко не предел. Что же мы готовимся предпринять, чтобы защитить наших граждан от киберпреступников?
Неманья Никитович
управляющий директор
Optima Infosecurity
(Группа Optima)

Какое будущее ждет онлайн-банкинг в 2013 г.?

После 31 декабря 2012 г. вступают в силу новые положения Закона "О национальной платежной системе", согласно которым банк будет обязан вернуть владельцу деньги, в случае если тот не подтверждает конкретную транзакцию.

Вместе с популяризацией Интернета в России активно развивается онлайн-банкинг. Так, по некоторым оценкам, за минувший год доля пользователей, сделавших платеж через личный кабинет онлайн-банкинга, выросла на 10 процентных пунктов, достигнув 32%. Лидером среди инструментов оплаты пока остаются пластиковые карты, на втором месте - электронная валюта ("Яндекс-деньги", WebMoney и т.д.). Мобильным телефоном для оплаты покупок товаров и услуг в Интернете пользуется около 30% аудитории.

Новое законодательство лишит банки возможности отказывать в возврате средств лишь на том простейшем основании, что на компьютере была установлена ОС, которая на момент атаки не была обновлена.

Чтобы понять, как вслед за законодательной ситуацией изменятся требования к информационным системам банков, следует понять, с какими угрозами эти системы столкнутся. Основных угроз две, вместе они составляют одну категорию под названием Man-in-the-Middle. Подкатегории - Man-in-the-Browser и Man-in-the-Mobile. Это узконаправленные атаки, приходящие на смену банальному фишингу, задача которого - завладеть всем содержимым компьютера, понадеявшись на то, что пароли от систем онлайн-банкинга хранятся в файлах Word в папке "Мои документы" или в специально отведенном Excel-файле Password.xcl. Смешно, правда? Но именно поэтому хакеры хотят смеяться последними. И именно поэтому наступает время узконаправленных атак.

Очевидным последствием этих нововведений - и со стороны государства, и со стороны хакерского сообщества - станет попытка банков противостоять возможным угрозам. Банки займутся внедрением систем контроля платежей, дополнительных факторов и инструментов аутентификации. Возможно, большее распространение получат уже и сегодня распространенные SMS-ключи, хотя именно генерация пароля с помощью SMS в странах Запада считается одним из самых ненадежных способов защиты: SMS-пароль легко перехватывается, открывая простор для деятельности Man-in-the-Mobile, да и сама SMS может быть отправлена с компьютера злоумышленника.

Вполне вероятно, что в России станет развиваться рынок страхования банковских рисков, хотя сегодня, в отличие от Европы, в России, по мнению специалистов, риски операционной деятельности не страхуются, а значит банк не может переложить ответственность за возврат похищенных средств на плечи страховой компании. Рынок подобных страховых продуктов в России сегодня абсолютно не развит.

Очевидно, что как следствие действия нового закона и действий хакеров вырастет объем SMS-уведомлений о транзакциях, расходы на рассылку этих уведомлений, клиентскую поддержку и проведение антифродовых расследований. Но все это не решит главной задачи - укрепления систем ИБ, а необходимость в этом укреплении есть уже сейчас.

Каких решений ждут участники рынка НПС

В настоящий момент российские участники банковского рынка постепенно приходят к необходимости внедрения лучших мировых практик для защиты от узконаправленных атак. Самым эффективным из подобных решений признана система строгой мультифакторной аутентификации пользователя, применяемая сегодня в развитых странах Запада не только в банковской сфере, но и в сфере того же страхования - скажем, при оформлении мелких ДТП идентификация страхователя происходит мгновенно, и на сбор документов не требуется дополнительное время.

Рассмотрим, каким образом работает система в банковской сфере.

Любая аутентификация пользователя базируется на следующих параметрах:

  • нечто, известное пользователю (пароль, ПИН-код);
  • нечто, принадлежащее пользователю (кредитная карта, смарт-карта);
  • нечто, что является самим пользователем (например, биометрические характеристики, такие как отпечатки пальцев).
Часть пунктов 9-й статьи вступает в действие с 01.01.2013 г., именно они регламентируют новый формат взаимоотношений банка и клиента в части хищения средств со счетов. Пункт 12 этой статьи в самом жестком виде устанавливает презумпцию виновности банка в любых спорных ситуациях с клиентами - физическими лицами, использующими ДБО и банковские карты, и требует безоговорочного и фактически безусловного возмещения всех денежных средств, переведенных со счета клиента "без его согласия".

Мультифакторная аутентификация - это использование более чем одного элемента из одной и той же категории (к примеру, логина и пароля). Несмотря на мультифакторность, такую аутентификацию нельзя при этом считать строгой, потому что она использует параметры из одной и той же категории. Строже ее делает использование параметров из другой категории. К примеру, использование пароля и PIN-кода ("нечто, известное пользователю") вместе с токеном или карты с дисплеем, генерирующим одноразовый пароль ("нечто, принадлежащее пользователю"), вместе с отпечатками пальцев ("нечто, что является самим пользователем").

Генерация одноразового пароля (ОТР, OneTimePassword) по принципу "запрос - ответ" запускается путем ввода на карте с дисплеем уникального кода (в Европе сейчас считаются наиболее безопасными коды из 12-14 цифр).

Таковы в общей сложности основные параметры всех решений, только начинающих завоевывать российский рынок ИБ. Они должны окончательно вытеснить ненадежные системы скретч-карт, генерации пароля при помощи SMS и бумажные носители.

Понятно, что внедрение этих систем обойдется банкам в дополнительные средства. Основываясь на европейском опыте, можно сказать, что за пять лет после внедрения в Европе аналогичного российскому закона по защите клиента банка (Директива о платежных услугах, принятая на уровне ЕС в 2007 г.), расходы на ИБ выросли в европейских банках на 15%. В России процент средств, затрачиваемых на информбезопасность из IT-бюджета банков, примерно равен европейскому, но следует учитывать высокую квалификацию российских хакеров, так что рост расходов на И Б может составить от 14 до 18%.

195-процентная выгода

Многие банки, понимая, что их расходы на усиление мер информационной безопасности в сфере онлайн-банкинга неизменно возрастут, серьезно задумываются об экономическом эффекте от внедрения дополнительных средств защиты. Конечно, дополнительного дохода проекты в сфере ИБ банку принести не могут, но они способны предотвратить или минимизировать серьезные финансовые потери, к которым приводят действия мошенников. Сокращение таких убытков - своего рода статья доходов и для многих банков важно знать, как ее посчитать.

С нашей точки зрения, для этой цели лучше всего использовать показатель ROSI (Return on Investment for Security). Впервые этот термин был введен в употребление специалистами в области IT Security в начале 2002 г. Сегодня этот показатель довольно часто используется при обосновании расходов на ИБ. Рассмотрим, как он рассчитывается.

Формула расчета ROSI:

ROSI = (ALE * Е - АС)/АС * 100%,

Как видим, эффективность от внедрения дополнительных средств защиты составит 195%. И это не считая того, каких репутационных рисков сможет избежать банк в случае предотвращения громких мошеннических операций. Репутационные риски также можно рассчитать, но сейчас достаточно сказать, что размер рисков прямо пропорционален ценности репутации. Для любого дорожащего своей репутацией банка этого вполне достаточно.

где ALE - показатель ожидаемых потерь от хищений в сфере онлайн-банкинга (Annua-lised Loss Expectancy);
E - эффективность мультифакторной системы защиты, о которой писали выше;
АС - затраты на внедрение.

Таким образом, в числителе - показатель ожидаемых потерь, помноженный на эффективность системы ИБ, минус ежегодные регулярные затраты на безопасность (поддержка, обслуживание и пр.); а в знаменателе - стоимость системы ИБ.

Рассчитывая ROSI, следует исходить из того, что совершенной системы информационной безопасности не существует. Поэтому показатель Е не может равняться 100% и варьирует в пределах 85%. Показатель ожидаемых потерь (ALE) рассчитывается эмпирически. Статистика показывает, что в банковской сфере он достигает 6% от прибыли банка. В сфере онлайн-банкинга он может достигать 10%. Показатель ALE должен отражать максимальный уровень потерь от мошенничества.

Сегодня российские банки заняты поиском оптимальных средств защиты от новых угроз. Первыми успеха добьются те, кто знает, где искать.

Перейдем к непосредственному расчету ROSI на конкретном примере. Итак, мы рассматриваем крупный банк, чистая прибыль которого составляет, к примеру, 325 млрд руб. Максимальный показатель потерь ALE этого банка может составить 19 550 млн руб. Коэффициент эффективности мультифакторной системы защиты Е в нашем случае - 85%. Расходы на внедрение дополнительных средств защиты составят 5600 млн руб. В эту сумму входят расходы на выпуск карт для клиентов банка (порядка 9 млн штук), защита серверов, приобретение лицензий на ПО и расходы на само внедрение. Подставляем все данные в исходную формулу:

( (19 500 000 000*0,85 - 5 600 000 000)/5 600 000 000) * 100% = 195%

Опубликовано: Журнал "Information Security/ Информационная безопасность" #5, 2012
Посещений: 8282

Приобрести этот номер или подписаться
  Автор

Неманья Никитович

Неманья Никитович

управляющий директор
Optima Infosecurity
(Группа Optima)

Всего статей:  2

В рубрику "Защита информации" | К списку рубрик  |  К списку авторов  |  К списку публикаций