Кредитные организации, активно развивающее дистанционное обслуживание, одновременно стараются повысить защищенность систем ДБО. При этом методы, которые могут использоваться при атаках на системы ДБО, различаются и зависят от конкретной системы.
Соответственно, и способы защиты могут варьироваться.
Угрозы бывают разные
Наверное, не существует универсального средства или метода противодействия различным атакам на системы ДБО. Тем более что количество и разнообразие этих атак с каждым годом только увеличивается.
Однако есть способы защиты от мошенников, минимизирующие риски работы в ДБО, которыми успешно пользуются банки.
«В большинстве случаев при атаках на системы ДБО используются методы социальной инженерии, средством защиты от которых является повышение уровня осведомленности пользователей систем ДБО в вопросах информационной безопасности», — отмечает заместитель начальника управления по информационным рискам Райффайзенбанка Денис Камзеев. Эксперт Райффайзенбанка в качестве основных угроз как раз выделяет использование методов социальной инженерии с последующим заражением клиентских рабочих станций вредоносным программным обеспечением и компрометацией идентификационных данных клиента, а также фишинг и атаки типа «отказ в обслуживании».
Начальник управления внутренней защиты Росгосстрах Банка Николай Кузьмин среди основных угроз дистанционного обслуживания называет, в первую очередь, хищение ключей электронной подписи и закрытых ключей ЭП клиентов систем ДБО (причем хищение производится с компьютеров клиентов). При этом эксперт Росгосстрах Банка считает, что адекватный метод противодействия различного рода атакам на системы ДБО придуман — это перенос функции контроля основных параметров документа из операционной системы в замкнутую среду на внешнем устройстве. «В этом случае функции защиты, целостности и неизменности документа реализуются не в операционной системе, а на отчуждаемом защищенном носителе.
Как перестать зависеть от чужого мнения
Такие устройства на российском рынке уже предлагают несколько компаний», — поясняет специалист.
В последнее время внимание специалистов по информационной безопасности сконцентрировано на проблеме несанкционированных платежей, которые создаются мошенниками посредством украденных ключей электронной подписи, удаленного управления компьютером с ключом ЭП либо посредством подмены реквизитов платежного поручения на ПК клиента в момент подписи. Такую точку зрения высказывает заместитель руководителя службы информационной безопасности Промсвязьбанка Иван Ян-сон. «Соответственно, основные усилия сосредоточены на защите клиентских ключей ЭП и защите процесса создания электронной подписи для платежного документа.
При этом оказываются в тени вопросы защиты сетевого периметра, ИТ-инфраструктуры и автоматизированных банковских систем, вопросы безопасности самого приложения «клиент — банк»,- подчеркивает специалист Промсвязьбанка.
Если, например, web-интерфейс системы «клиент — банк» написан без учета технологий безопасного программирования, без контроля его качества, то он может содержать уязвимости, которые, соответственно, используются для атаки, объясняет Иван Янсон. «Для атаки на приложение «клиент — банк» могут быть использованы уязвимости операционной системы сервера, на котором несвоевременно устанавливаются обновления и патчи безопасности. Причем, строго говоря, сервер может и не быть сервером системы «клиент — банк» — атака может быть начата через рядом стоящее приложение (почтовый сервер, информационный web-сервер и т.п.)», -считает эксперт Промсвязьбанка.
Элементарные нормы безопасности
Безопасность системы ДБО зависит и от банка, и от клиента: у каждого своя зона ответственности, причем у кредитной организации она гораздо более широкая. В частности, в зоне ответственности банка находится комплексное обеспечение безопасности системы. «В рамках реализации этой задачи банки делают все возможное для того, чтобы защитить ключи электронной подписи и процедуру формирования подписи для платежных документов на стороне клиента, -говорит Иван Янсон. — Однако при этом, как правило, клиент все же должен обеспечивать элементарные нормы безопасности на своем рабочем месте для работы с приложением «клиент — банк».
Действительно, ситуация складывается таким образом, что клиент оказывается менее защищен, нежели организация, поэтому и действия мошенников сместились именно в эту зону. «Если ключи лежат на компьютере у клиента и их просто украсть, то зачем взламывать сервер «клиент — банк»? Это сложнее сделать и более затратно.
То есть мошенники пошли по пути наибольшей экономической целесообразности», — рассуждает Иван Янсон.
