Еще буквально пару десятков лет назад выход в интернет или звонок по мобильному телефону были целым событием, действия, которые сейчас вошли в нашу обыденную жизнь, казалось, только сошли со страниц фантастических романов. Развитие информационных технологий стремительно меняет привычки людей и в следствие влияет на развитие новых услуг под возникшие спросы.
Алексей Бабенко, старший аудитор компании «Информзащита»
Банковская сфера — хороший пример произошедших изменений. Пластиковые карты, мобильный и интернет банкинг, системы дистанционного обслуживания практически стандарт де-факто более-менее крупных банков.
Развитие новых технологий омрачается лишь тем, что параллельно всегда идет развитие новых видов мошенничества, угроз и рисков использования данных систем. Защитные меры же, как правило, применяются по факту обнаружения нарушений, а не с превентивными мерами.
По данным Global Security Report 2011 компании Trustwave вектора атаки с сетевого доступа и прикладного обеспечения сместились в сторону клиентских приложений, мобильных технологий, социальных сетей. Каждый из отмеченных векторов уже нашел свое отражение в банковской сфере.
Клиентские приложения
Основными представителями данного класса приложений являются системы дистанционного банковского обслуживания и интернет банки. В отличие от систем расположенных на стороне банка, клиентские приложения изначально располагаются в более уязвимой среде.
Как правило, в финансовых организациях присутствует ответственные за информационную безопасность, кроме этого, существуют ряд политик и правил обеспечения приемлемого уровня безопасности. Не в последнюю очередь определенный уровень информационной безопасности обеспечивается выполнением обязательных стандартов навязанных регуляторами.
В свою очередь ответственность за окружение клиента полностью лежит на пользователе банковских услуг и часто не отвечает даже минимальному уровню безопасности.
Таким образом, основным источником компрометации клиентских приложений является системное окружение. Большинство известных видов мошенничества связанных с системами ДБО и интернет банкинга реализуется не с использованием уязвимостей непосредственно приложений, а через проникновение в среду пользователя.
На сегодняшний день ряд банков вводит дополнительные защитные меры — подтверждение транзакций вторым фактором (SMS, одноразовый код), проведение программ по повышению компьютерной грамотности пользователя, предложениями по установке средств защиты (как бесплатных, так и со скидками от реальной стоимости). Стоит отметить, что пока значительных результатов в борьбе с мошенничеством в клиентских предложений добиться не удалось, при этом рынок не готов предложить «панацею» для решения сложившейся проблемы.
Ценник в Год СтальМонтажника и 0,6 чел./часов; новые угрозы: от металлургов до ULTRALAM, а также …
Мобильные технологии
Массовое появление «умных» мобильных устройств и планшетных компьютеров привело к появлению большого числа услуг в области мобильного управления счетами клиента, как через управление с помощью СМС сообщений, так и из отдельно разработанных мобильных приложений для популярных платформ.
Основной угрозой данных приложений является среда их выполнения и отсутствие наработанной практики в области защиты мобильных устройств и безопасного программирования мобильных приложений.
Обращаясь к Annual Security Report компании Cisco, можно четко проследить тенденцию к росту обнаруженных уязвимостей в программных продуктах крупнейших вендоров мобильных устройств. Данный рост говорит не об ухудшении практик программирования при создании системного обеспечения, а повышенному интересу исследователей, вызванных популярностью платформ.
Таким образом, применение мобильных технологий в банковской сфере ведет к дополнительным рискам компрометации и требует привлечения специалистов по информационной безопасности, начиная с этапа проектирования услуги.
Социальные сети
Массовое внедрение и популяризация всевозможных социальных сетей на первый взгляд не влечет прямых угроз для клиентов использующих услуги банков. Тем не менее, все популярнее становится создание банками своих страниц с информацией об новых видах услугах и новостях организации.
При этом опять возникают все те же угрозы, связанные с не доверенной средой размещения информации. Если собственные ресурсы организация всегда может контролировать, обеспечивая необходимый уровень безопасности, то внешние ресурсы являются для банка потенциально уязвимыми.
Активное привлечение клиентов на альтернативные страницы в социальных сетях несут в себе потенциальные угрозы сбора подробной информации, в том числе персональных данных о клиентах банка. Так же все чаще создаются фальшивые страницы организации, с целью перенаправления пользователей на сайт злоумышленника.
При этом дальнейшее развитие вектора атаки может быть разнообразным — дезинформация, получение персональных данных клиентов, получение данных платежных карт и данных аутентификации в банковских системах.
Данные виды атак являются мало затратными, при этом остаются достаточно действенными, поэтому все чаше совершаются злоумышленниками.
Заключение
Новые технологии всегда влекут за собой спрос на новые виды услуг, при этом обеспечение безопасности является не параллельным процессом, а зачастую производится только после совершения инцидента. Данная ситуация не только негативно влияет на репутацию банка, но и в корне может подорвать доверие клиентов к новым предложениям.
Проработка вопросов обеспечения информационно безопасности с самых первых стадий развития новых услуг позволит организации не только снизить вероятность возникновения, но и в случае инцидентов оперативно устранить последствия и внести необходимые корректировки в систему защиты, обеспечив минимальное негативное влияние на клиентов.
