Интернет-банкинг

Средства криптозащиты и создание доверенной среды при ДБО

Информационная безопасность всегда требует комплексного подхода.

В настоящее время банки активно развивают дистанционное обслуживание, при этом они стремятся повышать защищенность систем ДБО. Поскольку методы, которые используются при атаках на системы дистанционного банковского обслуживания, различаются, то и способы защиты варьируются. Для обеспечения конфиденциальности, аутентификации, контроля доступа, целостности и идентификации работы в ДБО повсеместно используются средства криптографической защиты.

Сегодня каждый уважающий себя банк предоставляет услуги дистанционного обслуживания, поскольку это, с одной стороны, позволяет оптимизировать затраты финансово-кредитной организации, а с другой – является очень удобным способом общения клиентов с финансовым институтом. Однако возможность осуществлять операции с денежными средствами удаленным способом привлекает внимание злоумышленников. В такой ситуации, чтобы избежать репутационных и финансовых рисков, возникающих при внедрении и использовании технологий ДБО, банки вынуждены применять и предлагать клиентам современные средства безопасности.

Конечно, создать защиту от всех атак со стопроцентным уровнем надежности невозможно, хотя бы потому, что человеческий фактор никто не отменял. Но при этом разработчики средств защиты и систем ДБО усердно работают над тем, чтобы минимизировать риски работы в ДБО.

Среди способов защиты от мошенников есть и такие, которые банки достаточно успешно используют уже на протяжении нескольких лет. К ним, например, относятся средства криптозащиты и создание доверенной среды при взаимодействии кредитной организации с клиентами в системах ДБО. Средства криптографической защиты обеспечивают конфиденциальность информации, ее целостность, контроль доступа (информация должна быть открыта только для того, кому она предназначена), аутентификацию (возможность однозначно идентифицировать отправителя), неотрекаемость (невозможность отказаться от совершенного действия).

Для обеспечения аутентификации, целостности и неотрекаемости используется электронная подпись (ЭП), для обеспечения конфиденциальности и контроля доступа – шифрование.

Различные угрозы

Количество и разнообразие атак на системы ДБО с каждым годом увеличивается. В последнее время внимание специалистов по информационной безопасности сконцентрировано на проблеме несанкционированных платежей, которые создаются мошенниками посредством украденных ключей электронной подписи, удаленного управления компьютером с ключом ЭП либо подмены реквизитов платежного поручения на ПК клиента в момент подписи. 

Соответственно, основные усилия сосредоточены на защите клиентских ключей ЭП и процесса создания электронной подписи для платежного документа. При этом, к сожалению, оказываются в тени вопросы защиты сетевого периметра, ИТ-инфраструктуры, автоматизированных банковских систем, самого приложения «Клиент-банк».

Если, например, web-интерфейс клиент-банка написан без учета технологий безопасного программирования, без контроля его качества, то он может содержать уязвимости, которые привлекут внимание злоумышленников. Для атаки на клиент-банк могут быть использованы уязвимости операционной системы сервера, на котором несвоевременно устанавливаются обновления и патчи безопасности. Причем сервер может и не быть сервером клиент-банка – атака может быть начата через стоящее рядом приложение (почтовый сервер, информационный web-сервер и т.п.). 

Действительно, хищение ключей электронной подписи и закрытых ключей ЭП клиентов систем ДБО с их же компьютеров – одна из основных угроз дистанционного обслуживания. При этом адекватный метод противодействия различного рода атакам на системы ДБО придуман: перенос функции контроля основных параметров документа из операционной системы в замкнутую среду на внешнем устройстве. В данном случае функции защиты, целостности и неизменности документа реализуются не в операционной системе, а на отчуждаемом защищенном носителе. Такие устройства на российском рынке предлагают несколько компаний. 

Безопасность для юридических лиц

Безопасность системы ДБО зависит и от банка, и от его клиентов: у каждого своя зона ответственности, причем у кредитной организации она шире. В частности, в зоне ответственности финансового института находится комплексное обеспечение безопасности системы. В рамках реализации этой задачи банки делают все возможное для защиты ключа ЭП и процедуры формирования подписи для платежных документов на стороне клиента, отмечают банковские эксперты. Однако, как правило, клиент все равно должен обеспечивать элементарные нормы безопасности на своем ПК для работы с клиент-банком.

Ситуация складывается таким образом, что клиент оказывается менее защищен, нежели организация, поэтому действия мошенников сместились именно в эту зону. Если ключи в компьютере клиента и их просто украсть, то зачем взламывать сервер клиент-банка? В данном случае мошенники идут по пути наибольшей экономической целесообразности.

На данный момент практически все кредитные организации ввели использование ЭП для обеспечения защиты и юридической значимости платежных поручений, пересылаемых от юридического лица в банк с помощью системы ДБО. Эксперты говорят, что криптографические алгоритмы, которые применяются в ходе создания и проверки ЭП, доказали свою надежность. Злоумышленники сосредоточили свои усилия на определенных типах атак, среди которых атака на ключевой контейнер, атака удаленного управления, атака подмены документа. 

Злоумышленнику уже не нужен физический доступ к компьютеру атакуемого лица, следовательно, поймать преступников практически невозможно. Сложности возникают потому, что компьютер клиента банка в силу различных причин нельзя сделать доверенной средой. Это дорого, сложно, неудобно для пользователя. Проблему можно решить, создав доверенную среду отдельно от компьютера клиента. 

Безопасность для физических лиц

Клиент (речь идет о физическом лице) может ввести пароль в неправильном месте или оставить его в системе сохраненным, то есть создать своими действиями возможность для атак злоумышленников на его счета. Клиентские риски также связаны с недостаточно безопасными способами авторизации: когда у пользователя нет карточки паролей либо его доступ в систему обеспечивает лишь одно слово или один пароль, который человек может записать где-либо и который кто-то может увидеть. 

По результатам исследования, проведенного компанией Intercede в 2014 году, 51% потребителей делятся именем пользователя и паролями от мобильных приложений и сервисов со своими родственниками, друзьями и коллегами, чем подвергают опасности свои персональные данные.

Как показали результаты опроса, половина респондентов просто запоминают пароли. Из этого следует, что пользователи полагаются на легко запоминаемые комбинации и используют один и тот же пароль для входа в свои учетные записи в разных приложениях и сервисах. По словам главного исполнительного директора Intercede Ричарда Пэрриса, на сегодняшний день большинство людей используют значительное количество паролей в социальных сетях, сервисах электронной почты, интернет-банкингах и т.д. Поэтому неудивительно, что потребители пользуются методом, требующим наименьших усилий, – автоматическим входом в систему. Подобные легкомысленные действия могут привести к потере или хищению персональных данных пользователя. 

В ходе исследования выяснилось, что многие респонденты не выходят из своих учетных записей по окончании работы с приложениями, что также может нести угрозу безопасности персональной информации. Кроме того, большое количество пользователей компрометируют конфиденциальные данные своих банковских счетов и кредитных карт, выбирая опции «запомнить пароль» или «сохранить пароль» при использовании банковских или платежных сервисов. Например, автоматический вход в систему используют 16% пользователей интернет-банкингов. Безусловно, автоматический вход в систему очень удобен, однако в данном случае остается лазейка для действий злоумышленников.

Защита клиента совершенствуется

Статистика гласит, что 70% атак на клиентскую часть ДБО происходит при хранении ключей на незащищенных носителях. В связи с этим многие банки переходят или уже перешли на технологии двухфакторной аутентификации с хранением ключевой информации в неизвлекаемом виде на eToken или на смарт-карте.

К ответственному обращению со средствами клиентов подталкивает банкиров законодательство. Например, Федеральный закон № 161-ФЗ гласит: оператор по переводу денежных средств обязан возместить сумму операции, совершенной без согласия клиента, если не докажет, что клиент нарушил порядок использования электронного средства платежа и это повлекло совершение операции без согласия клиента – физического лица. 

В таких ситуациях, конечно, необходима строгая аутентификация. Причем средства аутентификации и защиты данных обязательно должны быть сертифицированы, что не только предоставляет гарантии надежности, но и соответствует требованиям российского законодательства. 

Специалисты говорят, что, несмотря на многие проблемы, защита клиентской стороны постепенно повышается. Это обеспечивается с помощью устройств защищенного хранения ключей ЭП, защищенной выработки электронной подписи, доверенных устройств отображения по подписи платежного поручения, доверенных каналов подтверждения платежа и посредством использования доверенной среды для работы с клиент-банком. По мере того как совершенствуется защита клиента, повышается вероятность того, что мошенники начнут искать уязвимые серверы и приложения и использовать эти тонкие места для атак на системы дистанционного банковского обслуживания, отмечают эксперты. 

Руководитель отдела информационной безопасности банка «ДельтаКредит» Алексей Лола уверен, что обеспечить безопасность работы клиента в системах ДБО нельзя исключительно техническими средствами – требуется комплексный подход. Использование современных средств криптографической защиты повышает уровень защищенности систем ДБО, но только при условии правильной эксплуатации со стороны клиента. Многие пользователи систем ДБО не являются экспертами в области информационных технологий и информационной безопасности, поэтому повышение осведомленности клиентов об угрозах дистанционного обслуживания – задача не менее важная.

В банке «ДельтаКредит» специфичная система ДБО – инфобанкинг. Эксперт рассказал, что на данном этапе не требуется применение специальных средств защиты. «Стандартные средства защиты обеспечивают баланс между удобством использования и защищенностью», – убежден эксперт. Стоит отметить, что с его мнением согласны многие банкиры. 

💖 Love is... когда обучение — не обязанность, а удовольствие!

🔥 Главбух на УСН
Освойте УСН с любовью и минимизируйте риски. Эксклюзивная программа с учётом налоговой реформы-2025! 💰 Рассрочка: 3 725 ₽ × 4 месяца

🔥 Бухгалтер с нуля: учет, налоги, 1С
Начните с нуля и обретите профессию с открытым сердцем. Всё, что нужно для успешного старта, за 4 месяца! 💰 Рассрочка: 2 725 ₽ × 4 месяца

🔥 Бухгалтер на ОСНО
Освойте отчетность на ОСНО с заботой о каждой детали. Избегайте ошибок и штрафов с помощью уникальной практики от экспертов! 💰 Рассрочка: 1 725 ₽ × 4 месяца

✨ Вкладывайте в знания с любовью — ваш успех начинается здесь!

Посмотреть все курсы

Начать дискуссию


Похожие материалы

Медицина

Минздрав отменил виагру. Как поднимать страну?

Об исчезновении известного препарата с российского рынка.

Зарплата

Сбер: в России выравнивается рост зарплат

В 2024 году доходы граждан страны в среднем увеличились на 17,7%.

Кабмин направил 2,5 млрд рублей на помощь аграриям Курской области

20 сельхозпроизводителей получат компенсацию ущерба от утраты животных и аквакультур.

Курсы повышения
квалификации

22
Официальное удостоверение с занесением в госреестр Рособрнадзора
ЭДО

Налоговое требование теперь считается полученным на 6-й день после отправки по ТКС

С 5 февраля 2025 года вступили в силу поправки в НК, которые освобождают налогоплательщиков от обязанности направлять квитанции о получении электронных документов от ИФНС.

Инвестиции

🔥Позвонил так позвонил. Итоги 13 февраля на Московской бирже

Основное геополитическое событие прошло вчера после закрытия основной торговой сессии — это долгожданный телефонный звонок Трампа нашему президенту.

Блогеру Блиновской сократили исковые требования на 300 млн рублей

Налоговые доначисления Елене Блиновской снизили на 300 млн. Теперь блогер должна вернуть в бюджет больше 580 млн рублей.

mos-mo
Перевод

перевод денег ИП себе на карту

Подскажите, пожалуйста, насколько корректно переводить деньги ИП себе на карту с кодом заработная плата?
В том банке, в котором у нас открыл зарплатный проект - нет...

Читать полностью

Эксперт:

Надежда Камышева

Надежда Камышева
Эксперт

Жалобы ни к чему не приведут. Банки сами устанавливают правила ПОД/ТФ и этот банк считает ИП подозрительным. Потому что деньги проходят чисто...

Читать полностью

Суд при­знал банк «Га­рант-Ин­вест» банк­ро­том

Арбитражный суд города Москвы признал 12 февраля 2025 года КБ «Гарант-Инвест» (АО) (г. Москва) несостоятельным (банкротом).

К 2033 году прогнозируется удвоение рынка биотехнологий

Об этом сообщил член комитета Совета Федерации по экономической политике Иван Евстифеев при обсуждении перспектив развития промышленных производств на основе биотехнологий.

Если не сообщить в военкомат о переезде, смогут оштрафовать на 20 тысяч рублей

В Госдуме хотят с 10 до 20 тысяч рублей увеличить размер штрафа за нарушения сфере воинского учета.

ФНС заподозрит неладное, если после договоров ГПХ самозанятых приняли в штат. 👤«Ночной бухгалтер» № 1870

Придется объяснить налоговикам, почему ваши сотрудники раньше оказывали вам услуги в качестве самозанятых контрагентов.

ФНС заподозрит неладное, если после договоров ГПХ самозанятых приняли в штат. 👤«Ночной бухгалтер» № 1870

Как в 2025 году признавать доходы по разным договорам, в том числе прошлых лет

С 2024 года повышена ставка по налогу на прибыль. Это вызвало вопросы, связанные с учетом доходов по договорам прошлых лет. Ответ подготовили эксперты бератора Практическая энциклопедия бухгалтера.

Как в 2025 году признавать доходы по разным договорам, в том числе прошлых лет

⚡️ Итоги дня: брокеры отменяют заявки на покупку акций, DeepSeek регистрирует бренд в РФ, в Крыму национализируют еще 700 объектов

Подготовили обзор главных событий дня — 13 февраля 2025 года. Все самое интересное, что писали и обсуждали в сети, в одной подборке.

Налоговые каникулы ИП в 2025 году

Регионам предоставлено право освободить от налогов предпринимателей на патенте и на «упрощенке», при соблюдении ряда условий. В 2024 году был принят закон о продлении налоговых каникул до конца 2026 года, так что у ИП есть время воспользоваться льготой. Разберем, какие условия нужно соблюсти.

Иллюстрация: Вера Ревина/Клерк.ру
НДФЛ

Нужно ли уведомлять налоговую, что доход для НДФЛ стал больше 5 млн. ФНС ответила

Физлицо может трудиться на нескольких работах, где-то по трудовому договору, а где-то договору ГПХ. И в совокупности доход за год может превысить 5 млн рублей.

📞 Работодатель не может обязать сотрудника использовать личный телефон в рабочих целях

Личный телефон можно использовать по работе, но только по согласованию с сотрудником. При этому ему нужно компенсировать расходы на связь.

УСН

Проценты по займу облагаются налогом по УСН, даже если заем – из целевых средств

В общем случае внереализационные доходы в виде процентов по договорам займа, кредита, банковского счета, банковского вклада, а также по ценным бумагам и другим долговым обязательствам учитывают при УСН.

Если компания решилась на переоценку ОС, это надо делать регулярно

Если организация вносит в учетную политику порядок последующей оценки в бухучете группы основных средств по переоцененной стоимости, то нужно проводить переоценку регулярно таким образом, чтобы балансовая стоимость объектов не отличалась существенно от их справедливой стоимости.

Обучение для бухгалтеров

Какие отчеты сдаем за 1 квартал 2025 года

Сделали для вас шпаргалку по отчетности в налоговую и СФР за 1 квартал 2025 года. Приложили новые формы деклараций с примерами заполнения, а также полезные материалы для подготовки.

Иллюстрация: Вера Ревина/Клерк.ру

👔 Госдума изменит правила работы совета директоров

При наступлении определенных обстоятельств члены совета директоров могут считаться выбывшими. Их голоса перестанут учитывать.

Интересные материалы

Спорные ситуации для ставок 5, 7, 10 и 20% по НДС

Поправки-2025 предоставили компаниям возможность выбора: использовать текущие стандартные ставки или применять пониженные. Однако при выборе пониженных существуют определенные особенности, которые уже вызвали у бухгалтеров ряд вопросов.

Спорные ситуации для ставок 5, 7, 10 и 20% по НДС
5