Мошенники все активнее используют онлайн-банкинг для кражи денег

Теперь, будучи обязанными компенсировать средства, банки материально заинтересованы в использовании надежных и безопасных систем онлайн-банкинга

В России сейчас отсутствует открытая статистка по инцидентам информационной безопасности (ИБ) в банковском секторе. Статистика Банка России пока мало что дает, поскольку собирается лишь с 2012 г. К тому же не совсем ясны правила классификации инцидентов, и большинство банков подают в ЦБ пустые отчеты. А между тем, по мнению экспертов, количество инцидентов ИБ в российском банковском секторе увеличивается от года к году, и большинство из них связано с онлайн-банкингом.

В отличие от традиционных банковских услуг, которые предоставляются в офисе банка, защищенном от злоумышленников как толстыми стенами, так и надежными информационными системами, онлайн-банкинг предоставляется на «территории клиента» - персональном компьютере или смартфоне. Вирусы и троянские программы, в изобилии обитающие на устройствах пользователей, зачастую и становятся источником большинства угроз. Другим фактором, снижающим уровень безопасности, является канал передачи: информация, передаваемая по беспроводным сетям, может быть перехвачена, а вместе с ней могут быть раскрыты логины и пароли.

Безусловно, банки принимают меры, направленные на повышение безопасности своих онлайн-сервисов. Хорошим тоном стало внедрение двухфакторной аутентификации, при которой пользователь кроме стандартных логина и пароля предоставляет аутентификационные данные другого типа: цифровой сертификат, одноразовый пароль, взятый со скретч-карты или полученный по sms. Однако даже одноразовые sms-пароли - не панацея: злоумышленники с успехом противопоставляют этому социальную инженерию и фишинговые страницы, выдающие себя за реальные страницы интернет-банков.

Именно одноразовые sms-пароли стали причиной недавнего инцидента с сервисом онлайн-банкинга крупного российского банка. Злоумышленники воспользовались предоставляемой мобильными операторами услугой «переадресация sms», настроить которую можно в личном кабинете клиента на сайте оператора. Получить доступ к таким личным кабинетам труда не составило - их степень защиты существенно ниже, чем у онлайн-банкинга. Остальное было делом техники: перенаправляя sms-сообщения клиентов на свои номера, злоумышленники без труда получали доступ к их учетным записям в интернет-банке и опустошали счета, переводя средства на счета подставных лиц - клиентов банка. Злая ирония в том, что клиенты не сразу узнавали об этих фактах, так как уведомления о списании средств также переадресовывались на телефоны злоумышленников.

Другой угрозой становятся набирающие популярность троянские программы, которые, инфицируя компьютер пользователя, настолько глубоко встраиваются в операционную систему и браузер, что позволяют злоумышленнику изменять финансовую информацию, отображаемую интернет-банком в браузере. Пользователь работает с сервисом, вводя одноразовые sms-пароли: оплачивает коммунальные платежи, погашает кредиты, вносит средства на депозиты. А тем временем «троян» на лету подменяет номера счетов и суммы, и клиент, вводя sms-пароли, авторизует перевод своих средств на счета злоумышленника. Более того, часто такие «трояны» могут модифицировать в интерфейсе интернет-банка данные о совершенных операциях и остатках на счетах клиентов. Таким образом, информация о незаконных переводах будет долгое время скрыта от клиента.

На текущий момент спасение утопающих - дело рук самих утопающих: банки перекладывают всю ответственность на клиента. Однако следует заметить, что в большинстве случаев злоумышленники получают доступ к интернет-банкингу именно благодаря неосведомленности или беспечности клиента. Оптимизма не внушает и существующая судебная практика: клиенты, особенно физические лица, регулярно проигрывают в спорах с банками о возврате похищенных денежных средств. Это подрывает и без того пошатнувшееся в последнее время доверие к российским банкам.

Однако 1 января 2014 г. вступила в силу 9-я статья ФЗ «О национальной платежной системе», которая обязует банки возмещать клиентам средства, утерянные ими вследствие несанкционированного списания (хакерской атаки), если не будет доказано, что «клиент нарушил правила использования электронного средства платежа». Важно лишь в течение суток уведомить банк о компрометации вашей учетной записи онлайн-банкинга или мошенническом списании средств, иначе кредитная организация имеет право отказать в возврате денег.

Теперь, будучи обязанными компенсировать средства, банки материально заинтересованы в использовании надежных и безопасных систем онлайн-банкинга. Как и в любой области автоматизации, у банка есть два выхода: либо купить готовое коробочное решение, коих на рынке немало, либо разработать собственный продукт. В пользу первого варианта говорит скорость внедрения и стоимость, в пользу второго - возможность предоставить клиенту уникальный набор способов наиболее полно покрыть весь перечень предоставляемых банковских услуг. Малые и средние банки обычно выбирают первый вариант, крупные могут позволить себе второй.

Что касается безопасности, то вопрос неоднозначен. С одной стороны, использование коробочных продуктов, разработанных специализирующимися на этом бизнесе компаниями, является хорошей практикой в индустрии информационной безопасности. Эти решения обычно проходят более тщательное тестирование и анализ защищенности, чем внутренние разработки банков. Однако массовое использование банками коробочных продуктов приводит к тому, что достаточно хакеру найти уязвимость в одном из таких решений, как ему открываются двери в онлайн-банкинги всех использующих его банков.

Ежегодное исследование инцидентов в области информационной безопасности KPMG Data Loss Barometer показывает: на Западе доля инцидентов в компаниях финансового сектора имеет тенденцию к сокращению, за последние пять лет их количество сократилось на 80%. Добиться этого западным банкам позволило следование международным стандартам информационной безопасности (ISO 27001/27002, PCI DSS), регулярное проведение независимых оценок защищенности ИТ-инфраструктуры и веб-сервисов.

Источник: KPMG Data Loss Barometer

В отличие от своих западных коллег российские банки не спешат с внедрением СМИБ (системы менеджмента информационной безопасности) на основе международных стандартов ISO 27001/27002. Регулярную оценку защищенности (penetration testing) своих онлайн-сервисов и IT-инфраструктуры они если и проводят, то в основном в рамках требований стандарта безопасности индустрии платежных карт (PCI DSS), который сфокусирован сугубо на инфраструктуре платежных карт и часто не затрагивает онлайн-банкинг. Подобное отношение к информационной безопасности выглядит как минимум странно на фоне того, что Россия неизменно занимает лидирующие позиции в мире по числу хакерских атак.

Опыт западных банков говорит о том, что прогресс не остановить и популярность сервисов онлайн-банкинга будет расти, несмотря на все угрозы и риски, с ним связанные. Осторожный оптимизм внушает появляющаяся, хоть и с опозданием, правовая база в этой области, а также общее повышение доверия населения к онлайн-сервисам кредитных организаций. При этом нужно понимать, что позитивные сдвиги в этом процессе будут возможны, только если обе стороны будут прикладывать все усилия для укрепления информационной безопасности: банки - соблюдать рекомендации международных стандартов в области информационной безопасности и тестировать защищенность своей инфраструктуры, клиенты - повышать уровень своей компьютерной грамотности и не лениться соблюдать ряд несложных требований безопасности при работе с онлайн-банкингом.

Автор - старший менеджер группы по оказанию услуг в области управления информационными рисками КПМГ в России и СНГ