Friend
Professional
- Messages
- 2,653
- Reaction score
- 862
- Points
- 113
Развитие информационных технологий и борьба за эффективность финансовой деятельности в сложных и интересных современных экономических условиях способствуют появлению новых телекоммуникационных продуктов на рынке банковских услуг, что, в свою очередь, требует принятия адекватных мер по обеспечению безопасности корпоративной информационной системы современного банка.
Сегодня банки не только поддерживают различные процессы, связанные с осуществлением выплат, переводом средств, предоставлением кредитов, но и предлагают большое количество сервисов с удаленным доступом к информационной системе. Это и персональный интернет-банкинг, и система интернет-доступа к финансовым рынкам, и система электронного документооборота. Незаконное получение доступа злоумышленниками к данным, обрабатываемым этими системами, может привести не только к серьезным убыткам, но и к ухудшению репутации банка. Именно поэтому информационная безопасность в банковском секторе имеет очень высокий приоритет.
Ключевым направлением в обеспечении безопасности данного финансового сектора является защита банковских транзакций по доступу к банковским счетам, оплате товаров и услуг, банковским переводам. Эти процессы уязвимы и наиболее подвержены рискам информационной безопасности. Существует множество угроз, с которыми сталкиваются банки при обслуживании клиентов и осуществлении транзакций. Отметим наиболее опасные из них:
1. Риски при обслуживании операций с пластиковыми карточками
Операции с разнообразными видами банковских карточек связаны с разным уровнем рисков информационной безопасности.
Наиболее распространенный вариант пластиковых карточек -- карточки с магнитной полосой. Данный вид имеет множество уязвимостей, связанных со способом хранения и считывания информации с карточки, их относительно легко подделать. Именно поэтому сейчас все большую популярность приобретают смарт-карточки, которые более безопасны и имеют многоступенчатую систему защиты. При этом технологии управления смарт-карточками сложнее, они требуют от банка защиты систем передачи данных и обработки транзакций.
Например, для обеспечения безопасного эквайринга банку необходимо осуществлять защиту POS-терминалов. Сложность этой задачи заключается в том, что подключение POS-терминалов к процессинговому центру осуществляется по слабо защищенным каналам.
2. Риски онлайновых услуг
Благодаря развитию средств коммуникаций и расширению спектра удобных для клиентов услуг, банки сегодня все чаще предоставляют своим клиентам различные сервисы через Интернет и другие каналы связи.
Пользователи могут получать информацию о состоянии счета, совершать онлайновые финансовые транзакции через системы Интернет-банкинга, телебанкинга и WAP-терминалы. Из-за простоты доступа и возрастающей популярности онлайн-каналов также активно развивается и мошенничество. Сегодня угрозы захвата пользовательских аккаунтов, кражи финансовой информации, аттрибутов платежных карточек осознают практически все активные пользователи подобных сервисов, и это является основным препятствием, возникающим на пути развития системы онлайновых услуг.
Серьезную опасность также несет возможность заражения клиентских компьютеров шпионскими программами, уязвимость банковских систем на уровне приложений и сетевой инфраструктуры, бреши в информационных системах третьих сторон: Интернет-провайдеров, биллинговых компаний, получателей удаленных платежей.
Наиболее часто встречающиеся способы несанкционированного доступа к данным о банковских счетах:
В последнее время широкое распространение получает такое средство проведения платежей, как электронные деньги. Учетные данные, необходимые для доступа к электронному кошельку, да и сами электронные деньги могут храниться как на смарт-карточках, так и в памяти вычислительных устройств, например, на жестких дисках настольных компьютеров. Это требует особых мер программной и аппаратной защиты пользовательского оборудования.
Чтобы избежать или хотя бы свести к минимуму последствия угроз информационной безопасности банковской системы, очень важно правильно выбрать решение в области защиты от сетевых угроз, которое позволит сохранить целостность и конфиденциальность информации, обезопасить личные данные пользователей, сведения о выполняемых ими операциях и данные, создаваемые в результате этих процессов.
Существует целый спектр современных решений, разработанных специально для банковской сферы, обеспечивающих эффективное и безопасное электронное взаимодействие.
Например, в целях повышения безопасности передачи информации часто используются многофункциональные программно-аппаратные UTM/XTM-комплексы сетевой защиты, поддерживающие организацию защищенных каналов связи (VPN). Устанавливая подобное устройство в месте размещения конечного терминала/банкомата, а также в местном или глобальном центре обработки данных в зависимости от конфигурации сети передачи данных, можно обеспечить надежную и комплексную защиту как самого центра обработки данных и конечных устройств, так и передаваемой информации между ними.
При этом должны использоваться стойкие алгоритмы шифрования 3DES, AES с длиной ключа до 256 бит. Можно использовать сертификаты открытого ключа, выпускаемые корпоративными доверенными центрами сертификации. Кроме того, ключ шифрования данных в VPN IPSec-туннелях должен меняться через определенные промежутки времени.
Предоставление онлайновых услуг несет серьезные угрозы информационной безопасности банка. Поэтому его задача в данной области -- защитить себя от финансовых потерь, снижения репутации за счет усиления безопасности использования онлайн-сервисов.
Выбранное решение должно учитывать специфику онлайн-среды, а также обеспечивать необходимый уровень защиты персональных конфиденциальных данных и удовлетворять требованиям регулирующих органов.
Ведущие мировые специалисты в области информационной безопасности для защиты онлайн-бизнеса предлагают комплексный подход, в котором сочетаются технологии по защите канала (как правило, SSL), строгая двухфакторная аутентификация и система обнаружения мошенничества.
Защита канала -- стандартная и обязательная технология, которую финансовые организации в первую очередь стараются обеспечить для своих онлайн-сервисов. Здесь также может применяться упомянутое выше решение по защите канала на основе многофункциональных UTM/XTM-устройств.
При организации двухфакторной аутентификации в банках важным моментом является поддержка множества каналов доступа и методов аутентификации. Именно такая гибкость, позволяет реализовать подходящий вариант аутентификации для каждой обслуживаемой группы пользователей на базе единой системы.
Ведущие мировые вендоры предлагают несколько платформ аутентификации, которые дают возможность финансовым организациям реализовать различные методы аутентификации, а также обеспечить конфиденциальность онлайн-операций, повысить безопасность и понизить накладные расходы.
Перечислим несколько характеристик подобных платформ аутентификации, которые обеспечивают максимальную совместимость с бизнес-процессами крупных финансовых организаций и тесно связаны с требованиями банковской практики:
Действительно надежный уровень защиты может быть обеспечен, только если, помимо процедуры организации защищенного соединения и аутентификации, компания будет контролировать суть выполняемых операций в системе. Потенциальный мошенник с помощью чужой платежной карточки может зарегистрироваться в системе и совершить покупку. Также шпионская компьютерная программа, используя легитимный компьютер и учетные данные, имеет возможность войти в систему от имени пользователя и осуществить денежный перевод на счет злоумышленника.
Для защиты от мошеннических операций существуют решения по обнаружению мошенничества, которые контролируют активность пользователей при выполнении HTTP-транзакций в онлайн-системах. Обычно они применяются администраторами безопасности и аналитиками, которые отвечают за предотвращение выполнения мошеннических операций. Такие решения должны обеспечивать централизованный сервис защиты от мошенничества и работать для всех online-приложений в организации.
Используемые в этих решениях методы обнаружения и предотвращения мошенничества основаны, как правило, на измерении рисков и включают динамически запрашиваемую дополнительную аутентификацию, а также распознавание изменения в поведении. Решение может быть настроено на распознавание и объединение паттернов поведения пользователей для всех приложений. При этом реализация всех, даже самых сложных функций анализа не должна требовать внесения изменений в банковские приложения.
Комбинация описанных выше решений считается эффективным оружием против мошенничества в финансовых online-сервисах и идеально подходит для средних и крупных финансовых организаций.
(c) Игорь Афанасьев
Сегодня банки не только поддерживают различные процессы, связанные с осуществлением выплат, переводом средств, предоставлением кредитов, но и предлагают большое количество сервисов с удаленным доступом к информационной системе. Это и персональный интернет-банкинг, и система интернет-доступа к финансовым рынкам, и система электронного документооборота. Незаконное получение доступа злоумышленниками к данным, обрабатываемым этими системами, может привести не только к серьезным убыткам, но и к ухудшению репутации банка. Именно поэтому информационная безопасность в банковском секторе имеет очень высокий приоритет.
Ключевым направлением в обеспечении безопасности данного финансового сектора является защита банковских транзакций по доступу к банковским счетам, оплате товаров и услуг, банковским переводам. Эти процессы уязвимы и наиболее подвержены рискам информационной безопасности. Существует множество угроз, с которыми сталкиваются банки при обслуживании клиентов и осуществлении транзакций. Отметим наиболее опасные из них:
1. Риски при обслуживании операций с пластиковыми карточками
Операции с разнообразными видами банковских карточек связаны с разным уровнем рисков информационной безопасности.
Наиболее распространенный вариант пластиковых карточек -- карточки с магнитной полосой. Данный вид имеет множество уязвимостей, связанных со способом хранения и считывания информации с карточки, их относительно легко подделать. Именно поэтому сейчас все большую популярность приобретают смарт-карточки, которые более безопасны и имеют многоступенчатую систему защиты. При этом технологии управления смарт-карточками сложнее, они требуют от банка защиты систем передачи данных и обработки транзакций.
Например, для обеспечения безопасного эквайринга банку необходимо осуществлять защиту POS-терминалов. Сложность этой задачи заключается в том, что подключение POS-терминалов к процессинговому центру осуществляется по слабо защищенным каналам.
2. Риски онлайновых услуг
Благодаря развитию средств коммуникаций и расширению спектра удобных для клиентов услуг, банки сегодня все чаще предоставляют своим клиентам различные сервисы через Интернет и другие каналы связи.
Пользователи могут получать информацию о состоянии счета, совершать онлайновые финансовые транзакции через системы Интернет-банкинга, телебанкинга и WAP-терминалы. Из-за простоты доступа и возрастающей популярности онлайн-каналов также активно развивается и мошенничество. Сегодня угрозы захвата пользовательских аккаунтов, кражи финансовой информации, аттрибутов платежных карточек осознают практически все активные пользователи подобных сервисов, и это является основным препятствием, возникающим на пути развития системы онлайновых услуг.
Серьезную опасность также несет возможность заражения клиентских компьютеров шпионскими программами, уязвимость банковских систем на уровне приложений и сетевой инфраструктуры, бреши в информационных системах третьих сторон: Интернет-провайдеров, биллинговых компаний, получателей удаленных платежей.
Наиболее часто встречающиеся способы несанкционированного доступа к данным о банковских счетах:
- фишинг - вторжение с помощью электронной почты или системы мгновенных сообщений, целью которого является получение доступа к конфиденциальным данным пользователей -- логинам и паролям;
- заражение клавиатурными шпионами с последующим переводом денег в системах Интернет-банкинга и/или изготовлением поддельной карточки;
- фарминг - перенаправление подключения на подставные ресурсы.
В последнее время широкое распространение получает такое средство проведения платежей, как электронные деньги. Учетные данные, необходимые для доступа к электронному кошельку, да и сами электронные деньги могут храниться как на смарт-карточках, так и в памяти вычислительных устройств, например, на жестких дисках настольных компьютеров. Это требует особых мер программной и аппаратной защиты пользовательского оборудования.
Чтобы избежать или хотя бы свести к минимуму последствия угроз информационной безопасности банковской системы, очень важно правильно выбрать решение в области защиты от сетевых угроз, которое позволит сохранить целостность и конфиденциальность информации, обезопасить личные данные пользователей, сведения о выполняемых ими операциях и данные, создаваемые в результате этих процессов.
Существует целый спектр современных решений, разработанных специально для банковской сферы, обеспечивающих эффективное и безопасное электронное взаимодействие.
Например, в целях повышения безопасности передачи информации часто используются многофункциональные программно-аппаратные UTM/XTM-комплексы сетевой защиты, поддерживающие организацию защищенных каналов связи (VPN). Устанавливая подобное устройство в месте размещения конечного терминала/банкомата, а также в местном или глобальном центре обработки данных в зависимости от конфигурации сети передачи данных, можно обеспечить надежную и комплексную защиту как самого центра обработки данных и конечных устройств, так и передаваемой информации между ними.
При этом должны использоваться стойкие алгоритмы шифрования 3DES, AES с длиной ключа до 256 бит. Можно использовать сертификаты открытого ключа, выпускаемые корпоративными доверенными центрами сертификации. Кроме того, ключ шифрования данных в VPN IPSec-туннелях должен меняться через определенные промежутки времени.
Предоставление онлайновых услуг несет серьезные угрозы информационной безопасности банка. Поэтому его задача в данной области -- защитить себя от финансовых потерь, снижения репутации за счет усиления безопасности использования онлайн-сервисов.
Выбранное решение должно учитывать специфику онлайн-среды, а также обеспечивать необходимый уровень защиты персональных конфиденциальных данных и удовлетворять требованиям регулирующих органов.
Ведущие мировые специалисты в области информационной безопасности для защиты онлайн-бизнеса предлагают комплексный подход, в котором сочетаются технологии по защите канала (как правило, SSL), строгая двухфакторная аутентификация и система обнаружения мошенничества.
Защита канала -- стандартная и обязательная технология, которую финансовые организации в первую очередь стараются обеспечить для своих онлайн-сервисов. Здесь также может применяться упомянутое выше решение по защите канала на основе многофункциональных UTM/XTM-устройств.
При организации двухфакторной аутентификации в банках важным моментом является поддержка множества каналов доступа и методов аутентификации. Именно такая гибкость, позволяет реализовать подходящий вариант аутентификации для каждой обслуживаемой группы пользователей на базе единой системы.
Ведущие мировые вендоры предлагают несколько платформ аутентификации, которые дают возможность финансовым организациям реализовать различные методы аутентификации, а также обеспечить конфиденциальность онлайн-операций, повысить безопасность и понизить накладные расходы.
Перечислим несколько характеристик подобных платформ аутентификации, которые обеспечивают максимальную совместимость с бизнес-процессами крупных финансовых организаций и тесно связаны с требованиями банковской практики:
- возможность работы со множеством каналов доставки, такими как телефон, Интернет, благодаря чему платформа аутентификации может быть легко интегрирована в существующие бизнес-процессы компании, а также связана с CRM;
- поддержка возможности физического разделения хранения данных разных категорий клиентов и сохранение при этом единой инфраструктуры аутентификации;
- система гибкой авторизации пользователей, обеспечивающая делегирование функций администрирования, а также аутентификацию транзакций, связанных с большими рисками;
- шифрование журнала аудита для защиты от несанкционированного доступа с использованием аппаратных устройств шифрования (HSM);
- возможность выбора оптимального метода аутентификации для определенной маркетинговой группы пользователей. Платформы аутентификации должны поддерживать большое количество интегрированных методов аутентификации:
- имя пользователя/пароль;
- база знаний парольных вопросов;
- генераторы одноразовых паролей (OTP-устройства);
- устройства, работающие по принципу «запрос-ответ»;
- аппаратные USB токены и смарткарты;
- программные токены;
- EMV CAP;
- мобильные токены;
- PKI;
- механизм миграции пользователя на другие методы и устройства аутентификации;
- хорошо задокументированый API для создания и подключения дополнительных методов аутентификации.
Действительно надежный уровень защиты может быть обеспечен, только если, помимо процедуры организации защищенного соединения и аутентификации, компания будет контролировать суть выполняемых операций в системе. Потенциальный мошенник с помощью чужой платежной карточки может зарегистрироваться в системе и совершить покупку. Также шпионская компьютерная программа, используя легитимный компьютер и учетные данные, имеет возможность войти в систему от имени пользователя и осуществить денежный перевод на счет злоумышленника.
Для защиты от мошеннических операций существуют решения по обнаружению мошенничества, которые контролируют активность пользователей при выполнении HTTP-транзакций в онлайн-системах. Обычно они применяются администраторами безопасности и аналитиками, которые отвечают за предотвращение выполнения мошеннических операций. Такие решения должны обеспечивать централизованный сервис защиты от мошенничества и работать для всех online-приложений в организации.
Используемые в этих решениях методы обнаружения и предотвращения мошенничества основаны, как правило, на измерении рисков и включают динамически запрашиваемую дополнительную аутентификацию, а также распознавание изменения в поведении. Решение может быть настроено на распознавание и объединение паттернов поведения пользователей для всех приложений. При этом реализация всех, даже самых сложных функций анализа не должна требовать внесения изменений в банковские приложения.
Комбинация описанных выше решений считается эффективным оружием против мошенничества в финансовых online-сервисах и идеально подходит для средних и крупных финансовых организаций.
(c) Игорь Афанасьев
