інформаційно-аналітичний портал Українського агентства фінансового розвитку
на головну
Сучасні банківські технології: нові загрози та захист

О. Бабенко

Розвиток інформаційних технологій стрімко змінює звички людей, впливаючи на розвиток нових банківських послуг. Пластикові картки, мобільний та інтернет-банкінг, системи дистанційного обслуговування сьогодні є стандартом для більшості банківських установ. Впровадження нових технологій затьмарюється лише тим, що паралельно завжди розвиваються нові види шахрайства, загрози та ризики використання даних систем.

За даними звіту Global Security Report 2011 року компанії «Trustwave» вектори атаки з мережевого доступу та прикладного забезпечення змістилися в сторону клієнтських додатків, мобільних технологій, соціальних мереж. Кожен із зазначених векторів вже знайшов своє відображення в банківській сфері.
Клієнтські додатки
Основними представниками даного класу додатків є системи дистанційного банківського обслуговування та інтернет-банкінг. На відміну від систем, розташованих на стороні банку, клієнтські додатки розташовуються в більш вразливому середовищі. Як правило, у фінансових організаціях присутні відповідальні за інформаційну безпеку, крім цього, існує низка правил забезпечення прийнятного рівня безпеки. Не в останню чергу певний рівень інформаційної безпеки підтримується виконанням обов’язкових стандартів, нав'язаних регуляторами. Натомість відповідальність за оточення клієнта повністю лежить на користувачеві банківських послуг і часто не відповідає навіть мінімальному рівню безпеки.
Таким чином, основним джерелом компрометації клієнтських додатків є системне оточення. Більшість відомих видів шахрайства, пов'язаних з системами ДБО та інтернет-банкінгу, реалізуються не з використанням недоліків безпосередньо додатків, а через проникнення в середовище користувача.
На сьогоднішній день низка банків запроваджують додаткові захисні заходи – підтвердження транзакцій іншим фактором (SMS, одноразовий код), проведення програм з підвищення комп’ютерної грамотності користувача, пропозиціями щодо встановлення засобів захисту (як безкоштовні, так і зі знижками від реальної вартості). Варто відзначити, що поки значних результатів у боротьбі із шахрайством у клієнтських додатках домогтися не вдалося, при цьому ринок не готовий запропонувати «панацею» для вирішення проблеми.
Мобільні технології
Масова поява «розумних» мобільних пристроїв та планшетних комп'ютерів призвела до появи великої кількості послуг у сфері мобільного управління рахунками клієнта, як через управління з допомогою SMS-повідомлень, так і окремо розроблених мобільних додатків для популярних платформ. Основною загрозою даних додатків є середовище їх виконання та відсутність напрацьованої практики у сфері захисту мобільних пристроїв і безпечного програмування мобільних додатків.
Звертаючись до Annual Security Report компанії «Cisco», можна чітко простежити тенденцію зростання виявлених недоліків у програмних продуктах найбільших постачальників мобільних пристроїв. Дане зростання говорить не про погіршення практик програмування при створенні системного забезпечення, а про підвищення інтересу дослідників, викликаного популярністю платформ.
Таким чином, застосування мобільних технологій у банківській сфері призводить до додаткових ризиків компрометації і вимагає залучення фахівців з інформаційної безпеки, починаючи з етапу проектування послуги.
Соціальні мережі
Масове впровадження та популяризація соціальних мереж на перший погляд не тягне за собою прямих загроз для клієнтів, які користуються послугами банків. Тим не менш, все популярнішим стає створення банками своїх сторінок з інформацією про нові види послуг та новини організації. При цьому знову виникають все ті ж загрози, пов'язані з неперевіреним середовищем розміщення інформації. Якщо власні ресурси організація завжди може контролювати, забезпечуючи необхідний рівень безпеки, то зовнішні ресурси є для банку потенційно вразливими.
Активне залучення клієнтів на альтернативні сторінки в соціальних мережах несуть в собі потенційні загрози збору повної інформації, у тому числі персональних даних про клієнтів банку. Так само все частіше створюються фальшиві сторінки організації, з метою перенаправлення користувачів на сайт шахрая. При цьому подальший розвиток вектора атаки може бути різноманітним – дезінформація, незаконне отримання персональних даних клієнтів та даних платіжних карт і даних аутентифікації в банківських системах. Такі види атак є маловитратними, при цьому залишаються досить дієвими, тому все частіше здійснюються зловмисниками.
Нові технології завжди тягнуть за собою попит на нові види послуг, при цьому забезпечення безпеки є не паралельним процесом, а часто проводиться тільки після виникнення інциденту. Дана ситуація не тільки негативно впливає на репутацію банку, але й може підірвати довіру клієнтів до нових пропозицій. Саме тому своєчасне опрацювання питань забезпечення інформаційної безпеки з початкових стадій розвитку нових послуг дозволяє кредитним організаціям не тільки знизити ймовірність виникнення, але і в разі інцидентів, оперативно усунути наслідки та внести необхідні корективи в систему захисту, забезпечивши мінімальний негативний вплив на клієнтів.
© 2003-2010  Українське агентство фінансового розвитку Дизайн та розробка порталу
студія web-дизайну "Золота рибка"