інформаційно-аналітичний портал Українського агентства фінансового розвитку
на головну
Безпека систем дистанційного банківського обслуговування

О. Бабенко

За останні роки система дистанційного банківського обслуговування перетворилася з додаткового на основний інструмент надання послуг. Такий результат спричинили кілька процесів. Це і загальне поширення онлайн технологій, що надають користувачам максимальну мобільність та зручність, і переведення всіх доступних операцій «в мережу», що дозволяє суттєво знизити витрати на надання послуг у відділеннях банку. Позитивний як для клієнта, так і для банку сценарій закономірно привів до того, що дистанційне банківське обслуговування (ДБО) сьогодні у банків в пріоритеті.

Вітчизняний ринок фінансових послуг, які надаються дистанційно, пропонує більше сотні різних рішень. У їх числі системи мобільного банкінгу, інтернет-банкінгу, клієнт-банки як для фізичних, так і для юридичних осіб. Близько 40% таких систем є власними розробками, решта – коробковими продуктами або замовленою розробкою зовнішніх девелоперських компаній.
В більшості випадків впровадження нових послуг на вимогу бізнесу супроводжується відсутністю належної уваги до суттєвого фактору – безпеки використання систем. В деяких випадках про неї зовсім забувають. В інших – до питань безпеки інформації підходять фрагментарно і поверхово, створюючи лише ілюзію захищеності. Критичність цих процесів наочно демонструють заголовки інформаційних агентств, які все частіше повідомляють про компрометації систем дистанційного обслуговування та розкрадання грошей у клієнтів. Якщо врахувати при цьому, що процент «витоку» інформації щодо таких інцидентів невеликий, масштаб махінацій вражає.

Безпека систем дистанційного обслуговування
У питанні забезпечення безпеки дистанційного обслуговування важливо зробити особливий акцент на двох принципах: процесному підході та комплексному забезпеченні інформаційної безпеки.
Теза про те, що «безпека – це процес», звучить досить часто. На практиці він зустрічається набагато рідше. В інших випадках замість постійної систематичної діяльності з підтримки і поліпшення процесів має місце стрибкоподібний процес – виконання процедур від випадку до випадку. Звичайно, при такому підході досягається певний рівень безпеки і, можливо, при черговому «стрибку» рівень захищеності протягом деякого часу буде досить високим. Однак при цьому компанія приймає на себе ризики, як, наприклад, у випадку закривання вхідних дверей: якщо б їх закривали через раз, покладаючись на те, що грабіжник з’являтиметься саме тоді, коли двері замкнені.
В рамках концепції безпеки систем дистанційного обслуговування рекомендується реалізувати, як мінімум, такі процедури:
- розмежувати права користувачів і контролю доступу;
- провести контроль парольної політики, використання криптографії та поводження з криптографічними ключами;
- антивірусний захист;
- забезпечення безпеки корпоративної мережі;
- міжмережеве екранування,
- аналіз захищеності і внутрішнього аудиту;
- резервне копіювання та аварійне відновлення;
- забезпечення безперервності;
- забезпечення фізичного захисту;
- забезпечення безпеки прикладного та системного програмного забезпечення (ПЗ);
- моніторинг подій та реагування на інциденти інформаційної безпеки;
- підвищення обізнаності клієнтів та співробітників в питаннях інформаційної безпеки;
- внесення змін та оновлення програмних засобів.
Варто відзначити, що часом поняття «процесного» підходу переростає у настільки складну бюрократичну процедуру, що не залишається місця для самої дії. Важливо розуміти, що якість процедури, що впроваджується, безпосередньо залежить від ступеня її здійсненності, а надмірно складні дії співробітники у кращому випадку будуть виконувати тільки формально, «для галочки».

Комплексний підхід
Комплексний підхід у забезпеченні безпеки можна проілюструвати наступним чином: уявіть свій будинок, ви поставили залізні двері з величезним замком, установили перед дверима систему відеоспостереження і охоронну сигналізацію, при цьому вікна залишаєте відкритими навстіж. Або: закрили вікна подвійним шаром решіток, додали найсучаснішу систему виявлення взлому, всередині чергують співробітники охорони, але при цьому всі цінності лежать зовні, а в будинку лише голі стіни. Звучить безглуздо, але у сфері інформаційних технологій така картина не рідкість.
При розгляді архітектури систем дистанційного обслуговування, можна умовно виділити декілька основних рівнів: програмне забезпечення клієнта, прикладне ПЗ, системне ПЗ (web-сервер, СУБД, операційна система) і мережева інфраструктура, фізичне розміщення і користувачі.
Під час забезпечення безпеки систем ДБО необхідно опрацювати захисні механізми на всіх рівнях. При цьому їх реалізація в кожному випадку повинна визначатися індивідуально в залежності від типу взаємодії і функціональності системи.

Безпека клієнтів
Безпека «клієнтської сторони» – головний біль фахівців з інформаційної безпеки. Причини тут очевидні: сторона клієнта апріорі вважається не надійною, а нав’язування вимог з безпеки суперечить побажанням бізнесу в максимально простому використанні систем на всіх популярних платформах. Основним заходом захисту в даному випадку виступає двофакторна аутентифікація (одноразові паролі, sms-код, значення криптокалькулятора, криптотокен), що дозволяє протидіяти шкідливому ПЗ, що здійснює крадіжку аутентифікаційних даних. Також все частіше банки розробляють для клієнтів навчальні програми, які висвітлюють основні питання інформаційної безпеки та протидії шахрайству. Однак, незважаючи на всі вжиті заходи, атаки на клієнтів активно здійснюються шахраями і є одним з найпоширеніших способів компрометації.
Окремої уваги заслуговують клієнти мобільних засобів, що активно впроваджуються останнім часом. Сучасні мобільні пристрої внаслідок своєї популярності знаходяться під пильною увагою дослідників, що відображається в періодичних зведеннях виявлених вразливих місць як системного, так і прикладного ПЗ. Тим не менш, розробники мобільних додатків не приділяють потрібної уваги безпеці під час проектування і реалізації програми та, як показує практика, не використовують наявні стандартні методи захисту.
Безпека прикладного ПЗ
Слабкі місця прикладного програмного забезпечення також популярні серед злодіїв, які спеціалізуються на банківських системах. Незважаючи на значну кількість ресурсів, що висвітлюють популярні недоліки, які виникають при розробці програмних продуктів, рівень знань у сфері безпечного програмування залишається досить низьким, а процеси розробки включають вимоги з безпеки лише в рідкісних випадках. Аналіз захищеності, який регулярно проводиться фахівцями, наочно демонструє недоліки. Вагома частка додатків містить найбільш поширені вразливі місця: SQL ін’єкції, XSS, CRSF, переповнення буфера, некоректне використання криптографічних алгоритмів.
Спираючись на сучасні тенденції, слід зазначити, що забезпечення безпеки в програмних продуктах – вже не додатковий плюс, а одна з основних вимог бізнесу. Першим кроком у підвищенні рівня безпеки є розробка ПЗ, яке має на меті навчання розробників, безпечне програмування, аналіз вихідного коду і тестування безпеки, а також незалежний аналіз і контроль захищеності розроблених продуктів.

Безпека системного ПЗ та мережевої інфраструктури
Сталеві масивні двері з потужним замком смішно виглядають в стіні, зробленої із гнилих дощок. Так і найбільш захищений додаток, що працює в середовищі операційної системи з критичними вразливими місцями, на web-сервері, схильному до DOS-атак або що використовує СУБД з правом доступу віддалених користувачів на підставі даних, встановлених за замовчуванням, буде не в змозі протистояти діям зловмисника.
Забезпечення безпеки систем, на базі яких працює система дистанційного обслуговування, а також усіх суміжних систем, що прямо або опосередковано впливають на рівень вихідної захищеності, є також важливим. Налаштування безпеки має бути не одиничною дією, виконаною на розсуд адміністратора, а процесним явищем, що забезпечує актуалізацію і усталеність конфігурацій всіх типів системних компонентів.

Фізична безпека і користувачі системи
Останнім за списком, але не за значенням є забезпечення безпеки фізичного оточення. Немає сенсу розробляти принципи безпеки всіх компонентів, будувати складну систему захисту інформації, якщо зловмисник може отримати доступ безпосередньо до апаратних компонентів системи. Марно захищатися від DOS і DDOS-атак при відсутності в серверній кімнаті належного кондиціонування і системи пожежогасіння, що призводить до глобальної «відмови в обслуговуванні».
Також не можна забувати про співробітників, які мають легітимний доступ до системи. Часто саме неуважні дії співробітників, які діють абсолютно без корисливих намірів, призводять до витоку даних і компрометації системи. Простою і надійною мірою є періодичне навчання користувачів, наочна демонстрація наслідків легковажного поводження із захищеною інформацією і популярних методів шахрайства.
Оцінюючи і забезпечуючи рівень захищеності систем банківського обслуговування, часто розглядають тільки безпосередньо прикладне ПЗ. По-справжньому повну картину можна побачити, тільки якщо оцінювати систему на всіх рівнях – від поточного рівня забезпечення безпеки до підтримуючих процесів, що використовуються у банківському обслуговуванні.

© 2003-2012  Українське агентство фінансового розвитку Дизайн та розробка порталу
студія web-дизайну "Золота рибка"