X Международная студенческая научная конференция Студенческий научный форум - 2018

Не секрет, что банки являются краеугольным камнем кредитно-финансовой системы государства и важнейшим финансовым институтом современного общества. В связи с этим на них возлагаются особые требования к обеспечению информационной безопасности [4].

Дистанционное банковское обслуживание (ДБО) - неотъемлемая часть банковских услуг клиенту с использованием телефонных и компьютерных сетей, без его непосредственного визита в банк. Это инструмент снижения операционных расходов, повышения эффективности и конкурентоспособности бизнеса банков [5].

В исследовании агентства CNews Analytics, проведенном в 2017 году, отмечается стабильный рост уровня распространенности ДБО: такие системы используют 94% российских банков. Согласно данным Банка России доступом к своим банковским счетам пользуется несколько миллионов физических лиц.

Распространение ДБО особенно активно происходило в периоды кризисов, на ряду со стремлением руководителей банков сократить свои издержки путем внедрения сравнительно доступной формы обслуживания.

Вместе с тем недостаточное внимание, уделяемое проблемам информационной безопасности и защиты информации, привело к целому ряду уязвимостей, хорошо известных в сфере безопасности приложений, а также угрозам, связанным со спецификой банковской сферы, реализация которых может привести к существенным финансовым и репутационным потерям [1].

Большинство специалистов в области ИБ хорошо знают, какие риски несут в себе системы ДБО, и потому наблюдают за динамичным ростом этого сегмента рынка со вполне понятной настороженностью.

Согласно статистике, около 70% систем ДБО являются собственными разработками банков. В ходе анализа защищенности систем ДБО за 2017 год было выявлено, что во всех системах имеются свои слабые стороны.

В общей сложности было выявлено свыше 170 уязвимостей, большинство из которых определяются низкой степенью риска. Это говорит о том, что в сравнении с результатами предыдущих годов общая доля критически опасных уязвимостей в 2017 году заметно снизилась [5].

МВД России сообщает, что растут как количество, так и размеры хищений денежных средств индивидуальных и корпоративных вкладчиков, осуществляемых с использованием ДБО. При этом денег у юридических лиц крадётся в тысячи раз больше, чем у физических.

Вместе с этим, по сравнению с постоянно растущим объемом возможных угроз, уровень защищенности систем ДБО в целом значительно отстает. Так, по рисунку 1 можно заметить, что по сравнению с 2015-2016 гг., в 2017 году количество серьезных угроз дистанционного обслуживания банков увеличилось на 12% и достигло 90%, что говорит о необходимости принятия необходимых мер, для создания условий полной защищенности (см. рис. 1).

Рис. 1. Распределение по степени риска существующих угроз безопасности в системах ДБО (%)

Согласно оценке экспертов, более чем в 55% в системах ДБО встречаются угрозы, обеспечивающие несанкционированный доступ к данным пользователей (см. таблицу 1) [5].

Таблица 1.

Рейтинг самых распространенных уязвимостей систем ДБО (доля уязвимых систем) (%)

№	Уязвимости систем	Доля (%)
		2017г.
1	Слабая парольная политика	82
2	Недостаточная защита от Brute Force	82
3	Возможна идентификация приложений	73
4	Межсайтовое выполнение сценариев	62
5	Предсказуемый формат идентификаторов пользователей	48
6	Незащищенная передача данных	43
7	Стандартные сообщения об ошибках	38
8	Возможно проведение атак на сессию	38
9	Раскрытие информации об идентификаторах	38
10	Отсутствует маскирование PAN	23

Из таблицы видно, что число уязвимостей в связи со слабой парольной политикой при доступе к данным пользователей в 2017 году составляет 82%. Недостаточная защита от Brute Force (атаки методом "грубой силы") под которым понимаются атаки методом подбора пароля так же составили 82%. Доля таких видов атак, как сообщения об ошибках, атаки на сессию и раскрытие информации об идентификаторах, составляет по 38%. И завершающая позиция в десятке критичного набора некритичных уязвимостей систем представлена в 23% на отсутствие маскирования персональной сети передачи данных PAN (Personal Area Network).

Эксперты указывают на то, что безопасность эксплуатации банковских систем усложняется для клиентов их низкой ИБ-культурой.

Они уверяют, что в ближайшем будущем для обеспечения безопасности необходимо сделать акцент на средствах защиты клиентской среды, к которым можно отнести механизмы интеллектуального реагирования на факты мошенничества и инструменты усиленной аутентификации пользователей, подтверждающие легитимность операций системы. Подобные процедуры и политики позволят значительно снизить риски хищения денежных средств со счетов пользователей в тех системах, где корректно реализованы эти механизмы [6].

В сфере кредитно-финансовой деятельности специалисты делают акцент на низком контроле используемых бизнес-процессов и недостаточную эффективность взаимодействия банков между собой и с правоохранительными органами, а также уязвимости в базовом ПО систем ДБО [2].

Низкая защищенность систем банковского обслуживания, находящихся в эксплуатации, явно свидетельствует о необходимости внедрения процессов обеспечения безопасности на всех стадиях жизненного цикла приложений.

Анализ защищенности систем и контроль устранения выявленных погрешностей необходимо проводить и во время ее активного использования клиентами банка на регулярной основе. То есть нужно уделять внимание корректной реализации механизмов защиты [3].

Также следует внедрять процессы безопасной разработки самой системы, обеспечивать всестороннее тестирование безопасности при приемке работ [6].

Подводя итоги, хочется сказать о том, рынок ДБО действительно растет, однако вместе с ним растут и убытки пользователей этих сервисов. Банки инвестируют в проекты по безопасности ДБО десятки миллионов рублей, но проходит время, и мошенники вновь изобретают способ украсть деньги у их клиентов. Самое неприятное здесь в том, что выпускаемые средства защиты не являются предохранительной мерой: в основном они призваны лишь «латать дыры», обнаруженные вследствие уже реализованных атак [5].

Можно перечислить целый ряд стандартных мер и рекомендаций, необходимых для избегания проблем ИБ и повышения безопасности использования системы. Однако, подчеркну лишь значимость федерального закона РФ в области регулирования ДБО № 161-ФЗ “О национальной платежной системе”, принятый 27 июня 2011 года, поскольку его появление, как считают специалисты, свидетельствует о серьезных намерениях нашего государства в регулировании функционирования платежных систем. И мы полагаем и надеемся, что одним из результатов его формирования станет повышение общей защищенности систем ДБО, поскольку разработка и корректировка закона проходит в тесном контакте госрегуляторов, производителей средств ИБ и специалистов служб безопасности банков [2].

Список использованных источников:

Безопасность. // bankdbo.ru – [Электронный ресурс] – Режим доступа. – URL: http://www.bankdbo.ru/bezopasnost.

Информационная безопасность ДБО. // PCWeek – [Электронный ресурс] – Режим доступа. – URL: https://www.itweek.ru/security/article/detail.php?ID=148306.

Обзор основных уязвимостей онлайн-банков. // ИТ-сектор– [Электронный ресурс] – Режим доступа. – URL: https://it-sektor.ru/obzor-osnovnyx-uyazvimosteyi-onlayin-bankov.html.

Пискунов И. Особенности обеспечения информационной безопасности в банковской системе. – [Электронный ресурс] – Режим доступа. – URL: https://www.antimalware.ru/analytics/Technology_Analysis/Features_information_security_in_the_banking_system.

Системы дистанционного банковского обслуживания (рынок ДБО России). // Tadvicer.ru – [Электронный ресурс] – Режим доступа. – URL: http://www.tadviser.ru/index.php.

Уязвимости онлайн-банков 2016: лидируют проблемы авторизации. // habrahabr.ru – [Электронный ресурс] – Режим доступа. – URL: https://habrahabr.ru/company/pt/blog/307450/.

Код для цитирования: Скопировать