Проблемы безопасности компьютерной обработки учетной информации
Использование компьютеров и автоматизированных технологий приводит к появлению ряда проблем для руководства организацией. Компьютеры, часто объединенные в сети, могут предоставлять доступ к колоссальному количеству самых разнообразных данных. Поэтому люди беспокоятся о безопасности информации и наличии рисков, связанных с автоматизацией и предоставлением гораздо большего доступа к конфиденциальным данным. Все увеличивается число компьютерных преступлений, что может привести, в конечном счете, к подрыву экономики. И поэтому должно быть ясно, что информация - это ресурс, который надо защищать.
По результатам ежегодного исследования киберпреступлений общий ущерб пользователей Интернета от кибер преступлений в мире составил 110 млрд. долл. США. В 2012 г. впервые были представлены сведения по Российской Федерации: более 30 млн. человек в России в той или иной степени пострадали от хакеров, 74% компьютеров в нашей стране были заражены вирусами, вредоносным программным обеспечением - это самый высокий показатель в мире.
По данным МВД России, за первое полугодие 2012 г. в нашей стране было зафиксировано 5696 киберпреступлений (почти на 11% больше, чем за аналогичный период 2011 г.). Среди них преобладают преступления, связанные с созданием, распространением и использованием вредоносных программ, а также с мошенничеством в сети Интернет.
В МВД России особо отметили увеличение числа преступлений с использованием технологии дистанционного банковского обслуживания (ДБО). До 2010 г. жертвами мошенников преимущественно становились клиенты банков - юридические лица, но уже во второй половине 2011 г. наблюдается тенденция роста преступлений, связанных с физическими лицами.
В последние годы отмечается быстрый рост числа электронных банковских технологий, предлагаемых на рынке (табл. 4). Для потребителей выбор электронного формата банковского обслуживания означает экономию времени и средств, а также возможность круглосуточного получения услуг.
Таблица 4- Использование банковских технологий в развитых странах
|
2000 г„ в % |
2012 г., в % |
|
|
Электронные, в том числе: |
43 |
55 |
|
прямое перечисление средств |
25 |
48 |
|
карты для банковских автоматов |
12 |
37 |
|
дебетовые карты |
15 |
34 |
|
платежи по поручению |
14 |
21 |
|
телефонные карты |
4 |
21 |
|
компьютерный банкинг |
1 |
5 |
|
смарт-карты |
23 |
49 |
|
авансовые карты |
1,1 |
1,7 |
|
Неэлектронные, в том числе: |
77 |
58 |
|
личный контакт |
59 |
51 |
|
по почте |
19 |
31 |
|
лично по телефону |
1,9 |
1,7 |
В последнее время «Клиент-Банк» стал мишенью для различных хакерских атак, направленных на незаконное списание денег со счетов компаний (табл. 5). Рассмотрим вопросы безопасности клиентов корпоративного сектора как наиболее важный аспект работы систем обработки удаленных платежей.
Таблица 5- Типовые сценарии мошеннических действий
|
Фишинг |
Мошенник создает копию интернет-сайта системы ДБО и путем подмены ссылок заставляет клиента зайти на фальшивый сайт. Далее пользователь, думая, что он работает в системе банка, проводит платежи, а тем временем вводимая им информация перехватывается и используется злоумышленником по его усмотрению. |
|
Кража логина, пароля, секретных ключей |
На компьютере клиента внедряются вредоносные программы, так называемые «черви» и «трояны», которые переписывают (копируют) идентификационные данные клиента. |
|
Выполнение мошеннических операций непосредственно с рабочего компьютера клиента (получение удаленного управления ПК) |
В память компьютера загружается вирус, который подключает его к серверу, управляемому хакером. После этого с сервера можно отдавать команды по выполнению определенных действий на компьютере, в том числе и операций в системе интернет-банкинга. Много шума в последнее время наделал реализующий этот сценарий вирус BlackEnergy. Со стороны банка данный платеж выглядит как ничем не отличающийся от обычного, санкционированного, и его крайне сложно выделить среди других платежей. |
Возможные варианты противодействия мошенничеству представлены в таблице 6.
Таблица 6-Противодействие мошенничеству: возможные варианты
|
Кража логина -пароля и секретного ключа |
Происходит по халатности сотрудников корпоративных клиентов банка, которые зачастую не вынимают из системного блока носитель с секретным ключом или хранят его на рабочем столе, а иногда копируют его на диск рабочего компьютера. Злоумышленник со своего компьютера входит в систему под учетными данными клиента и от его имени производит платежи. Для защиты от таких атак наилучшим выходом для клиента будет фиксирование в договоре с обслуживающим банком параметров компьютера (1Р и МАС адреса), с которого клиент осуществляет финансовые операции в системе. В этом случае попытки входа в систему с другого компьютера будут заблокированы. |
|
Получение удаленного управления компьютером |
Спецификой такой атаки является то, что идентификационные данные клиента не крадутся, а просто используются, как и при штатной работе с системой. Хорошей практикой при этом является защита ключа E-token дополнительным паролем. Еще более эффективной мерой защиты клиентов от подобного рода атак является так называемый OTP-token (от английского - One Time Password). Он представляет собой генератор одноразовых паролей. Существует вариант OTP-token, совмещенный с USB-носителем. Подобное устройство стоит дороже, но при этом более удобно для использования. |
|
«Отложенная» кража ключей клиента |
В последнее время получили распространение необычные случаи кражи идентификационных данных клиентов - юридических лиц. При этом мошенник не спешит сразу пользоваться полученной информацией, а кража денежных средств происходит через 2-3 месяца. Способ борьбы с такими атаками - это уже упоминавшийся OTP-token. На данный момент это вообще самый универсальный способ защиты. Кроме этого, многие банки предлагают клиентам периодически менять пароли доступа к системе. Если пароль будет сменен, то украденные два месяца назад идентификационные данные просто-напросто устареют. |
Анализ выявленных в нашей стране и мире ситуаций показал, что хищения денежных средств с расчетных счетов организаций осуществляются:
- -как работающими, так и уволенными ответственными сотрудниками компании, имевшими доступ к секретным ключам ЭП для системы ДБО;
- -штатными IT-сотрудниками компании, имевшими доступ к носителям ЭП (дискетам, USB-flash, жестким дискам и пр.), а также к компьютерам, с которых осуществлялось ДБО как физически, так и удаленно через локальную сеть;
- -нештатными, приходящими по вызову, 1Т-специалистами, выполняющими профилактику и подключение к сети Интернет, установку и обновление бухгалтерских и справочных программ, другого программного обеспечения на компьютерах, с которых осуществлялось ДБО;
- - злоумышленниками путем заражения вредоносными программами компьютеров предприятия ввиду уязвимости системного и прикладного ПО (операционных систем, Web-браузеров, почтовых клиентов и пр.) с последующим дистанционным похищением секретных ключей ЭП и паролей.
Обеспечение информационной безопасности предполагает выполнение организационных и технических рекомендаций.
Рекомендации по организационному обеспечению безопасности
Во избежание кражи денег клиентам необходимо соблюдать несколько несложных правил:
Правило 1. Хранить пароли в надежном месте.
Правило 2. Не оставлять электронный ключ-сертификат в компьютере.
Правило 3. В случае сбоев незамедлительно информировать работников банка.
Правило 4. Использоваться для работы системы должен только рабочий компьютер.
Правило 5. Пользоваться только проверенными информационными источниками.
Правило 6. Соблюдать правила безопасности, установленные банком.
Правило 7. Обеспечить высокий уровень 1Т-безопасности.
Рекомендации по техническому обеспечению безопасности:
- - На персональном компьютере, все установленные программы должны поступать из заслуживающих доверия источников.
- - Хорошей практикой является работа на компьютере от имени пользователя, не имеющего полномочий администратора, причем настройки должны запрещать для этого пользователя возможность установки каких-либо программ и осуществления записи файлов в системные каталоги.
- - Все используемые учетные записи компьютера должны иметь сложные пароли. Неиспользуемые учетные записи должны быть отключены.
- - Необходимо отключить «автоматическое выполнение» для подсоединяемых к компьютеру флэш-карт и компакт-дисков, поскольку значительная часть вредоносных программ распространяется именно этим способом.
- - Необходимо установить антивирусную программу и поддерживать ее функционирование с актуальными базами.
- - Ограничить доступ в сеть Интернет с компьютеров, используемых для связи с системами банк - клиент только доверенными сайтами - системы ДБО банка, антивирусного ПО и сайта обновлений Microsoft.
- - Запретить удаленный доступ к компьютеру по сети, включая локальную.
- - При работе с электронной почтой обращать особое внимание на отправителя сообщения. Банк ни при каких обстоятельствах и ни в какой форме не запрашивает у клиента конфиденциальную информацию о секретных ключах и паролях.
- - Не использовать в компьютере ДБО сервисы обмена мгновенными сообщениями (ICQ, Skype, Mail.Ru-Агент и т.п.).
Для обеспечения безопасности расчётных счетов рекомендуется использовать следующие средства защиты: USB-token (E-token, OTP-token), IP-фильтрацию, SMS-банкинг (табл. 7).0ни являются дополнительными сервисами системы «Клиент-банк».
Таблица 7- Средства защиты безопасности расчетных счетов
|
USB- token, (E-token,OTP-token) |
1Р-фильтрация |
SMS-банкинг |
|
|
Что это такое? |
Устройство, предназначенное для безопасного хранения секретных ключей ЭП |
Услуга, исключающая возможность использования ключей ЭП на компьютерах, находящихся вне офиса компании |
Услуга получения оперативной информации о состоянии расчетных счетов компании посредством SMS- сообщений |
|
Зачем это нужно? |
Для исключения возможности считывания и копирования ключей ЭП |
Для исключения доступа к системе «Клиент-Банк» с «чужих» компьютеров |
Для своевременного реагирования на несанкционированные действия по системе «Клиент-Банк» |
|
Как это работает? |
Генерирует ключи ЭП и хранит их в своей памяти. При этом ключи ЭП не могут быть скопированы или считаны из него ни при каких обстоятельствах |
Отказывает в доступе к системе «Клиент-Банк» компьютерам, чьи IP-адреса не предоставлены клиентом Банку |
Отсылает SMS- сообщения о случаях доступа к «Клиент-Банку» и о движении денежных средств по счетам |
Технический прогресс не стоит на месте, и способы защиты, которые еще вчера давали 100-процентную гарантию от взлома интернет-банкинга, сегодня уже не имеют такой надежности. Будущее информационной безопасности в системах класса «интернет-банк» представляется как некая «гонка вооружений», в которой на каждый ход мошенников будут следовать ответные действия банков и разработчиков систем программного обеспечения. Лучший способ защиты от любых кибератак - постоянная актуализация программного обеспечения путём регулярных обновлений.
В связи с принятием Федерального закона от 27.06.2011 № 161-ФЗ «О национальной платежной системе», который вступил в силу с 1 января 2014г., создаются реальные предпосылки для повышения доверия клиентов к технологиям ДБО. На основании п. 15 ст. 9 Закона, если деньги клиента со счета в банке списаны, банк должен сначала деньги вернуть, а уже потом разбираться, кто в этом виноват. Подобные меры защиты клиентов ДБО соответствуют мировой практике. При этом у банка появляется возможность правомерной блокировки электронного средства платежа, которым пользуется клиент, при подозрении на мошенничество.
