Безпека мобільного банкінгу погрози та рішення, Банківський огляд

Сфера фінансових інтересів

мобільного

банкінгу

рішення

Євген Михалєв, заступник начальника відділу Управління «К» БСТМ МВС України, підтверджує, що інтерес зловмисників до мобільного банкінгу зростає. Він розповів учасникам конференції, що у сфері мобільного банкінгу складається ситуація, схожа на пік шахрайства в інтернет-банкінгу у 2011 році.

І в тому, і в іншому випадку злочинці розповсюджують шкідливі програми, які утворюють ботнети - мережі із заражених пристроїв. Родоначальники цих мереж потім можуть здавати в оренду частинами. Самі боти (автономні додатки, особливо поширені для платформи Android) стали останнім часом досить доступними — за 500–1000 доларів можна придбати програмний напівфабрикат, який можна доводити до кондиції і надалі здійснювати за його допомогою кібер-атаки. Така злочинна спеціалізація призвела до розростання безлічі дрібних груп — картина їхньої активності на карті країни, за словами Євгена Михальова (Управління «К»), виглядає дуже загрозливо.

Fun або зник

«Вважається, що мобільні технології, у тому числі фінансові програми, — це такий fun, а безпечники — це ті люди, які перешкоджають інноваційним поривам», — такий лейтмотив конференції задав модератор дискусії Ігор Костильов. Дійсно, учасники заходу постійно зверталися до питань балансу між зручністю та безпекою мобільного банкінгу, взаємодії бізнес-замовників та внутрішньобанківських служб безпеки.

Віддаючи належне інтересам банківських підрозділів, відповідальних за бізнес ДБО (той самий fun та очікуваний wow-ефект у клієнтів), комерційний директор компанії UsabilityLab Дмитро Силаєв представив дослідженнязручності мобільного банкінгу Дослідження охопило 15 банківських додатків найпомітніших гравців цього ринку, у його підготовці було задіяно 120 респондентів, які оцінювали системи за дев'ятьма юзабіліті-метриками. Методика включала сканування руху очей - метод eye tracking дозволяє подивитися на зручність використання програми буквально очима користувача.

Висновки дослідників, безсумнівно корисні для вдосконалення окремих елементів і загалом юзабіліті мобільного банку, також містять спостереження про те, що користувачі майже не звертають уваги на аспект безпеки, більше того — найчастіше готові поступитися додатковими заходами (наприклад, введенням SMS-коду) задля простоти використання програми. Втім, думка клієнтів у питаннях забезпечення безпеки, зрозуміло, не може бути визначальною.

Домовлятися треба завжди

«Віддавати питання безпеки на відкуп лише розробників мобільного додатка, зрозуміло, не можна», — висловив загальну думку Лев Шумський, начальник управління інформаційної безпеки департаменту захисту активів «Связного Банка», і сформулював основні підходи до цього процесу. Реалізація захищеності мобільного додатка починається з формування функціональних вимог із боку бизнес-заказчика. Ці продуктові концепції обговорюються, узгоджуються із суміжними службами; відбувається аналіз ризиків та вироблення раціональної зміни рішення. На другому етапі важливо забезпечити контроль над розробкою програми, у тому числі аналіз коду, який можуть виконати (або продублювати) спеціалізовані компанії. По-третє, віддалене обслуговування клієнтів пов'язане із загальним забезпеченням безпеки інфраструктури банку: захищеністю серверів, надійністю стандартних коштів.захисту (файрволів, антивірусів та ін.), регулярним проходженням процедур тестування та аудиту.

Під захистом матриці

Мікрофон перейшов до Андрія Бухтіярова, заступника голови правління Інтерактивного Банку, який відомий на ринку своїми нестандартними підходами, зокрема заходами інформаційної безпеки. Наприклад, банк пропонує клієнтам сервіс «Матриця безпеки», який дозволяє самостійно налаштувати спосіб підтвердження різноманітних дій у віддалених каналах обслуговування.

банкінгу

Відкриту розмову знову підтримав Лев Шумський; цей фінансовий інститут примітний тим, що 17% його клієнтської бази (а це близько 300 тис. осіб) є користувачем мобільного банку — більша ця частка лише Ощадбанку. Минулого року співробітники банку виявили близько 100 клієнтів, у яких був скомпрометований доступ до мобільного банку — у всіх випадках йшлося про android-пристрої, проте завдяки своєчасному виявленню та реагуванню в жодному разі розкрадання коштів не сталося. У зв'язку з цим почалася дискусія про переваги різних мобільних платформ — позиції iOS у питаннях безпеки виглядають серйознішими.

Не дозволь вкрасти

Ще один вид загроз пов'язаний із телекомунікаційною складовою мобільного банку. Звичний та зручний спосіб підтвердження операцій за допомогою одноразового SMS-коду – на жаль! - Не забезпечує належного рівня безпеки. Відомі кілька варіантів атак, за яких SMS-повідомлення можуть бути перехоплені ззовні та використані для незаконного доступу — як до мобільного, так і до інтернет-банку. Одна з найнебезпечніших уразливостей полягає в тому, що зловмисник отримує сесійний ключ обміну повідомленнями між базовою станцією та пристроєм абонента. Зазвичай не складаєпраці розшифрувати цей ключ і отримати доступ до всієї інформації, що передається користувачем через SMS. Більш захищеною, надійною (з гарантованою доставкою) та економічно вигідною є технологія push-повідомлень, яка забезпечує чудовий баланс між юзабіліті та безпекою, у тому числі вирішує завдання прив'язування додатку до конкретного пристрою, поділився досвідом Денис Камзєєв, начальник відділу інформаційної безпеки, старший віце -Президент Райффайзенбанку, Функціонал push вже імплементували в системи мобільного банкінгу та деякі інші банки (Бінбанк, Тінькофф Банк).

Інша відома вразливість пов'язана зі зміною сім-картки — здебільшого банки вже тримають її під контролем, як цього вимагає Положення Банку України № 382-П. Якщо банк отримує від оператора стільникового зв'язку інформацію, що повідомлення почали надходити з іншої сім-картки, — можлива ситуація, що картка була спеціально підмінена за підробленими документами (або номер перейшов до іншого клієнта) і може бути використана у злочинних цілях для читання SMS, призначених справжньому власнику. Тому фінансовий інститут (зокрема, розглядався досвід Зв'язкового Банку), виявивши факт зміни сім-карти, превентивно блокує доступ і пропонує клієнту пройти повторну ідентифікацію через кол-центр.

Банки та оператори: рух назустріч

Кирило Самошенко, який представляє на конференції оператора стільникового зв'язку «Мегафон», розповів про продукт «Статус», спеціально розроблений для банків. У найближчій перспективі кредитні організації зможуть передавати базу мобільних номерів своїх клієнтів оператору, який, у свою чергу, забезпечуватиме моніторинг цих номерів та повідомлятиме банк про настання ризикових подій. Інформування може відбуватися в пакетному режимі,деякою періодичністю, або онлайн — безпосередньо за фактом інциденту. Досить важливий момент - дотримання закону про персональні дані; для повноцінного використання сервісу банку необхідно буде отримати згоду клієнта на обробку своїх даних у стільникового оператора. Плани розвитку сервісу для банків включають елементи геопозиціонування — поки передбачається, що банки не отримають повного доступу до розташування клієнта, а зможуть лише запитувати у оператора підтвердження типу «Чи в цьому місті знаходиться абонент?». Готується рішення щодо поділу SMS-трафіку по потоках з різним ступенем критичності: транзакційні повідомлення, сервісні повідомлення та інший потік «звичайних» SMS.

Чинне законодавство теоретично дозволяє організувати контроль над розробниками через сертифікацію програмного забезпечення на підставі закону «Про технічне регулювання».

На тому ж тижні «Мегафон» оприлюднив інформацію про впровадження рішення, яке дозволяє відстежувати наявність шкідливого програмного забезпечення на android-пристроях абонентів. Повідомляється, що у 2014 році було виявлено 850 тис. таких випадків, а з початку цього року — ще 150 тис. Отримавши відомості про зараження, оператор надсилає користувачеві SMS-повідомлення з інформацією про проблему та пропозицію встановити антивірусну програму. Ще один спосіб боротьби з шахраями, впроваджений «Мегафоном», полягає в запобіганні доступу до веб-сторінок, зараженим вірусами або бот-мережами; на жаль, законодавство не дозволяє повністю блокувати такі ресурси — поки що оператор тільки виводить сторінку-заглушку із попередженням про загрозу.

Артем Сичов, заступник начальника головного управління безпеки та захисту інформації ЦБ РФ, підвів межу під дискусією і відповів на питання щодо позиції регуляторау відносинах між банками та операторами. На його думку, взаємодія операторів зв'язку та банків — це питання взаємовідносин двох суб'єктів господарювання, в якому немає предмета регулювання з боку Банку України. Проте відбувається об'єктивний розвиток інформаційних технологій, у рамках якого з'являються нові аспекти взаємодії між учасниками різних галузей, у тому числі й щодо критично важливих питань безпеки. Такі новації не завжди знаходяться в рамках правового поля, ця проблема Центробанку зрозуміла, і з приводу деяких питань регулятор веде діалог із Мінкомзв'язком України, який встановлює правила гри для телекомунікаційного ринку.

Сакральний номер

Зміни загального характеру стосуються організаційних заходів, використання технічних засобів та застосування об'єктів інфраструктури, які мають забезпечити контроль ризиків при реалізації політики інформаційної безпеки. Інші блоки нововведень регулюють роботу з пристроями самообслуговування клієнтів (банкоматами та платіжними терміналами) та зобов'язують банки перейти на випуск чіпових карток (ходіння раніше випущених карток з магнітною смугою при цьому не обмежується). Ще один пакет змін описує вимоги до систем інтернет- та мобільного банкінгу, які найбільше цікавили аудиторію.

Ієрархія вимог до ДБО-рішень базується на політиці забезпечення захищеності програмного забезпечення, що використовується: реалізації функцій захисту даних, контролю над розробкою та релізами ПЗ, зберігання логів тощо. Вимоги більш прикладного характеру безпосередньо до систем інтернет- та мобільного банкінгу описують підходи до ідентифікації користувача та аутентифікації його операцій, заходи захисту абонентського пристрою, принципи взаємодії зоператорами стільникового зв'язку.

А вендор хто?

Бурхливий розвиток ДБО-сервісів спровокувало появу рішень не тільки від відомих постачальників, що зарекомендували себе, а й безлічі дрібних розробників — особливо мобільних додатків. Представники держорганів неодноразово висловлювали думку про те, що програмні рішення недостатньо добре захищені, більш того — вразливість програмної складової є одним із ключових ризикових елементів ДПВ-систем. «Чи чекати на активне втручання держави в роботу IT-компаній?» — із таким питанням прийшли на конференцію представники вендорів.

"Справді, спираючись на статистику, ми можемо зробити висновок про те, що найчастіше зловмисники використовують уразливості в ПЗ", - говорить Артем Сичов. Причому це не лише прикладні програми українських розробників, але й уразливості на системному рівні — операційні системи, бази даних, різні middleware-рішення. Центробанк не має таких функцій і повноважень для регулювання діяльності розробників, їх відносин з банками. Проте банківська спільнота бачить деяку проблему в ситуації, що склалася, і ЦБ Україна підтримує ініціативи з контролю безпеки в автоматизованих системах та програмних засобах банківської діяльності. Деякі кроки щодо цього вже зроблено — так, Центробанк випустив рекомендаційний документ, у якому узагальнено як український, так і зарубіжний досвід. Документ містить основні рецепти стандартизації забезпечення безпеки на всіх етапах життєвого циклу програмних продуктів: контроль захищеності на всіх його етапах, принципи безпечного циклу розробки, контроль коду на стадії приймання, патч-менеджменту ПЗ і т.д.

Чинне законодавство теоретично дозволяє організувати контроль зарозробниками через сертифікацію ПЗ виходячи з закону «Про технічне регулювання». Інший варіант - створення саморегулівної організації (за прикладом PCI Council, що регулює стандарти безпеки платіжних додатків), вироблення вимог, принципів сертифікації, аудиту та ін. самими учасниками ринку. У будь-якому разі якихось конкретних рішень із цього приводу не вироблено, йдуть обговорення механізмів контролю над розробниками — можливо, вони знайдуть відображення у нових редакціях 382-П.