Захист ДБО традиційніпідходи

захист

Захист клієнтів дистанційного банківського обслуговування (ДБО) завжди був проблемою нетривіальною і тому цікавою для профільних фахівців. І справа тут не у захисті систем ДБО банку, яка, по суті, нічим не відрізняється від забезпечення безпеки будь-якого дистанційного доступу з недовіреного середовища, має на озброєнні цілу низку «найкращих практик» і іноді навіть підпадає під дію регламентуючих стандартів, таких як СТО БР та PCI DSS. Нетривіальним залишається одне – захист клієнтських місць ДБО.

ФЗ-161 «Про Національну платіжну систему» ​​(вона говорить, що й клієнт повідомляє банк про неправомірне використання коштів електронного платежу, банк зобов'язаний відшкодувати йому суму операції, скоєної без його згоди).

Комп'ютери клієнтів – це зовнішня по відношенню до систем банку територія, вона не контролюється ІТ- та ІБ-службами банку

При цьому кількість атак на клієнтські місця останнім часом зростає. У цій сфері традиційно лідирують укладачі шкідливого програмного забезпечення як здатні на наймасовішу атаку. За заявою представників МВС1, в Україні за 2011 рік один із найчастіших видів кіберзлочинів – це атаки саме на користувачів систем «Клієнт-Банк». І при отриманні зловмисниками того чи іншого виду доступу до рахунків юридичної особи збитки в середньому становили 3-5 млн. рублів на організацію.

Найбільш поширені способи атак на системи ДПВ:

  • шкідливе ПЗ (трояни, клієнти бот-мереж тощо);
  • фішинг;
  • використання атак типу Man-in-the-Middle для проведення фальшивих транзакцій;
  • внутрішні атаки (для корпоративних клієнтів);
  • спрямовані атаки на клієнтські місця (знову ж таки мають сенс для корпоративнихклієнтів).

Відповідно, найпоширеніші вектори атак на системи ДБО – це:

  • розкрадання ключової та/або автентифікаційної інформації з подальшим її використанням або на місці або на віддаленому комп'ютері;
  • проведення транзакцій безпосередньо з комп'ютера клієнта;
  • підміна легітимних транзакцій фальшивими.

З точки зору можливостей захисту клієнтські місця ДПЗ можна розділити на два види залежно від специфіки їх застосування. Перший – це захист традиційних рішень «Клієнт-Банк» (або «Банк-Клієнт»), які мають на увазі наявність «товстого» клієнта та традиційно використовуються під час роботи з юридичними особами. Цей варіант передбачає необхідність встановлення робочого місця користувача відповідного пакета ПЗ.

Другий – це захист інтернет-банкінгу. В даному випадку як робоче місце користувача виступає «тонкий» клієнт, що передбачає відсутність будь-якого спеціалізованого програмного забезпечення на стороні клієнта банку. Цей варіант використовується насамперед при роботі з фізичними особами, але набуває все більшої популярності завдяки відсутності необхідності інсталювати додаткові програмні та апаратні засоби, а також своєї мобільності.

Захист систем «Банк-Клієнт»

Як ми вже говорили, особливістю захисту «товстого» рішення є наявність робочому місці клієнта встановленого комплекту ПЗ, склад якого визначає сам банк. Тобто кредитно-фінансова організація має можливість висунути низку вимог до програмного забезпечення на кінцевій робочій станції. Вводити до складу системи «Банк-Клієнт» рішення щодо endpoint-захисту стало гарною практикою в банківському середовищі. З найбільш часто застосовуваних методів тут – пасивний моніторинг активностіпрограмному середовищі або навіть комплексне рішення, яке може включати такі модулі, як антивірусне ПЗ, хостовий IPS, базовий персональний міжмережевий екран, засоби криптографічного захисту інформації (СКЗІ), можливість багатофакторної аутентифікації і т.д.

Що треба сказати, як хорошу практику використання традиційних засобів захисту банк-клиентов? Список нижче:

Використання СКЗІ. Крім застосування криптозасобів для захисту передачі інформації недовіреними каналами зв'язку, гарною практикою стало використання сертифікованих ФСБ СКЗІ для генерації електронних цифрових підписів (ЕЦП). Основне завдання криптосредства у разі – забезпечення невідмовності банківських операцій у разі конфліктів (використання сертифікованих коштів дозволяє забезпечити юридичну підставу під час розгляду спірних випадків у судових інстанціях).

Захист ключової інформації. Використання СКЗІ та ЕЦП для здійснення банківських операцій означає, що ключова інформація є в подібних системах «Клієнт-Банк» одним із головних об'єктів атаки. Маючи ці дані, порушник зможе здійснювати легітимні фінансові транзакції від імені клієнта.

Двофакторна автентифікація. Додатковим рівнем захисту може бути двофакторна автентифікація сесії роботи користувачів із системою «Клієнт-Банк». Для цього можна використовувати апаратні та програмні генератори одноразових паролів, токени і т.д.

Аутентифікація лише на рівні транзакцій. Перевірка справжності передбачає не поодиноку аутентифікацію в рамках сесії роботи системи «Банк-Клієнт», а перевірку при кожній із фінансових операцій. Ця технологія завжди сприяє підвищенню захищеності, але дуже рідко застосовується для корпоративних клієнтів. Справа в тому,що при проведенні великої кількості платежів подібний режим викликає надто велику кількість нарікань з боку користувачів системи.

Антивірусне ПЗ. Так чи інакше, шкідливий код – це основний вектор атаки, у тому числі й для корпоративних клієнтів. Тому рекомендації щодо використання комплексів антивірусного захисту на комп'ютерах із ДБО пропонуються практично завжди. Іноді у практиці захисту трапляються випадки, коли антивірусний захист (хоча б безкоштовний) включається безпосередньо в комплект постачання ПО «Клієнт-Банк».

Використання комплексів End – point Security. Додатковим рівнем захисту від зовнішнього впливу систем «Клієнт-Банк» є використання автономно керованих (часто з встановленими рекомендованими налаштуваннями) комплексів Endpoint Security. Крім антивірусного захисту, вони можуть включати один або кілька компонентів: персональний міжмережевий екран, хостовий засіб виявлення вторгнення, засіб криптографічного захисту.

Захист web-банкінгу

Використання протоколу SSL. Цей протокол дозволяє забезпечити автентифікацію сервера і шифрування сесії. Він застосовується повсюдно у зв'язку з тим, що реалізований у всіх сучасних браузерах, і дозволяє уникнути великої кількості досить простих атак, таких як перехоплення автентифікаційних даних або прості рішення класу Man-in-the-Middle. У той же час протокол не забезпечує захист при компрометації браузера або заміні сертифікатів кореневих центрів на клієнтських місцях. Існують також версії протоколу з певними слабкостями та вразливістю.

Захист від логування даних доступу, який передбачає використання «віртуальних клавіатур», капч та інших способів боротьби з перехопленням та/абоавтоматизованим підбором автентифікаційної інформації. На жаль, постійний розвиток шкідливого коду та різних систем логування активності користувача робить ці заходи недостатніми. Однак їх застосування при побудові систем web-банкінгу не потребує великих витрат і тому рекомендується для використання.

Викрадення ключів ЕЦП

Clientless Endpoint захист. Це найскладніша технологія, що є розвитком Clientless NAC-рішень. Фактично вона є працюючим у браузері (з використанням Java-аплетів, ActiveX та ін.) повноцінним endpoint-клієнтом, що дозволяє без встановлення додаткового ПЗ забезпечувати базовий захист клієнтських місць на час сесії роботи з web-банкінгом. Даний напрямок тільки розвивається, практика використання подібних рішень дуже невелика, проте їх недоліки вже очевидні - це залежність від версій ПЗ браузера та клієнтських операційних систем, а також висока вартість володіння. Організаційні заходи, що спонукають клієнтів до захисту. Пропозиція клієнтам ДБО пільгових програм на купівлю/оренду, наприклад, антивірусного ПЗ також може розглядатися як один із заходів захисту клієнтських робочих місць.

Висновок

При цьому існує досить великий вибір засобів та методів для захисту ДПВ. Якщо говорити про їхнє впровадження для масового використання, особливо для обслуговування фізичних осіб через кошти web-банкінгу, можна констатувати, що деякі рішення проходять ценз вартості та можливості масштабування. У той же час ситуація з розвитком кіберзлочинності, що склалася на даний момент, і низький відсоток розкриття подібних злочинів доводять, що використання банками подібних технологій для захисту своїх клієнтів більш ніж виправдане.