10.07.2017, 13:02
Количество просмотров 440

Электронные банковские услуги: как повысить безопасность и обеспечить удобство пользователям

Gemalto провела исследование онлайн-банкинга, чтобы попытаться ответить на вопрос: насколько безопасен в использовании данный сервис? 
Электронные банковские услуги: как повысить безопасность и обеспечить удобство пользователям

О результатах исследования рассказал Ильдар Скрижалин, менеджер по развитию бизнеса, Gemalto.

Ввиду того, что все больше и больше клиентов осуществляют свои банковские операции и ведут дела в электронном виде – либо на настольном компьютере, либо на мобильном устройстве, необходимо соблюдать простые меры безопасности. Однако это требует тщательного подхода к контролю за соблюдением подобных мер, а также постоянного совершенствования стратегий защиты в ответ на изменения технологий и на появление новых угроз. В этих постоянно меняющихся условиях и с учетом все возрастающих рисков мошенничества при работе банковскими сервисами онлайн, практически все из нас задаются вопросом: "насколько все же безопасен в использовании онлайн-банкинг"?

Чтобы ответить на этот вопрос и предложить дополнительную информацию к размышлению о том, что можно предпринять для защиты данных и для улучшения опыта работы с онлайн-банкингом, в 2016 году компания Gemalto провела глобальное исследования. В ходе этого исследования было опрошено более 900 ИТ-специалистов и лиц, принимающих решения в банковском секторе, а также более 11 тысяч потребителей из 14 стран, которые используют онлайн- и мобильные банковские сервисы. Результаты опроса показали, что проблемы безопасности находятся на повестке дня как у потребителей, так и у руководителей банковских организаций во всех странах, где проводилось исследование. Вызывает тревогу тот факт, что почти каждый второй (44%) потребитель заявил о готовности перейти в другой банк, если в его нынешнем банке произойдет утечка данных, и две пятых опрошенных (38%) готовы перейти в другой банк, если там будет предложен более высокий уровень безопасности.

Вряд ли эти результаты вызывают большое удивление, учитывая растущее число пользователей электронных банковских услуг: более половины опрошенных пользуются онлайн или мобильным  банкингом – заходят в систему в среднем четыре раза в неделю. Согласно результатам недавнего отчета и Индексу критичности уязвимостей, за первую половину 2016 года было зафиксировано 974 утечки данных, в ходе которых было скомпрометировано более 554 миллионов записей данных. Благодаря публикации подобных отчетов и в результате растущего числа кибер-атак по всему миру, получивших освещение в прессе средний потребитель сегодня как никогда ранее осведомлен о рисках кибер-угроз и о проблеме киберпреступности.

Но несмотря на эту хорошую осведомленность, до сих пор существует разрыв между сервисами безопасности, предлагаемыми профессиональными организациями, теми привычками, которые сложились у потребителей, и теми сервисами, которые потребители хотели бы получать. Более трети респондентов среди представителей профессионального сообщества отметили, что на их взгляд наибольший риск для пользователей, работающих с решениями для электронного банкинга, представляют хакеры, охотящиеся за базами данных. Тем не менее, в решениях для электронного банкинга, предлагаемых их организациями, в большинстве случаев (81%) до сих пор используются несущие максимальный риск статические пароли.

В качестве еще одной иллюстрации отличий в потребительском и профессиональном восприятии ситуации можно привести тот факт, что большинство (91%) респондентов из числа профессионалов считают, что потребители уверены в механизмах безопасности, используемых в решениях для мобильного и онлайн банкинга. Но если задать этот вопрос самим потребителям, то по мнению 51% опрошенных в системах безопасности электронного банкинга существуют определенные пробелы.

Разработка концепции защиты онлайн-сервисов  

Чтобы справиться с этим цифровым разрывом, необходим четкий план действий. Поскольку ожидания клиентов весьма высокие, и нет никаких признаков того, что эта ситуация изменится, сегодня банкам важно сгладить опасения пользователей в отношении проблем кибер-угроз, например, через сотрудничества с соответствующими поставщиками решений безопасности. Не менее важным элементом этого уравнения является повышение осведомленности пользователей о данной проблеме. Например, по мнению 69% опрошенных потребителей ответственность за обеспечение безопасности и защиту клиентских данных лежит на поставщике услуг, при этом более половины всех потребителей признались, что используют один и тот же пароль либо для некоторых, либо для всех своих учетных записей, и только 16% имеют четкое понимание, что представляет собой шифрование и для чего оно необходимо.

Чем раньше будет обнаружен риск, тем меньше будут его последствия

Повышение уровня осведомленности клиентов о проблемах безопасности при работе с электронными банковскими услугами и информирование потребителей о потенциальных кибер-угрозах полностью в интересах всех заинтересованных сторон, особенно с учетом появления новых атак и увеличением их сложности. Вот три наиболее распространенных вида атак:

  • Фишинг (Phishing)

Под фишинговой атакой понимается попытка хакеров получить конфиденциальную информацию – например, имя пользователя, пароль, данные кредитной карты – через электронные письма, отправленные якобы от имени банка или социальной сети.

  • Атаки ZITMO и их варианты

Многие банки уже внедрили для защиты своих систем одноразовые пароли, которые приходят по SMS, однако хакеры нашли весьма хитрый способ для перехвата этих одноразовых паролей! Впервые обнаруженная в конце сентября 2010 года, атака ZitMo (Zeus-in-the-Mobile – троянский вирус в мобильном устройстве) и ее всевозможные вариации созданы для хищения одноразовых паролей, присылаемых банками через SMS. Подобные вирусы остаются наиболее распространенными вредоносными программами для мобильных телефонов.

  • Атаки типа Man-In-The-Middle (MITM)

Аббревиатура MITM - “man-in-the-middle” или "человек посередине" означает атаку, при которой вы считаете, что установили защищенный прямой канал связи с неким сайтом, например, с сайтом вашего банка. Но в действительности этот канал осуществляется через посредника, который "читает" передаваемые данные и только затем переправляет их на сайт. С помощью атак main-in-the-middle злоумышленники могут похищать логины и пароли пользователей, перехватывать сессии, оставляя их открытыми даже после того как вы в полной уверенности считаете, что закончили работу с банком.

Что можно предпринять для своей защиты?

Так каким же образом можно минимизировать эти риски? Во-первых, необходимо повышать осведомленность пользователей. Вторая важная мера после образования пользователей, это внедрение решений с применением одноразовых паролей (One-Time Password, OTP) – это позволит минимизировать число фишинговых атак: создаваемые пароли могут применяться только один раз и действительны в течение ограниченного времени.  В отличие от статических паролей, OTP пароли нельзя использовать повторно. Механизм OTP представляет собой тот минимальный уровень безопасности, который должен быть реализован в банках. OTP-токены и OTP-пароли, присылаемые в SMS-сообщениях, уже давно внедряются многими банками и до сих пор используются крупными банками по всему миру. Но хотя одноразовые пароли, передаваемые по SMS, и выполняют свою функцию и в любом случае являются намного более эффективными решениями, чем простые статические пароли, канал SMS-сообщений, используемый для передачи OTP паролей, уже нельзя считать достаточно защищенным от действий хакеров – и тому свидетельство распространение атак ZITMo.

Таким образом, более эффективная мера заключается в использовании двухфакторной аутентификации на базе OOB (Out-Of-Band) серверов обмена сообщениями, которые предусматривают доставку OTP паролей через приложения или браузер. Именно исходя из этих соображений мы разработали свои OOB решения для обработки запросов на аутентификацию или для верификации транзакций, которые ориентированы на целевые группы или индивидуальных пользователей. Подобные решения позволяют устанавливать защищенный канал связи между информационными системами/системами аутентификации банка и мобильным приложением.  Опционально такое решение позволяет предупредить пользователя через push-уведомление о том, что ему необходимо верифицировать транзакцию, а также активизировать мобильное приложение.

Так что же в конечном итоге всё это означает? На самом деле это означает, что даже если злоумышленнику и удалось похитить данные вашей банковской карты, он не сможет ими воспользоваться, как и не сможет перехватить ваш OT пароль. Разумеется, при том условии, что вы применяете OOB решение.

Наконец, минимизировать возможность MITM атак можно за счет внедрения механизма подписания транзакций в вашем предложении. В качестве первого уровня аутентификации, такой механизм предусматривает возможность привязки устройства (Device Binding), то есть по сути зарегистрированное мобильное устройство (или токен) привязывается к определенной учетной записи пользователя ("Нечто, что я имею").

Это достигается за счет выделения индивидуального криптографического ключа, который скрыт за несколькими уровнями шифрования, когда пользователю предлагается подписать детали транзакции, например, номер счета, сумму транзакции и т.д. Даже если хакеры попытаются скопировать ключи на другое устройство, у них ничего не выйдет, поскольку эти ключи привязаны к оригинальному устройству.  Этот уровень аутентификации является прозрачным для конечного пользователя, и его можно совмещать с другими уровнями для реализации целостного многоуровневого подхода к обеспечению безопасности.

В заключение…

В своих рекомендациях в отношении обеспечения безопасности электронных банковских сервисов от 2005 года Федеральный совет США по надзору за финансовыми учреждениями пишет: "Сегодня злоумышленники продолжают разрабатывать и использовать все более сложные, действенные и вредоносные способы для компрометации механизмов аутентификации и продолжают получать неавторизованный доступ к оналйн-аккаунтам пользователей. Быстро растущие организованные преступные группировки все чаще специализируются на финансовом мошенничестве, и им удается скомпрометировать все большее число различных решений". В этой связи, единственный способ предвосхитить подобные онлайн угрозы заключается в том, чтобы применять передовые технологии и уже проверенные процедуры для защиты данных и финансовых активов.

Развитие онлайн- и мобильного банкинга дает клиентам возможность удобного взаимодействия с банком в необходимом им формате и тогда, когда им это нужно. Однако, учитывая, что у большого числа клиентов по-прежнему остается немало опасений относительно безопасности онлайн банковских сервисов, банкам следует задуматься над повышением безопасности своих операций, причем не в ущерб удобству пользователей – только в этом случае они с могут в полной мере реализовать потенциал цифровых банковских услуг. Без этого банки рискуют утратить доверие своих клиентов, которое, безусловно, является самым ценным активом в условиях современного рынка.

По материалам PLUSworld.ru

Новости в вашей почте
mail

PLUSworld в соцсетях:
telegram
vk
dzen
youtube
ЕЩЁ НОВОСТИ