Журнал ПЛАС » Мнения экспертов » 61 просмотр

Как испортить собственный интернет-банкинг с помощью инноваций

Как испортить собственный интернет-банкинг с помощью инноваций

Иногда «лучшее» действительно может выступать врагом хорошему – Михаил Левашов, к.ф.-м.н., профессор НИУ ВШЭ, доказывает справедливость старого афоризма на примере интернет-банкинга.

Я уже неоднократно публиковал свои выводы о том, что наш кормилец-бизнес поощряет и поддерживает (материально) в основном только те направления исследований, которые приносят быструю прибыль. К другим же направлениям он относится чаще всего весьма прохладно. В частности, к фундаментальным исследованиям, связанным с расчетом и обоснованием важных характеристик процессов и моделированием этих процессов[1] . Сюда же относится и тестирование программного обеспечения. Действительно, у разработчиков ПО (программистов) стало уже негласным правилом выпускать достаточно сырые продукты в расчете на неявное тестирование, которое неминуемо будут проводить пользователи в процессе эксплуатации этого ПО. Особенно этим недугом страдают программисты, работающие не в ИТ-компаниях, а в других отраслях, например, в финансовом секторе.

Недавно, например, один крупный банк обновил свой интернет-банк, в результате чего неплохо работавшая ранее программа совсем перестала функционировать на устройствах с операционной системой iOS 9. И эта история далеко не единична. Вообще с интернет-банком подобные вещи фиксируются достаточно часто, потому что этот продукт практически непрерывно используется большим количеством пользователей.

С тестированием ПО случаются и значительно более серьезные случаи, приводящие в том числе к многочисленным жертвам (я имею в виду известные проблемы с ПО Boeing 737 Max). Ошибки и сбои биржевого ПО приводят к финансовому ущербу, а недостатки используемого в АСУ ТП программного обеспечения – к технологическим сбоям, а иногда и к более серьезным происшествиям. Очевидно, что к тестированию ПО нужно подходить с фундаментальной тщательностью и при этом весьма осторожно использовать в этих процессах некоторые современные креативные технологии типа Agile.

Другие последствия недостаточно продуманных и проанализированных модификаций прикладных программ связаны с их безопасностью. Приведу в этой связи один весьма поучительный пример. В одной из моих публикаций[2] была предложена процедура использования интернет-банкинга, при которой даже при самых неблагоприятных обстоятельствах, когда атакующий злоумышленник «захватил» информационный ресурс пользователя, вероятность совершения хищения денежных средств уменьшается на два порядка (!). В этой процедуре одну из важных ролей играет банкомат используемого банка. С помощью него как раз достигается один из этих «двух порядков». А банкомат здесь используется только для смены аутентификационных данных пользователя интернет-банкинга. Однако с некоторых пор в банкоматах эта опция стала исчезать. Вероятно, часть банков приняла решение отказаться от нее в «благих» целях экономии бумаги, на которой банкомат распечатывает пароли. Лишившись данной опции, пользователи теперь вынуждены вводить новые аутентификационные данные, которые, безусловно, носят критический характер, на своих устройствах, которые могут быть скомпрометированы. Здесь, очевидно, подгоняемые планом (руководством и т. д.) разработчики не согласовали эти вопросы с подразделением безопасности. Или, что еще хуже, последние просто плохо следят за целевыми публикациями. А может быть, решающую роль здесь играет экономия бумаги?! Так или иначе, в результате подобных решений страдает безопасность клиентов, пользующихся web-версией интернет-банка.

[1] Левашов М.В. Zero trust vs full trust в киберпандемии // ПЛАС 07/2020, с. 26-27.

[2] Левашов М. В. Новые риски мобильного банкинга // Национальный банковский журнал. 2016, ноябрь, с. 102.

Подписывайтесь на наши группы, чтобы быть в курсе событий отрасли.

Перейти к началу страницы

Подпишитесь на новости индустрии

Нажимая на кнопку "подписаться", вы соглашаетесь с


политикой обработки персональных данных