Онлайн-банкинг: защиты много не бывает

Неманья Никитович
управляющий директор
Optima Infosecurity
(Группа Optima)

Какое будущее ждет онлайн-банкинг в 2013 г.?

После 31 декабря 2012 г. вступают в силу новые положения Закона "О национальной платежной системе", согласно которым банк будет обязан вернуть владельцу деньги, в случае если тот не подтверждает конкретную транзакцию.

Новое законодательство лишит банки возможности отказывать в возврате средств лишь на том простейшем основании, что на компьютере была установлена ОС, которая на момент атаки не была обновлена.

Чтобы понять, как вслед за законодательной ситуацией изменятся требования к информационным системам банков, следует понять, с какими угрозами эти системы столкнутся. Основных угроз две, вместе они составляют одну категорию под названием Man-in-the-Middle. Подкатегории - Man-in-the-Browser и Man-in-the-Mobile. Это узконаправленные атаки, приходящие на смену банальному фишингу, задача которого - завладеть всем содержимым компьютера, понадеявшись на то, что пароли от систем онлайн-банкинга хранятся в файлах Word в папке "Мои документы" или в специально отведенном Excel-файле Password.xcl. Смешно, правда? Но именно поэтому хакеры хотят смеяться последними. И именно поэтому наступает время узконаправленных атак.

Очевидным последствием этих нововведений - и со стороны государства, и со стороны хакерского сообщества - станет попытка банков противостоять возможным угрозам. Банки займутся внедрением систем контроля платежей, дополнительных факторов и инструментов аутентификации. Возможно, большее распространение получат уже и сегодня распространенные SMS-ключи, хотя именно генерация пароля с помощью SMS в странах Запада считается одним из самых ненадежных способов защиты: SMS-пароль легко перехватывается, открывая простор для деятельности Man-in-the-Mobile, да и сама SMS может быть отправлена с компьютера злоумышленника.

Вполне вероятно, что в России станет развиваться рынок страхования банковских рисков, хотя сегодня, в отличие от Европы, в России, по мнению специалистов, риски операционной деятельности не страхуются, а значит банк не может переложить ответственность за возврат похищенных средств на плечи страховой компании. Рынок подобных страховых продуктов в России сегодня абсолютно не развит.

Очевидно, что как следствие действия нового закона и действий хакеров вырастет объем SMS-уведомлений о транзакциях, расходы на рассылку этих уведомлений, клиентскую поддержку и проведение антифродовых расследований. Но все это не решит главной задачи - укрепления систем ИБ, а необходимость в этом укреплении есть уже сейчас.

Каких решений ждут участники рынка НПС

В настоящий момент российские участники банковского рынка постепенно приходят к необходимости внедрения лучших мировых практик для защиты от узконаправленных атак. Самым эффективным из подобных решений признана система строгой мультифакторной аутентификации пользователя, применяемая сегодня в развитых странах Запада не только в банковской сфере, но и в сфере того же страхования - скажем, при оформлении мелких ДТП идентификация страхователя происходит мгновенно, и на сбор документов не требуется дополнительное время.

Рассмотрим, каким образом работает система в банковской сфере.

Любая аутентификация пользователя базируется на следующих параметрах:

• нечто, известное пользователю (пароль, ПИН-код);
• нечто, принадлежащее пользователю (кредитная карта, смарт-карта);
• нечто, что является самим пользователем (например, биометрические характеристики, такие как отпечатки пальцев).

Мультифакторная аутентификация - это использование более чем одного элемента из одной и той же категории (к примеру, логина и пароля). Несмотря на мультифакторность, такую аутентификацию нельзя при этом считать строгой, потому что она использует параметры из одной и той же категории. Строже ее делает использование параметров из другой категории. К примеру, использование пароля и PIN-кода ("нечто, известное пользователю") вместе с токеном или карты с дисплеем, генерирующим одноразовый пароль ("нечто, принадлежащее пользователю"), вместе с отпечатками пальцев ("нечто, что является самим пользователем").

Генерация одноразового пароля (ОТР, OneTimePassword) по принципу "запрос - ответ" запускается путем ввода на карте с дисплеем уникального кода (в Европе сейчас считаются наиболее безопасными коды из 12-14 цифр).

Таковы в общей сложности основные параметры всех решений, только начинающих завоевывать российский рынок ИБ. Они должны окончательно вытеснить ненадежные системы скретч-карт, генерации пароля при помощи SMS и бумажные носители.

Понятно, что внедрение этих систем обойдется банкам в дополнительные средства. Основываясь на европейском опыте, можно сказать, что за пять лет после внедрения в Европе аналогичного российскому закона по защите клиента банка (Директива о платежных услугах, принятая на уровне ЕС в 2007 г.), расходы на ИБ выросли в европейских банках на 15%. В России процент средств, затрачиваемых на информбезопасность из IT-бюджета банков, примерно равен европейскому, но следует учитывать высокую квалификацию российских хакеров, так что рост расходов на И Б может составить от 14 до 18%.

195-процентная выгода

Многие банки, понимая, что их расходы на усиление мер информационной безопасности в сфере онлайн-банкинга неизменно возрастут, серьезно задумываются об экономическом эффекте от внедрения дополнительных средств защиты. Конечно, дополнительного дохода проекты в сфере ИБ банку принести не могут, но они способны предотвратить или минимизировать серьезные финансовые потери, к которым приводят действия мошенников. Сокращение таких убытков - своего рода статья доходов и для многих банков важно знать, как ее посчитать.

С нашей точки зрения, для этой цели лучше всего использовать показатель ROSI (Return on Investment for Security). Впервые этот термин был введен в употребление специалистами в области IT Security в начале 2002 г. Сегодня этот показатель довольно часто используется при обосновании расходов на ИБ. Рассмотрим, как он рассчитывается.

Формула расчета ROSI:

ROSI = (ALE * Е - АС)/АС * 100%,

где ALE - показатель ожидаемых потерь от хищений в сфере онлайн-банкинга (Annua-lised Loss Expectancy);
E - эффективность мультифакторной системы защиты, о которой писали выше;
АС - затраты на внедрение.

Таким образом, в числителе - показатель ожидаемых потерь, помноженный на эффективность системы ИБ, минус ежегодные регулярные затраты на безопасность (поддержка, обслуживание и пр.); а в знаменателе - стоимость системы ИБ.

Рассчитывая ROSI, следует исходить из того, что совершенной системы информационной безопасности не существует. Поэтому показатель Е не может равняться 100% и варьирует в пределах 85%. Показатель ожидаемых потерь (ALE) рассчитывается эмпирически. Статистика показывает, что в банковской сфере он достигает 6% от прибыли банка. В сфере онлайн-банкинга он может достигать 10%. Показатель ALE должен отражать максимальный уровень потерь от мошенничества.

Перейдем к непосредственному расчету ROSI на конкретном примере. Итак, мы рассматриваем крупный банк, чистая прибыль которого составляет, к примеру, 325 млрд руб. Максимальный показатель потерь ALE этого банка может составить 19 550 млн руб. Коэффициент эффективности мультифакторной системы защиты Е в нашем случае - 85%. Расходы на внедрение дополнительных средств защиты составят 5600 млн руб. В эту сумму входят расходы на выпуск карт для клиентов банка (порядка 9 млн штук), защита серверов, приобретение лицензий на ПО и расходы на само внедрение. Подставляем все данные в исходную формулу:

( (19 500 000 000*0,85 - 5 600 000 000)/5 600 000 000) * 100% = 195%