Защита ДБО: борьба с внутренним и внешним врагом

Алексей Демин
управляющий корпоративными продажами
компании G Data Software в России и СНГ

Предлагая удобные сервисы, банки засасывают своих пользователей в Интернет, интегрируют общество в зону WWW. И это только начало, ведь именно с помощью банковских сервисов тестируется жизнеспособность концепта "умного города", где все процессы будут контролироваться глобальным компьютером, а людям останется лишь наслаждаться мирным существованием. Но перед его построением необходимо проверить, насколько подобная структура будет устойчива перед внешними вторжениями. Поэтому на примере ДБО изучаются все плюсы и минусы защиты такого интернет-общества.

Опасности для банков

Но, к сожалению, пока технологии защиты не всегда способны устоять перед тактикой нападения со стороны мошенников. Начиная с 2010 г. российские банки подвергаются регулярным атакам, нацеленным на системы ДБО. В 2011 г. интенсивность подобных актов киберпреступников значительно повысилась. Нет никаких оснований полагать, что наступивший или будущий год будет в этом отношении более спокойным. Привлекательная отрасль манит мошенников, провоцируя их попробовать свои силы. Угроз в любом случае будет еще больше.

Слабое звено банков

Несмотря на лавинообразный рост вредоносного ПО и атак на финансовые структуры, банки постоянно совершенствуют защитные технологии, специалисты оттачивают свое мастерство и отдельно взятые акции не могут заставить значительно усилить меры безопасности. Это процесс постоянный. В доверительной беседе с представителем одного российского банка я понял, что безопасность ДБО становится новым приоритетом для департамента ИБ, причем не только с точки зрения затраченных временных и защитных ресурсов, но в большей степени и финансовых. А как известно, осознание проблемы - уже большой шаг к выздоровлению.

Как и у любой системы, у банков есть уязвимое место - клиенты. Они традиционно являются слабым звеном из-за невозможности контроля их систем банком. Сайт банка - это всего лишь один из многих сайтов, которые мы, пользователи, открываем в течение дня. Для нас он мало чем отличается от нашей Web-почты или новостного портала. Пользователи целиком полагаются на заботу банков о целостности системы и сохранности клиентских денег. Действительно, многие банки предлагают клиентам продвинутые инструменты защиты счетов, в числе которых двухфакторная аутентификация с одноразовыми паролями, ЭЦП, смарт-карты и пр.

Киберпространство живет по правилам, отличным от банковской стратегии защиты: если есть слабое звено в цепи, оно будет атаковано. Даже серьезные оборонительные мероприятия не помогут оставить счет пользователя нетронутым, если пользователь не заботится о защите своего компьютера. Так, получили распространение атаки класса Man-in-the-Middle (человек в середине). Если не получается взломать банковскую систему изнутри, надо пробовать "пробить" защиту снаружи. Наиболее безопасный и простой путь - атаковать клиента, тогда он сам переведет деньги на счет злоумышленника. При этом вся проблема не стоила бы и выеденного яйца, если бы пользователь озаботился установкой антивирусной программы. Еще надежнее - антивирус с банковским модулем. И чем больше будет нерадивых пользователей, уверенных в своем моральном превосходстве над антивирусными системами, тем больше опасности для банков они будут представлять. Банкам, таким образом, приходится работать фактически во враждебной среде.

В процессе атаки мошенники используют "родные" интерфейсы интернет-банка, чтобы у пользователя не возникло ощущения подмены. Злоумышленники работают с кодами, которые пересылаются из браузера, установленного на домашнем компьютере жертвы, в банк. Фактически атака нацелена не на пользователя конкретного банка, а на всех пользователей банков, которые используют в своих системах дистанционного обслуживания определенные протоколы и регламенты. Надо понимать, что в вопросах защиты информации любая стандартизация - это всегда удар по безопасности, так как преступник знаком со всеми ограничениями, наложенными на жертву рамками закона или ведомственными требованиями. Все, что используется стандартно и по умолчанию, взламывается или обходится в первую очередь. Российские банки вынуждены использовать определенные технологии, а когда кто-то вынужден использовать что-то навязанное, это не всегда повышает эффективность. Основная проблема единых стандартов в том, что, как только найдена уязвимость, она сразу же будет использована против всех. Кстати, именно российские пользователи здесь защищены меньше других в мире. Такие специфические требования по использованию ПО невозможно себе представить, например, в Евросоюзе. Банк несет риски, а значит только он может определять, какие средства он будет использовать, чтобы эти риски минимизировать.

Решение проблемы

Борьба с мошенниками
В борьбе с кибермошенниками всех мастей эффект может дать только комплексный подход. Системы интернет-банкинга постоянно развиваются и модифицируются, появляются новые решения. Стоит только отдавать себе отчет в том, что использование готового решения ДБО от стороннего производителя, с одной стороны, может обойтись дешевле при его внедрении, но с другой - при обнаружении уязвимости в программном или аппаратном комплексе слабое звено системы поставит под угрозу все однотипные системы. Поэтому настоящую защиту может гарантировать только нестандартный подход с уникальными технологиями в самых необычных сочетаниях. Чем более сложная и нестандартная задача будет поставлена перед взломщиками, тем меньше вероятность, что их усилия увенчаются успехом.

"Борьба" с клиентами
Единственный способ обезопасить процесс ДБО со стороны пользователя - это доказать ему необходимость защиты своего ПК. Банк не может проникнуть в компьютер клиента и защитить себя от вредоносного кода, которым полна незащищенная система. Уверен, что нашему среднестатистическому пользователю не помешало бы ознакомиться с информацией об угрозах, которые могут его подстерегать на просторах Глобальной сети. До сих пор многие считают, что антивирус достаточно обновлять раз в неделю. А потом службам технической поддержки приходится ломать голову над тем, что же там не так с продуктом.

Банки по мере сил и возможностей решают эту проблему. Сегодня в любой памятке, прилагаемой к договору об услугах ДБО, существует отдельный пункт о том, что пользователь системы должен регулярно обновлять свой антивирус. Банкам в этом вопросе очень мешает невероятная самоуверенность их клиентов и традиционный русский "авось". Второй можно было бы даже вынести в название модуля обновления антивирусного ПО - "Антиавось". Рынку же в целом не хватает свободы. Сфера эта чрезмерно зарегулирована. Государство хочет контролировать частный бизнес во всех его видах, но не хочет понять, что этим способствует развитию методов ухода от этого контроля. Это как тропинки, которые жители нового района протаптывают именно там, где это действительно удобно. Вот только местные коммунальщики - еще одна российская беда - считают, что ходить удобно - это лишнее. Многие наши представители власти, к сожалению, управляют высокотехнологичными отраслями так же, как и ЖЭКом.

И конечно, лучший способ ничего не потерять - ничего не иметь. Примерно об этом же и распространенный тезис, касающийся проведения с помощью интернет-транзакций только небольших сумм. Также очень важен общий уровень внимательности при работе с системами ДБО. Если мы проанализируем поведение людей, попавших в дорожно-транспортное происшествие, мы заметим, что происходит это, как правило, в тот момент, когда кто-то из участников дорожного движения отвлекся, понизил уровень своего внимания и потерял контроль над ситуацией. Ведь правило, запрещающее за рулем разговаривать по мобильному телефону, введено не для того, чтобы лишить дополнительного дохода операторов сотовой связи, а именно из-за снижения внимания водителя при пользовании телефоном. Те, кто уверяет, что их личное внимание при разговоре по телефону не снижается, или супермены, или это те же люди, которые не обращают внимания на происхождение получаемых интернет-ссылок и файлов, работают без антивируса, не моют руки перед едой и грубят родителям. Правильно, это неразумные дети. Давайте оставаться детьми только там, где это не представляет опасности для окружающих: будьте бдительны при работе с важными приложениями и документами, регулярно обновляйте антивирус и... мойте руки перед едой!

Комментарий эксперта

Елена Толь

руководитель технического маркетинга компании ESET

В последние несколько лет термины "киберпреступники" и "интернет-мошенники" стали широко известны не только специалистам в области информационной безопасности, но и рядовым пользователям компьютеров. Число преступлений в сфере дистанционного банковского обслуживания неумолимо растет, поскольку данный вид мошенничества является одним из наиболее распространенных и прибыльных, согласно статистике экспертов и правоохранительных органов.

Из года в год программно-аппаратные средства защиты информации становятся более функциональными и взломоустойчивыми, при этом на достаточно высокий уровень выходит оснащение банков с точки зрения безопасности. Но вместе с тем растет и количество угроз - это не только сложное вредоносное ПО, но и фишинговые сайты, перенаправляющие данные пользователей, DDoS-атаки на Web-ресурсы компаний, целенаправленные атаки на системы интернет-банкинга, хищение личных данных пользователей. Известны также новые схемы обмана с использованием SMS-сообщений. Кроме того, в России наблюдается новая волна скимминга - скрытое считывание данных с банковских карт при использовании банкомата.

К сожалению, немногие домашние пользователи используют простые правила безопасности, не говоря уже о программных средствах для защиты своего компьютера. Результатом подобного пренебрежения к безопасности становится потеря финансовых средств, чаще всего в крупных размерах, при использовании сети Интернет для осуществления банковских транзакций.

В большинстве случаев взлом системы и кража данных происходят с помощью вредоносного ПО, которое распространяется через Интернет. Поэтому для защиты компьютера и безопасного дистанционного управления банковскими счетами специалисты компании ESET рекомендуют устанавливать надежные антивирусные решения не только на ПК, но и на мобильные устройства.

Кроме того, существуют такие интернет-угрозы, для обезвреживания которых необходимо провести дополнительный анализ. Для обеспечения комплексной и эффективной защиты от киберугроз мы запустили абсолютно новый сервис ESET Consulting - это целый спектр услуг по обеспечению информационной безопасности с точки зрения противодействия инцидентам и киберпреступности.

Таким образом, только комплексный подход и сочетание нескольких методов борьбы с современными видами интернет-мошенничества позволят снизить риски систем дистанционного банковского обслуживания как для банков, так и для пользователей.

ESET
115114 Москва,
Дербеневская наб., 7, стр. 14
Тел/факс: (495) 797-2694
E-mail: partner@esetnod32.ru
www.esetnod32.ru