Коли кіберзлочин страшніший за боргову кризу

Iгор Рожков 5 липня 2013, 19:00
Хакер

Читайте також

Із розвитком інформаційних технологій кількість способів атаки на банківські рахунки зростає в геометричній прогресії, як і число охочих ці способи випробувати. Недавно керівник відділу фінансової стабільності Банку Англії Ендрю Хелдейн заявив, що найбільші п'ять банків Великобританії бояться кіберзлочинів навіть дужче, ніж боргової кризи. За його словами, система захисту від хакерських атак у банківському секторі досі перебуває в зародковому стані: фінансисти більше дбали про ліквідність, аніж про безпеку. Однак останні кіберпограбування — наприклад вкрадені хакерами з рахунків у банках США 45 млн дол., змусили керівництво установ замислитися про вкладення в захист від комп'ютерних атак.

В Україні це також серйозна проблема. "Останнім часом кіберзлочинці трохи послабили свою увагу до карткового сектора і переключилися на онлайн-системи. Дедалі зменшується вплив "рейнджерів"-одиночок і дедалі збільшується вплив організованих груп злочинців", — констатує Андрій Білокінь, начальник відділу інформаційної безпеки ПАТ "Авант-Банк". За його словами, в 2012 р. в Україні було зафіксовано 139 фактів несанкціонованого списання коштів з рахунків підприємств із порушенням роботи систем дистанційного банківського обслуговування (СДО). Загальна сума збитку становить понад 116 млн грн, з яких 75% було повернуто. На початку 2013 р. було зафіксовано 14 таких фактів на загальну суму 9,4 млн грн, із них вдалося повернути постраждалим близько 8,3 млн грн, або 88%.

Банкіри та їхні клієнти дедалі більше турбуються про інформаційно-технічну безпеку коштів на рахунках. Більше того, щоб запобігти виникненню проблем, у яких клієнт зможе звинуватити фінансову установу, банки дедалі частіше самостійно ініціюють розробку і впровадження правил ІТ-безпеки для корпоративних клієнтів. А деякі навіть готові самостійно перевіряти, наскільки клієнт готовий до тієї чи іншої форми атаки.

На думку начальника відділу інформаційно-технічного захисту ПАТ "КБ "Південкомбанк" Єгора Ізотова, попри те що спроби протиправного заволодіння коштами клієнтів із кожним роком частішають, а дії зловмисників стають дедалі витонченішими, правильне формування системи захисту своїх рахунків і роботи в системі "клієнт—банк" дозволяє мінімізувати такі ризики. А багаторівнева система захисту зводить їх практично до нуля.

Без зайвих витрат

За словами експерта, щоб уникнути вторгнення зловмисників, необхідно дотримуватися таких базових правил. По-перше, слід використовувати тільки ліцензійне програмне забезпечення, оскільки неліцензійний софт може містити або відкривати "лазівки" для зчитування інформації з комп'ютера. "Втрати в результаті розкрадань можуть бути в сотні разів більшими, ніж витрати на легальне ПЗ", — зазначає Є.Ізотов. Також необхідно використовувати антивіруси та мережеві екрани відомих виробників із регулярним автоматичним оновленням баз і перевіркою комп'ютера. Експерти "Південкомбанку" також не рекомендують використовувати комп'ютер системи "клієнт—банк" для будь-яких інших цілей, крім проведення операцій зі своїми рахунками, а також використовувати системи дистанційного управління комп'ютером.

Є кілька прописних істин щодо ІТ-безпеки, які, проте, регулярно ігноруються фінансово відповідальними працівниками компаній. Перша — не виходити в систему "клієнт—банк" через "небезпечні" комп'ютери (наприклад в інтернет-кафе), не використовувати Wi-Fi-підключення, тим більше в публічних місцях. Друга — використовувати вхід у систему тільки через пароль. При цьому бажано, щоб пароль містив не менш як 15 символів і змінювався не рідше ніж один раз на два місяці. Після звільнення відповідального співробітника, а також у разі зараження комп'ютера вірусами потрібно повністю міняти паролі, чистити кеш, перевіряти антивірусом усі системи "клієнт—банк", з якими він стикався, зазначає Є.Ізотов. "Якщо банк надає таку можливість — користуватися електронними ключами (так званими е-токенами). У жодному разі не зберігати ключі системи на жорсткому диску", — резюмує він.

Крім того, бажано, щоб платіжні документи підписувалися двома ключами електронно-цифрового підпису (наприклад директора і бухгалтера), що зберігаються незалежно один від одного. За словами Андрія Білоконя з Авант-Банку, завдяки правилу "двох рук" варіант передачі електронного цифрового підпису, паролів та іншої інформації "з необережності" трапляється дуже рідко. Але якщо трапляється, то тільки тоді, коли такої "необережності" припустилися одночасно кілька людей. А це вже змова.

Щоб банку було легше захищати рахунки клієнтів, експерти радять користуватися системою фільтрації IP-адрес входу системи "клієнт—банк". Суть послуги в тому, що банк отримує точні IP-адреси, при підключенні з яких можливе проведення платежів. З решти адрес воно просто блокується. Крім того, доцільно підключити послугу СМС-інформування про платежі, якщо ця можливість надається банком.

"Для фізосіб практично всі банківські онлайн-системи використовують підтвердження операцій динамічними паролями — це дозволило підняти рівень захисту таких операцій на прийнятний рівень. Але й тут не все ідеально: якщо клієнти-"фізики" прив'язують у СДО рахунок до номера мобільного телефону, це потрібно робити з контрактним номером, оскільки препейди шахраї навчилися обходити", — каже А.Білокінь.

Безпека "для чайників"

Втім, далеко не всі клієнти розуміють важливість багаторівневого захисту і необхідність самостійно контролювати власний рівень безпеки. Багатьом просто бракує знань. Саме тому банкіри йдуть далі і пропонують послугу з перевірки робочих місць клієнтів на предмет захищеності від хакерських вторгнень. Суть послуги полягає в тому, що банківські фахівці, використовуючи напрацьовані всередині установи системи захисту від фінансових кібершахраїв, забезпечують клієнту надійний рівень безпеки, який мінімізує втрати в майбутньому.

"Як показав наш аналіз, успішні шахрайські операції в системах "клієнт—банк" та "інтернет-банкінг" часто є наслідком недотримання вимог інформаційної безпеки з боку клієнтів. Їм украй необхідна інформаційна підтримка в цьому питанні. Тому нам стало очевидно, що завдання забезпечення захисту інформації та збереження коштів клієнтів може й повинно вирішуватися спільними зусиллями банку і клієнта", — розповідає про послугу перевірки інформаційної безпеки робочих місць клієнтів начальник управління корпоративних продуктів та сервісу АТ "ОТП Банк" Ольга Байцар.

За її словами, банк, на відміну від зовнішніх провайдерів, має інформацію про "поведінку клієнта" в системі "клієнт—інтернет-банкінг", про характер і особливості шахрайських атак. Таким чином, банк може таргетовано формувати необхідні умови інформаційної безпеки на боці клієнтів і, відповідно, надавати клієнтам практичні рекомендації, а не теоретичні припущення. Наприклад з антивірусного програмного забезпечення, рівня безпеки налаштувань браузерів, поштових програм, зберігання секретних ключів і багатьох інших параметрів.

Однак хоч би якою надійною була система захисту та гарантування безпеки, налаштована банківським працівником, головний фактор ризику — людський — залишається незмінним. І якщо сам клієнт не готовий приділяти увагу схоронності своїх грошей, контролювати працівників, які мають доступ до системи "клієнт—банк", рано чи пізно він заплатить за це сповна з власної кишені.

Помітили помилку?
Будь ласка, виділіть її мишкою та натисніть Ctrl+Enter
2 коментаря
  • Владимир 6 июля, 06:59 Банки сознательно предлагают клиентам дешевые, но заведомо слабые решения клиент-банк. При этом по договору ответственность, риски - на клиенте. Достаточно выполнять стандартные требования к безопасности секретного ключа клиента и количество взломов упадет на два, а то и три порядка. Відповісти Цитувати Поскаржитись
  • Володимир 6 июля, 06:55 На процентов девяносто безопасность систем "клиент-банк"зависитт от секретного ключаэлектронно-цифровойй подписи. Такой ключ, по всем известным международным стандартам, должен генерироваться, храниться, работать, то есть подписывать документы, не в персональном компьютере, а в безопасном аппаратном модуле. Секретный ключ из такого модуля нельзя извлечь никакими способами. И такие модули производятся и в Украине, и за рубежом. Украинские банки предлагают клиентам секретные ключи на флешках, дискетах или даже написанные на бумажках. Уже пять лет назад было очевидно, что массовые взломы вопрос времени. Відповісти Цитувати Поскаржитись
Реклама
Останні новини
Курс валют
USD 24.80
EUR 27.50