Совершенствование методов обеспечивающих безопасность в системах ДБО на ОАО "Промсвязьбанк" - Дистанционное банковское обслуживание клиентов в России

При рассмотрении основных рекомендаций и расчета для них экономической эффективности, хотелось бы отметить не мало важную деталь использования ДБО - это безопасность систем.

Рассмотрим, какие технологии безопасности и контроля доступа к СДБО в настоящее время применяются в ОАО "Промсвязьбанк". Прежде всего технологии безопасности и контроля доступа следует разделить на две категории: технологии безопасности для входа в СДБО и технологии безопасности для совершения операций (подачи заявок на операции) после успешного входа в СДБО[25 c.49].

Технологии безопасности и контроля доступа для входа в СДБО обычно в банке применяются следующие:

    - вход в систему посредством ввода символьных логина и пароля; - вход в систему посредством ввода уникального одноразового кода, получаемого клиентом от банка на мобильный телефон при запросе на вход.

И если несанкционированный вход в систему чреват только утечкой конфиденциальной информации о состоянии счета клиента и проводимых им операциях, то возможность несанкционированного совершения операций от имени клиента в СДБО приводит к необратимым финансовым потерям.

Технологии безопасности для совершения операций (подачи заявок

На операции) после успешного входа в СДБО обычно в ОАО "Промсвязьбанк" применяются следующие:

    - принятие заявки посредством ввода уникального одноразового кода, получаемого клиентом от банка на мобильный телефон при запросе на совершение банковской операции; - принятие заявки на совершение банковской операции только после ввода уникального одноразового кода, имеющегося у клиента, и получаемого клиентом от банка на твердом носителе только в офисе банка; - принятие заявки на совершение банковской операции только при наличии электронного ключа, вставляемого в USB-порт компьютера.

Из перечисленных технологий большинство в ОАО "Промсвязьбанк" активно используют только первую. И только немногие банки предлагают своим клиентам вторую и третью технологии обеспечения безопасности.

В некоторых случаях банки практикуют некоторые вторичные (сопутствующие) меры пассивной безопасности, которые сами по себе не предотвращают несанкционированный доступ, но способны выявить его факт на ранних стадиях, а именно:

    - SMS-информирование о входе в систему и совершаемых операциях; - телефонный звонок клиенту при совершении по счету множества операций или операций на крупные суммы (автор данной статьи при подаче ряда заявок получал такие звонки для подтверждения своих действий, причем от служб безопасности разных банков); - отказ в выполнении заявки (временное приостановление) в случае, если была заменена SIM-карта в мобильном телефоне клиента.

На первый взгляд, такая мера обеспечения безопасности, как принятие

Заявки посредством ввода уникального одноразового кода, получаемого клиентом от банка на мобильный телефон при запросе на совершение банковской операции, может показаться достаточной. В большинстве случаев этим ограничиваются. Однако, следует иметь в виду, что существуют технологии, позволяющие изготовить действующий дубликат (клон) SIM-карты. Да, для этого необходимы соответствующие знания и оборудование. Но профессиональные мошенники способны решить эту задачу. Поэтому такая мера, особенно если она единственная, на сегодняшний день представляется уже недостаточной.

Довольно слабо выдерживает критику и метод входа в систему посредством ввода символьных логина и пароля. И хоть их длина может быть достаточно большой, они могут быть утрачены или похищены. К сожалению, операционная система Windows способна запоминать эти данные в специальном служебном файле, а это означает, что этот файл может быть скопирован, если к компьютеру будет получен удаленный доступ путем атаки или внедрения компьютерного вируса - "червя". Соответствующее вредоносное программное обеспечение уже давно стоит на вооружении у злоумышленников.

Существуют также и методы его внедрения, основанные на уязвимостях операционных систем и интернет-браузеров. Даже если на компьютере клиента не сохраняются логины и пароли, то злоумышленники все равно могут их получить, внедрив на компьютер клиента другой вид вредоносного ПО - так называемый "кейлоггер", который отслеживает и запоминает нажатия клавиш на клавиатуре, а затем передает эту информацию злоумышленнику.

Типичная схема информационного взаимодействия банка и клиента Данная схема имеет два канала информационного взаимодействия:

- дуплексный канал посредством сети "Интернет" и симплексный канал посредством сети сотовой связи. После введения клиентом правильных логина и пароля на сотовый номер клиента банк отправляет SMS-сообщение с одноразовым кодом доступа, который клиент вводит на странице авторизации, то есть направляет в СДБО через Интернет.

Определенный уровень стойкости процесса информационного взаимодействия обеспечивается расчетом на относительно низкую вероятность одновременного НСД со стороны злоумышленника к обоим этим каналам одновременно[42].

Повышение уровня защищенности СДБО в ОАО "Промсвязьбанк" будем рассматривать по следующим направлениям:

    - средства и методы авторизации, устойчивые к вредоносным программам типа "кейлоггер", червям и троянам, похищающим файлы с авторизационными данными; - средства и методы усложнения схемы информационного взаимодействия банка с клиентом, снижающие вероятность получения контроля со стороны злоумышленника ко всем необходимым информационным каналам.

В настоящее время наиболее распространенным является способ авторизации путем ввода с клавиатуры символьных логина и пароля. Как уже отмечалось, у этого способа имеется значительная уязвимость, поскольку перехват кодов нажимаемых клавиш позволит злоумышленнику завладеть авторизационными данными. В качестве противодействия данной угрозе многие банки внедрили в своих системах виртуальную клавиатуру, которая отображается на клиентском компьютере, и ввод логина и пароля происходит

Не нажатием реальных клавиш, а кликанием мышью на виртуальные кнопки на экране компьютера. Этот способ действительно позволяет повысить уровень защищенности, но только в том случае, если злоумышленник использует программу типа "кейлоггер". Однако, используя другой подход, а именно - перехватывание информации о движениях мыши и нажатии ее кнопок (которых обычно только две или три) с помощью программы "мауслоггер", узнать вводимый логин и пароль становится возможным. Хотя программа типа "мауслоггер" и не выдает на выходе злоумышленнику готовые логин и пароль, тем не менее, получив данные о траектории движения мыши и моментах нажатия ее кнопок, и сопоставив их с графическим отображением виртуальной клавиатуры, пароль можно вычислить если не однозначно, то по крайней мере, можно получить всего несколько вариантов, один из которых должен оказаться верным.

Другим способом аутентификации является использование графических паролей. Данная технология основана на выборе пользователем определенных мест в графическом объекте или выборе определенной последовательности графических объектов. Несмотря на известность данной технологии, она еще пока мало распространена. Достоинством данной технологии является то, что она является устойчивой к кейлоггерам и мауслоггерам и эффективность их применения близка к нулю.

Можно назвать две основные системы графических паролей. В первом случае пользователь должен последовательно кликнуть мышью в нескольких местах в пределах примерно десятка пикселей на большом графическом изображении. Подобрать такой пароль крайне сложно. Например, при размере одной области изображения 60Ч60 пикселей и общем количестве областей 128 изображение с запасом размещается на экране VGA. Количество возможных комбинаций из трех неповторяющихся объектов из 128 составит.

Переходя к вопросу оптимизации и совершенствования схемы информационного взаимодействия банка с клиентом, следует отметить, что в целях повышения уровня защищенности от постороннего вмешательства целесообразно удлинить процедуру авторизации и ввести дополнительные каналы взаимодействия.

В частности, заслуживают внимания следующие меры:

    - введение второго канала информационного обмена по сети сотовой связи; - введение дуплексного режима обмена информацией по сети сотовой связи.

В первом случае клиент получает на один из своих телефонных номеров сразу два секретных одноразовых кода. Один из них, как и в традиционной процедуре, он отправляет в СДБО через Интернет, а второй - отправляет в виде ответного SMS-сообщения на специально выделенный телефонный номер банка, причем делает это со своего второго телефонного номера (задействуется второй канал сотовой связи). Достоинством данного способа будет являться тот факт, что информация от клиента поступает в банк по двум различным каналам.

Однако, исходящие SMS-сообщения могут быть платными, что делает такую схему авторизации зависимой от баланса счета. Поэтому во втором случае можно построить процедуру так, чтобы клиент получал на оба своих телефонных номера по одному секретному коду и затем направлял их в ДБО через Интернет.

В любом из этих случаев, уровень защищенности повышается, так как злоумышленнику будет необходимо осуществить перехват SMS-сообщений уже сразу с двух различных мобильных номеров от разных операторов связи.

Подводя итог вышеизложенного, можно перечислить набор средств и методов, совместное применение которых в процедурах авторизации способно повысить уровень защищенности от НСД в СДБО в ОАО "Промсвязьбанк":

    - ввод символьных логина и пароля, набираемых пользователем на виртуальной клавиатуре со случайной раскладкой клавиш; - ввод графического пароля; - ввод уникального одноразового кода, получаемого клиентом от банка на мобильный телефон; - ввод двух различных уникальных одноразовых кодов, получаемых клиентом от банка на два различных мобильных телефона, зарегистрированных у разных операторов сотовой связи; - отправка в виде SMS-сообщения на специальный номер банка уникального одноразового кода со второго сотового телефона, принадлежащего клиенту; - ввод уникального одноразового кода, имеющегося у клиента, и получаемого клиентом от банка на твердом носителе только в офисе банка; - использование электронного ключа, вставляемого в USB-порт компьютера.

Введение дополнительных этапов в процедуру авторизации и расширение схемы информационного взаимодействия СДБО банка с клиентом позволит повысить общий уровень защищенности системы от НСД со стороны злоумышленников и криминальных посягательств.

Похожие статьи




Совершенствование методов обеспечивающих безопасность в системах ДБО на ОАО "Промсвязьбанк" - Дистанционное банковское обслуживание клиентов в России

Предыдущая | Следующая