Безопасность систем дистанционного банковского обслуживания

Безопасность  систем дистанционного банковского  обслуживания

Сегодня дистанционное обслуживание заняло ключевые позиции в портфеле услуг финансовых учреждений. К сожалению, о необходимости обеспечения  безопасности этих услуг зачастую забывают.

За последние годы система  дистанционного банковского обслуживания превратилась из дополнительного в  основной инструмент предоставления услуг. К такому результату привели несколько  процессов. Это и общее распространение  он-лайн технологий, предоставляющих пользователям максимальную мобильность и удобство. И перевод всех доступных операций «в сеть», что позволяет существенно снизить затраты на оказание услуг в отделениях банка. Положительный как для клиента, так и для банка сценарий закономерно привел к тому, что дистанционное обслуживание (ДБО) сегодня у банков в приоритете.  
 
На сегодняшний день российский рынок финансовых услуг, которые предоставляются дистанционно, предлагает более сотни различных решений. В их числе системы мобильного банкинга, интернет-банкинга, клиент-банки как для физических, так и для юридических лиц. Порядка 40% систем являются собственными разработками, оставшаяся часть – коробочными продуктами или заказной разработкой внешних девелоперских компаний.  
 
К сожалению, внедрение новых услуг по требованию бизнеса сопровождается отсутствием должного внимания к существенному фактору – безопасности использования систем. В одних случаях о нем вовсе забывают. В других – к вопросам безопасности информации подходят частично и поверхностно, создавая лишь иллюзию защищенности. Критичность этих процессов наглядно демонстрируют заголовки новостных агентств, все чаще сообщающие о компрометации систем дистанционного обслуживания и хищении денег у клиентов. Если учесть при этом, что процент «утечки» инцидентов крайне невелик, масштаб махинаций впечатляет.  
 
Безопасность систем дистанционного обслуживания  
 
В вопросе обеспечения безопасности дистанционного обслуживания важно сделать особый акцент на двух принципах: процессном подходе и комплексном обеспечении информационной безопасности.  
 
Тезис о том, что «безопасность – это процесс», звучит достаточно часто. На практике он встречается гораздо реже. В других случаях вместо постоянной систематической деятельности по поддержанию и улучшению процессов имеет место скачкообразный процесс – выполнение процедур от случая к случаю. Конечно, при таком подходе достигается определенный уровень безопасности и, возможно, при очередном «скачке» уровень защищенности в течение некоторого времени будет довольно высок. Однако в таком случае вы принимаете на себя те же риски, как если бы закрывали входную дверь через раз, полагаясь на то, что грабитель будет проходить мимо именно в те разы, когда дверь заперта.  
 
В рамках безопасности систем дистанционного обслуживания рекомендуется реализовать, как минимум, следующие процедуры:  
 
- разграничение прав пользователей и контроля доступа,  
- работа с аутентификационными данными,  
- контроль парольной политики,  
- использование криптографии и обращение с криптографическими ключами,  
- антивирусная защита,  
- обеспечение безопасности корпоративной сети,  
- межсетевое экранирование,  
- анализ защищенности и внутреннего аудита,  
- резервное копирование и аварийное восстановление,  
- обеспечение непрерывности,  
- обеспечение физической защиты,  
- обеспечение безопасности прикладного и системного ПО,  
- мониторинг событий и реагирование на инциденты информационной безопасности,  
- повышение осведомленности клиентов и сотрудников в вопросах информационной безопасности,  
- внесение изменений и обновления программных средств.  
 
Стоит отметить, что порой понятие «процессного» подхода перерастает в настолько сложную бюрократическую процедуру, что не остается места самому действию. Важно понимать, что качество внедряемой процедуры напрямую зависит от степени ее выполнимости, а чрезмерно сложные действия сотрудники в лучшем случае будут выполнять только формально, «для галочки».  
 
Комплексный подход  
 
Комплексный подход в обеспечении безопасности можно проиллюстрировать следующим образом: представьте свой дом, вы поставили железную дверь с огромным замком, установили перед дверью систему видеонаблюдения и охранную сигнализацию, при этом окна оставляете открытыми настежь. Или: закрыли окна двойным слоем решеток, добавили самую современную систему обнаружения взлома, внутри дежурят сотрудники охраны, но при этом все ценности лежат снаружи, а в доме лишь голые стены. Звучит нелепо, но в области информационных технологий такая картина не редкость.  
 
Если рассмотреть архитектуру систем дистанционного обслуживания, можно условно выделить несколько основных уровней: программное обеспечение (ПО) клиента, прикладное ПО, системное ПО (web-сервер, СУБД, операционная система) и сетевая инфраструктура, физическое размещение и пользователи.  
В ходе обеспечения безопасности систем ДБО необходимо проработать защитные механизмы на всех уровнях. При этом их реализация в каждом случае должна определяться индивидуально в зависимости от типа взаимодействия и функциональности системы.  
 
Безопасность клиентов  
 
Безопасность «клиентской стороны» – головная боль специалистов по информационной безопасности. Причины тут очевидны: сторона клиента априори считается не доверенной, а навязывание требований по безопасности противоречит пожеланиям бизнеса в максимально простом использовании систем на всех популярных платформах. Основной мерой защиты в данном случае выступает двухфакторная аутентификация (одноразовые пароли, sms-код, значение криптокалькулятора, криптотокен), позволяющая противодействовать зловредному ПО, осуществляющему кражу аутентификационных данных. Также все чаще банки разрабатывают для клиентов обучающие программы, освещающие основные вопросы информационной безопасности и противодействия мошенничеству. Однако, несмотря на все предпринимаемые меры, атаки на клиентов активно осуществляются злоумышленниками и являются одним из самых распространенных способов компрометаций.  
 
Отдельного внимания заслуживают клиенты мобильных средств, активно внедряемые в последнее время. Современные мобильные устройства в силу своей популярности находятся под пристальным вниманием исследователей, что отражается в периодических сводках вновь обнаруженных уязвимостей как системного, так и прикладного ПО. Тем не менее, это не заставляет разработчиков мобильных приложений уделять повышенное внимание безопасности в ходе проектирования и реализации приложения и, как показывает практика, использовать уже имеющиеся стандартные методы защиты.  
 
Безопасность прикладного ПО  
 
Уязвимости прикладного программного обеспечения также популярны среди взломщиков банковских систем. Несмотря на множество ресурсов, которые освещают методы компрометации и популярные недостатки, возникающие при разработке программных продуктов, уровень знаний в области безопасного программирования остается достаточно низким, а процессы разработки включают требования по безопасности лишь в редких исключениях. Анализ защищенности, регулярно проводимый специалистами компании «Информзащита», наглядно демонстрирует недостатки. Весомая доля приложений содержит наиболее популярные уязвимости: SQL инъекции, XSS, CRSF, переполнение буфера, некорректное использование криптографических алгоритмов.  
 
Опираясь на современные тенденции, следует отметить, что обеспечение безопасности в программных продуктах – уже не дополнительный плюс, а одно из основных требований бизнеса. Первым шагом к повышению уровня безопасности разрабатываемого ПО может стать внедрение процессов обучения разработчиков, безопасного программирования, анализа исходного кода и тестирования безопасности, а также независимый анализ и контроль защищенности разработанных продуктов.  
 
Безопасность системного ПО и сетевой инфраструктуры  
 
Стальная массивная дверь с мощным замком глупо смотрится в стене, сколоченной из гнилых досок. Так и самое защищенное приложение, работающее в среде операционной системы с критичными уязвимостями, на web-сервере, подверженном DOS-атаке или использующем СУБД с правом доступа удаленных пользователей на основании данных, установленных по умолчанию, будет не в состоянии противостоять действиям злоумышленника.  
 
Обеспечение безопасности систем, на базе которых работает система дистанционного обслуживания, а также всех смежных систем, прямо или косвенно влияющих на уровень исходной защищенности, не менее важно, чем защита самого прикладного ПО. Настройка безопасности должна быть не разовым явлением, выполненным на усмотрение администратора, а процессным явлением, обеспечивающим актуализацию и постоянство конфигураций всех типов системных компонентов.  
 
Физическая безопасность и пользователи системы  
 
Последним по списку, но не по значению идет обеспечение безопасности физического окружения. Нет смысла осуществлять настройку безопасности всех компонентов, строить сложную систему защиты информации, если злоумышленник может получить доступ непосредственно к аппаратным компонентам системы. Бесполезно защищаться от DOS и DDOS атак при отсутствии в серверной комнате должного кондиционирования и системы пожаротушения, приводящем к глобальному «отказу в обслуживании».  
 
Также нельзя забывать о сотрудниках, имеющих легитимный доступ к системе. Часто именно невнимательные действия сотрудников, действующих абсолютно без корыстных намерений, приводят к утечкам данных и компрометации системы. Простой и надежной мерой является периодическое обучение пользователей, наглядная демонстрация последствий пренебрежительного обращения с защищаемой информацией и популярных методов мошенничества.  
 
Оценивая и обеспечивая уровень защищенности систем банковского обслуживания, часто рассматривают только непосредственно само прикладное ПО, уподобляясь слепым мудрецам, ощупывающим слона. По-настоящему же полную картину можно увидеть, только если оценивать систему на всех уровнях, как текущий уровень обеспечения безопасности, так и поддерживающие процессы.