12 января, 2012, BIS Journal №1(4)/2012

Платите удобно и безопасно


Сизов Александр

Руководитель группы удостоверяющего центра и СКЗИ (ОАО Банк ВТБ)

Обзор средств и организационных мер, используемых для обеспечения безопасности в системах ДБО физических лиц

Кредитные организации в России в настоящий момент предоставляют широкий спектр услуг как предприятиям и организациям, так и частным лицам. Если ранее банки были в основном заинтересованы в привлечении крупных клиентов из числа юридических лиц, то сейчас, в связи с ростом благосостояния населения, банки стремятся заработать и на обслуживании физических лиц. Одним из необходимых условий для кредитных организаций при привлечении физических лиц на обслуживание является удобство взаимодействия потенциального клиента с банком.

ВСЁ ДЛЯ КЛИЕНТА, А ЗАОДНО И ДЛЯ БАНКА

Для решения данной задачи банки в Российской Федерации используют системы дистанционного банковского обслуживания, которые позволяют клиенту произвести подготовку и оплату платежных поручений, получить выписку по пластиковой карте, произвести оплату за услуги ЖКХ, сотовой связи, интернет-магазинов, разместить и закрыть депозиты и так далее.

Стоимость проведения операции, параметры которой внесены клиентом самостоятельно, для кредитной организации существенно ниже платежа,сформированного операционистом в офисе банка. Это легко объяснить экономией кредитной организации на зарплату сотрудникам, арендных и коммунальных платежах, которые неизбежны при обслуживании клиентов в операционном офисе. Так как банки являются коммерческими организациями, внедрение систем дистанционного банковского обслуживания (ДБО) ведет к повышению рентабельности и конкурентоспособности бизнеса.

Также, предлагая услуги ДБО, кредитные организации могут привлекать новых клиентов − физических лиц, которые проживают в существенном удалении от операционных офисов и ранее активно не пользовались банковскими услугами. В качестве примера можно привести ситуацию с ОАО «Новобанком» в Новгородской области: предлагая услуги ДБО, банк сумел расширить клиентскую базу за счёт граждан, проживающих в небольших городских населенных пунктах и в сельской местности.

ПОЧЕМУ ЧЕРЕЗ ИНТЕРНЕТ УДОБНЕЕ И ДЕШЕВЛЕ

Реализация таких функций возможна с использованием различных типов доступа: сети интернет с персонального компьютера клиента, через устройство самообслуживания, банкомат или с мобильного телефона. В этой статье мы не будем рассматривать функциональное наполнение тех или иных систем ДБО. Ограничимся способами обеспечения безопасности при доступе к финансовой информации и проведении платежей с обычного персонального компьютера через интернет. В настоящее время этот вид доступа получил среди клиентов широкое распространение в силу удобства и простоты использования, невысокой стоимости, а также благодаря стимулирующей тарифной политике банков.

Использованию этого типа доступа в Москве способствовала, в частности, отмена компенсаций предприятиям жилищно-коммунального хозяйства (ЖКХ) стоимости банковских услуг при проведении платежей со стороны Правительства Москвы. Филиалы ОАО «Сбербанк России» тут же ввели за проведение платежа через операциониста комиссию в размере до 3% от суммы платежа, а при проведении платежей через систему «Сбербанк Онл@йн» сумма комиссии составляет 1%, без установления минимальной стоимости платежа.

Затраты клиента при оплате аналогичных платежей через системы ДБО других банков составляют 0,3-0,6% размера платежа, но не менее определенной суммы. Например, при оплате услуг ЖКХ через операциониста в «Сбербанке» при платеже в 3 500 рублей вы заплатите 105 рублей, а при оплате через одну из систем ДБО коммерческих банков (ВТБ24) – 15 рублей. В данном случае разница в сумме оплаты за услуги составляет 90 рублей − в 7 раз. Можно посчитать, сколько можно сэкономить на платежах за услуги ЖКХ за год, используя ДБО, а не через банковского операциониста.

В случае с ОАО «Новобанк» основным аргументом подключения к системе ДБО при беседе с клиентом является отсутствие комиссии при оплате услуг ЖКХ, мобильных операторов связи и электроэнергии. Комиссия в терминалах самообслуживания в небольших населенных пунктах при оплате наличными мобильной связи в Новгородской области доходит до 5% суммы платежа. Да и за общественный транспорт, на котором многим приходится добираться до ближайшего терминала оплаты или отделения банка, большинству граждан приходится платить, в том числе личным временем, поскольку ходит он не всегда регулярно.

Таким образом, клиент при использовании системы ДБО для платежей получает не только удобство заполнения платежных документов, отсутствие очередей, сокращение транспортных расходов и экономию времени на визиты в банк, но ещё и ощутимо экономит денежные средства. Тем более что у значительного числа банков плата за услугу подключения к системе ДБО или отсутствует, или незначительна, а поручения на проведение операций принимаются, как правило, в любое время.

ЗАЩИТА ФИНАНСОВОЙ ИНФОРМАЦИИ ПРИ ПЕРЕДАЧЕ ДАННЫХ

Большинство систем ДБО, применяемых российскими банками для обслуживания физических лиц, используют WEB-интерфейс для доступа клиентов к услугам кредитной организации. Установка соединения с сервером банка производится с использованием протокола HTTPS для обеспечения защиты передаваемых данных между сервером банка и компьютером клиента. Протокол HTTPS — расширение протокола HTTP, поддерживающее криптографическую защиту. Передаваемые данные при этом «упаковываются» по протоколу SSL или TLS с использованием шифрования и цифровой подписи.

Чтобы использовать протокол HTTPS на WEB-серверах, предоставляющих интерфейс системы ДБО, кредитные организации выпускают сертификаты в публичных удостоверяющих центрах, внесенных в операционной системе Windows в список «Доверенных корневых центров сертификации» («Trusted Root Certification Authorities»).

Выпуск сертификатов серверов в вышеупомянутых центрах позволяет избежать появления предупреждений операционной системы о необходимости проверки таких сертификатов при установлении соединения по протоколу HTTPS при стандартных настройках WEB-браузера. Обычно срок действия сертификатов для таких серверов составляет 2 года. Российские банки используют сертификаты, выпущенные в центрах сертификации компаний GeoTrust (ВТБ24), VeriSign (ОАО «Сбербанк России», ЗАО КБ «Ситибанк», ЗАО «ЮниКредит Банк»), Thawte (ОАО АКБ «Авангард», ОАО «Альфа-Банк», ОАО «Московский кредитный банк», ОАО «Промсвязьбанк», ЗАО «Райффайзенбанк»).

Большинство систем ДБО российских банков на стартовой странице содержат справочные материалы об обеспечении безопасности при проведении клиентом финансовых операций. В частности, описан порядок проверки факта корректной установки соединения с удаленным сервером банка с использованием протокола HTTPS. Для этого необходимо убедиться в установке защищенного по протоколу HTTPS соединения с сервером банка и проверить отсутствие сообщений об ошибке сертификата сервера.

В дополнение к этому описывается порядок проверки соответствия имени сервера сертификату, установленному на данный сервер. В некоторых материалах содержится прямое указание запрета перехода на сервер ДБО с использованием ссылок, полученных по электронной почте. Клиенту настоятельно рекомендуется производить вход в систему ДБО или со стартовой страницы WEB-портала банка по размещенной на ней ссылке, или непосредственным вводом интернет-адреса системы ДБО в адресную строку браузера.

АВТОРИЗАЦИЯ КЛИЕНТА В СИСТЕМАХ ДБО

Под авторизацией клиента мы понимаем предоставление клиенту возможностей в системе ДБО в соответствии с положенными ему правами или проверку наличия прав при попытке выполнить какое-либо действие. Для аутентификации и авторизации клиента производится запрос ввода уникального имени (номера) клиента и постоянного пароля доступа. В некоторых системах после аутентификации требуется ввод и значения переменного кода – в «Альфа-Банке» и ВТБ24).

Для повышения уровня безопасности при вводе пароля клиента в некоторых системах ДБО можно воспользоваться виртуальной клавиатурой (банки «Авангард», «Альфа-Банк», «Райффанзенбанк» и «Ситибанк»). Это позволяет повысить степень защиты пароля от перехвата злоумышленниками при помощи вирусов, контролирующих ввод данных с обычной клавиатуры пользователя. Ввод пароля производится с использованием манипулятора − компьютерной «мыши». Если на компьютере пользователя установлен антивирус Касперского, клиент также может воспользоваться виртуальной клавиатурой этого программного продукта для ввода паролей.

После успешной авторизации клиент обычно получает возможность просмотра собственной банковской информации (информация о счетах клиента, открытых депозитах, получение выписки по пластиковой карте и т.п.) без выполнения финансовых транзакций или с серьезными ограничениями на проведение платежей. Например он может провести платежи только по ранее авторизованным клиентом шаблонам и с небольшими лимитами на проведение операций.

Это позволяет минимизировать риски клиента при несанкционированном копировании его персональной идентификационной информации. Злоумышленник, завладев этими данными, получит доступ только к финансовой информации клиента без возможности проведения платежей и/или с существенным ограничением на проведение платежей за услуги. Например, используя ранее созданный шаблон на оплату, оплатить услуги сотовой связи по телефонному номеру клиента на сумму не более 500 рублей.

ПЕРЕМЕННЫЕ КОДЫ ДЛЯ ПОДТВЕРЖДЕНИЯ ПЛАТЕЖЕЙ – ПРОСТО И ПОНЯТНО

Для повышения безопасности в некоторых системах ДБО после проведения аутентификации клиента производится формирование запроса на ввод дополнительного переменного пароля (кода), который пересылается клиенту с использованием SMS-сообщений («Альфа-Банк»), или вводится клиентом с карты переменных кодов, полученной им в банке («Авангард», ВТБ24, «Московский кредитный банк», «Промсвязьбанк», «ЮниКредит Банк»).

Карты переменных кодов получили широкое распространение в системах ДБО. Обычно они представляют собой пластиковый прямоугольник размером с обычную пластиковую карту. С одной стороны на карту нанесена справочная информация о системе: адрес системы ДБО в интернете, телефон службы технической поддержки, краткое напоминание о необходимых мерах безопасности при проведении платежей.

Значения кодов закрыты непрозрачным покрытием. Клиент при проведении операции получает запрос на ввод очередного номера переменного кода, удаляет покрытие со значения очередного кода и вводит его, используя обычную или виртуальную клавиатуру. Каждая карта переменных кодов имеет уникальный номер, что позволяет идентифицировать её в системе и избежать повторного использования.

Использование переменных кодов позволяет существенно повысить безопасность проведения финансовых операций в системах ДБО. Потому что в настоящее время есть вирусы, которые копируют секретную ключевую информацию с компьютера пользователя в фоновом режиме. Информация о них, например, размещена на сайте «Райффайзенбанка» − http://www.raiffeisen.ru/attention/.

ИСПОЛЬЗОВАНИЕ SMS-СООБЩЕНИЙ ДЛЯ ПЕРЕДАЧИ ЗНАЧЕНИЙ ПЕРЕМЕННЫХ КОДОВ

Однако использование карт переменных кодов не гарантирует стопроцентную защиту от атак злоумышленников с использованием технологии типа «Man-in-the-browser» (MITB) на клиентскую часть ДБО. При такой атаке производится внедрение вредоносного программного обеспечения на персональный компьютер клиента, которое демонстрирует клиенту при соединении с банком образ стандартной страницы ДБО, но в процессе ввода данных платежа скрыто изменяет получателя и сумму. Когда клиент, отправляя платёжное поручение в банк, видит на мониторе компьютера запрос на его подтверждение, он вводит переменный код, авторизуя несанкционированный платеж.

Со стороны банка трудно обнаружить такую подмену, так как клиент подтверждает проведение платежа с использованием подлинного переменного кода. Обычно обнаружение производится уже по заявлению потерпевших убыток клиентов, или при работе в банке специальных дополнительных систем защиты от мошенничества в ДБО (Fraud Management Systems − FMS), отслеживающих проведение платежей традиционным получателям.

Для усиления защиты от атак типа «Man-in-the-browser» (MITB) на стороне клиента возможно использование получения переменного кода для проведения финансовых операций из банка через SMS-сообщения. В них, вместе со значением переменного кода, могут содержаться и параметры проводимого платежа, например, конечные цифры счета получателя и сумма. Что позволяет клиенту проверить реквизиты и, вовремя зафиксировав попытку проведения несанкционированного платежа, воздержаться от введения подтверждающего транзакцию кода. Большинство банков используют возможности SMS-информирования клиента о проведении операций с использованием системы ДБО от его имени, позволяя клиенту отслеживать их легитимность.

Использование переменного кода, получаемого через SMS-сообщение, повышает безопасность проводимых платежей, но накладывает определенные ограничения. Необходимо отметить, что пересылка переменного кода с использованием SMS-сообщений на мобильный телефон сопровождается некоторой задержкой времени при проведении операции. Пользователю необходимо дождаться сообщения, прочитать переменный код на экране сотового телефона и ввести его в интерфейсе системы ДБО. Время ожидания получения SMS-сообщения также зависит от общей нагрузки на сеть GSM. Например, в новогоднюю ночь доставка SMS-сообщений может осуществляться со столь значительным запозданием, что провести платеж будет практически невозможно.

Возможны и другие неудобства. Например, при поломке или потере своей SIM-карты сотового телефона вне территории России у клиента могут возникнуть проблемы с доступом к системе ДБО. Потому что замена номера телефона для пересылки SMS-сообщений для системы ДБО возможна только при личном визите клиента в банк, а замена телефонной SIM-карты − только в офисе сотового оператора.

ИСПОЛЬЗОВАНИЕ FIREWALL

Обычно доступ к системам ДБО осуществляется физическими лицами с компьютеров, которые используются также для выполнения и других задач. Поэтому для обеспечения более безопасной работы с системами ДБО клиент может установить виртуальную машину на своем компьютере и произвести на ней настройки персонального брандмауэра (firewall), которые разрешают доступ только по адресам, которые указаны на сайте банка.

Если установленный брандмауэр позволяет быстро изменять свою конфигурацию, клиент может модифицировать параметры перед проведением работ в системе ДБО. После окончания работы в системе ДБО клиент восстанавливает параметры для доступа к ресурсам сети интернет без ограничений.

ДОПОЛНИТЕЛЬНЫЕ МЕРЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ

Завершение работы с системами ДБО необходимо проводить штатными средствами этих систем – обычно это ссылка «выход / окончание работы». В результате стандартного завершения работы в системе производится удаление параметров ранее установленной сессии, как на клиентском компьютере, так и на сервере банка, что повышает безопасность системы ДБО.

Руководства пользователей систем ДБО банков, размещенные на сайтах банков, требуют извлекать ключевой носитель с ключами электронной подписи из компьютера после завершения работы с системой ДБО и не использовать ключевой носитель для других целей, кроме хранения ключевой информации.

В некоторых системах ДБО платеж можно произвести только в адрес предопределенных клиентом получателей («Ситибанк»). Для определения получателей необходимо произвести активизацию получателя платежа, введенного с использованием Web-интерфейса при идентификации клиента банка по телефону. В данном случае клиенту необходимо инициировать телефонный звонок в службу технической поддержки Банка. В случае нахождения клиента за границей РФ, учитывая то, что одной минутой время звонка может не ограничиться, это приводит к дополнительным затратам при добавлении получателя платежа.

Во всех системах ДБО устанавливается временной интервал «неактивности клиента». Если в течение этого интервала клиент не произвел никаких действий, ранее установленный сеанс завершается принудительно со стороны банка и для возобновления работы в системе ДБО требуется повторная авторизация клиента. Этот механизм позволяет исключить несанкционированный доступ к финансовой информации клиента в случае, если компьютер клиента, с которого было установлено соединение с системой ДБО, был оставлен работающим без присмотра.

Сводная информация о применяемых мерах по обеспечению безопасности в банках при предоставлении физическим лицам услуги ДБОприведена в таблице:

пп

Наименование банка

Наличие сертификата на сервере банка, полученном в общеизвестном Центре сертификации

Поддержка протокола HTTPS

Виртуальная клавиатура

Карта переменных кодов

Возможность использования электронной подписи

 

SMS – информирование

 

Переменный код по SMS на мобильный телефон клиента

1

Авангард

Да (Thawte на 2 года RSA 2048)

Да

Да

Да

Да

Да

Нет

2

Альфа-Банк

Да (Thawte на 1 год RSA 2048)

Да

Да

Нет.

Нет

Да

Да

3

ВТБ24

Да (GeoTrust на 2 года RSA2048)

Да

Нет

Да

Да

Да

Нет

4

Московский кредитный банк

Да (Thawte на 2 года RSA 2048)

Да

Да

Да

Нет

Да

Нет

5

Промсвязьбанк

Да (Thawte на 2 года RSA 2048)

Да

Нет

Да

Да

Да

Нет

6

Райффайзенбанк

Да (Thawte на 2 года RSA 2048)

Да

Да

Нет

Да.

Да

Нет

7

Русский Стандарт

Да (Thawte на 2 года RSA 2048)

Да

Да

Нет

Нет

Да

Да

8

Сбербанк

Да (VeriSign на 2 года RSA 2048)

Да

Нет

Нет. Одноразовые пароли клиент получает самостоятельно на устройствах самообслуживания

Нет

Да

Да

9

Ситибанк

Да (VeriSign на 2 года RSA 2048)

Да

Да

Нет

Нет

Да

Нет

10

ЮниКредит Банк

Да (VeriSign на 2 года RSA 2048)

Да

Нет

Да

Нет

Нет

Нет


Подведём итог: в настоящее время российскими банками в системах ДБО для обеспечения информационной безопасности клиента используются следующие средства:
• организация доступа через сеть интернет с использованием протокола HTTPS;
• для серверов систем ДБО выпускаются сертификаты в публичных удостоверяющих центрах, информация о сертификатах которых обновляется централизованно через обновления безопасности в ОС Windows;
• для доступа к ДБО пользователю предоставляется логин и постоянный пароль;
• переменные коды (пароли) предоставляются пользователю с использованием карт переменных кодов или через SMS-сообщения;
• практически все банки используют SMS-информирование клиентов о факте проведения финансовых операций и других действиях в системе ДБО.

 

Смотрите также

Активная защита ДБО

15 декабря, 2011

Презумпция вины

28 ноября, 2011
Подпишись на новости!
Подписаться