Со следующего года вступают в силу новые положения Закона «О национальной платежной системе», которые обяжут банк возвращать, не дожидаясь результатов расследования, деньги на карточку, если ее владелец заявляет, что средства были сняты без его ведома. Клиенты могут только порадоваться, но банкиры уже думают о новый проблемах. Число пользователей интернет-банкинга за два последних года выросло в России в 3,5 раза. При этом ежегодные потери от онлайн-преступлений по стране составляют порядка 900 млн рублей.
Чего ждать?
Есть риск, что в первое время после вступления в силу новых положений мы увидим рост мошеннических атак на системы интернет-банкинга: найдутся те, кто захочет воспользоваться гарантией возврата денег и удвоить свои счета, вступив в сговор с хакерами. По разным оценкам, рост числа атак может составить до 10%.
Уже сегодня реквизиты кредитных карт и банковских счетов все чаще можно найти на виртуальных черных рынках. В 2011 году самым популярным способом хищений денег со счета стало использование троянских программ, замаскированных под безобидные файлы и открывающих злоумышленнику доступ ко всему содержимому компьютера, включая файлы, логины, пароли и т. д. Дальше больше, ведь нужно не все содержимое компьютера, а доступ к системе онлайн-банкинга, например. В 2012 году чаще стали применять узконаправленные атаки, цель которых — ваши счета. Злоумышленник внедряется в канал связи между банком и пользователем, по этой причине тип атаки называется Man in the Middle.
Что делать?
В поиске средств борьбы с таргетированными атаками российские банки уже перешли на систему скретч-карт — паролей на бумажных носителях, но степень надежности этого метода сомнительна. В заранее заготовленном списке паролей большого смысла нет: носители неудобны, их легко потерять, да и сам список неизменяемых паролей априори плохо защищен. По статистике, 70% атак на систему дистанционного банковского обслуживания происходит при хранении ключей на незащищенных носителях. В силу своей относительной дешевизны весьма популярной в России является генерация пароля через смс, но смысла в этом еще меньше, ибо канал связи не защищен, смс-сообщения легко перехватываются, к тому же сообщения могут быть отправлены с компьютера злоумышленника.
Как это делается у них
Посмотрим, как эта проблема решается в странах с развитой экономикой. Сегодня европейские банки в массовом порядке переходят на внедрение нового типа защиты — многофакторных систем строгой аутентификации, способных к тому же функционировать в агрессивной среде интернета даже при ненадежном соединении. Система основана на том, что для идентификации пользователя используются элементы из разных категорий: 1) нечто, известное пользователю (пароль, ПИН-код), 2) нечто, принадлежащее пользователю (карта, смарт-карта), 3) нечто, являющееся самим пользователем (биометрические характеристики). Указанные данные остаются неизменными, но аутентификация невозможна без уникального одноразового пароля, сгенерированного по схеме «запрос-ответ». Пароль генерируется аутентификационным сервером, для генерации пароля используется банковская карта с дисплеем. На карте пользователь вводит цифровой код (сейчас в Европе распространены коды из 12-14 цифр), после чего система посылает запрос и получает ответ в виде одноразового пароля. Будучи сгенерирован, пароль вводится в систему онлайн-банкинга. Если он совпадает с кодом подтверждения, транзакция считается подтвержденной. Каждый уникальный пароль может быть применен лишь для одной-единственной транзакции.
Технология широко распространяется и используется уже не только в банковской сфере, но и везде, где требуется надежное подтверждение той или иной операции. Впечатляющий пример использования технологии генерации одноразового пароля дает страховой бизнес: чтобы сократить время на обработку требований, не заниматься длительным анализом и подтверждением легальности требований к страховой компании, решение о выплате в пользу страхователя принимается после прохождения им процедуры строгой аутентификации. Проблема возмещения мелких убытков и выплат по дорожно-транспортным происшествиям решается автоматически.
Новые системы защиты внедрялись в Европе постепенно — на уровне контроля за бизнес-процессами, осознания и разъяснения рисков. Результаты сказываются быстро: еще два года назад, в 2010-м, 80% банков считали процессы аутентификации наиболее рискованными, 65% банков не имели сколь-нибудь эффективной защиты этих процессов, полагаясь на имя пользователя и пароль, и почти 50% страдали от тех или иных атак. В 2012 году эти цифры уменьшились вдвое.
Как это будет выглядеть у нас?
Вернемся к закону, защищающему права клиента. В свое время в Европе также был принят подобный закон. Именовался он Директивой о платежных услугах. Подобно внедрению новых систем защиты от злоумышленников, Директива вводилась поэтапно: сначала несколько лет велось ее обсуждение (причем банки были активно в это обсуждение вовлечены), затем Директива адаптировалась к законодательству отдельных государств, после чего была принята на уровне всего ЕС. Весь процесс занял в общей сложности около восьми лет. Половину этого времени европейские банки занимались поиском и внедрением новых способов информзащиты.
В России все быстрее и суровее. В особенности учитывая высокую квалификацию российских хакеров, мировой ущерб от деятельности которых оценивается в €2,5 млрд лишь за минувший год.
И последнее. В Европе банк страхует свои риски, связанные с выплатой клиенту похищенных средств. В России, как отмечает ряд аналитиков, невозможно застраховать риски своей операционной деятельности, а значит, банкам приходится надеяться только на себя. Вступление положений нового закона в силу уже не может быть отсрочено, и минимизировать риски банки могут лишь одним способом — усиливая защиту систем онлайн-банкинга. Потребность в этом растет. Будучи компанией, предлагающей на российском рынке разработки в этой области, мы уже наблюдаем эту тенденцию.