Известно, что с 31 декабря текущего года в силу вступят новые положения Закона «О социальной платежной системе», которые банки возвращать деньги владельцу в том случае, если он лично не подтверждает транзакцию. Возврат должен осуществляться еще до конца расследования. Сейчас в России интернет-банкингом пользуется каждый десятый пользователь.
Эксперты сообщили, что ежегодные потери от мошенничества в сети в стране составляют около 900 млн. рублей. Интернет-банкинг становится все более популярным, это значит, что потери тоже будут расти. Сразу после вступления положений Закона «О национальной платежной системе» ожидается увеличение количества атак на системы интернет-банкинга. Они будут осуществляться теми, кто захочет воспользоваться гарантией возврата средств и удвоить свои счета, сговорившись с хакерами. Эксперты прогнозируют, что рост атак может повыситься на 10%.
В прошлом году наиболее популярным средством хищения средств с банковских счетов было применение троянских программ. Эта тенденция продолжится и в будущем, поскольку количество пользователей онлайн-банкинга в нашей стране и во всем мире непрерывно растет. В 2012 году стали чаще применяться узконаправленные атаки. Все больше реквизитов банковских счетов и кредитных карт предлагается на виртуальном черном рынке. Самыми эффективными сейчас являются атаки ManintheMiddle, имеющие субкатегории ManintheMobile и ManintheBrowser. Для них требуется применение новых способов защиты.
В поиске таких средств отечественные банки постепенно переходят на систему паролей на бумажных носителях или систему скретч-карт, однако степень надежности этих систем остается под вопросом. Особого смысла в заранее заготовленном носителе списка паролей нет: такие носители не удобны, да и не надежны. Около 70% атак на системы дистанционного банковского обслуживания производятся при хранении кодов на незащищенных носителях.
Популярной является и генерация пароля по СМС, но такой способ также нельзя назвать надежным: канал связи не защищен, сообщение можно легко перехватить, они и вовсе могут отправляться с компьютера мошенника.
Как эту проблему решают в странах с развитой экономикой? Например, в Европе финансовые организации массово переходят на установление нового типа защиты, который представляет собой многофакторные системы строгой аутентификации, которые способны к тому же функционировать в агрессивной среде интернета, в отсутствии надежного соединения.
В состав системы входит собственный аутентификационный сервер, который интегрирован во фронт офис-банка. Он управляет дополнительными системами аутентификации. Кроме введения пароля и логина, пользователь вводит уникальный код, генерируемый только однажды для каждой конкретной транзакции. Это генерация уникального пароля по схеме «запрос – ответ». Систему запускают вводом специального кода на карте с дисплеем – обычно в Европе сегодня используются сложные коды из 12-14 символов.
Данная технология сегодня весьма распространена в Европе. Ее используют не только в банковской сфере, но и в прочих, где требуется надежное подтверждение определенных операций. Внушительный пример применения в Европе технологии генерации одноразового кода показывает и страховой бизнес: чтобы уменьшить срок обработки требований, не проводить длительный анализ и подтверждать легальность требований к страховой компании, решение о выплате страхователю принимают после того, как он пройдет процедуру строгой аутентификации. Проблему возмещения мелких убытков, а также выплат по дорожно-транспортным происшествиям решают автоматически.
В Европе внедрение новых систем защиты происходило не сразу. Этот процесс не носил директивный характер и осуществлялся весьма деликатно, как контроль над бизнес-процессами. По статистике, в 2010 году 80% финансовых учреждений считали, что процессы аутентификации являются наиболее рискованными, 65% организаций не имели даже более-менее эффективной защиты этих процессов, рассчитывая только на имя пользователя и пароль, и почти половина страдали от атак хакеров. Внедрение многоуровневой аутентификации сократила эти данные вдвое.
Однако вернемся к закону, который защищает права клиентов банка. В Европе когда-то также был принят этот закон, он назывался Директивой о платежных услугах. Так же, как и внедрение новой защиты от злоумышленников, Директива постепенно вступала в силу: сначала на протяжении нескольких лет ее обсуждали, причем в это обсуждение были активно вовлечены сами банки. После этого Директиву адаптировали к законодательству конкретных европейских стран, после чего приняли на уровне ЕС. В целом, этот процесс занял около восьми лет. Половина этого времени была потрачена на поиск и внедрение эффективных способов информационной защиты.
В нашей стране все несколько серьезнее и быстрее, что делает защиты данных еще более востребованной. Особенно, если учитывать квалификацию российских хакеров, ущерб от деятельности которых оценивают в 2,5 млрд. евро только за 2011 год.
