Банковское обозрение (Б.О принт, BestPractice-онлайн (40 кейсов в год) + доступ к архиву FinLegal-онлайн)
FinLegal ( FinLegal (раз в полугодие) принт и онлайн (60 кейсов в год) + доступ к архиву (БанкНадзор)
Сегодня сложно найти банк, который не предоставляет услуги дистанционного обслуживания, поскольку это удобно для клиентов. Но возможность удаленно осуществлять операции с денежными средствами, естественно, привлекает внимание злоумышленников
Компания BSS, ведущий разработчик систем дистанционного банковского обслуживания (ДБО), предоставляет своим клиентам современные и надежные средства для обеспечения безопасности при работе в системах ДБО.
На данный момент практически все банки ввели использование технологии электронно-цифровой подписи (ЭЦП) для обеспечения защиты и юридической значимости платежных поручений, пересылаемых от юридического лица банку с помощью системы ДБО. Так как криптографические алгоритмы, применяемые в процессе создания и проверки ЭЦП, доказали свою надежность в процессе почти 20-летней эксплуатации, злоумышленники сконцентрировали свои усилия на следующих типах атак:
• атака на ключевой контейнер;
• атака удаленного управления;
• атака подмены документа.
Эти типы атак объединяет то, что все они проводятся удаленно (злоумышленнику не требуется получать физический доступ к компьютеру атакуемого), а следовательно, риск быть пойманным у злоумышленника минимален. Удаленные атаки возможны из-за того, что компьютер клиента банка невозможно сделать доверенной средой — это слишком дорого, сложно и, самое главное, неудобно для пользователя. Единственный выход — создание доверенной среды отдельно от компьютера клиента.
Исходя из этих соображений в BSS принято решение о встраивании в свои продукты поддержки аппаратных средств визуализации ЭЦП — то есть устройств, которые отображают на своем экране данные перед подписанием. Работы по встраиванию планируется завершить в конце 2011 — начале 2012 года. Использование таких устройств совместно с токенами с неизвлекаемыми ключами позволяет создать доверенную среду для проведения криптографических операций и тем самым полностью исключить возможность проведения удаленных атак — в любом случае потребуется физический доступ к устройству. На данный момент на рынке существует уже несколько таких устройств — SafeTouch от компании «СэйфТек», PINPad от компании «Актив-софт» и т.п.
С физическими лицами ситуация иная. С одной стороны, у «физиков» существенно меньше денежных средств на счетах, с другой, — больше требований к мобильности решения. А самое главное — для физических лиц сумма более 1 тыс. рублей на обеспечение безопасности зачастую уже не приемлема. Поэтому банки не использует технологию ЭЦП при работе с ДБО физических лиц.
Обычно защита физических лиц при работе в системе ДБО строится на использовании парольной защиты, одноразовых паролей или SMS-подтверждений. К сожалению, все данные средства могут быть «обойдены» злоумышленниками. Но ситуация меняется к лучшему. Уже появились банки, которые выдают физическим лицам ключи ЭЦП и требуют приобретения дополнительных средств. Некоторые банки внедряют использование так называемых «крипто-калькуляторов», которые позволяют обеспечить для физических лиц такой же уровень защиты, как и применение средств визуализации для юридических лиц. Хотя они не очень удобны в использовании.
Кроме того, эксперты прогнозируют появление возможности использования универсальных электронных карт (УЭК) в системах ДБО. Возможно, данное решение, совместно со средствами визуализации, также найдет широкое применение.
В статье описаны лишь общие методы защиты от атак. Главное, что хотелось подчеркнуть, — ситуация на данный момент весьма тревожная, но в сфере защиты систем ДБО все очень быстро меняется, и есть тенденция к улучшению. Защиту от всех атак с надежностью в 100% не удастся создать никогда (хотя бы потому, что в этом процессе участвует человек), но разработчики средств защиты и систем ДБО работают над тем, чтобы максимально приблизиться к таким показателям.
ИИ уже решает задачи, которые ранее считались сложными для цифровизации
Искусственный интеллект перестал быть экспериментальной технологией и становится полноценным элементом финансовой инфраструктуры. Сегодня крупнейшие игроки рынка используют ИИ не только для повышения операционной эффективности, но и для противодействия мошенничеству, развития клиентского сервиса и построения новых цифровых продуктов. О том, как менялась стратегия цифровизации компании за последние годы, какую роль ИИ играет в развитии финтеха и какие вызовы стоят перед отраслью, «Б.О» рассказала председатель правления Единого центра учета переводов ставок (Единого ЦУПИС) Елена Шейкина
Банковскую систему ждут 4–5 лет расхлебывания корпоративных долгов
Почему реструктуризации кредитов достигли опасной черты, какие отрасли вошли в «красную зону» и почему передел собственности не оздоровит экономику, а лишь убьет конкуренцию — об этом генеральный директор аналитического центра «БизнесДром», шеф-редактор «Б.О» Павел Самиев в кулуарах Финконгресса ЦБ поговорил с Александром Сараевым, первым заместителем генерального директора рейтингового агентства «Эксперт РА»
Чего ждет бизнес от цифрового рубля и готовы ли к этому банки
С 1 сентября 2026 года цифровой рубль переходит из пилотного проекта в практическую плоскость. Крупнейшие банки должны обеспечить клиентам доступ к операциям с новой формой валюты, а часть компаний — возможность принимать оплату цифровыми рублями