«В настоящее время ДБО скорее неотъ­емлемая часть банковского сервиса, чем нововведение, позволяющее сократить банковские расходы», — уверена Мария Лагутина, руководитель подразделения электронного бизнеса Ситибанка. Особенно бурно этот сегмент рос в кризис — стремясь сократить издержки, банкиры выводили клиентов в более дешевые каналы коммуникации (см. табл. 2).

Для физических и юридических лиц сейчас наиболее перспективен и эффективен Интернет — он доступен почти всем и стоимость его использования очень низкая, считают в банке «Уралсиб».

Многие начинают пользоваться интернет-банком прямо со своих мобильных телефонов, и банки разрабатывают облегченные версии для сотовых, говорит Николай Петелин, заместитель председателя правления Банк24.ру.

Чем популярнее системы удаленного доступа в банк — тем большее внимание на него обращают мошенники. Особенно это касается мобильного и интернет-банкинга. Убытки от несанкционированного доступа в интернет-банк официально никто не подсчитывал, однако общая сумма потерь банков от мошенников в 2009 году оценивается более чем в полмиллиарда рублей.

Достаточно вспомнить серию фишинговых атак на клиентов российских банков и «дочек» зарубежных кредитных организаций, сетевые атаки через Интернет, ориентированные на финансовые мошенничества и несанкционированный доступ к конфиденциальной информации, блокирование дистанционного выполнения банковских операций, вирусное заражение компьютерных систем. Пока до российского рынка не дошел такой вид несанкционированного доступа, как взлом web-сайтов с целью размещения на них антирекламы или порочащих банк сведений о ненадежности систем обеспечения безопасности. Но мастерство мошенников растет, и никто не может быть застрахован.

Системы ДБО развивались бурно, а об их безопасности задумались совсем недавно. При этом не прекращается война между «бизнесами» и «безопасниками», которые пытаются найти компромисс. Последние с неохотой говорят об этих конфликтах, но в неофициальной беседе отмечают, что при всем размахе интернет-мошенничества эти потери не влияют на доходы банка. И поэтому «пробить» апгрейд систем безопасности и аутентификации бывает довольно сложно.

Регулятор особо не регламентирует подобные операции. Последний документ от ЦБ по этому поводу вышел более трех лет назад — в 2007 году. Это было письмо №197-Т «О рисках при дистанционном банковском обслуживании», где ЦБ дал банкам несколько рекомендаций.

Защита и аутентификация

Способ защиты дистанционного канала напрямую связан с уровнем риска в системе ДБО (см. рис. 2). Уровень этот зависит, во-первых, от категории клиента, во-вторых — от типа операций.

Банки выбирают различные системы безопасности для корпоративных и розничных клиентов: более надежную для корпоративных и более удобную для розничных. Также возможно использовать различные системы безопасности для операций с разным уровнем риска: упрощенную для информационных операций и максимально надежную для активных операций.

В свое время одна из компаний пыталась ввести единое комплексное предложение для банков, однако успеха оно не имело. Банки стремятся к максимальной эффективности систем и хотят настраивать системы безопасности в зависимости от категорий клиентов и типа операций.

Сейчас разработчики оборудования и ПО активно предлагают системы защиты и аутентификации клиента. Учитывая, что чаще всего мошенники пользуются украденными ключами, PIN-кодами и проводят информацию от имени клиента, проблема подтверждения подлинности оказывается на переднем плане.

Всего факторов аутентификации можно насчитать три. Первый — это то, что знает клиент (пароль, персональный идентификационный код (PIN), секретные ключи). Второй — это то, что клиент имеет (карта с магнитной полосой, электронные ключи классов touch memory и eToken, смарт-карта). И третий — то, что клиент представляет собой на самом деле, то есть его биометрические данные. Третий способ, к сожалению, в качестве фактора аутентификации в мобильном и интернет-банкинге использоваться пока не может. Некоторые системы и устройства безопасности содержатся в табл. 3.

В зависимости от используемых в технологиях аутентификации факторов различают однофакторную или двухфакторную аутентификацию.

Самые распространенные и подходящие для использования в мобильном и интернет-банкинге — это электронная цифровая подпись (ЭЦП) и One Time Password (ОТР) (см. табл. 4).

ЭЦП (электронная цифровая подпись)

Электронная цифровая подпись — это своего рода электронный документ, состоящий из набора обязательных и необязательных реквизитов. В состав обязательных входит криптографическая часть, обеспечивающая надежную идентификацию подписываемых данных и гарантирующая надежность источника информации о подписавшем. Также содержит минимальную информацию о подписавшем. Этот способ аутентификации считается одним из самых надежных и используется для работы по удаленным каналам с юридическими лицами.

Одной из особенностей системы ДБО для юридических лиц является возможность проставления под документом до пяти подписей. Каждый из подписантов использует личный комплект ключей ЭЦП. Такой подход существенно затрудняет деятельность злоумышленника, поскольку для отправки документа ему необходимо завладеть полным комплектом ключей компании.

Электронная цифровая подпись формируется с помощью закрытого ключа, который может храниться на диске, в системном реестре, на токенах, смарт-картах и т.д.

Риски

Есть два риска: компрометация секретного ключа и компрометация пароля к ключу. Обоими рисками возможно управлять — хранить секретный ключ на аппаратном USB-токене и не передавать пароль третьим лицам.

Были прецеденты, когда клиент использовал токен, отходил от компьютера, а когда возвращался — на дисплее кто-то набивает платежку, сохраняет, подписывает с токена и отправляет в банк. Это работал «троян». Хорошо, что клиент сориентировался, позвонил в банк и приостановил платеж.

Законодательство

У банков есть выбор — использовать сертифицированную ЭЦП (Inter-PRO, Message PRO и др.). Документ, подписанный такой ЭЦП, юридически значим, а количество операций не ограничено. Ограничен срок действия. Недостаток сертифицированной ЭЦП в том, что ее сложно настраивать и эксплуатировать, а также необходимо надежное место для хранения файлов с секретными ключами.

Однако не все банки готовы платить за сертифицированную продукцию, тем более сложную в эксплуатации. И тогда он выбирает несертифицированный вариант (PGP и др.). Такая ЭЦП гораздо проще в эксплуатации, однако если что — платить придется банку либо разработчику.

Федеральный закон об электронной цифровой подписи №1-ФЗ от 10.01.2002 гласит, что при создании ключей электронных цифровых подписей для использования в информационной системе общего пользования должны применяться только сертифицированные средства электронной цифровой подписи (п. 2 ст. 5). Конечно, прямо в законе не запрещено использовать несертифицированные ЭЦП, но в той же статье указано, что «Возмещение убытков, причиненных в связи с созданием ключей электронных цифровых подписей несертифицированными средствами электронной цифровой подписи, может быть возложено на создателей и распространителей этих средств в соответствии с законодательством Российской Федерации».

ОТР (One Time Password)

Этот способ аутентификации считается достаточно простым способом, часто используется как самостоятельно, так и в сочетании с ЭЦП — к примеру, когда по операции установлен лимит.

Способы реализации:

• ОТР-коды на скретч-картах просты в эксплуатации и надежны, однако их использование ограничено по количеству операций — приходится время от времени обращаться в банк за новыми карточками.
• OTP-коды на банкоматной ленте избавляют от походов в банк, однако печатаются в открытом виде, что создает дополнительный риск разглашения информации. К тому же, за один запрос выдается небольшое количество кодов (~10 шт.)
• ОТР-коды, передаваемые по SMS, тоже удобны, и ограничений на операции нет, но и здесь возникает риск — код передается по открытым каналам.
• ОТР-токены также не имеют ограничений по операциям, безопасны и просты, но слишком дороги для клиентов (более 500 рублей).
• И, наконец, самый современный вариант — программные ОТР-токены. Не нужно носить с собой дополнительное устройство, он встраивается в мобильный телефон или коммуникатор. Но если телефон будет украден или утерян — информация будет доступна злоумышленнику.

Самым экономичным считается распространение одноразовых паролей на бумаге, скретч-карте или генераторе одноразовых паролей на мобильном телефоне — просто потому, что банк не тратится на выдачу и перевыдачу электронных токенов и на SMS.

Риски

Динамический механизм задания пароля — один из лучших способов защитить процесс аутентификации от внешних угроз. Однако и одноразовые пароли уязвимы для фишинга. Можно вспомнить случай, когда в конце 2005 года у пользователей Банка Швеции обманом выманили их одноразовые пароли. Мало того, даже синхронизированные по времени пароли не защищены от фишинга. Просто в этом случае взломщик должен действовать достаточно быстро, чтобы воспользоваться паролем. Например, так случилось в 2006 году, когда совершалась атака на пользователей Citibank в США.

Законодательство

В соответствии с п. 2.3 №17-П от 10.02.1998 временного положения о порядке приема к исполнению поручений владельцев счетов, подписанных аналогами собственноручной подписи (АСП) при проведении безналичных расчетов кредитными организациями, «платежные документы, подписанные АСП, признаются имеющими равную юридическую силу с другими формами поручений владельцев счетов, подписанными ими собственноручно». Таким образом, законодательных препятствий к использованию такого рода способов аутентификации нет.

Резюме

Стопроцентной гарантии от несанкционированного проникновения не существует. Разработчики и банки, понимая, что опоздали с разработкой систем безопасной аутентификации, пытаются исправить ситуацию. Когда дело касается физлиц, платить по счетам мошенников почти всегда приходится банку (см. Справку.БО).

В случае с корпоративными клиентами закон не так строго регламентирует отношения, однако зачастую и в этом случае дело заканчивается возмещением ущерба клиенту из кошелька банкира. Плюс ко всему репутационные риски — наверное, именно поэтому банки стараются не раскрывать случаи мошенничества в СМИ, чем, кстати, играют на руку мошенникам.

Использование тех или иных механизмов аутентификации — это своего рода качели между простотой и снижением рисков. Клиент становится все более требовательным к качеству и безопасности услуг. Поэтому некоторые новые виды максимально безопасной аутентификации — к примеру, разработанная несколько лет назад американцами система графических паролей — так и не были запущены в массы. К тому же банки неохотно тратятся на «побочные» технологии, пока уровень потерь не сильно влияет на доходы.

Для справки: Электро?нная по?дпись (ЭП) — реквизит электронного документа, позволяющий установить отсутствие искажения информации в электронном документе с момента формирования ЭП и проверить принадлежность подписи владельцу сертификата ключа ЭП. Значение реквизита получается в результате криптографического преобразования информации с использованием закрытого ключа ЭП.
В России федеральным законом № 63-ФЗ от 6 апреля 2011 г. наименование «электронная цифровая подпись» заменено словами «электронная подпись» (аббревиатура — «ЭП»).