Сейчас невозможно найти более или менее крупный банк, который не предоставлял бы услуги удаленного банкинга. Однако с развитием технологий развиваются и инструменты мошенников, как показала недавняя история в США, где были взломаны компьютерные сети нескольких крупных ритейлеров и украдено 40 млн данных банковских карт. Эксперты банковского рынка рассказали, как обезопасить себя.
Существует множество правил, как защитить свои персональные данные, но часто клиенты совершают простейшие ошибки из-за невнимательности
Фото: Евгений Павленко, Коммерсантъ
Количество киберпреступлений в России и в мире растет, и эта тенденция будет продолжаться. Сергей Поветкин, начальник управления по внедрению автоматизированной банковской системы ЗАО "КАБ "Викинг"", считает, что здесь прямая зависимость: чем сложнее и разнообразнее будут становиться банковские инструменты, тем более "продвинутыми" будут и инструменты преступников. "По некоторым оценкам, ущерб от киберпреступников в мире в 2012 году составил $110 млрд, в России — $2 млрд. По статистике каждую секунду в мире происходит более 12 киберпреступлений", — приводит господин Поветкин впечатляющие цифры.
По словам Алексея Голенищева, главы дирекции мониторинга электронного бизнеса Альфа-банка, одно из последних и наиболее масштабных киберпреступлений — это взломы компьютерных сетей одной из крупнейших в США розничных сетей универмагов Target, ритейлера Neuman Marcus (и предположительно еще трех других крупных американских розничных сетей), в результате которых идет речь о хищении 40 млн данных банковских карт и 70 млн клиентских данных покупателей, включая их электронные адреса.
Впрочем, есть и позитивные примеры. В частности, в пресс-службе Северо-Западного банка Сбербанка России сообщили, что благодаря совместным действиям сотрудников банкам и органов правопорядка в 2013 году удалось выявить и задержать десять преступных групп, занимающихся хищением денежных средств со счетов банковских карт посредством установки скиммингового оборудования на банкоматах.
Банки укрепляют оборону
Кредитные организации вкладывают немалые деньги в совершенствование собственных каналов защиты.
К примеру, Алексей Кольчик, директор Санкт-Петербургского филиала Банка Москвы, говорит, что их банк уделяет особое внимание безопасности проведения платежей и надежности дистанционных каналов. "Интернет-банк является одним из самых защищенных решений на рынке как за счет стандартных средств защиты в виде двухфакторной аутентификации, работы в защищенном режиме (ssl-шифрование), так и за счет качественно выстроенных скрытых механизмов обеспечения безопасности. С гордостью можем сообщить, что за последние три года у нас не было ни одного случая хищения денежных средств. Клиент в обязательном порядке подтверждает вход и операции одноразовым паролем, которые направляются в SMS-сообщении. Также операции можно подтверждать электронной цифровой подписью при помощи USB-токена. При использовании этого способа подтверждения клиент может проводить операции на более крупные суммы", — рассказывает он.
Максим Волков, директор департамента информационных технологий СБ-банка, отмечает, что банковский сервис становится все более и более дистанционным, мобильным и "облачным". "Сервис приближается к пользователю, при этом информация перемещается через множество самых разных промежуточных точек. Справедливости ради следует отметить, что современные технологии имеют принципиальную возможность гарантированно защитить информацию клиента. Когда же мы переходим от теории к практике, возникают нюансы. Главные риски в информационной безопасности исходят от людей, а не от компьютеров. В финансовой организации за вопросами безопасности данных следят строго, проводят регулярные мероприятия (инспекции, обучение, анализ трафика). Эти мероприятия продиктованы не только озабоченностью банка, но и требованиями регулятора — Банка России. Известно, что российские банки стараются не афишировать случаи нарушений информационной безопасности. Но есть зарубежная статистика. В трех наиболее уязвимых местах (потеря, кража, раскрытие) персональных данных в США рост инцидентов составляет 30-40 процентов в год, и почти в половине случаев (до 40 процентов) причина — безответственность персонала", — рассказывает господин Волков.
По словам господина Поветкина, для обеспечения защиты данных пользователей — юридических и физических лиц — развивается российское законодательство, описывая и вводя в обращение новые технологии в этой сфере. "Например, новый закон о цифровой подписи. В целях борьбы с мошенниками в банке "Викинг" осуществляется постоянный мониторинг проводимых финансовых операций. Операции, имеющие признаки мошеннической (признаки утверждаются ЦБ), блокируются до выяснения обстоятельств. Производится видеофиксация обращений клиентов в отделениях банка. Производится проверка действительности представляемых документов", — рассказывает он.
Защищайте голову
Господин Кольчик говорит, что Банк Москвы уделяет большое внимание повышению грамотности клиентов в области информационной безопасности. "Мы можем гарантировать, что при соблюдении простых правил, таких как сохранение в тайне своего логина и пароля и обеспечение невозможности доступа третьих лиц к мобильному телефону, на который приходят одноразовые пароли и к ЭЦП, счета и карты клиентов надежно защищены. В случае подозрения в несанкционированном доступе, компрометации логина и пароля или средства получения одноразовых паролей либо ключа ЭЦП клиенту нужно незамедлительно обращаться в банк для принятия необходимых мер для защиты их счета и карты", — дает совет господин Кольчик.
Господин Волков указывает на то, что среди возможных рисков в банке обращают внимание на многие параметры, например, анализируют случаев потери мобильных устройств, проверяют безопасность информации, передаваемой сторонним организациям. "Существенной проблемой представляется нам риск утечки через социальные сети. Есть еще один риск, о котором частные лица часто забывают: утилизация устаревшего оборудования. Люди выбрасывают старые компьютеры, а о содержании жестких дисков не задумываются", — приводит пример он.
По словам господина Поветкина, правила поведения при осуществлении платежей при помощи интернета и других дистанционных технологий довольно просты, проблема, в том, что их часто не придерживаются. "В банке "Викинг" мы всегда объясняем клиентам эти несложные правила. Для юридических лиц это требование не передавать право подписи и, соответственно, ключевую информацию третьим лицам, ограничение доступа к ключевой информации путем установки парольной защиты, своевременная актуализация прав подписи и ключевой информации (зачастую документы подписываются подписями уже уволившихся сотрудников). Нельзя оставлять без присмотра рабочее место, с которого происходит перевод денежных средств, а оставляя, следует блокировать систему. Никому не сообщать и не отправлять по каналам связи данные о паролях, пин-кодах и прочем на запрос всевозможных "технических специалистов банка" для "проведения тестирования", "отмены перевода средств". Выполнять общие требования по защите данных с помощью антивирусных программ, обновлений безопасности, выпускаемых производителями операционных систем. При проведении оплаты покупок и услуг пластиковыми картами хорошей практикой может быть наличие двух банковских карт. На одной из них хранятся денежные средства, и этой картой не осуществляется оплата. Другая карта, напротив, используется для оплаты услуг, но денежные средства на нее переводятся с первой карты (или с расчетного счета) в небольших объемах, только под конкретные покупки", — советует он.
Юрий Лысенко, начальник управления информационной безопасности банка "Хоум Кредит", говорит, что необходимо соблюдать осторожность при подключении к интернет-банку с компьютеров, которые имеют общий доступ. "На таких компьютерах может быть установлено шпионское программное обеспечение, поэтому мы рекомендуем использовать виртуальную клавиатуру. Для защиты от атак в случае хищения учетной записи банк предусмотрел необходимость подтверждения каждой активной операции с помощью одноразового кода, высылаемого через SMS", — рассказывает господин Лысенко.
По словам Алексея Голенищева, использование программно-технических средств защиты, несомненно, эффективно, и здесь много различных решений. "Вопрос в разумном соотношении цены, рисков и эффективности. Но это более актуально для защиты от "промышленных" атак. В последнее время чаще используются технологии, как я называю, программно-социальной инженерии, когда вместе с компьютерными, хакерскими атаками, используются различные "схемотехники" социальной инженерии, а это уже технологиями защитить сложно. Так как "атака" идет не на банк, компьютер, сеть, а на "голову" клиента, вынуждая его по электронной почте или по телефону выдавать различные конфиденциальные данные (коды, пароли). Поэтому, например, в концепции Альфа-банка — использование современных систем мониторинга и предотвращения мошеннических операций. Даже если мошенники каким-либо образом заполучили конфиденциальные данные клиента, похитить средства практически невозможно. Система фрод-мониторинга оперативно выявит такие операции и запретит их исполнение", — рассказывает он.