Стратегічні орієнтири » Сучасні тенденції фінансового ринку 2015 » Крамар О.І. Безпека систем дистанційного банківського обслуговування
Информація до матеріалу
 (голосов: 0)
15-12-2015, 00:15

Крамар О.І. Безпека систем дистанційного банківського обслуговування

Категорія: Сучасні тенденції фінансового ринку 2015

Крамар О.І., ЕкфМ-61с
ЛНУ імені Івана Франка

Безпека систем дистанційного банківського обслуговування

Український фінансовий ринок постійно зазнає якісних та кількісних змін, що полягають в ускладнені його структури і посиленні конкуренції між фінансовими установами. Пройшовши етапи виникнення та становлення, фінансовий сектор України перебуває в стадії жорсткої конкурентної боротьби як з боку українських, так і іноземних фінансових установ. У сучасних умовах кожен з учасників фінансового ринку, зокрема банківські та небанківські установи, перебувають у стані постійної боротьби за клієнта і в пошукові нових способів надання послуг щодо задоволення потреб різних сегментів споживачів фінансових продуктів. На сьогодні банківська діяльність є однією з найбільш сприятливих сфер для впровадження новітніх інформаційних технологій [1, с. 33].
Дистанційне обслуговування – важлива функціональна складова сучасної банківської системи. Тому, одним з найважливіших завдань банків при наданні дистанційних послуг є забезпечення найвищого рівня безпеки систем електронного банкінгу, що забезпечує мінімальні ризики відносно несанкціонованого доступу до інформації та рахунків клієнтів.
Значення безпеки і необхідність захисту інформації при дистанційному банківському обслуговуванні (ДБО) перебільшити складно. Безпека здійснення розрахунків була і залишається найважливішим аспектом дистанційної взаємодії клієнта з банком. Проблеми забезпечення безпеки та захисту інформації актуальні для всіх каналів ДБО.
Для забезпечення необхідного рівня безпеки систем ДБО банки співпрацюють не тільки з розробниками систем дистанційного обслуговування, але і з компаніями, що займаються питаннями інформаційної безпеки і захисту інформації. Проблеми безпеки віддалених сервісів актуальні не тільки для банків, але і для їх клієнтів. Відповідним чином має бути захищена не тільки банківська частина системи, що забезпечує дистанційні послуги, а й технічні та програмні засоби клієнта, за допомогою яких клієнт здійснює доступ до послуг [2, с. 138].
Найважливішу роль у забезпеченні безпеки дистанційних платежів відіграє організація процесу віддаленого обслуговування: ніж вона слабкіше – тим вище ризики порушення безпеки. Фахівці в галузі забезпечення безпеки вважають, що в банківському бізнесі у зв’язку з високим рівнем організації процесів, наявністю жорсткого контролю з боку регулятора банківської діяльності – центрального банку рівень безпеки набагато вище, ніж у небанківській установі. Тому, можна припустити, що можливе залучення інших суб’єктів ринку до дистанційного здійснення платежів призведе до збільшення проблем, пов’язаних із забезпеченням безпеки і захистом інформації при розрахунках, які здійснюються віддаленим способом.
Для систем дистанційного банківського обслуговування можна виділити три основні типи загроз:
«Шпигун у браузері». Серед безлічі вірусів існує певна група троянських програм, таких як Zeus, Silon, Torpig, Yaludle тощо, які використовують техніку контролю браузера. У той момент, коли в браузері відкривається вікно для проведення платежу або оплати товару, троянська програма перехоплює управління браузером і від імені користувача проводить власний платіж на користь власника шпигунської програми. Найбільш часто такі шкідливі програмні засоби проникають на комп'ютери користувачів через невідомі вразливості в браузері, інтегруються в нього і працюють разом з ним при перегляді Інтернет-сторінок.
«Шпигун у мережі». Шахраї можуть перехоплювати сеанс роботи користувачів з системою оплати, наприклад, за допомогою перенаправлення веб-запитів на власний сайт або зміни роботи DNS-системи. Злочинці можуть перехопити важливу інформацію, за допомогою якої в подальшому можна буде проводити власні фінансові транзакції, або просто втручаються в існуючий сеанс обміну даними, модифікуючи його на свій розсуд. При цьому шахраям не обов'язково вбудовувати своє шкідливе програмне забезпечення в операційну систему конкретного користувача – їм достатньо атакувати провайдера, а потім маніпулювати сеансами користувачів.
«Фішинг». Метою цього виду інтернет-шахрайства є отримання доступу до ідентифікаційних даних користувачів – логінів і паролів. Фішинг-шахраї зазвичай створюють спеціальний сайт, який дуже схожий оформленням на банківський або торговий ресурс, і за допомогою різних прийомів (наприклад, спаму) заманюють на нього відвідувачів . Користувачі, не розуміючи, що знаходяться на сторонньому сайті, передають йому свою конфіденційну інформацію, яку надалі шахраї можуть використовувати для здійснення покупок або переказів. Більшість серверів, на яких розміщувалися фішингові сторінки, були зареєстровані на територіях США, Великобританії, Німеччини, Росії та Індії [3, с. 140].
Для вирішення проблеми безпеки Web-додатків компанія Trusteer розробила спеціальний продукт Rapport, який забезпечує захист від трьох найбільш небезпечних типів нападу: «шпигун у браузері», «шпигун у мережі» і фішинг. Ці атаки, в основному, розраховані на перехоплення ідентифікаційних даних і практично не завдають шкоди самій операційній системі і браузеру. Проте, для користувачів перехоплення конфіденційних даних в деяких випадках може бути навіть небезпечнішим, ніж зараження традиційними шкідливими програмами.
Досвід робіт із забезпечення безпеки систем дистанційного обслуговування показує, що стійкий стан системи, при якому відображаються всі можливі атаки зловмисників, реалізувати дуже важко. Виходом може бути вироблення додаткових і дієвих вимог щодо забезпечення безпеки дистанційних розрахунків і правильна реалізація цих вимог.
У рамках концепції безпеки систем дистанційного обслуговування рекомендується реалізувати, як мінімум, такі процедури:
− розмежувати права користувачів і контролю доступу;
− провести контроль парольної політики, використання криптографії та поводження з криптографічними ключами;
− антивірусний захист;
− забезпечення безпеки корпоративної мережі;
− аналіз захищеності і внутрішнього аудиту;
− резервне копіювання та аварійне відновлення;
− забезпечення безперервності;
− забезпечення фізичного захисту;
− забезпечення безпеки прикладного та системного програмного забезпечення;
− моніторинг подій та реагування на інциденти інформаційної безпеки;
− підвищення обізнаності клієнтів та співробітників з питань інформаційної безпеки;
− внесення змін та оновлення програмних засобів [3, с. 141].
Отже, щоб ефективно протистояти діям шахраїв при використанні дистанційних сервісів, необхідно не тільки мати систему безпеки, але ще й налаштувати цю систему на можливі атаки зловмисників. Необхідно враховувати, що різні уразливості системи призводять до різних наслідків. Вкрай важливо проводити роботи по максимальному виявленню вразливостей систем дистанційного обслуговування і максимальним чином протидіяти порушенню безпечного функціонування цих систем.
Усі зазначені рекомендації спрямовані на те, щоб схильність банків та їх клієнтів до неминучих ризиків виявилася мінімальною. При впровадженні системи дистанційного банківського обслуговування необхідно опрацьовувати питання створення системи безпеки та підтримання цієї системи на потрібному рівні. Це складний і довгий шлях, який вимагає системного підходу, але тільки завдяки цьому можна домогтися гарних результатів.
Список використаних джерел:
1. Костогриз В.Г., Овчарук О.М. Дистанційне обслуговування як перспективна складова системи дистрибуції банківських продуктів / В.Г. Костогриз // Фінансовий простір. – 2011. – № 1. – С. 33–38.
2. Захарченко О.М. Безпека системи дистанційного банківського обслуговування та напрями її забезпечення // Проблеми і перспективи розвитку фінансової системи України в умовах формування нового світового фінансово-економічного порядку: Матеріали Міжн. наук.-практ. інтернет-конф. 1-6 жовтня 2014 р. – Полтава: ПУЕТ, 2014. – С. 138–142.
3. Ріпак А.Д. Використання Trusteer Rapport для безпеки систем дистанційного банківського обслуговування // Новітні інформаційні технології в економічній діяльності: зб. тез. VІ Всеукраїнської наук.- практ. конференції, 26 березня 2014 р.: в1.ч. / Нац. унів.ДПС України. – Ірпінь, 2014. – С. 140–142.
Дорогий відвідувач, Ви зайшли на сайт як незареєстрований користувач.
Рекомендуємо Вам зареєструватися або ввійти на сайт під своїм ім'ям.

Архів новин

Июнь 2020 (3)
Май 2020 (109)
Апрель 2020 (6)
Март 2020 (6)
Декабрь 2019 (1)
Ноябрь 2019 (26)
^