|
|
В качестве канала передачи данных интернет был и остается небезопасной и фактически не контролируемой средой для банков. Угроза перехвата реквизитов доступа пользователей - основное «слабое место» дистанционных сервисов. В силу кризисных явлений, эти риски многократно усиливаются за счет практикуемого банками замораживания или сокращения инвестиций в средства защиты. На этом фоне появление новых методов ведения атак на системы ДБО – это тревожный звонок. Сегодня в цепочке проведения атаки мошенники задействуют большое количество звеньев, не связанных между собой напрямую и использующих для коммуникаций возможности Интернет. Это снимает необходимость «физического» контакта, способствует сохранению анонимности и, как следствие, затрудняет возможность обнаружения злоумышленников.
Сегодня абсолютное большинство банков, работающих в сфере обслуживания как физических, так и юридических лиц обзавелись разного рода системами ДБО. Основной плюс дистанционных сервисов в том, что они дают пользователю свободу действий. Вы сами можете выбирать время, место, устройство, с которого хотите получить доступ к своему «личному кабинету» для совершения любых операций со своим счётом. Экономия времени – существенный критерий выбора, ведь самые «денежные» клиенты (а они же – самые занятые люди) вряд ли захотят ехать в филиал банка и стоять в очередях. Именно поэтому они предпочитают пользоваться услугами банка, имеющего наиболее функциональную и безопасную систему ДБО.
Возможность избежать встречи с пережитком советского прошлого – очередями на оплату коммунальных услуг – привлекает всё больше российских граждан. По данным «Ситибанк», число клиентов, использующих удаленный доступ для оплаты коммунальных услуг, ежемесячно растет в среднем на 13%.
Аналитики банка подчеркивают, что за 10 месяцев 2008 года эта цифра увеличилась почти в 3 раза. Россиян привлекают скорость, удобство и доступность современных каналов оплаты. Справедливой критике подвергаются традиционные способы оплаты счетов через сберкассы: предыдущее исследование, проведенное по заказу «Ситибанка», показало, что более половины (58%) опрошенных не хотят оплачивать счета таким образом из-за неудобного расположения касс, низкого уровня обслуживания и ограниченного времени работы. При этом среднее время, затрачиваемое респондентами только на оплату счетов с учетом дороги, очереди и заполнения квитанций, составляло 42 минуты (около 20% респондентов тратили на оплату счетов более 1 часа и только около 8% респондентов обычно укладывались в 10 минут). Тогда же 78% респондентов ответили, что с удовольствием воспользовались бы дистанционными каналами оплаты, если бы имели такую возможность.
Набирающие обороты и, пожалуй, самые перспективные сервисы дистанционного банковского обслуживания – интернет-банкинг и мобильный банкинг. Причины здесь на поверхности: доступность и скорость интернет-канала плюс всё та же независимость от времени и места. Для деловых людей лучшей альтернативы, чем удаленный способ управление своим счетом придумать сложно. Это естественным образом выливается в серьёзный потенциал рынка ДБО с использованием канала интернет.
По данным MForum Analytics, оборот российского рынка интернет-банкинга и мобильного банкинга в 2008 году составил 20,4 млрд рублей ( и это без учета оборота электронных денег Web-Money). Прирост оборота рынка относительно 2007 года составил 54%. По мнению экспертов, российская финансовая система в долгосрочной перспективе будет копировать структуру развитых финансовых рынков — доля наличного оборота среди физических лиц будет снижаться, доля платежей, проведенных через интернет и мобильный банкинг, будет расти.
И всё бы хорошо, но интернет как канал передачи данных, всегда был и остается небезопасной и фактически не контролируемой для банков средой. Риск перехвата, утечки реквизитов доступа пользователей – основное слабое место ДБО. Не случайно, эксперты предрекают выход мошенничеств с электронными платежными системами на первое место в рейтинге самых опасных угроз ИБ. Пользовательские данные, необходимые для удаленного доступа к счету и обеспечению возможности проведения любых транзакций остаются мишенью для злоумышленников.
Причем для банков, определить какой источник угроз – внешний или внутренний – является наиболее опасным достаточно сложно. Они в равной степени «зажаты» между молотом и наковальней. Так, по итогам опроса руководителей служб безопасности ста ведущих международных финансовых институтов, эксперты международной компании Deloitte Touche Tohmatsu делают следующий вывод: главной угрозой остается злоупотребление сотрудниками информационными активами банков. Такое мнение высказали большинство респондентов (86%), 36% опрошенных обеспокоены возможностью противоправных действий со стороны собственных сотрудников. Даже простой список клиентов банка с их адресами электронной почты уже представляет достаточно высокую ценность. Злоумышленнику обычно достаточно e-mail адреса клиента для проведения целевой атаки, учитывающей слабые места в защите конкретной системы электронного банкинга.
Исходя из данных исследования Symantec, сегодня информация о банковских счетах с возможностью удаленного доступа к ним продается по цене от 10 до 1 тыс. долл. При этом средний баланс банковского счета составляет 40 тыс. долл. В Symantec отмечали случаи, когда все деньги с банковского счета были украдены мошенниками в течение 15 минут. Потенциально доход, который мошенники могут получить со всех выставленных на продажу счетов, превышает 1,7 млрд долл. В целом, ежегодный оборот черного рынка информации эксперты оценивают в 276 млн долл. При этом каждая похищенная клиентская запись в 2008 году по данным другого источника - Ponemon Institute - обошлась в среднем компании-жертве в 202 долл. Для сравнения, в 2007 году аналогичный показатель составлял 197 долл., а в 2006-м — 182 долл. В эту сумму входят как прямые расходы на проведение расследования и уведомление клиентов, так и косвенный «эффект», связанный с подрывом репутации компании и упущенными бизнес-возможностями.
Таким образом, стоимость утечки постоянно увеличивается, пропорционально ей растет и ущерб, нанесенный репутации банка, что оказывает прямое влияние на лояльность клиентов, а, следовательно, на финансовые результаты. Именно на пресловутый косвенный «эффект» приходится уже 69% финансовых потерь в результате утечек, в то время как доля остальных факторов уменьшается.
Тенденция вполне очевидна: клиенты становятся все более требовательными к вопросам безопасности и не могут «простить» даже единственного инцидента. Да и зачем? Выбор велик, а переход от использования одного сервиса к использованию другого достаточно безболезнен. Для пользователя, но не для банка.
Опасной тенденцией является и то, что в свете международного экономического кризиса активизировались даже те, кто раньше и не помышлял об атаках на платёжные системы. Этот вид кибермошенничеств фактически поставлен на поток: бот-сети собирают реквизиты доступа к платёжным системам, эти базы продаются за сравнительно небольшие деньги, их можно купить, проверить актуальность и выбрать объект для проведения адресной атаки.
В свете экономических коллизий на мировом рынке, источники появления новых рисков принято связывать с кризисом. Достаточно вспомнить активно обсуждаемые предположения ряда аналитиков, посчитавших, что уволенные вследствие сокращения штатов ИБ и ИТ-специалисты в массовом порядке пополнят хакерские ряды. Вероятно, есть основания полагать, что те, кто раньше боролся с угрозами ИБ, в одночасье стали их источником. Однако позволим себе не согласится с этой точкой зрения. Кризис, безусловно, повлиял на рост угроз информационной безопасности, в том числе, актуальных и для систем ДБО. Причины этого видятся несколько иными.
Прежде всего, изменились технологии и методы ведения атак на системы дистанционного банковского обслуживания: задействуется большое количество звеньев, не связанных между собой напрямую (например, оператор сотовой связи, банк, система онлайн-платежей и т.п.) и использующих для коммуникаций возможности интернет, что снимает необходимость «физического» контакта и способствует сохранению анонимности.
Во-вторых, кризис показал те «дыры», которые уже существуют в системах информационной безопасности компаний. Волна сообщений об утечках чувствительных данных, в частности, реквизитов доступа пользователей к своим банковским счетам, прокатилась по новостным лентам Интернета именно в разгар кризиса.
В-третьих, поиск некоторыми недальновидными хозяевами банковского бизнеса возможностей «где бы ещё урезать» привел некоторых из них к замораживанию или сокращению инвестиций в информационную безопасность. Они временно «забыли» о том, что информационная безопасность это процесс и эффективно противодействовать угрозам ИБ можно только на перманентной основе, вне зависимости от макроэкономических явлений. В ином случае потенциальный риск превращается в реальный ущерб для банка. Примеры тому уже есть – достаточно бегло изучить темы банковских Web-форумов.
Денис Калемберг, Ника Комарова