Мудрый Экономист

Электронный банкинг: риски недостаточного обеспечения информационной безопасности 1

"Юридическая работа в кредитной организации", 2013, N 3

<1> Настоящая статья выражает исключительно мнение автора и не отражает позицию Банка России.

В статье представлены преимущества систем электронного банкинга и причины распространения данного вида дистанционного банковского обслуживания; дана оценка основных возможных угроз со стороны компьютерных мошенников как для банков, так и для их клиентов при применении систем электронного банкинга. Отдельное внимание уделяется последствиям проявления рисков недостаточного обеспечения информационной безопасности в условиях электронного банкинга согласно требованиям Федерального закона от 27.06.2011 N 161-ФЗ "О национальной платежной системе".

Электронный банкинг (ЭБ) можно по праву назвать одним из самых динамично развивающихся видов дистанционного банковского обслуживания (ДБО).

По опросам компании Profi Online Research, специализирующейся на проведении маркетинговых исследований, более 15% респондентов считают наличие и качество интернет-банкинга важным условием при выборе банка <2>.

<2> См.: Интернет-банкинг: борьба за пользователя // Эксперт. N 9. 07.03.2011.

На сегодняшний день ЭБ получил наибольшее распространение в Европе и США. Однако и в России объем платежей через системы интернет-банкинга вырос по итогам 2012 г. на 40%, до 590 млрд руб. <3>.

<3> См.: Ахмедова А. Банки уходят в Интернет // Деловой Петербург. N 026. 19.02.2013.

Проникновение мобильного интернет-доступа в Россию на текущий момент приблизительно в 2 раза превышает аналогичный показатель в среднем в мире, при этом уступает значению показателя для ряда стран Западной Европы, США, Японии и Южной Кореи <1>.

<1> См.: CRN. Новости. 21.01.2013.

На рост популярности систем ЭБ в значительной степени влияет рост продаж планшетов и смартфонов и технологическое совершенствование последних. Уже сейчас на рынке присутствуют модели смартфонов, которые могут соперничать по тактовой частоте процессоров с нетбуками. Стоит отметить также заметное увеличение количества бюджетных смартфонов с полным набором функционала <2>, а также распространение 3G, LTE <3>.

<2> Основой этого роста является внедрение платформы Android в среднем и нижнем ценовых сегментах рынка смартфонов (смартфон постепенно превращается в массовый телефон).
<3> Стандарт LTE (Long-Term Evolution) является логическим продолжением развития технологий 4G. В отличие от господствующих на данный момент 3G-сетей LTE-технология обладает повышенной емкостью, лучшим применением частного спектра и минимальным временем задержек, которые могут составлять всего 5 миллисекунд для небольших пакетов.

Так, к началу 2013 г. сети LTE были развернуты более чем в двух десятках городов России.

Системы ЭБ значительно снижают себестоимость банковской деятельности (в т.ч. затраты на выполнение самих банковских операций). Можно с большой долей вероятности предположить, что данный вид ДБО будет активно развиваться, а число клиентов кредитных организаций, использующих для выполнения своих операций системы ЭБ, увеличиваться.

Сегодня в России кредитные организации предоставляют разнообразные пакеты электронных банковских услуг. Российские потребители имеют возможность сравнивать, выбирать и пользоваться электронными услугами банков. Обобщенно можно говорить о таких основных операциях, которые могут быть проведены посредством систем ЭБ, как:

Отдельные недостатки электронного банкинга

Системы ЭБ внесли принципиальные изменения в информационный контур банковской деятельности, добавив в него интернет-провайдеров (в случае интернет-банкинга), операторов сотовой связи (в случае мобильного банкинга) и других участников.

Виртуальный характер взаимодействия, при котором отсутствует прямой контакт банка с клиентами, стал причиной расширения профилей типичных банковских рисков <1>, значительно увеличив их техническую составляющую. Постоянное изменение (в ряде случаев - упрощение) способов идентификации клиентов в условиях ЭБ привело к значительному возрастанию активности киберпреступников, которые стали использовать технологии ДБО для кражи денег со счетов клиентов.

<1> Перечень типичных банковских рисков приведен в Письме Банка России от 23.06.2004 N 70-Т "О типичных банковских рисках".

Приведем некоторые данные, подтверждающие угрожающие масштабы киберпреступлений.

По результатам ежегодного исследования киберпреступлений Norton Cybercrime Report в 2012 г. специалисты компании Symantec оценили общий ущерб пользователей Интернета от киберпреступлений в мире в 110 млрд долл. США, а число пострадавших составило 556 млн пользователей глобальной сети <2>.

<2> С содержанием отчета можно познакомиться на сайте www.semantec.com.

Дороже всего киберпреступность обходится КНР, где, по оценке Symantec, за 12 месяцев было потеряно 46 млрд долл. США. Сумма ущерба (в долл. США) в США составила 21 млрд, в Западной Европе - 16 млрд, в том числе в Германии - 3,67 млрд, во Франции - 3,25 млрд, в Великобритании - 2,9 млрд. В Германии число жертв составило 15 млн человек, в Великобритании - 12,5 млн, во Франции - свыше 10 млн.

В 2012 г. в отчете впервые были представлены сведения по Российской Федерации: более 30 млн человек в России в той или иной степени пострадали от хакеров за исследуемый период. В пресс-релизе компании Symantec говорится, что ущерб от деятельности киберпреступников в России оценивается почти в 2 млрд долл. США.

За 2012 г. 74% компьютеров в нашей стране были заражены вирусами, вредоносным программным обеспечением - это самый большой показатель в мире <1>.

<1> На втором месте - Китай (66% - по данным отчета).

Опубликованное антивирусной компанией исследование констатирует увеличение количества новых мошеннических схем по сравнению с 2011 г., а именно рост угроз, нацеленных на социальные сети и мобильные устройства. Согласно проведенным опросам каждый пятый (21%) интернет-пользователь старше 18 лет пострадал от рук киберпреступников.

По данным МВД России, за первое полугодие 2012 г. в нашей стране было зафиксировано 5696 киберпреступлений (почти на 11% больше, чем за аналогичный период 2011 г.). Среди них преобладают преступления, связанные с созданием, распространением и использованием вредоносных программ, а также с мошенничеством в сети Интернет <2>.

<2> См. подробнее: "30 сентября - День Интернета в России" (www.mvd.ru/news/item/146788).

Самыми распространенными преступлениями в сфере применения информационных технологий являются мошенничества в Интернете. За первое полугодие 2012 г. было зафиксировано 1443 таких преступлений (рост на 44%). Следует отметить, что реальные показатели объемов киберпреступности в нашей стране могут быть на порядок выше официальной статистики, поскольку мошенничество характеризуется высоким уровнем латентности. В МВД России особо отметили увеличение числа преступлений с использованием технологии ДБО.

Ответственность за киберпреступления

В России система правосудия слишком терпимо относится к киберпреступникам. Следственные органы, как правило, стараются не возбуждать дела примерно в 80% случаев кибермошенничества.

Достаточно показателен такой пример: российский хакер, похитивший из Королевского банка Шотландии около 10 млн долл. США, был осужден на пять лет условно <1>.

<1> См. подробнее: 10 млн в неделю: как работают российские хакеры (http://www.gazeta.ru/techzone/2011/11/29_a_3852078.shtml).

В качестве примера можно привести еще один случай, о котором сообщалось в сентябре 2012 г., когда фигуранты дела о хищении около 13 млн руб. у клиентов банка ВТБ24 были осуждены условно. Суд назначил им наказание в виде шести лет лишения свободы условно с испытательным сроком пять лет, а также штрафа в пользу государства в размере 450 тыс. руб. с каждого, говорилось в пресс-релизе МВД России. Потерпевшими по данному уголовному делу признаны более 170 граждан из 46 регионов России. По информации МВД России, это было первое уголовное дело в нашей стране о компьютерном фишинге.

Преступники создали копию оригинальной web-страницы банка. После этого приобрели набор вредоносного программного обеспечения, задачей которого после активации на зараженном компьютере являлось изменение или подмена некоторых параметров, задействованных в функционале "банк-клиент". В результате любые обращения клиентов банка к официальному банковскому сайту перенаправлялись на серверы, принадлежащие мошенникам, где последние разместили поддельную web-страницу. На ней, по данным МВД России, клиенты банка вводили свои персональные данные, и эти сведения получали мошенники. Получив доступ к счетам, преступники различными способами обналичивали деньги <2>.

<2> См. подробнее: Хакеры: похитившие 13 млн руб. у клиентов ВТБ24, осуждены условно (http://www.audit-it.ru/news/finance/488998.html). Также рекомендуем статью Е. Покатаевой "Почему в России киберограбление не считается серьезным преступлением" // Итоги 44. 22.10.2012.

Приведенные нами примеры, конечно, не отражают всей ситуации по киберпреступности, но уже по ним видно, что в нашей стране ответственность за подобные преступления слишком мягкая по сравнению с развитыми странами. И отношение к обеспечению информационной безопасности (ИБ) в ряде кредитных организаций требует значительного совершенствования в условиях ЭБ.

В отличие от России на Западе кибермошенники получают реальные сроки, и примером тому является множество дел, возбужденных в 2012 г.

Так, окружной суд Лос-Анджелеса приговорил 26-летнюю жительницу Калифорнии к пяти годам лишения свободы за соучастие в организации массовой кражи денежных средств со счетов Bank of America и Wells Fargo с помощью фишинга.

Британский суд присяжных приговорил преступника к 6,5 годам тюремного заключения за взлом студенческих кредитных счетов посредством фишинга.

Летом 2012 г. Федеральное бюро расследований США сообщило об успешном завершении двухлетней операции по ликвидации мошеннической группировки "Operation Card Shop", которая занималась торговлей данными по кредитным картам. В результате проведенной работы было произведено 24 ареста в восьми странах мира, в том числе в США <1>.

<1> См. подробнее: Дяченко О. Системам ДБО необходима надежная защита. Всемирный рост киберпреступности вынуждает искать адекватные способы противостояния мошенникам // Национальный банковский журнал. N 2 (105). 2013.

Риски недостаточного обеспечения информационной безопасности

Бурное развитие технологии ДБО вызывает повышенный интерес у киберпреступников, в арсенале которых для несанкционированного доступа к информационным системам имеется широкий и постоянно обновляющийся набор технологических инструментов.

Риски недостаточного обеспечения информационной безопасности при ДБО могут возникать как со стороны клиентов, так и со стороны банков, и у каждого своя зона ответственности.

Примером первого вида рисков может быть ситуация, когда клиент вводит пароль в "неправильном" месте или оставляет его в системе сохраненным и дает возможность злоумышленникам воспользоваться им. Клиентские риски также связаны с недостаточно безопасными способами авторизации: у пользователя нет карточки паролей либо его доступ в систему обеспечивает лишь одно слово или один пароль, который человек может записать где-то и который кто-то может увидеть <2>.

<2> По мнению банковских экспертов, при ДБО имеют место в основном клиентские риски, связанные с тем, что банк не предусмотрел эффективную технологию защиты информации.

Второй вид рисков при ДБО - банковские риски, возникающие в случае, когда утечка информации происходит на этапе передачи данных в кредитную организацию. В настоящее время такие случаи очень редки, поскольку кредитные организации располагают достаточными ресурсами для того, чтобы защитить информационные системы.

Зона ответственности кредитной организации гораздо шире, так как в ней находится комплексное обеспечение безопасности системы. Банки стараются делать все возможное, чтобы защитить ключи электронной подписи и процедуру формирования подписи для платежных документов на стороне клиента. При этом конечный пользователь (клиент) все же должен соблюдать элементарные нормы информационной безопасности на своем рабочем месте для работы с системой "клиент-банк".

Учитывая тот факт, что клиент защищен меньше чем банки, кибермошенники сместили свои действия на сторону клиента. Они пошли по пути наибольшей экономической целесообразности и наименьшего сопротивления: зачем взламывать сервер "клиент-банк", что сложно и дорого, если можно просто украсть ключи электронной подписи, которые находятся в компьютере клиента.

Определенная озабоченность правоохранительных и регулирующих органов стала причиной проведения разъяснительной работы для клиентов банков по наиболее распространенным случаям кибермошенничества и способам защиты от них. Клиенты, применяющие для выполнения своих операций системы ЭБ, стали активнее использовать устройства защищенного хранения ключей электронной подписи и защищенной выработки ЭП посредством доверенных устройств отображения по подписи платежного поручения, с помощью доверенных каналов подтверждения платежа и использования доверенной среды для работы с сервером "клиент-банк" <1>.

<1> По статистике, 70% атак кибермошенников на клиентскую часть современных систем ДБО происходят при хранении закрытых ключей аутентификации и электронной подписи на незащищенных носителях, поэтому многие банки переходят на технологии строгой многофакторной аутентификации с формированием и хранением закрытого ключа электронной подписи в неизвлекаемом виде на USB-токене или смарт-карте.

Следует отметить, что в большинстве случаев при атаках на системы ЭБ применяются методы социальной инженерии, средством защиты от которых опять же является повышение уровня осведомленности пользователей технологии ДБО в вопросах информационной безопасности. В качестве основной угрозы с использованием методов социальной инженерии выделяются заражение клиентских рабочих станций вредоносным программным обеспечением и компрометация идентификационных данных клиента <2>.

<2> Зараженный компьютер может быть использован для производства DoS-атак (от англ. Denial of Service, отказ в обслуживании) и DDoS-атак (от англ. Distributed Denial of Service, распределенный отказ в обслуживании) - это разновидности атак на вычислительную систему. Цель этих атак - довести систему до отказа, то есть создать такие условия, при которых легитимные (правомерные) пользователи системы не могут получить доступ к предоставляемым системой ресурсам либо этот доступ затруднен.

Одним из адекватных методов противодействия атакам на системы ЭБ является перенос функции контроля основных параметров документа из операционной системы в замкнутую среду на внешнем устройстве. В этом случае функции защиты, целостности и неизменности документа реализуются не в операционной системе, а на отчуждаемом защищенном носителе. Такие устройства на российском рынке уже предлагают несколько компаний.

В последнее время возникла проблема распространения несанкционированных платежей, которые создаются мошенниками посредством украденных ключей электронной подписи, удаленного управления компьютером с ключом электронной подписи либо с помощью подмены реквизитов платежного поручения на персональный компьютер клиента в момент подписи. Электронная подпись как инструмент для обеспечения целостности и подтверждения авторства может эффективно достигать своих заявленных целей при условии, что она вырабатывается и устанавливается в доверенной среде в доверенном сеансе связи клиента и банка <1>.

<1> Средство, с помощью которого ведется работа с электронной подписью, называется средством электронной подписи.

Средство электронной подписи для ДБО должно иметь определенные особенности, главная из которых состоит в том, что оно должно быть ненастраиваемым (работать "в одно касание", "one touch"). Настройки безопасности целесообразно доверять профессионалам из банка. При этом в банке должна быть обеспечена доверенная среда <2>.

<2> Заметим, что обоснованное требование использовать ненастраиваемое сертифицированное средство электронной подписи является единым для всех клиентов.

Выполнение поручений клиента является важнейшим элементом договорных отношений. В связи с этим в распоряжении банка должны быть средства идентификации и аутентификации, позволяющие однозначно отделять хакерские поручения от волеизъявления клиентов.

В качестве предложения по созданию доверенной среды банкам, кредитным организациям, финансовым институтам, страховым компаниям можно объединить свои усилия и создать единый для всех национальный оператор идентификации, который возьмет на себя предоставление доверенной услуги идентификации клиента для всех банков и ответственность за данное предоставление, тем самым снимая с банков несвойственные им функции и минимизируя сопутствующие риски <3>.

<3> См. подробнее: Поспелов А., Конявский В. Национальный оператор идентификации, или Как повысить доверие клиентов к ДБО и понизить риски банков // Национальный банковский журнал N 2 (105). 2013. С. 86.

Источники типичных банковских рисков в условиях ЭБ

В большей степени источники рисков, связанные с особенностями обеспечения информационной безопасности и нарушением бесперебойного функционирования аппаратно-программного обеспечения (АПО) в информационном контуре банковской деятельности системы ЭБ, оказывают влияние на расширение профилей операционного, правового, стратегического рисков, риска потери деловой репутации (репутационного риска) и риска ликвидности.

Источники операционного риска

К таким источникам относятся:

Источники правового риска

Источниками правового риска могут быть:

Источники стратегического риска

Источниками стратегического риска являются:

Источники репутационного риска

Источниками репутационного риска могут быть:

Источники риска ликвидности

Источниками риска ликвидности могут быть:

Если в кредитной организации одновременно используется несколько систем ЭБ, необходимо учитывать возможное взаимное влияние компонентов банковских рисков. Например, сбой в работе АПО является причиной возникновения операционного риска, что, в свою очередь, может привести к появлению и распространению в средствах массовой информации негативной оценки данного вида ДБО (репутационный риск).

Закон встал на защиту клиента

В связи с принятием Федерального закона от 27.06.2011 N 161-ФЗ "О национальной платежной системе" (далее - Закон о НПС) создаются реальные предпосылки для повышения доверия клиентов к технологиям ДБО. На основании п. 15 ст. 9 упомянутого Закона, если деньги клиента со счета в банке исчезнут, банк должен сначала деньги вернуть, а уже потом разбираться, куда они исчезли и кто в этом виноват.

Это достаточно радикальное средство возвращения доверия клиентов к услугам банка. В данном случае клиент уже действительно "всегда прав", а не "сам виноват", как было до этого практически всегда и везде.

Заметим, что подобные меры защиты клиентов ДБО соответствуют мировой практике. При этом у банка появляется возможность правомерной блокировки электронного средства платежа, которым пользуется клиент, при подозрении на мошенничество.

Источники банковских рисков в системах электронного банкинга Рисунок

Учитывая достаточно неоднозначный характер ст. 9 Закона о НПС, Банк России выпустил Письмо от 14.12.2012 N 172-Т "О Рекомендациях по вопросам применения статьи 9 Федерального закона "О национальной платежной системе". В Приложении к указанному Письму отмечается, что кредитная организация на основе предоставленной клиентом и иной доступной информации оценивает степень риска, связанного с предоставлением клиенту конкретного вида электронного средства платежа. Методика оценки данного риска должна включать критерии оценки и характеристику случаев повышенного риска, которые необходимо отражать во внутренних документах кредитных организаций <1>.

<1> При разработке данной методики может учитываться типовая методика оценки риска, разработанная в рамках платежной системы, участником которой является КО.

Распределение ответственности в сфере применения технологий ДБО в связи с вступлением в действие ст. 9 <1> Закона об НПС - наиболее острый вопрос, требующий доработки и четкого понимания обеими сторонами (банками и их клиентами). В действующей редакции Закона большая часть ответственности возлагается на кредитные организации, поэтому становятся понятны их многочисленные обращения к регулятору с просьбами выстроить сбалансированную справедливую систему, в которой все участники защищены и имеют возможность получить необходимую информацию.

<1> Вступает в действие 01.01.2014.

Суть обращений банков к регулятору сводится к тому, что каждая из сторон должна нести ответственность за свои действия (или бездействие) в пределах, не превышающих ее возможностей, а также не должна допускать неотвратимого и безнаказанного причинения ущерба другой стороне.

В связи с этим регулятору было бы целесообразно:

Перенос рисков на банки повлечет рост цен на оказание услуг (риски неизбежно закладываются в стоимость банковского продукта). Добросовестные держатели банковских карт, которые соблюдают элементарные правила безопасности, будут вынуждены переплачивать за тех клиентов, которые пишут свой PIN на карте.

К сожалению, перечисленные факторы будут препятствовать развитию рынка и оказанию финансовых услуг населению <1>.

<1> В частности, решению задачи снижения доли наличных денежных средств в обороте.

Выводы

Банки, работая в условиях жесткой конкуренции, не заинтересованы расходовать на обеспечение информационной безопасности больше средств, чем конкуренты. Информационная безопасность всегда связана с затратами для кредитных организаций, неудобствами для банковского персонала и клиентов. Что касается клиентов, то они обращают больше внимания на удобство банковских услуг, чем на их безопасность. Поэтому кредитным организациям нужен разумный компромисс, который строится на нескольких базовых принципах организации информационной безопасности:

П.В.Ревенков

К. э. н.,

заведующий сектором

департамент банковского надзора

Банк России