Безопасность межбанковских операций

Оглавление

 

Введение 2

Классификация потенциальных угроз информационной безопасности банков 3

Преступления с использованием пластиковых платежных средств 3

Интернет-банкинг 4

Информационная безопасность в системах электронной коммерции 8

Заключение 15

Список литературы 16

 

 

 

Введение

 

Со времени своего появления  банки неизменно вызывали преступный интерес. И этот интерес был связан не только с хранением в кредитных  организациях денежных средств, но и  с тем, что в банках сосредотачивалась  важная и зачастую секретная информация о финансовой и хозяйственной  деятельности многих людей, компаний, организаций и даже целых государств. Так, еще в XVIII веке недоброжелатели  известного Джакомо Казановы опубликовали закрытые данные о движении средств по его счету в одном из парижских банков. Из этой информации следовало, что организованная Казановой государственная лотерея приносила доход не только казне, но и (в не меньших масштабах) ему лично.

В наши дни в связи со всеобщей информатизацией и компьютеризацией банковской деятельности значение информационной безопасности банков многократно возросло. В результате повсеместного распространения электронных платежей, пластиковых карт, компьютерных сетей объектом информационных атак стали непосредственно денежные средства как банков, так и их клиентов. Совершить попытку хищения может любой — необходимо лишь наличие компьютера, подключенного к сети Интернет. Причем для этого не требуется физически проникать в банк, можно «работать» и за тысячи километров от него.

Компьютеризация банковской деятельности позволила значительно  повысить производительность труда  сотрудников банка, внедрить новые  финансовые продукты и технологии. Однако прогресс в технике преступлений шел не менее быстрыми темпами, чем  развитие банковских технологий. В  настоящее время свыше 90% всех преступлений связана с использованием автоматизированных систем обработки информации банка (АСОИБ). Следовательно, при создании и модернизации АСОИБ банкам необходимо уделять пристальное внимание обеспечению ее безопасности.

Как показывает практика, не существует сложных компьютерных систем, не содержащих ошибок. А поскольку  идеология построения крупных АСОИБ  регулярно меняется, то исправления  найденных ошибок и «дыр» в  системах безопасности хватает ненадолго, так как новая компьютерная система  приносит новые проблемы и новые  ошибки, заставляет по-новому перестраивать систему безопасности.

В связи с вышеизложенным, в настоящей работе основное внимание уделено именно компьютерной безопасности банков, т.е. безопасности автоматизированных систем обработки информации банка (АСОИБ), как наиболее актуальной, сложной и насущной.

 

Классификация потенциальных угроз информационной безопасности банков

 

По цели воздействия различают три основных типа угроз информационной безопасности:

1. Угрозы нарушения конфиденциальности - направлены на разглашение конфиденциальной или секретной информации. При реализации этих угроз информация становится известной лицам, которые не должны иметь к ней доступ.

 

2. Угрозы нарушения целостности информации, хранящейся в компьютерной системе или передаваемой по каналу связи - направлены на её изменение или искажение, приводящее к нарушению её качества или полному уничтожению. Целостность информации может быть нарушена умышленно злоумышленником, а также в результате объективных воздействий со стороны среды, окружающей систему. Эта угроза особенно актуальна для систем передачи информации - компьютерных сетей и систем телекоммуникации.

 

 

3. Угрозы нарушения доступности - направлены на создание таких ситуаций, когда определённые преднамеренные действия либо снижают работоспособность аппаратных средств обработки информации, либо блокируют доступ к некоторым её ресурсам.

Преступления с использованием пластиковых платежных средств

 

Мошенничество с  платежными картами, кардинг — вид мошенничества, при котором производится операция с использованием платежной карты или ее реквизитов, не инициированная или не подтвержденная ее держателем. Реквизиты платежных карт, как правило, берут со взломанных серверов интернет-магазинов, платежных и расчётных систем, а также с персональных компьютеров, либо непосредственно, либо через программы удаленного доступа, «трояны», «боты» с функцией формграббера. Кроме того, наиболее распространённым методом похищения номеров платежных карт на сегодня является фишинг.

Фишинг  — создание мошенниками сайта, который будет пользоваться доверием у пользователя, например — сайт, похожий на сайт банка пользователя, через который и происходит похищение реквизитов платежных карт.

Одним из самых  масштабных преступлений в области  мошенничества с платежными картами  считается взлом глобального  процессинга кредитных карт Worldpay и кража с помощью его данных более 9 миллионов долларов США. В ноябре 2009 года по этому делу были предъявлены обвинения преступной группе, состоящей из граждан СНГ.

 

Интернет-банкинг

 

Интернет-банкинг  — это общее название технологий дистанционного банковского обслуживания, при котором доступ к счетам и операциям (по ним) предоставляется в любое время и с любого компьютера, имеющего доступ в Интернет. Для выполнения операций используется браузер, то есть отсутствует необходимость установки клиентской части программного обеспечения системы.

Интернет-банкинг часто  доступен по системе банк-клиент, с использованием

технологии тонкого клиента.

Как правило, услуги интернет-банкинга включают:

                - выписки по счетам

                - предоставление информации по  банковским продуктам (депозиты, кредиты и т. д.)

                - заявки на открытие депозитов,  получение кредитов, банковских  карт и т. д.

                - внутренние переводы на счета  банка

                - переводы на счета в других  банках

                - конвертацию средств

                - оплату услуг.

Безопасность  интернет-банкинга:

            Важным свойством безопасности  интернет-банкинга является подтверждение  транзакций с помощью  одноразовых паролей (чтобы перехват трафика не давал бы злоумышленнику возможности получить доступ к нашим финансам). Хотя теоретическая возможность подмены сервера всё же остаётся, однако осуществление подобного мошенничества довольно проблематично (особенно если использовать SSL соединение с сертификатом, подписанным третьей стороной).

Главным риском в системах интернет-банкинга является возможность  несанкционированного доступа к  средствам клиента третьих лиц. Понятно, что основные финансовые потери при этом несёт банк, поэтому обеспечение  защиты от несанкционированного доступа  является важнейшей задачей его  служб.

            Так как традиционные системы  “клиент-банк” (без использования  Интернета) достаточно длительное  время успешно эксплуатируюся практически всеми банковскими учреждениями, отработанные в них схемы информационной защиты  нашли применение и в системах интернет-банкинга. Прежде всего это относится к системам шифрования и ЭЦП. Однако в отличие от традиционных систем “клиент-банк” здесь взаимодействие с клиентом происходит с использованием Web- технологий, что потребовало введения и соответствующих новых элементов защиты.

Рис.1.Схема информационной защиты системы интернет-банкинга

IP-интернет-протокол;SSL-протокол защиты информации;CISCO- программируемый маршрутизатор(роутер).

Обмен электронными документами  через Интернет между банком и  клиентом, как правило, защищается с  помощью SSL-протокола, который стал де-факто стандартом для финансовых интернет-приложений. Широкое применение при использовании SSL-протокола находят цифровые сертификаты VeriSign (режим доступа: www.verisign.com) и Thawte (режим доступа: www.thawte.com), проверка которых осуществляется автоматически при начале соединения. Сами электронные документы (распоряжения клиента на выполнение операций, выписки по счету и другие ответы банка) также шифруются и подписываются ЭЦП.                                      

            Поддержку SSL-протокола на компьютере  клиента обеспечивают стандартные  компоненты интернет-браузеров при  установке соединения браузеры  обеспечивают автоматическую проверку  цифровых сертификатов Web-cepвepa банка. Для шифрования и ЭЦП применяются алгоритмы с несимметричными ключами (наиболее распространенными в настоящее время являются алгоритмы RSA, используются также и алгоритмы ГОСТ). Соответствующее ПО шифрования и ЭЦП предоставляется банком и устанавливается на стороне клиента. Так как клиентское ПО предназначено, главным образом, для формирования ЭЦП клиента и проверки ЭЦП банка и не предполагает хранения и сложной обработки данных (так называемый «тонкий клиент»), то важной задачей системы защиты является сохранение конфиденциальности закрытого ключа. Как правило, ключи хранятся на так называемой ключевой дискете, ограничение физического доступа к которой должно обеспечиваться клиентом. При обращении к закрытому ключу, например в процессе формирования ЭЦП, у клиента запрашивается пароль доступа. Многие системы интернет-банкинга (например, система «Интернет-сервис банк» Автобанк-Никойл) предлагают для хранения ключей ЭЦП более современные технические средства — USB-токены со встроенными микропроцессорами, что значительно повышает как защищенность клиента, так и общее удобство работы с системой.

Основной целью защиты на стороне банка является предотвращение несанкционированного доступа к  информации и алгоритмам как системы  интернет-банкинга, так и к АБС, с которой интернет-банкинг взаимодействует. Это означает, что клиент банка  не должен получить доступ к не принадлежащей  ему информации и выполнению операций, на которые он не подписан по условиям обслуживания. Первым барьером после  установления IP-соединения, как правило, является парольная защита — при  соединении клиента с сервером банка  у клиента запрашиваются имя  и пароль, которые проверяются  по базе данных системы интернет-банкинга.

            В случае использования цифровых  сертификатов, хранящихся на дискете  или на USB-токене (технология PKI), следующим шагом является проверка сертификата клиента. Последующий обмен электронными документами шифруется и подписывается ЭЦП сторон с помощью специализированного ПО, установленного как на стороне клиента, так и на стороне банка.

            Наряду с использованием средств  шифрования и ЭЦП очень важно  обеспечить информационную безопасность  сетевого периметра АБС. Для  этих целей используются как  технические средства защиты, так  и рациональная сегментация локальной  сети банка. Так, Web-сервер банка, с помощью которого осуществляется взаимодействие с клиентами, размещается за межсетевым экраном (МСЭ — Firewall), который настраивается таким образом, чтобы разрешить обмен только с зарегистрированными клиентами. При этом для фильтрации могут быть использованы как IP-адреса, так и идентификаторы клиентов, присваиваемые при регистрации в системе. Web-сервер банка может содержать также элементы проверки цифровых сертификатов клиентов при установке IP-соединения.

            Ядро системы интернет-банкинга  — сервер приложений и сервер  БД, также отделены от Web-сервера межсетевым экраном. В ряде случаев для повышения уровня защиты АБС интерфейс между ней и ядром интернет-банкинга также защищен межсетевым экраном.

  На уровне локальной сети Web-сервер, сервер приложений, сервер БД системы интернет-банкинга рекомендуется размещать в разных сегментах, взаимодействующих через программируемые маршрутизаторы (роутеры). Собственно, БД хранит идентификаторы клиентов, открытые ключи, архив документов и другую информацию, обеспечивающую поддержку функционального интерфейса с клиентом вплоть до элементов CRM. Повышению уровня защиты способствует также рациональное распределение информации между АБС и ядром интернет-банкинга. Так, например, из АБС в БД системы интернет-банкинга может автоматически загружаться информация о состоянии счетов клиентов, что позволяет запросы клиента не маршрутизировать в АБС.

            Ядро системы интернет-банкинга  обеспечивает также управление  открытыми ключами участников  от простого ведения (хранение, удаление, замена) до полной реализации  инфраструктуры открытых ключей (PKI) с ведением цифровых сертификатов. В последнем случае роль удостоверяющего  центра может выполнять как  сам банк, так и уполномоченная  третья сторона.

            Следует отметить также, что  наряду с программно-техническим  обеспечением защиты от несанкционированного  доступа большое значение имеют  организация общего внутреннего  контроля, проведение мероприятий  по предотвращению возможности  доступа к конфиденциальной информации  недобросовестных сотрудников банка.  Что касается клиентов, то одним  из последствий принятия Федерального  закона о противодействии легализации  (отмыванию) доходов, полученных  преступным путем, явилось запрещение  открытия банковских счетов без  физического присутствия клиента.

            В процессе регистрации клиента  производится проверка его документов, формируется юридическое дело, создаются  открытые ключи и цифровые  сертификаты, что значительно  снижает риски мошенничества  со стороны клиентов.

В качестве примера конкретного  решения вопросов информационной безопасности можно рассмотреть подсистему «интернет- клиент» системы ДБО (комплексная система дистанционного банковского обслуживания).

Общая схема подсистемы «интернет-клиент»  представлена на рис. 2.