С развитием информационных технологий количество способов атаки на банковские счета растет в геометрической прогрессии, как и число желающих эти способы испытать. Недавно руководитель отдела финансовой стабильности Банка Англии Эндрю Хэлдейн заявил, что крупнейшие пять банков Великобритании боятся киберпреступлений даже больше, чем долгового кризиса. По его словам, система защиты от хакерских атак в банковском секторе до сих пор находится в зачаточном состоянии: финансисты больше заботились о ликвидности, чем о безопасности. Однако последние киберограбления — например, украденные хакерами со счетов в банках США 45 млн долл., заставили руководство учреждений задуматься о вложениях в защиту от компьютерных атак.
В Украине это также серьезная проблема. "В последнее время киберпреступники немного ослабили свое внимание к карточному сектору и переключились на онлайн-системы. Все меньше влияние одиноких "рейнджеров" и все сильнее влияние организованных групп преступников", — констатирует Андрей Билокинь, начальник отдела информационной безопасности ПАО "Авант-Банк". По его словам, в 2012 г. в Украине было зафиксировано 139 фактов несанкционированного списания средств со счетов предприятий с нарушением работы систем дистанционного банковского обслуживания (СДО). Общая сумма ущерба составила более 116 млн грн, из которых 75% было возвращено. В начале 2013 г. было зафиксировано 14 таких фактов на общую сумму 9,4 млн грн, из них удалось вернуть пострадавшим около 8,3 млн грн, или 88%.
Банкиры и их клиенты все больше беспокоятся об информационно-технической безопасности средств на счетах. Более того, чтобы предупредить возникновение проблем, в которых клиент сможет обвинить финансовое учреждение, банки все чаще самостоятельно инициируют разработку и внедрение правил ИТ-безопасности для корпоративных клиентов. А некоторые даже готовы самостоятельно проверять, насколько клиент готов к той или иной форме атаки.
По мнению начальника отдела информационно-технической защиты ПАО "КБ "Південкомбанк" Егора Изотова, несмотря на то что попытки противоправного завладения денежными средствами клиентов с каждым годом учащаются, а действия злоумышленников становятся все более изощренными, правильное формирование системы защиты своих счетов и работы в системе "клиент-банк" позволяет минимизировать такие риски. А многоуровневая система защиты сводит их практически к нулю.
Без лишних затрат
По словам эксперта, чтобы избежать вторжения злоумышленников, необходимо придерживаться таких базовых правил. Во-первых, необходимо использовать только лицензионное программное обеспечение, поскольку нелицензионный софт может содержать или открывать "лазейки" для считывания информации с компьютера. "Потери в результате хищений могут быть в сотни раз больше, чем расходы на легальное ПО", — отмечает Е.Изотов. Также необходимо использовать антивирусы и сетевые экраны известных производителей с регулярным автоматическим обновлением баз и проверкой компьютера. Эксперты "Південкомбанка" также не рекомендуют использовать компьютер системы "клиент-банк" для каких-либо других целей, кроме проведения операций со своими счетами, а также использовать системы дистанционного управления компьютером.
Есть несколько прописных истин относительно ИТ-безопасности, которые тем не менее регулярно игнорируются финансово ответственными сотрудниками компаний. Первая — не выходить в систему "клиент-банк" через "небезопасные" компьютеры (например, в интернет-кафе), не использовать Wi-Fi-подключения, тем более в публичных местах. Вторая — использовать вход в систему только через пароль. При этом желательно, чтобы пароль содержал не менее 15 символов и менялся не реже чем один раз в два месяца. После увольнения ответственного сотрудника, а также в случае заражения компьютера вирусами нужно полностью менять пароли, чистить кэш, проверять антивирусом все системы "клиент-банк", с которыми он сталкивался, отмечает Е.Изотов. "Если банк предоставляет таковую возможность, пользоваться электронными ключами (так называемыми "е-токенами"). Ни в коем случае не хранить ключи системы на жестком диске", — резюмирует он.
Кроме того, желательно, чтобы платежные документы подписывались двумя независимо хранящимися ключами электронно-цифровой подписи — например, директора и бухгалтера. По словам Андрея Билоконя из Авант-Банка, благодаря правилу "двух рук" вариант передачи электронной цифровой подписи, паролей и другой информации "по неосторожности" возможен в крайне редких случаях. Но тогда необходимо, чтобы такая "неосторожность" случилась одновременно у нескольких человек. А это уже сговор.
Чтобы банку было легче защищать счета клиентов, эксперты советуют пользоваться системой фильтрации IP-адресов входа системы "клиент-банк". Суть услуги в том, что банк получает точные IP-адреса, при подключении с которых возможен провод платежей. С остальных адресов он просто блокируется. Кроме того, целесообразно подключить услугу СМС-информирования о платежах, если эта возможность предоставляется банком.
"Для физлиц практически все банковские онлайн-системы используют подтверждение операций динамическими паролями — это позволило поднять уровень защиты таких операций на приемлемый уровень. Но и здесь не все идеально: если клиенты-"физики" привязывают в СДО счет к номеру мобильного телефона, это нужно делать с контрактным номером, так как препейды мошенники научились обходить", — говорит А.Билокинь.
Безопасность "для чайников"
Впрочем, далеко не все клиенты понимают важность многоуровневой защиты и необходимость самостоятельно контролировать собственный уровень безопасности. Многим просто не хватает знаний. Именно поэтому банкиры идут дальше и предлагают услугу по проверке рабочих мест клиентов на предмет защищенности от хакерских вторжений. Суть услуги состоит в том, что банковские специалисты, используя наработанные внутри учреждения системы защиты от финансовых кибермошенников, обеспечивают клиенту надежный уровень безопасности, который минимизирует потери в будущем.
"Как показал наш анализ, успешные мошеннические операции в системах "клиент-банк" и "интернет-банкинг" зачастую являются следствием несоблюдения требований информационной безопасности со стороны клиентов. Им крайне необходима информационная поддержка в этом вопросе. Поэтому нам стало очевидно, что задача обеспечения защиты информации и сохранности средств клиентов может и должна решаться совместными усилиями банка и клиента", — рассказывает об услуге проверки информационной безопасности рабочих мест клиентов начальник управления корпоративных продуктов и сервиса АО "ОТП Банк" Ольга Байцар.
По ее словам, банк, в отличие от внешних провайдеров, обладает информацией о "поведении клиента" в системе "клиент—интернет-банкинг", о характере и особенностях мошеннических атак. Таким образом, банк может таргетированно формировать необходимые условия информационной безопасности на стороне клиентов и, соответственно, предоставлять клиентам практические рекомендации, а не теоретические предположения. Например, по антивирусному программному обеспечению, уровню безопасности настроек браузеров, почтовых программ, хранения секретных ключей и многих других параметров.
Однако какой бы надежной ни была система защиты и обеспечения безопасности, настроенная банковским сотрудником, главный фактор риска — человеческий — остается неизменным. И если сам клиент не готов уделять внимание сохранности своих денег, контролировать сотрудников, имеющих доступ к системе "клиент-банк", рано или поздно он заплатит за это сполна из собственного кармана.