Защищенность ДБО не отвечает современным требованиям

Интеграция ИТ в банках
мобильная версия
, Текст: Наталья Анищук

Дистанционное банковское обслуживание защищено гораздо слабее, чем другие банковские системы, и несет в себе потенциальные угрозы для финансовых организаций и их клиентов, заявили участники конференции «Информационная безопасность в финансовом секторе: угрозы и противодействие», проведенной в Москве агентством CNews Conferences совместно с CNews Analitycs. Ситуацию осложняет то обстоятельство, что владельцам банков об этом прекрасно известно, но они не всегда готовы вкладываться в решение проблемы.

В России около 20 млн человек хотя бы раз в месяц проводят платежные операции через интернет, говорится в исследовании Finance User Index 2014 агентства Markswebb Rank & Report. 6,6 млн россиян платят с помощью мобильных устройств. Что касается предложения услуг ДБО, то, по данным исследования CNews Analitycs, 87% банков из топ-100 используют такие системы. Наиболее популярен «интернет-банк», который имеют 86% банков. Систему «мобильный банк» используют 63% обследованных банков.

Такая массовость сегмента ДБО привлекает злоумышленников. Но особенность ситуации в том, что при достаточно высоком уровне защищенности других банковских систем, в сфере безопасности дистанционного обслуживания наблюдается определенный провал. «Мнение участников рынка сводится к тому, что разработчики оказались просто не готовы к тому, что их продукты будут ломать хакеры, – заявил управляющий партнер компании «Развитие Бизнеса.Ру» Михаил Козлов. – У разработчиков нет процессов разработки безопасного кода».

В то же время злоумышленники постоянно разрабатывают и совершенствуют свои инструменты. Мария Воронова, заместитель начальника управления ИБ «Пробизнесбанка», назвала в их числе фишинг, методы социальной инженерии, а также продвинутые технические средства для подмены сим-карт, что позволяет перехватывать уже не только смс с одноразовыми кодами подтверждения транзакций, но и push-уведомления.

Разработки в области защиты ДБО ведутся не так активно по причине отсутствия достаточного финансирования. «Почему бизнес-заказчики не дают денег на защиту ДБО? Потому что они считают затраты на защиту и считают риски, – раскрывает важный аспект проблемы Андрей Бажин, руководитель службы ИБ «Вестерн Юнион ДП Восток». – Часто проблема заключается в системе взаимодействия подразделений, когда «рисковики» не обмениваются информацией с ИБ».

Такое положение дел осложняется тем, что ряд финансовых организаций сейчас вынужден ориентироваться на российские разработки, которые в области средств защиты развиты слабо, а то, что есть, преимущественно создается для удовлетворения требований регулятора. Генеральный директор компании «Инфозащита» Евгений Чанышев в этой связи заметил, что комплексную систему ИБ только на отечественных решениях построить пока нельзя: «У нас нет сегодня систем сбора и реляции событий, нет конкурентоспособных решений для защиты баз данных, проигрывают западным решениям системы IPS, фаерволы. И, в отличие от комплексных иностранных решений, существует проблема интеграции. Но потенциал все-таки имеется, и общая ситуация даже лучше, чем в некоторых других областях ИТ».