CC BY
19
ОСОБЕННОСТИ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ИНТЕРНЕТ-БАНКИНГА
ШАЛИМОВ Алексей Анатольевич
Мобильные технологии обслуживания в банке привлекают большое количество новых клиентов. Это связано с появлением доверия к банкам, предлагающим большой спектр услуг, в том числе дистанционного управления счетом. Кроме давно используемого «Банк-Клиент», на рынке банковских услуг появились такие продукты, как обслуживание клиента посредством телефона (в том числе и мобильного) и глобальной сети Internet.
«Интернет-банк» (речь идет не о конкретной системе банковской автоматизации, а о технологии, которая должна быть присуща всем подобным системам) относится к системам, которые обеспечивают предоставление доступа банковских клиентов к счетам и общей информации о банковских продуктах и услугах с помощью персонального компьютера или другого устройства с процессором. Продукты и услуги «Интернет-банк» могут включать оптовые продукты для корпоративных клиентов, а также розничные продукты для индивидуальных потребителей. В конечном счете, продукты и услуги, получаемые через «Интернет-банк», могут повторять продукты и услуги, предоставляемые по другим каналам доставки банка.
Вот некоторые примеры оптовых продуктов и услуг:
- управление наличностью;
- переводы;
- транзакции через автоматическую клиринговую систему;
- представление и оплата счетов.
Примеры розничных продуктов и услуг:
- запрос выписки;
- переводы;
- загрузка информации о транзакциях;
- представление и оплата счетов;
- заявка на кредит.
Для электронных услуг, предлагаемых в сети Internet, вопрос обеспечения безопас-
ности связи является первоочередным. Современные криптографические технологии позволяют свести риски практически до нуля. Так, например, сейчас стало возможно применение криптографии в защите таких систем, как «Интернет-банк» (напомню, что речь идет о технологии).
С помощью криптографии возможно обеспечить:
- гарантированную шифрацию сообщений;
- однозначную идентификацию отправителя сообщений;
- сохранность сообщений.
Безопасность системы «Интернет-банк»
гарантирована как аппаратным обеспечением, так и на программном уровне. Благодаря использованию сертификатов стало возможным использовать протокол SSL 3.0 (Secure Socket Layer), который гарантирует наивысшую степень безопасности.
В России существует несколько наиболее часто применяемых систем «Интернет-банк». Однако мы будем рассматривать не отдельные банки, а используемое ими программное обеспечение - ведь все различия, которые нам могут встретиться, определяются почти исключительно его особенностями.
Эти различия включают в себя:
- пользовательский интерфейс. На кого ориентирована система - на рядовых граждан или на бухгалтеров и руководителей предприятий. Ведь потребности этих клиентов далеко не одинаковы - если одним нужно осуществлять вполне конкретные операции попроще и побыстрее, другим необходим в онлайне практически полный спектр банковских услуг;
- клиентское программное обеспечение. Некоторые системы требуют для начала работы установки специальных программ («толстый» клиент), другие выполнены в виде подгружаемых непосредственно из
Internet java-апплетов («тонкий» клиент). Именно это различие определит степень вашей мобильности при работе с банком - первый вариант привязывает вас к компьютерам, на которых установлено клиентское ПО, в то время как второй позволяет получить доступ к своему счету из любого Интернет-кафе;
- используемые средства защиты. Мощные аппаратные средства защиты информации сделают рабочее место неприступной крепостью, но при этом надежно «привяжут» вас к нему.
Несмотря на то, что некоторые банки пользуются для предоставления онлайн-услуг программным обеспечением собственной разработки, большинство выбирает более легкий путь, приобретая системы сторонних производителей.
Итак, наиболее часто используемые системы - это:
1. «Банк-Клиент» (разработчик - компания «ИНИСТ»).
2. «iBank» (разработчик - компания «БИФИТ»).
3. «ДБО BS-Client» (разработчик - компания «Банк'с софт системс»).
4. «Интернет Сервис Банк» (разработка специалистов Автобанка).
5. «Телебанк 2000» (разработчик - компания «Степ ап»).
Все они, за исключением используемой Автобанком, относятся к системам «второго поколения», то есть к тем, которые позволяют не только получать информацию о состоянии счетов, но и управлять ими - проще говоря, осуществлять внутри- и межбанковские переводы, покупать и продавать валюту, открывать и закрывать депозитные вклады.
Отдельное рассмотрения этих систем займет не одну страницу, поэтому отметим лишь, что каждая из них имеет свои преимущества и недостатки. Однако есть один параметр, который объединяет все эти системы и является основной их частью. Это российский стандарт шифрования, применяемый в проектах «Интернет-банк».
В нашей стране в качестве стандарта используется технология, описанная в ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования». Алгоритм, принятый в качестве государственного стандарта РФ, обеспечивает надежную защиту любых данных и не может быть взломан с помощью известных типов криптографических атак. Хотя, конечно, очень многое зави-
сит от конкретной реализации. Часто бывает так, что на базе надежного алгоритма из-за ошибок при разработке создаются системы шифрования, не удовлетворяющие современным требованиям. А поэтому лучше всегда отдавать предпочтение хорошо зарекомендовавшим себя сертифицированным продуктам.
Применяемые в настоящее время алгоритмы защиты и передачи информации практически не поддаются взлому. Но, наверное, почти каждый из нас хоть раз слышал о взломах интернет-счетов или банков. Как же это происходит?
Есть несколько возможных причин для проведения атак на системы «Интернет-банк».
Перечислим лишь основные методы взлома, без детального их описания во избежание проблем с законом:
- атака на протокол SSL. Если быть точнее, то не на сам протокол, а на программы, его использующие. Поиск в них брешей, позволяющих получить ключи шифрования;
- атака на саму систему «Интернет-банк». Поиск брешей либо ошибок реализации алгоритмов в самой программе «Интернет-банк»;
- фишинг-атаки. Рассылка подложных писем клиентам банка, с целью завладения персональной информацией.
В заключение краткого обзора систем «Интернет-банк» хотелось бы еще раз отметить, что рынок Интернет-банкинга в настоящее время наиболее востребован, порождая конкуренцию разработчиков прикладных программ. В то же время современные алгоритмы защиты информации обеспечивают практически абсолютную надежность, при их грамотной реализации. Однако это не мешает взломщикам искать все более изощренные пути проникновения и поиска уязвимостей в сетях банков.
Следует сказать и то, что сейчас в России начинает бурно развиваться мобильный банкинг, что приводит к разработке новых стандартов защиты информации в мобильной сети передачи данных (WAP). И это опять же заставляет злоумышленников искать все новые пути для взлома.
