СТАТЬИ АРБИР
 

  2018

  Декабрь   
  Пн Вт Ср Чт Пт Сб Вс
26 27 28 29 30 1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31 1 2 3 4 5 6
   

  
Логин:
Пароль:
Забыли свой пароль?


Проблемы современных систем безопасности интернет-бан- кинга на примере топ-10 банков рф


ПРОБЛЕМЫ СОВРЕМЕННЫХ СИСТЕМ БЕЗОПАСНОСТИ ИНТЕРНЕТ-БАН- КИНГА НА ПРИМЕРЕ ТОП-10 БАНКОВ РФ

Аннотация

В статье рассматриваются основные проблемы систем безопасности интернетбанкинга ключевых российских банков. Разобраны ключевые меры, применяемые для обеспечения высокого уровня безопасности интернет-банкинга, которые были реализованы в крупнейших банках нашей страны. Проанализированы мировые тенденции в области интернет-банкинга, проведено сравнение России и мирового сообщества.

Ключевые слова

Информационные технологии, Интернет-Банкинг, банковская услуга, банковское обслуживание, российский рынок банковских услуг, системы безопасности.

На сегодняшний момент множество физических и юридических лиц пользуются в повседневной жизни услугами интернет-банкинга. Ежедневно банки устраняют уязвимости, найденные пользователями или в результате аудитов безопасности своих систем. Любое крупное кредитно-финансовое учреждение в список стратегических интересов компании ставит такое понятие, как виртуализация, т.е. перевод основных механизмов работы компании в виртуальное пространство, в том числе, работу с клиентами и формирование основной документации. Технологии интернет-банкинга в настоящее время - ключевое направление изменения банковской системы Российской Федерации. Воспаленный интерес банков к дистанционным технологиям легко объясним, ведь это направление значительно повышает гибкость и эффективность взаимодействия банка с клиентом. А также может обеспечить существенное снижение себестоимости любой банковской организации.

Еще одним из факторов давления для скорейшего перехода является Постановление Правительством РФ о задачи повышения доступности банковских услуг для населе- ния[ 1].

По данным исследовательской компании eMarketer, объем интернет платежей в США за 2015 года составил 13 млрд. долл. [2], а за 2013 ГОД лишь 1 млрд. долл. [3]. Основная часть из них приходится на смартфоны, которые по своей идее являются идеальным устройством для работы с интернет-банкингом. Рассмотрим ключевые показатели российского рынка смартфонов. По оценкам консалтингового агентства J’son & Partners Consulting по итогам 2014 года, коэффициент MbOU составляет 1,6 ГБ в месяц, ARPU владельцев смартфонов выше ARPU владельцев обычных телефонов. Аналитики отметили изменение структуры потребления мобильного трафика в России. Если в 2013 году суммарно на планшеты и смартфоны приходилось 30% трафика, то в 2014 году этот показатель достиг 47% [4].

Сегодня состояние интернет-банкинга оценивается как среднее. Согласно официальной статистике Центрального Банка Российской Федерации, на 01.01.2015 в кредитно-финансовых учреждениях были созданы 51.4 млн. счетов, по которым проводились безналичные платежи, что на 42% выше за аналогичный период прошлого года [5].

Перейдем непосредственно к мерам безопасности дистанционных онлайн-каналов обслуживания клиентов банками. Под безопасностью подразумевается защищенность финансовой информации и сохранность денежных средств клиента банка.

При поиске уязвимости будет рассматриваться ряд основных типов недостатков:

Неиспользование при подключении последних криптографических протоколов (SSL/TLS), в частности исправление уязвимостей, которые позволяют расшифровывать сессии, перехватывать и подменять данные, передаваемые между пользователем и сервером. В силу слабой информированности эту проблему заметить конечный пользователь попросту не может.

Отсутствие двухфакторной аутентификации. Двухфакторная аутентификация — это метод идентификации пользователя в каком-либо сервисе (как правило, в Интернете) при помощи запроса аутентификационных данных двух разных типов, что обеспечивает двухслойную, а значит, более эффективную защиту аккаунта от несанкционированного проникновения. На практике это обычно выглядит так: первый рубеж — это логин и пароль, второй — специальный код, приходящий по SMS или электронной почте.

Проверка сервиса о качестве пользовательской сессии и принятия решения о необходимости «доаутентификации».

Слабая парольная политика - отсутствие требования к длине пароля, наличия спецсимволов, В качестве мотивации пользователя к созданию сложного пароля существует интерактивная форма, сообщающая о надежности.

Проверка на дублирование сессии и ее продолжительность. Если невнимательный пользователь оставит активную сессию, может возникнуть угроза получение несанкционированного доступа к сервисам. Также пользователь обычно управляет финансами в одном окне на одном устройстве.

Содержание SMS, PUSH, USSD уведомлений. Одним из самых распространенных методов краж денежных средств у пользователей является социальная инженерия. Многие банки не уделяют внимания содержанию уведомления, отсутствует информация о предназначении пароля.

Метод хранения пароля доступа к мобильному банку. Ряд российских банков позволяет осуществить операции без дополнительных подтверждений через мобильное приложение, при этом все они защищены кодом доступа (обычно длиной в 4 цифры), но во многих из них пароль хранится на телефоне, а не на сервере или же для ввода пароля не предусмотрено число попыток [6].

Проверка перевыпуска SIM-карты пользователя.

Практически все данные уязвимости были проверены в первой волне ежегодного исследования средств безопасности дистанционных онлайн-каналов банковского обслуживания физических лиц [7].

Как видно из приведенной диаграммы, первые строчки рейтинга занимают «Интерактивный Банк» и «Ситибанк». Реализуя многочисленные факторы защиты клиентов, они снижают удобство пользования (по результатам исследования Internet Banking Rank 2015 оба интернет-банка получили одну из худших оценок по удобству интерфейсов) [8].

Еще один большой раздел безопасности интернет-банкинга - это блокировка фродопераций.

Обычно основными способами выявления таких операций являются:

Защита от подбора CVV и номера карт.

Анализ метаданных пользователя по банку, типу продукта, стране выпуска и географии использования.

Ретроспективный анализ покупок.

Проверка домена и IP адреса.

Банки вкладывают огромные средства в то, чтобы найти тонкую грань между защищенностью и удобным пользовательским интерфейсом. Отсюда появляется проблема внедрения SSL/TLS протоколов, старые версии которых обладают известными «дырами». Казалось бы, решение очевидно, но при внедрении конечный пользователь не сможет использовать ресурс на старых версиях интернет браузера. В мае 2015 года была проведена проверка защищенности SSL/TLS Российских банков[9], Каждому веб-ресурсу присвоена оценка «SSL Server Test» со шкалой от A до F.

Банк
URL
Оценка
Банк
URL
Оценка
1
Сбербанк России
online.sberbank.ru/
В
9
Промсвязьбанк
retail.payment.ru/
А-
sbi.sberbank.ru:9443/
10
Росбанк
www.bankline.ru/
с
2
Газпромбанк
homebank.gazprombank.ru/
F
ibank.rosbank.ru/
с
3
ВТБ 24
www.telebank.ru/
А-
11
Райффайзенбанк
connect.raiffeisen.ru/
с
bco.vtb24.ru/
А-
12
Ханты-Мансийский банк Открытие
online.openbank.ru/
с
i-tcb.ru/
В
ibank.khmb.ru/
в
4
Россельхозбанк
cabinet.rshb.ru/
С
faktura.ru/
в
5
ФК Открытие
dbo.ofc.ru/
F
[194.85.126.71)
faktura.ru/
(194.85.125.1)
А
link.otkritiefc.ru/
С
6
Альфа-Банк
alfabank.ru/
В
13
Московский Кредитный Банк
online.mkb.ru/
F
click.alfabank.ru/
Qualys SS
14
Банк "Санкт- Петербург"
www.bspb.ru/retail/ibank/
А-
7
Банк Москвы
ibank.mmbank.ru/
F
8
ЮниКредит Банк
ru.unicreditbanking.net/
С
15
Россия
i-abr.ru/
с
enter.unicredit.ru
(195.19.94.136)
С
bss.abr.ru/
с
enter.unicredit.ru
F
ibank.abr.ru/
с
(195.19.95.136)

Рис.2 Результаты SSL Server Test ТОП15 Российских банков

Источник: Исследование Безопасности SSL/TLS российского интернет-банкинга, компания SCADA.

Таким образом, информационные технологии в сфере банкинга развиваются очень быстро и большинство топовых представителей прилагают массу усилий для обеспечения сохранности наших денежных средств. Общий уровень безопасности у всех банков из ТОП-10 является высоким. Современные банки дают возможность пользователям выбрать необходимый уровень безопасности, оставляя возможность подключать ряд функций, в том числе подключать или отключать двухфакторную аутентификацию, использовать стандартные или нестандартные способы подтверждения операций, настраивать возможность доступа к тем или иным картам и счетам в интернет-банке. Происходит развитие мировых гигантов в область технологии обеспечения безопасности на основе биометрических данных. При этом безопасность и надежность для клиента остается самым важным фактором при дистанционном обслуживании. Хотя биометрическое сканирование для оплаты в ближайшие несколько мы вряд ли встретим, а вот POS- терминалы с поддержкой технологий Payway и Paypass - бесконтактные технологии платежа - уже используются повсеместно.

Список литературы:

Основные направления деятельности [Электронный ресурс] URL: www.raexpert.rU/strategy/conception/part7/3/ (дата обращения 12.12.2015).

REPORT: US Mobile Payments Forecast: Driven by User Growth and Broader Acceptance, Transaction Value Will Triple in 2016 [Электронный ресурс] URL: www.emarketer.com/articles/results.aspx?q=Payments ()

US Mobile Payments to Top $1 Billion in 2013 //eMarketer. 11.07.2013. [Электронный ресурс] URL: www.emarketer.com/Article/US-Mobile-Payments-Top-1-Billion- 201з/1010035(дата обращения 12.12.2015).

Состояние и перспективы развития мобильного интернета в России.

Аналитический Центр Видео Интернешнл [Электронный ресурс] URL:

www.tadviser.ru/images/3/36/0/oD00/oA1%D0%BE%D1%81%D1%82%D0%BE %D1%8F%D0%BD%D0%B8%D0%B5_%D0%B8_%D0%BF%D0%B5%D1%80%D1%81 %D0%BF%D0%B5%D0%BA%D1%82%D0%B8%D0%B2%D1%8B_%D1%80%D0%B0% D0%B7%D0%B2%D0%B8%D1%82%D0%B8%D1%8F_%D0%BC%D0%BE%D0%B1%D 0%B8%D0%BB%D1%8C%D0%BD%D0%BE%D0%B3%D0%BE_%D0%B8%D0%BD% D1%82%D0%B5%D1%80%D0%BD%D0%B5%D1%82%D0%B0_%D0%B2_%D0%A0% D0%BE%D1%81%D1%81%D0%B8%D0%B8.pdf (дата обращения 12.12.2015).

Банк России: офиц. сайт. [Электронный ресурс] URL: www.cbr.ru (дата обращения 12.12.2015).

Android 5.x Lockscreen Bypass [Электронный ресурс] URL: sites.utexas. edu/iso/2015/09/15/android-5-lockscreen-bypass/ (дата обращения 12.12.2015).

Online Banking Security Rank 2015 [Электронный ресурс] URL: markswebb.ru/upload/pdf/Markswebb-Online-Banking-Security-Rank-2015--Intro-Re- port.pdf (дата обращения 12.12.2015).

Internet Banking Rank 2015 [Электронный ресурс] URL: markswebb.ru/e- finance/internet-banking-rank-2015/ (дата обращения 12.12.2015).

Безопасность SSL/TLS российского интернет-банкинга [Электронный ресурс] URL: habrahabr.ru/post/258735/ (дата обращения 12.12.2015).

Хахунов А.В.,Бикалова Н.А., Пронина А.С., 2016


Хахунов А.В. Московский государственный технический университет имени Н. Э. Баумана Бикалова Н.А., к.э.н., доцент, Пронина А.С. Финансовый университет при Правительстве Российской Федерации, Россия, г. Москва





МОЙ АРБИТР. ПОДАЧА ДОКУМЕНТОВ В АРБИТРАЖНЫЕ СУДЫ
КАРТОТЕКА АРБИТРАЖНЫХ ДЕЛ
БАНК РЕШЕНИЙ АРБИТРАЖНЫХ СУДОВ
КАЛЕНДАРЬ СУДЕБНЫХ ЗАСЕДАНИЙ

ПОИСК ПО САЙТУ