Насколько хорошо обеспечена защита клиентов банка?
Автор статьи:
Шрамко Павел Андреевич
Эксперт в сфере информационной безопасностиЛюбой процесс защиты прав начинается с изучения законов, кодексов и распоряжений правительства. Банковская сфера – не исключение.
В среднем обычный человек пользуется сервисами от 2 до 4 банков, включая карты, счета и их мобильные приложения. Особняком в этой сфере находятся банковские услуги , связанные с маркетплейсами, поскольку электронная коммерция практически сразу навязывает использование индивидуальной карты конкретного банка. Такая обстановка приводит к увеличению количества карт и, соответственно, к росту числа переводов между собственными счетами в различных банках.
Но выдерживают ли государственные нормы по безопасности это горизонтальное раздувание банковского сектора? В этой статье Павел Шрамко, ведущий консультант по ИБ RTM Group, расскажет об основных проблемах в этой сфере и о мерах по снижению рисков, которые предпринимают регуляторы.
Контроль безопасности банковских переводов
Рассматривая общие правовые нормы в отношении контроля безопасности банковских переводов, можно отметить, что они обобщены для любых переводов и банков, вне зависимости от их зрелости и количества.
Из основных методов защиты от кражи денег в банковской среде можно выделить следующие:
- Антифрод – давно существующая практика анализа действий клиента для выявления подозрительных операций. Пытаетесь перевести все деньги на другой счет? Получатель подозревается в участии в темных схемах? Часто переводите сомнительным контактам небольшие суммы денег? Все эти моменты отслеживаются сотрудниками и системами антифрода. К процессу постепенно подключают искусственный интеллект
- Многофакторное подтверждение переводов – помимо пароля и логина от вашего банковского приложения, вы могли наблюдать различные вариации дополнительного подтверждения легальности операции. Самые распространенные средства – смс с паролем или push-уведомление
- Контроль уязвимостей и защищенности банковских приложений – любое программное обеспечение, которое скачивают клиенты, проходит длительные технические исследования на предмет наличия дыр в безопасности. Однако в техническом плане никто и никогда не может гарантировать абсолютную безопасность
Факторы банковского риска
Банки прикладывают множество усилий для защиты клиентов и счетов, но есть много факторов, на которые даже крупные организации повлиять не могут.
От чего вас не защитят банки:
- Мошеннические операции – финансовые системы безопасности достаточно сильно развиты, а потому злоумышленники применяют социальную инженерию. Для совершения такой атаки не нужно техническое образование, а только подвешенный язык. Звонки из ФСБ, службы безопасности и иные классические “разводы” – все это основано на доверчивости человека
- Вирусы – мы уже говорили, что банковское приложение в среднем неплохо защищено, а как насчет телефона/компьютера клиента банка? Именно в это слабое место можно ударить. Область атаки достаточно быстро модерируется – появляются новые сканеры файлов, блокировщики подозрительных ресурсов, но метод все еще работает. Установленный файл гарантированно предоставляет права доступа к банковскому приложению, смс с кодами подтверждения, сохраненными паролями и прочими ценными данными. Метод существует не первый год, но сейчас он получает второе дыхание. Эксперты, например, фиксируют рост числа таких взломов в 3.5 раза
Развивается ли защита банков?
Центральный Банк и подконтрольные ему организации постоянно маневрируют наперегонки со злоумышленниками.
Проблемы мошеннических операций и потери денег критически влияют на репутацию банков (хоть они в этом и не сильно виноваты) и стабильность их бизнес-процессов. Что же нас ждет в будущем?
На данный момент видится три крупных изменения в части контроля операций, о которых мы поговорим ниже.
Переход на дополнительные факторы аутентификации
Долгое время формат с смс-кодами считался наиболее безопасным, с учетом поправки на удобство. Однако его защищенность сейчас пересматривается
Цифровизация всех сфер бизнеса снова подводит к актуализации вопроса повсеместного использования электронной подписи (ЭП). Для реализации проекта такого масштаба необходимо прежде построить фундамент. Как раз сейчас этим занимаются регуляторы.
Cамые значимые изменения:
- Hеформа ЭП
- Hазвитие платформы Госключ
Они решают самые главные проблемы перехода на повсеместное использование ЭП:
- Цена ЭП – есть сферы, где использование ЭП не требует оплаты для продления сертификата
- Средства применения ЭП – разрабатываемая платформа госключ и иные средства ЭП принимают более удобный для пользователей формат
Развитие вопроса использования электронной подписи также отмечает Минцифры: в Госключе уже создано свыше 20 млн. УНЭП.
Но переход на ЭП имеет множество сложностей:
- Ограничение сферы применения – Госключ пока поддерживает работу с ЭП только в рамках некоторых задач
- >Обучение граждан работе с ЭП – на данный момент еще не все понимают важные нюансы обращения с ЭП
Проработка вопроса защиты от компьютерных атак и мошеннических операций
Сюда входят:
- Координация госструктур – ранее многие процессы, например, отслеживание мошеннических счетов или переводов, блокировались бюрократическими правилами. Теперь мы можем наблюдать, что каждый год вносятся поправки в законы и нормативные акты, упрощающие работу МВД и ФСБ. В данном случае увеличение шанса наказания влечет за собой уменьшение количества “простых” схем
- Законы о мониторинге операций – каждый год Центральный Банк развивает вопрос блокирования подозрительных операций и счетов. Такие защитные меры предотвращают огромную долю потенциальных хищений: за 2024 год было заблокировано 72 миллиона мошеннических операций общим объемом 13 508 000 000 000 руб. (13.5 триллионов рублей потенциальных хищений), что является ростом по заблокированным объемам более чем в 2 раза. Одним из весомых факторов в этом плане стали новые обязательства банков возмещать деньги, перевод которых должен, по-хорошему, быть заблокирован
- Привлечение операторов связи к процессам обеспечения безопасности граждан – помимо плотного взаимодействия с госструктурами в части расследований, операторы связи (конечно же, по требованию закона) также внедрили несколько защитных функций:
- Маркировка звонков – мошеннические номера, спам и прочие опасные контакты теперь помечаются и видны пользователям
- Контроль выдачи сим-карт – основные схемы мошенников предполагают использование поддельных номеров. Они используются не только для звонков, а еще для регистрации поддельных аккаунтов и участвуют в выводе денег. Например, теперь введен запрет удаленного оформления сим-карт и их передачи
- Контроль хищения, смены или передачи сим-карты – операторы связи развивают свои технические способности к регистрации большого количества технических данных об абонентах. Как оказалось, сбор множества избыточных данных помогает определить потенциального нарушителя
Меры, связанные с контролем переводов доверенным лицом
В данный момент обсуждается возможность введения юридически подкрепленного метода «второй руки».
Клиент банка, например, сможет указать, что все его операции должны подтверждаться доверенным лицом – юристом, адвокатом, родственником или родителем. Эту методику уже применяют представители бизнеса, но это не повсеместная практика.
Введение же этой схемы в повседневный оборот может, например, защитить детей, пожилых и иных людей от тех опасностей, с которыми они просто не знакомы.
Как мы видим, угрозы безопасности растут пропорционально развитию технологий. Каждый день появляются новые схемы, инструменты и уязвимости, направленные на хищение денежных средств граждан. Как и множество лет до этого, главная уязвимая точка – сам клиент банка. А это значит, что защиту необходимо начинать с самих людей – информировать, учить и просвещать.
Подписывайтесь на канал ИТ. Право. Безопасность в Telegram