система интернет клиент банк

Безопасен ли интернет-банк?

система интернет клиент банкУже сегодня услуга интернет-банка (ИБ) для частных лиц стала массовой. Так, в Сбербанке, главном розничном банке страны, активных пользователей ИБ в третьем квартале 2011 года насчитывалось 1,7 млн. человек. У конкурентов счет тоже идет на миллионы: ВТБ24 и Альфа-банк оценивают число своих пользователей ИБ 1,25 и 1,2 млн. человек соответственно. Согласно исследованию «Интернет-банкинг: борьба за активного пользователя», проведенному рейтинговым агентством «Эксперт РА», число активных клиентов ИБ растет на 40-60% в год, но прирост может быть больше.
При этом, как отмечают сами банкиры, дистанционное обслуживание обходится банкам дешевле, нежели обслуживание «живым» операционистом. Но и для клиентов выгоды интернет-банка достаточно очевидны. Кроме собственно удобства совершать банковские операции в любое время и в любом месте, комиссии на банковские операции в ИБ, как правило, дешевле, чем на те же операции, совершенные в офисе.

Ключевым вопросом интернет-банкинга является безопасность. Именно кражи своих сбережений опасается большинство клиентов, подключающих эту услугу. Специалисты агентства «Эксперт РА» пишут в упомянутом выше исследовании, что «пока банкиры выигрывают у кибер-преступников: не было масштабных хищений у физических лиц с помощью интернет-банкинга». Однако клиентов не могут не беспокоить даже спорадические случаи хищений средств частных лиц через ИБ. И потом, что считать масштабными хищениями? Уже имели место как разовые хищения у частных клиентов на суммы несколько тысяч рублей, так и серийные хищения по одной схеме сразу у нескольких клиентов, пусть и на меньшие суммы у каждого. Причем, с одной стороны, достоянием гласности становятся далеко не все случаи, и банки пытаются информацию о хищениях строго дозировать. А с другой стороны, во многих получивших огласку случаях клиенты не получили от банков никакого возмещения ущерба. На то, что полиция найдет преступников и похищенное будет возвращено, также особой надежды нет.



Есть общее понимание, что клиент является слабым звеном в безопасности ИБ. Банки предлагают клиентам строго следовать разработанным ими правилам безопасности, которые изложены в памятках, руководствах, инструкциях. Парадоксально, однако, что большая часть клиентов эти документы не читает. Так, один из банкиров посетовал, что количество скачиваний руководства по ИБ с сайта банка составило менее 5% числа зарегистрированных пользователей. Соблюдение всех требований банка не гарантирует сохранность средств на 100%. Но невыполнение хотя бы одного пункта банковских рекомендаций автоматически повлечет отказ банка от какой-либо ответственности за инцидент.
Наиболее универсальным требованием для пользователя ИБ любого банка является необходимость обеспечения доверенной среды на компьютере (мобильном устройстве), в которой работает ИБ. Но как раз это требование труднее всего выполнить. Компьютер массового пользователя и теоретически, и практически, не может априори считаться доверенной средой. Когда на компьютере пользователя есть продвинутый троян, о безопасности уже нельзя говорить всерьез. Троян покажет на экране те данные платежа, которые пользователь действительно ввел, а на подпись отправит свои данные, с другим получателем, с другими суммами. И в банк уйдет поручение от трояна, но подписанное пользователем. Практически никакие обычные меры предосторожности против атаки «Man–in-the-Browser» не помогут.

система интернет клиент банк

Вот почему, если речь идет о значительных денежных суммах, которыми клиент оперирует в ИБ, то правильным решением может быть выделение отдельного компьютера, который используется только и исключительно для интернет-банкинга. Для этих целей не нужен «навороченный» компьютер, вполне достаточно недорого нетбука. Понятно, что операционная система такого компьютера должна быть получена у надежного поставщика, и должна своевременно обновляться. Никаких дополнительных программ, кроме необходимых для ИБ, а также антивируса и фаервола, на такой компьютер ставить не стоит. Фаерволом следует запретить любые соединения с ресурсами сети Интернет, кроме самого банка, и сетевых адресов для обновления системы и необходимых программ. Физический доступ к такому компьютеру должен быть предельно ограничен. В идеале работать за таким компьютером может только владелец банковского счета. А для исключения несанкционированного доступа к информации посторонних лиц во время отсутствия владельца, можно рекомендовать зашифровать жесткий диск компьютера с предзагрузочной аутентификацией. Если это нетбук или ноутбук, то в случае полнодискового шифрования информация не будет скомпрометирована даже при утере компьютера.

При соблюдении таких жестких условий компьютер может считаться доверенной средой. И на таком компьютере стоит использовать дополнительные меры защиты, предлагаемые некоторыми банками, например, усиленную электронную подпись, которая подтверждает, что поручение исходит именно от вас, и гарантирует, что подписанное вами поручение при пересылке через Интернет не было изменено. Кроме того, в любом случае следует установить лимиты на сумму операций.
Если же у клиента нет возможности выделить для ИБ отдельный компьютер, то возможным решением проблемы может быть установка на компьютер другой операционной системы, предназначенной для работы с ИБ. Это может быть как Windows, так и Linux. В последнем случае это будет бесплатная альтернатива. А если для ИБ не нужны никакие дополнительные программы, кроме браузера, то для запуска системы можно пользоваться Live CD. Ко всему прочему, это будет еще и мобильный вариант, который может быть использован где угодно и на любом компьютере.
В любом случае рекомендуется выбрать банк, который обеспечивает двухфакторную аутентификацию клиента и подтверждение транзакций, например, с помощью СМС или одноразовых кодов. Впрочем, сегодня почти все банки используют такие методы. Но следует помнить, что даже двухфакторная аутентификация не поможет, если клиент подвержен влиянию социальной инженерии. Известны случаи, когда пользователи ИБ по требованию позвонившего от имени банка злоумышленника своими собственными руками вводили одноразовые коды на фальшивом сайте банка. Вводили один раз, вводили второй раз, теперь уже якобы для отмены транзакции, о которой пришло СМС. Трудно защитить того, кто сам обманываться рад.

Таким образом, применяемые сегодня технологии для дистанционного банковского обслуживания для своей безопасности требуют от клиента некоторых знаний и определенных действий. И лучше не полагаться на авось, так как последствия ошибки могут быть слишком дорогими.


Понравилась статья на блоге? Поделись информацией с другими:

К записи "Безопасен ли интернет-банк?" есть 1 комментарий
  1. elnika:

    Сбербанк настойчиво предлагает выполнять даже коммунальные платежи через систему он-лайн. А в договоре маленькими такими буковками прописано, что он ответственности за безопасность не несет. То есть все на свой страх и риск, хотя удобно, все не выходя из дома.

Оставить свой комментарий

Поиск
Помочь деньгами

ВКонтакте

Посетите наши страницы в социальных сетях!

ВКонтакте.      Facebook.      Twitter.      YouTube.      Одноклассники.      RSS.
Вверх
© 2017    Копирование материалов сайта разрешено только при наличии активной ссылки   //    Василий Чужойon Google+