|
|
Обзор подготовлен
Два типичных заблуждения о безопасности онлайн-банкинга зачастую сдерживают финансовые организации от комплексного предложения подобных услуг своим клиентам. Rainbow Security развенчивает широко распространенные мифы, связанные с безопасностью интернет-банкинга, объясняет, что стоит за ними и предлагает несколько простых решений связанных с ними проблем.
Разоблачение. Банки с самой строгой политикой онлайн-безопасности могут предложить своим клиентам гораздо более широкий перечень услуг и сервисов, чем их менее защищенные конкуренты. А это зачастую намного важнее для клиентов, чем некоторые неудобства в использовании сервисов. К примеру, банк, запустивший услугу онлайн-банкинга в далеком 1996 году, для доступа клиентов к этой системе сразу внедрил строгую двухфакторную аутентификацию при помощи токена, генерирующего одноразовый пароль.
Количество онлайн-пользователей банка быстро достигло двух с половиной миллионов, несмотря на тот факт, что доступ к сайту производился по не слишком простому сценарию «запрос-ответ». Клиенты поняли, что данная система позволяет им безопасно и конфиденциально проводить все финансовые операции в режиме онлайн, включая осуществление международных денежных переводов, торговлю акциями и заполнение закладных.
Но вернемся в 2011 год. В 21 веке киберпреступность достигла таких масштабов, что многие современные пользователи четко осознают, что лучше они потратят несколько минут своего времени на ввод данных аутентификации для доступа в систему, чем хакеры обнулят их финансовые счета. И все же удобство банковских сервисов для клиентов сегодня играет далеко не последнюю роль. В связи с этим современные финансовые организации должны создавать системы онлайн-банкинга не только функциональные и максимально защищенные, но также и удобные для пользователя. Это не так уж и сложно, учитывая, насколько развиты сегодня технологии информационной безопасности. Но здесь есть один нюанс. Поскольку каждый клиент понимает удобство по-своему, нужно давать пользователям возможность самостоятельно настраивать параметры безопасности при работе с системой онлайн-банкинга.
Банк может разрешить клиентам самостоятельно настраивать для себя соотношение «удобство-безопасность». В момент входа в систему пользователь должен иметь возможность выбрать способ аутентификации в зависимости от того, какие операции он собирается осуществлять. Например, для просмотра информации по счетам и перевода денежных средств между счетами клиента, простого пароля будет абсолютно достаточно. А если пользователь захочет сменить пароль, то для этого ему потребуется уже использовать средства строгой аутентификации, например, OTP-токен или текст SMS.
Клиент должен иметь возможность подключаться к системе интернет-банкинга с любого удобного для него устройства. Совет банкам - не тянуть с выпуском собственных приложений для смартфонов и планшетов. При этом подобные приложения должны быть максимально защищены, чтобы клиент был уверен в том, что вне зависимости от используемого устройства или приложения доступ к онлайн-услугам банка будет осуществляться с тем же высоким уровнем безопасности.
Возможно, кто-то из клиентов захочет получить свои учетные данные (в том числе OTP-токены) лично в отделении банка, другие захотят управлять всеми параметрами дистанционно, через телефон. Технически подкованные клиенты, возможно, захотят использовать в качестве OTP-токена свои мобильные устройства. Банк должен давать клиентам возможность выбирать удобное для них средство аутентификации, а также способ управления всеми учетными данными.
Ни в коем случае не стоит недооценивать силу хорошего клиентского обслуживания. Некоторым клиентам удобнее искать ответы на свои вопросы, используя web-сайт финансовой организации, в то время как другие предпочитают общение по телефону или электронной почте. Любые клиентские сервисы банка должны быть максимально эффективны и удобны для пользователя!
Разоблачение. Уровень безопасности сервисов должен изменяться в зависимости от поставленных задач. Например, доступ к онлайн-аккаунту клиента может быть просто защищен паролем, но для работы с денежными переводами потребуется более строгая проверка, например, пользователю необходимо будет подписать транзакцию своей электронной подписью. Для того чтобы сделать ее безопасной и экономичной, предлагаем финансовым организациям следовать таким рекомендациям:
Смарт-карты, токены, софт-токены и текстовые сообщения – все это отличные средства для электронной подписи транзакции. Они безопасны, экономичны и очень удобны для клиента.
Чем проще, тем лучше. Запрос на подпись транзакции должен производиться в том случае, если деньги переводятся клиентом на какие-либо неизвестные ранее сторонние счета. Кроме того, транзакции, требующие подписи клиента, например, различные платежи, переводы и другие операции, могут быть объединены. Это избавит клиентов от необходимости повторять одно и то же действие по нескольку раз.
Клиентам нужно обязательно объяснять, для чего необходима электронная подпись транзакций. В первую очередь, конечно, для предотвращения всевозможных атак на их финансовые счета.
Приведем один из примеров электронной подписи проводимой транзакции. Клиент 3-го декабря переводит 500 долларов со счета 12345678 на счет 87654321. Для электронной подписи этой транзакции с помощью OTP-токена клиенту достаточно ввести в него некоторый набор данных, например, число 5008321312 (где 500 – сумма, 8 – последняя цифра исходного счета, 321 – последние 3 цифры счета получателя и 312 – дата транзакции) и получить в ответ зашифрованное токеном значение этого числа (собственно, электронную подпись). Затем сгенерированная электронная подпись транзакции, введенная клиентом в системе интернет-банкинга, проверяется на сервере банка. Если ключ шифрования в токене клиента соответствует связанному с ним ключу на сервере банка, значит, операция верна и может быть проведена.
На подобном примере банк может легко продемонстрировать клиенту, насколько электронная подпись с помощью OTP-токена усиливает защиту онлайн-транзакций.
Данные по всем транзакциям, включая электронные подписи клиентов, рекомендуем банкам хранить в защищенной от несанкционированного доступа базе данных. Она может очень пригодиться, когда спустя много лет после произведения платежа банку потребуется доказать, что перевод денежных средств был подтвержден и произведен корректно.
Главный совет всем банковским организациям – не бояться внедрять системы интернет-банкинга и предлагать полный спектр онлайн-услуг своим клиентам. Единственное, что нужно при этом обязательно учитывать – это обеспечение безопасности интернет-сервисов за счет строгой аутентификации и механизмов подтверждения перевода денежных средств.
Ирина Момчилович