Инновационная экспертиза. Интернет - банкинг (Сбербанк)

Однако необходимо заметить, что за 2018 год отмечено падение доли таких атак - до 23% c 31% годом ранее.4. Атаки на уровне приложений. Они состоят в использовании хорошо известных слабостей серверного программного обеспечения (sendmail, HTTP, FTP). Пользуясь данными слабостями, злоумышленники могут получить доступ к компьютеру и/или мобильному устройству пользователя, работающего с банковским приложением.Перечень видов сетевых угроз для интернет-банкинга не ограничивается рассмотренными выше. Перечислять абсолютно все нецелесообразно. На основании данных компании «Positive Technologies» обобщим сведения о наиболее распространенных уязвимостях онлайн-банков за 2018 год (от наиболее опасных к менее опасным): недостаточная защита от атак, направленных на перехват данных; недостатки реализации двухфакторной аутентификации; межсайтовое выполнение сценариев; разглашение важных данных; раскрытие чувствительной информации в сообщениях об ошибках; раскрытие информации о версии используемого программного обеспечения; нарушение логики работы приложений; недостаточная авторизация; внедрение внешних сущностей XML; недостаточная защита от подбора аутентификационных данных.К числу преступлений, совершаемых в исследуемой нами области, относятся деяния, ответственность за которые предусмотрена ст.ст. 158, 159, 159.3, 159.6, 272, 273 УК РФ (преступления в сферах экономики, компьютерной информации, частной собственности и т.д.).Рассмотрим некоторые возможности (средства, методы), направленные на нивелирование угроз интернет-банкингу. Эти возможности, к сожалению, зачастую не используются как пользователями, так и кредитными организациями, представляющими подобные услуги.1. Использование лицензированного антивирусного программного обеспечения. Применение подобных продуктов («Лаборатория Касперского», «Dr.Web», «Eset Nod» и др.) позволяет снизить уровень опасности, создаваемой вредоносными программами. Эта возможность относится к категории программных решений, речь о которых пойдет далее. Однако угрозы от вредоносных программ настолько велики, что ее реализация рассматривается нами в качестве отдельной рекомендации.2. Различные методы аутентификации. В данном случае речь идет о парольной защите.К числу рекомендаций, позволяющих осложнить ее преодоление, отнесем следующее: использование двухфакторной аутентификации при помощи смс-паролей (либо push-уведомлений, приходящих из клиентского приложения), которые действуют строго ограниченное время; использование одноразовых паролей. Однако и двухфакторная аутентификация, к сожалению, недостаточно надежна: в 71% интернет-банков обнаружены недостатки в реализации подобных механизмов.3. Электронная подпись. Применение этой технологии позволяет работать с документами дистанционно, подписывать их электронные версии и отправлять в банковскую организацию, которая, в свою очередь, может проверить подлинность документов и идентифицировать клиента. Ее грубый взлом невозможен, однако подделка подписи более чем реальна, равно как и утеря и/или кража ключа.4. Шифрование. Данный способ обеспечивает сохранение конфиденциальных данных, информация криптографически защищается по протоколу SSL. Он позволяет применить шифрование на транспортном уровне, благодаря чему посредник, вклинившийся в сеанс связи клиента и сервера, не сможет увидеть передаваемые команды протокола HTTP в открытом тексте. Если говорить кратко, то протокол SSL усложняет задачу перехвата потока данных, которыми обмениваются клиент и сервер. В настоящее время разработана модифицированная версия протокола SSL - TLS, крайняя версия - 1.3. В 2014 году в протоколе SSL была найдена серьезная уязвимость, однако он до сих пор является достаточно распространенным и востребованным.5. Контроль за длительностью сессии. Использование данной меры подразумевает, что если пользователем в течение некоторого времени не совершается никаких действий, то банковское приложение или его web-версия предлагает пройти повторную аутентификацию.6. Неиспользование открытых точек доступа Wi-Fi и/ или иных способов подключения к сети Интернет. Данная рекомендация ориентирована на обычных пользователей, которые используют для входа во Всемирную паутину незащищенные соединения, находящиеся в местах массового пребывания людей (Интернет-кафе, фудкорты торговых центров). Тем самым они подвергают свою конфиденциальную информацию угрозам анализаторов сетевого трафика, атак на уровне приложений и др.7. Применение кредитной организацией современных и эффективных средств, которые способны противостоять возникающим угрозам безопасности информации. Такие технологии реализовываются при помощи программных и аппаратных средств.Аппаратные средства направлены на обеспечение защиты системы информационной безопасности от физического проникновения, а также маскировки данных.Достоинствами подобных устройств являются дешевизна, легкая настройка и надежность. Основные недостатки - возможность утраты функциональных свойств, недостаточная гибкость в условиях меняющейся среды.К их числу относятся USB-токены, изделие «DS-1996», смарт-карты, средства защиты информации от несанкционированного доступа «SecretNet» и др.Программные средства представляют собой специальные цифровые продукты, которые осуществляют идентификацию пользователя, контролируют доступ, производят шифрование, а также контролируют систему защиты банковской организации. Их достоинствами являются универсальность, надежность, гибкость, возможность модифицирования. Основной недостаток - ограниченность функциональности в сети организации. К таковым относятся, например, межсетевые экраны, CRM-системы (англ. CustomerRelationshipManagement), GRC-системы (англ. Governance, RiskmanagementandCompliance), системыобнаружениявторжений (англ. IntrusionDetectionSystem) ипредотвращениявторжений (англ. Intrusion Prevention System).8. Постоянное обучение персонала кредитной организации в области обеспечения информационной безопасности, периодические проверки их знаний в данной сфере, а также профилактическая работа службы безопасности организации.9. Обучение клиентов (пользователей) интернет-банков основам информационной безопасности при использовании ими приложений, сайтов и т.д. Доведение информации о существующих угрозах и рисках, которые могут появиться в ходе использования вышеуказанных услуг. И, конечно же, выпуск в печатном и/или электронном виде рекомендаций по действиям, которые пользователями должен осуществить с целью предотвращения (исключения, минимизации) вредных последствий от действий злоумышленников.10. Инвестиционная экспертизаПрименение интернет – технологий в банковской деятельности открывает новыевозможности развития для кредитных организаций. В связи с этим представляетсяважным анализ тенденций и перспектив применения интернет – технологий вбанковской деятельности.Кредитные организации будут с каждым годом увеличивать затраты наразработку, внедрение, сопровождение и использование систем на базе интернет -технологий, инвестируя главным образом в информационную безопасность и развитиеэлектронного взаимодействие с клиентами. На дальнейшее развитие инноваций могутсущественно повлиять следующие конъюнктурные вызовы: необходимость роста вусловиях ужесточения нормативных требований, изменяющейся конкурентной среды иновых требований клиентов. Создание успешного инновационного продукта для банка,находится в плоскости синергии различных технологических трендов, создающихдолговременное конкурентное преимущество.Совокупный объем инвестиций российских банков в интернет – технологии в 2019 году составил порядка 192,8 млрд. руб. Безусловно, лидерами по ИТ-инвестициямявляются крупнейшие банки, тем не менее, достаточно перспективные решенияразрабатывают и кредитные организации среднего размера. Среди российских банковбольше всего средств в цифровую трансформацию, главным образом, вкладываетСбербанк: так в период с 2016 по 2019 годы Сбербанк инвестировал в нее более 390 миллиардов рублей.Следует отметить, что расходы Сбербанка на цифровую трансформациюзначительно уступают инвестициям в информатизацию крупнейших западных банков.Интернет - банкинг позволяет:- получить любую информацию по своему счету- оставить заявку на открытие счета, получения кредита или банковской карты- сделать перевод на счета других банков- конвертировать средства- и другоеПерспективами развития интернет - банкинга является интегрирование брокерскихинструментов и возможность торговать на рынке ценных бумаг.