Статьи

Интернет упрощает нашу жизнь  и делает ее удобнее, а вместе с этим уже давно стал местом активных действий кибер-преступников (технически подкованных, высоко мотивированных  и целенаправленных — речь идет о реальных деньгах, времена энтузиастов, действующих под лозунгом «я это могу, я это сделаю» закончились). Раньше считалось, что украсть можно то, что находится в зоне прямой досягаемости. Теперь, активы, находящиеся на другом конце мира могут быть похищены, быть может даже проще, чем находящееся под рукой. Как мы можем победить эту лобальную угрозу киберпреступности? По сути, гибкий подход к обеспечению безопасности, возможно, является одним из
наиболее важных элементов защит от кибер-преступности в финансовом секторе. 

Новые интернет-угрозы выявить сложно, и в начальный момент времени, который может длиться неделями или месяцами атака может оставаться невыявленной, а схема не описанной и не формализованной. Организованные киберпреступники используют не только технические уязвимости, но и элементы социальной инженерии. Атаки давно стали целевыми:  фишинг, вирусы, кейлогеры и специализированные вредоносные программы, атаки на браузеры и операционные системы.

Существующие традиционные межсетевые экраны, IPS/IDS, антивирус и более комплексные компоненты, обеспечивающие end-point security, не способны защитить от целевых атак на начальном этапе, который, к сожалению, может продлиться недели, а то и месяцы. Учитывайте при этом, что описанные выше слова все еще малопонятны простому пользователю — «физику», активному участнику мира электронных финансов. Прорвавшись через все эти барьеры (а они есть??) атакующий получает управление над браузером – основным инструментов он-лайн операций , а значит методы аутентификации пользователя и авторизации транзакций, становятся неэффективными
в борьбе с он-лайн мошенничеством.    

Понятно, что большинство финансовых организаций ощущают некоторую озабоченность: в кибер-пространстве происходит что-то малоконтролируемое. Свою толику озабоченности внес  Zeus Trojan, с использованием которого по всему миру были украдены сотни миллионов долларов — это повод призадуматься о реальном уровне защищенности и о том, что реально можно предложить клиенту как средство обеспечения безопасности его электронных финансов.

В свете этого, классический «периметр» обороны как средство защиты он-лайн активов больше не существует. Угрозы и методы атак развиваются слишком быстро, атаки становятся сложными и комбинированными. Универсальных средств
защиты, применимых для всех случаев жизни и клиентов не существует: они или слишком сложные, или недостаточно надежные или чрезмерно дороги или технически не применимы в данном случае. Единственный выход – анализ рисков и применение мер защиты, адекватных данному случаю.

Текущая тенденция — это многоуровневая система защиты и стратегическое развитие систем предотвращения мошенничества. Новый уровень технологий, которые принимаются на вооружение — экономически эффективные, многофункциональные системы, реализующие целостный подход обеспечения безопасность. Именно такое развитие позволяет минимизировать репутационные риски, прямые финансовые потери от мошенничества и отток клиентов в среднесрочной и долгосрочной перспективе.

Важный аспект реализуемых мер безопасности — применимость и проста использования. Сложные и неудобные  в применении варианты будут игнорироваться клиентами. Попытки навязать использование сложных методов приведут к «простою» крайне выгодного интернет-канала обслуживания или оттоку клиентов. В связи с этим, можно выделить два направления развития:

++монетизация участия пользователя  в процессах обеспечения безопасности (на базе использования систем обнаружения и предотвращения мошенничества)  

++применение привычных и обыденных  элементов/устройств в процессе аутентификации и авторизации:

     --применение мобильных телефонов для подтверждения транзакций по альтернативным независимым каналам (SMS параметрами транзакции и кодом подтверждения)

     --использование мобильного телефона как генератора одноразовых паролей

     --банковская карта как генератор одноразовых паролей.

Последний вариант кредитка-генератор имеет два варианта реализации:

++Используется EMV-чип карты с прошивкой CAP/DPA. В этом случае нужно дополнительное устройство (на Россйских просторах получившее стойкое название «криптокалькулятор»), содержащее клавиатуру для ввода PIN и параметров транзакций и экранчика, для отображения полезной информации, как то: одноразовый пароль (OTP, One time-password) или подписи транзакции.

++Генератор одноразовых паролей (экран и опционально клавиатура) встроен в пластик самой кредитки. В этом случае банковская карта становится полностью достаточным элементом для прохождения аутентификации и авторизации транзакций без дополнительных устройств типа «криптокалькулятор».

Очевидно, востребованным стали комплексные платформы обеспечения он-лайн безопасности, реализующие различные методы аутентификации и авторизации как второй бастион на пути кибер-преступности. Первым же бастионом становится система обнаружения мошенничества, которая не только блокирует неправомерные активности, но и призвана минимизировать участие пользователя в процессе обеспечения безопасности.