Аналитика и комментарии

21 сентября 2016

Хакеры предпочитают ДБО

Даже самые прогрессивные средства защиты банковской информации порой не выдерживают атак хакеров, и 90% всех преступлений в банковской сфере приходится на взлом автоматизированных систем обработки данных

NBJ № 1(3), 2004 
«Безопасность по стандарту», стр. 74

 

Бесспорно, тема защиты банковской информации никогда не потеряет актуальности. Из года в год, изо дня в день банки вынуждены противостоять все более изощренным и мощным атакам со стороны хакеров, которые пользуются как проверенными методами взлома, так и новыми способами мошеннических действий.
Сместился, правда, вектор хакерских атак. Если восемь лет назад актуальной темой был взлом автоматизированных банковских систем (не случайно первоочередными эксплуатационными требованиями к АБС были надежность и безопасность), то затем мошенники стали предпочитать сферу ДБО. Именно дистанционное банковское обслуживание на протяжении нескольких лет подвергалось наибольшему количеству хакерских атак, да и сейчас «нападки» на ДБО со стороны групп злоумышленников – не такое уж редкое явление. 
Главной причиной такой «популярности» ДБО был рост объемов дистанционных банковских услуг, предоставляемых финансово-кредитными организациями. Плюс к этому злоумышленников подкупала кажущаяся легкость атак: средства защиты первоначально были довольно примитивными, так что не было необходимости придумывать особо сложные схемы атак. Первым этапом в развитии хакерских атак было простое хищение ключей электронной подписи клиентов. Вторым – удаленное управление компьютером бухгалтера. Третий шаг: хакер по сети подключался к USB-порту компьютера и мог воспользоваться токеном, предварительно перехватив его PIN-код. И это далеко не полный перечень возможных атак.
Не следует забывать и о пресловутом человеческом факторе. По данным исследований, проведенных в начале 2010-х годов, свыше 80% нарушений информационной безопасности были вызваны сотрудниками самой организации. Объективная реальность состояла в том, что полностью автоматических систем информационной безопасности (ИБ) не существует, все они предполагают участие человека. Правильное построение систем ИБ и дальнейшее управление ими являются прерогативой персонала, поэтому бессильными могут оказаться самые совершенные ИТ-решения. Нравилось это кому-то или нет, но человеческий фактор необходимо было учитывать как при организации процессов в компании, так и при проектировании и внедрении ИТ-систем. Как поясняют эксперты, необходимо учитывать его и сейчас.
Возникает традиционный русский вопрос: что делать, чтобы минимизировать риск ошибки, оплошности, а зачастую и злого умысла со стороны персонала? Большинство банков отвечают так: необходимо четко регламентировать правила поведения сотрудников на рабочих местах. Однако на практике данные правила не всегда работают – хотя бы по той причине, что никто не признается добровольно в нарушениях из страха быть оштрафованным, депремированным, а то и уволенным.
Впрочем, чем больше развивалось ДБО и чем больше совершенствовались системы и инструменты защиты, тем яснее становилось, что от хакеров невозможно защититься, только повышая ответственность сотрудников банков за соблюдение правил ИБ или устанавливая высокотехнологичные ре-
шения. Как теперь ясно уже всем, вопрос безопасности дистанционного банковского обслуживания – это в том числе и вопрос компьютерной «гигиены» и финансовой грамотности клиентов. Сотрудников банка можно как-то организовать и контролировать, но что делать с нерадивыми клиентами, которые никак не хотят помнить об угрозах взлома ДБО и заботиться о сохранности собственных денежных средств? Постоянно взаимодействовать с ними и, возможно, оценивать их в том числе и по уровню компьютерной «гигиены», отвечают специалисты.  

Поделиться:
 

Возврат к списку