Вход Регистрация
 

Аналитика и комментарии

04 февраля 2013

Как защитить систему ДБО

Для эффективного обеспечения безопасности ДБО необходимо поддерживать защиту на всех уровнях системы: клиентской и серверной частях, схеме авторизации транзакций

С развитием ДБО важнейшее значение приобретают вопросы, связанные с безопасностью его использования и с появлением новых видов банковских рисков. На российском рынке проблема борьбы с мошенничеством с 2013 года становится особенно актуальной ввиду вступления в силу ст. 9 161-ФЗ «0 НПС», согласно которой в случае хищения денежных средств со счета банк обязан возместить их клиенту в полном объеме и только после этого может приступать к расследованию произошедшего инцидента.

Клиентская часть является самым незащищенным элементом. Рабочие места клиентов являются внешними по отношению к банку системами и ему неподконтрольны. Навязать клиентам требования по обеспечению безопасности и проконтролировать их выполнение, как правило, не представляется возможным. Осознавая это, банки все чаще делают упор на повышении осведомленности клиентов о существующих угрозах при проведении   финансовых   операций и привлечении их внимания к обеспечению безопасности в сети Интернет.

Распространенной практикой является размещение на сайте банка рекомендаций по обеспечению безопасности и защите от мошенничества, включение специализированных памяток в договоры. Информирование клиентов о совершенных по их счетам операциях, оперативное реагирование на сообщения клиентов о возможной компрометации аутентификационных данных, возможность связи клиента со службой поддержки банка в режиме 24/7 - непременные элементы доверительных отношений клиентов и банка.

Для аутентификации и авторизации могут использоваться различные механизмы. Выбор схемы, как правило, осуществляется исходя из уровня риска: чем он выше, тем надежнее должны быть механизмы.

Говоря о серверной части, следует уделить внимание как оценке защищенности самой системы ДБО, так и анализу конфигурации смежных систем, на базе которых она функционирует (например, web-сервер, СУБД).

Банки в большинстве своем успешно противостоят злоумышленникам низкого уровня подготовки. Но информация в банковских системах представляет собой реальные деньги, и это обстоятельство привлекает все больше внимания хорошо организованных профессиональных преступных группировок. Традиционного набора средств защиты оказывается недостаточно.

Для эффективного противодействия профессиональным мошенникам необходимо подняться на уровень бизнес-процессов: анализировать все операции в банковской системе, выявлять подозрительные и осуществлять оперативные действия по их предотвращению. Для этих целей используются специализированные    системы    fraud-мониторинга. За рубежом уже накоплена многолетняя практика внедрения систем подобного класса, на российском рынке они относительно мало распространены. Фактически только крупные и передовые российские банки смогли оценить возможности данных систем и эффективность их работы. И дело тут не только в недостаточных бюджетах.

Для внедрения данных систем и их эффективного функционирования зачастую не хватает человеческих ресурсов, специалистов по fraud-мониторингу на рынке недостаточно. Как следствие, отсутствует качественный анализ мошеннических операций, нет достаточного количества материала, который мог бы служить основой построения тактики противодействия. В большинстве банков отсутствуют реальные оценки ущерба от мошеннических действий, а без этих оценок говорить о внедрении специализированных систем преждевременно.

Но не вызывает сомнений тот факт, что уровень киберпреступности со временем будет только увеличиваться, и использование банками подобных технологий будет более чем оправданно.

На рынке представлены промышленные и самописные решения по fraud-мониторингу. Основными достоинствами промышленных решений являются высокая экспертная составляющая, защищенность, расширенный набор сервисных функций, наличие возможностей гибкой настройки и адаптации к вновь появляющимся мошенническим схемам. Функциональные и гибкие промышленные решения позволяют эффективно предотвращать мошеннические действия. Наличие успешных внедрений данных решений, реальная статистика по работе систем вкупе с оперативной и профессиональной технической поддержкой вендора приводят к относительной простоте сопровождения.

Всего проголосовало: 1

10.0

Текст: Александр Пуха, ведущий консультант отдела аудита и консалтинга ДИБ АМТ-ГРУП

Комментировать могут только зарегистрированные пользователи

Мы в сетевых сообществах: 

Голосование

Как вы считаете, новый механизм оздоровления банков, предложенный ЦБ РФ

Загрузка результатов голосования. Пожалуйста подождите...
Все голосования

Календарь мероприятий

Ближайшие мероприятия

Видео

30 марта 2017 года состоялся Весенний Интеллектуальный Кубок «Самый интеллектуальный банк» и «Самая интеллектуальная компания в финансовой сфере»

В роли ведущего выступил Виктор Сиднев - обладатель Хрустальной совы и звания Лучшего капитана клуба «Что? Где? Когда?».

Яндекс.Метрика