Помощь студентам в учебе
СОВРЕМЕННЫЕ ПОДХОДЫ К ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПЛАТЕЖНЫХ СИСТЕМ И ДИСТАНЦИОННЫХ БАНКОВСКИХ СЕРВИСОВ
|
ВВЕДЕНИЕ 4
1. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ ПЛАТЕЖНЫХ СИСТЕМ И ДИСТАНЦИОННЫХ БАНКОВСКИХ СЕРВИСОВ 8
1.1. Основные принципы обеспечения информационной безопасности
платежных систем и дистанционных банковских сервисов 8
1.2. Требования по информационной безопасности платежных систем и
дистанционных банковских сервисов 15
2. РЕАЛИЗАЦИЯ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ПЛАТЕЖНЫХ СИСТЕМ И ДИСТАНЦИОННЫХ БАНКОВСКИХ СЕРВИСОВ 31
2.1. Анализ информационной безопасности платежных систем России 31
2.2. Анализ информационной безопасности дистанционных банковских
сервисов 46
3. РЕАЛИЗАЦИЯ ПОЛИТИКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ПЛАТЕЖНЫХ СИСТЕМ И ДИСТАНЦИОННЫХ БАНКОВСКИХ СЕРВИСОВ 56
3.1 Проблемы и риски информационной безопасности платежных систем и
дистанционных банковских сервисов 56
3.2 Эффективность направлений решения проблем обеспечения
информационной безопасности платежных систем и дистанционных банковских сервисов 64
ЗАКЛЮЧЕНИЕ 70
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ 76
ПРИЛОЖЕНИЯ
1. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ ПЛАТЕЖНЫХ СИСТЕМ И ДИСТАНЦИОННЫХ БАНКОВСКИХ СЕРВИСОВ 8
1.1. Основные принципы обеспечения информационной безопасности
платежных систем и дистанционных банковских сервисов 8
1.2. Требования по информационной безопасности платежных систем и
дистанционных банковских сервисов 15
2. РЕАЛИЗАЦИЯ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ПЛАТЕЖНЫХ СИСТЕМ И ДИСТАНЦИОННЫХ БАНКОВСКИХ СЕРВИСОВ 31
2.1. Анализ информационной безопасности платежных систем России 31
2.2. Анализ информационной безопасности дистанционных банковских
сервисов 46
3. РЕАЛИЗАЦИЯ ПОЛИТИКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ПЛАТЕЖНЫХ СИСТЕМ И ДИСТАНЦИОННЫХ БАНКОВСКИХ СЕРВИСОВ 56
3.1 Проблемы и риски информационной безопасности платежных систем и
дистанционных банковских сервисов 56
3.2 Эффективность направлений решения проблем обеспечения
информационной безопасности платежных систем и дистанционных банковских сервисов 64
ЗАКЛЮЧЕНИЕ 70
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ 76
ПРИЛОЖЕНИЯ
Внедрение достижений научно- технического прогресса в финансовую сферу способствовало развитию средств платежей и расчетов: следствием совершенствования вычислительных и информационных технологий стало появление нового финансово-расчетного инструмента - электронных денег, особенность которого заключается в возможности существования как в централизованных, так и в децентрализованных системах.
За последние 10-15 лет в банковском бизнесе произошли изменения, которые не только предоставили клиентам возможность осуществлять свои операции без посещения офиса банка, но и потребовали пересмотра всей методологии учета типичных банковских рисков.
Информационные технологии развиваются достаточно быстро и все чаще входят в нашу жизнь. Вопрос защиты персональных данных (ПДН), данных платежных карт и платежной информации каждого отдельного лица становится все более актуальным. Сотрудникам государственных и частных организаций необходимо уделять пристальное внимание безопасности информационных систем (ИС), в которых осуществляется сбор, хранение и обработка ценных информационных активов.
Как говорится в известном афоризме "цель оправдывает средства", информация также имеет определенное значение. Следовательно, сам факт получения данных злоумышленниками приносит им определенные доходы, тем самым ослабляя способность конкурента к равной коммерческой конкуренции.
Основной целью злоумышленников является получение информации о составе, состояний и деятельности объектов конфиденциальных интересов (фирмы, изделия, проекта, рецепта, технологии и т. д.) для того, чтобы насытить свои информационные потребности. Имущественные интересы злоумышленников или конкурентов могут быть также учтены при внесении определенных изменений в состав данных, которые распространяются на объекты, представляющие конфиденциальный интерес. Такие действия могут привести к дезинформации в определенной сфере деятельности, данных бухгалтерского учета, в результате решения определенной задачи. Более опасными целями являются уничтожение накопленного массива информации в документарной или компьютерной форме или в виде программного продукта.
В связи с этим большое значение приобретают методы организации эффективных систем информационной безопасности организации.
Информационная безопасность-это комплекс мер по защите данных от несанкционированного доступа, уничтожения, изменения, раскрытия или задержки доступа. Информационная безопасность включает в себя меры по защите процессов создания, ввода, обработки и вывода.
Целью информационной безопасности является защита ценности систем, защита и гарантия точности и целостности данных, а также минимизация последствий, которые могут возникнуть при изменении или уничтожении данных. В рамках информационной безопасности, необходимо учитывать все действия, в ходе которых информация создается, модифицируется, когда к ней обращаются или распространяться по сети.
Различные аспекты функционрования платежных систем и дистанционных банковских сервисов рассматривались рядом отечественных и зарубежных. В развитие теории и методологии платежных систем внесли значимый вклад такие зарубежные ученные, как: П. Роуз, Дж.Ф. Синки, мл., Р. Лерой Миллер и Д. Ван Хуз, К. Спонг. К. Кэмпбелл, Р. Кэмпбелл, Я. Линкер, А. Липис, К. Макконнелл, Т. Маршалл, Н. Мэнкью, Б.Дж. Саммерс, Д. Шеппард, Брюс П. Ван ден Берг, Р. Бхала, А. Хории.
Среди отечественных ученых необходимо выделить Г.Н. Белоглазову, М.П. Березину, А.Н. Казанцева, С.В. Криворучко, О.И. Лаврушина, А.С. Обаевой, Л.В. Парафило, М.А Песселя, Н.В. Смородинской, В.М. Усоскина и других.
Цель данной выпускной квалификационной работы состоит в разработке рекомендаций по совершенствованию процессов обеспечения информационной безопасности платежных систем и дистанционных банковских сервисов в кредитных организациях. Данная цель обусловливает решение следующих задач исследования:
- раскрыть теоретические основы обеспечения информационной
безопасности платежных систем и дистанционных банковских сервисов;
- рассмотреть основные принципы обеспечения информационной
безопасности платежных систем и дистанционных банковских сервисов;
- дать характеристику требованиям по информационной безопасности платежных систем и дистанционных банковских сервисов;
- провести анализ информационной безопасности платежных систем России;
- проанализировать данные по информационной безопасности дистанционных банковских сервисов;
- выявить проблемы и риски информационной безопасности платежных систем и дистанционных банковских сервисов;
- обосновать эффективность направлений решения проблем обеспечения информационной безопасности платежных систем и дистанционных банковских сервисов.
Объектом исследования выступает платежная система и дистанционные банковские сервисы банков Российской Федерации.
Предметом работы является система управления рисками информационной безопасности платежных систем и дистанционных банковских сервисов кредитных организаций Российской Федерации.
Теоретической основой работы стали научные труды зарубежных и отечественных исследователей банковского дела, денежного обращения, финансов и кредита.
В качестве методологических основ исследования используются различные методы научного познания: системный подход к анализу исследуемых процессов и явлений. В работе использованы методы и приемы классификации, группировки, статистического и экспертного анализа.
Информационная база исследования состоит из нормативно-правовых, статистических, информационно-аналитических, справочных источников, материалов Банка России, Банка международных расчетов, Европейского центрального банка, данных Федеральной службы по статистике (Росстата) Российской Федерации.
Работа структурно состоит из введения, трех глав и шести параграфов, заключения, списка литературы и приложений.
За последние 10-15 лет в банковском бизнесе произошли изменения, которые не только предоставили клиентам возможность осуществлять свои операции без посещения офиса банка, но и потребовали пересмотра всей методологии учета типичных банковских рисков.
Информационные технологии развиваются достаточно быстро и все чаще входят в нашу жизнь. Вопрос защиты персональных данных (ПДН), данных платежных карт и платежной информации каждого отдельного лица становится все более актуальным. Сотрудникам государственных и частных организаций необходимо уделять пристальное внимание безопасности информационных систем (ИС), в которых осуществляется сбор, хранение и обработка ценных информационных активов.
Как говорится в известном афоризме "цель оправдывает средства", информация также имеет определенное значение. Следовательно, сам факт получения данных злоумышленниками приносит им определенные доходы, тем самым ослабляя способность конкурента к равной коммерческой конкуренции.
Основной целью злоумышленников является получение информации о составе, состояний и деятельности объектов конфиденциальных интересов (фирмы, изделия, проекта, рецепта, технологии и т. д.) для того, чтобы насытить свои информационные потребности. Имущественные интересы злоумышленников или конкурентов могут быть также учтены при внесении определенных изменений в состав данных, которые распространяются на объекты, представляющие конфиденциальный интерес. Такие действия могут привести к дезинформации в определенной сфере деятельности, данных бухгалтерского учета, в результате решения определенной задачи. Более опасными целями являются уничтожение накопленного массива информации в документарной или компьютерной форме или в виде программного продукта.
В связи с этим большое значение приобретают методы организации эффективных систем информационной безопасности организации.
Информационная безопасность-это комплекс мер по защите данных от несанкционированного доступа, уничтожения, изменения, раскрытия или задержки доступа. Информационная безопасность включает в себя меры по защите процессов создания, ввода, обработки и вывода.
Целью информационной безопасности является защита ценности систем, защита и гарантия точности и целостности данных, а также минимизация последствий, которые могут возникнуть при изменении или уничтожении данных. В рамках информационной безопасности, необходимо учитывать все действия, в ходе которых информация создается, модифицируется, когда к ней обращаются или распространяться по сети.
Различные аспекты функционрования платежных систем и дистанционных банковских сервисов рассматривались рядом отечественных и зарубежных. В развитие теории и методологии платежных систем внесли значимый вклад такие зарубежные ученные, как: П. Роуз, Дж.Ф. Синки, мл., Р. Лерой Миллер и Д. Ван Хуз, К. Спонг. К. Кэмпбелл, Р. Кэмпбелл, Я. Линкер, А. Липис, К. Макконнелл, Т. Маршалл, Н. Мэнкью, Б.Дж. Саммерс, Д. Шеппард, Брюс П. Ван ден Берг, Р. Бхала, А. Хории.
Среди отечественных ученых необходимо выделить Г.Н. Белоглазову, М.П. Березину, А.Н. Казанцева, С.В. Криворучко, О.И. Лаврушина, А.С. Обаевой, Л.В. Парафило, М.А Песселя, Н.В. Смородинской, В.М. Усоскина и других.
Цель данной выпускной квалификационной работы состоит в разработке рекомендаций по совершенствованию процессов обеспечения информационной безопасности платежных систем и дистанционных банковских сервисов в кредитных организациях. Данная цель обусловливает решение следующих задач исследования:
- раскрыть теоретические основы обеспечения информационной
безопасности платежных систем и дистанционных банковских сервисов;
- рассмотреть основные принципы обеспечения информационной
безопасности платежных систем и дистанционных банковских сервисов;
- дать характеристику требованиям по информационной безопасности платежных систем и дистанционных банковских сервисов;
- провести анализ информационной безопасности платежных систем России;
- проанализировать данные по информационной безопасности дистанционных банковских сервисов;
- выявить проблемы и риски информационной безопасности платежных систем и дистанционных банковских сервисов;
- обосновать эффективность направлений решения проблем обеспечения информационной безопасности платежных систем и дистанционных банковских сервисов.
Объектом исследования выступает платежная система и дистанционные банковские сервисы банков Российской Федерации.
Предметом работы является система управления рисками информационной безопасности платежных систем и дистанционных банковских сервисов кредитных организаций Российской Федерации.
Теоретической основой работы стали научные труды зарубежных и отечественных исследователей банковского дела, денежного обращения, финансов и кредита.
В качестве методологических основ исследования используются различные методы научного познания: системный подход к анализу исследуемых процессов и явлений. В работе использованы методы и приемы классификации, группировки, статистического и экспертного анализа.
Информационная база исследования состоит из нормативно-правовых, статистических, информационно-аналитических, справочных источников, материалов Банка России, Банка международных расчетов, Европейского центрального банка, данных Федеральной службы по статистике (Росстата) Российской Федерации.
Работа структурно состоит из введения, трех глав и шести параграфов, заключения, списка литературы и приложений.
Проведенные исследования показали, что основной целью обеспечения информационной безопасности в банке является защита субъектов информационных отношений, интересы которых затрагиваются при создании и эксплуатации автоматизированной банковской системы, с возможными материального, физического, морального или иного ущерба, причиненного в результате случайного или преднамеренного воздействия на информацию, ее носители, процессы обработки и передачи, а также минимизация уровня операционного и других рисков (риск повреждения де ОИК репутации Банка, правовой риск и т. д.).
В настоящее время в России разработана система управления безопасностью объектов РБС, использующая ресурсы специализированных подразделений кредитных и финансовых организаций и компаний, работающих в сфере информационной безопасности.
Для эффективного и безопасного развития и функционирования цифрового финансового пространства необходимо осуществлять согласованные действия на уровне всех его участников, а также своевременное пропорциональное регулирование, которое, с одной стороны, будет поддерживать стабильность финансовой системы и защищать права потребителей, а с другой - способствовать развитию и инновациям цифровых инноваций.
Современный этап развития национальной платежной системы и ее элементов, основанный на системном правовом регулировании, характеризуется наличием общепринятой структуры основных поставщиков платежных услуг на российском рынке. Установлено конструктивное взаимодействие Банка России и регулируемых им субъектов НПС, способствующее повышению прозрачности, удовлетворению спроса на современные высоконадежные платежные инструменты, развитию безналичной среды. Развиваясь в рамках глобальных тенденций, применяя платежные и научно-технические достижения и преимущества сотрудничества между банковскими и небанковскими учреждениями для создания современных финансовых продуктов, провайдеры платежных услуг все чаще внедряют в практику высокотехнологичные платежные услуги, что способствует расширению доступности финансовых услуг, распространению безналичных платежных инструментов, а также повышению скорости платежей клиентов.
Важно подчеркнуть, что с развитием электронных платежных систем возникают риски, связанные с ростом киберугроз, быстрым и своевременным мониторингом, обнаружением, оценкой и разработкой соответствующих мер по предотвращению или минимизации их возможных последствий.
В статье анализируются основные показатели несанкционированных транзакций в российских платежных системах. Уменьшаются объемы несанкционированных операций, проводимых в торговых организациях и банкоматах, растет объем несанкционированных операций без отображения карты.
В качестве причины возникновения большинства несанкционированных транзакций (более 90%), сообщающие операторы указывают на использование ESP без согласия клиента в связи с неправомерными действиями, утратой, нарушением конфиденциальности аутентификационной информации.
Таким образом, можно отметить, что за весь 2017 год финансовые компании вошли в пятерку наиболее атакованных киберпреступниками типов организаций. Причин такой ситуации несколько.
Во-первых, банкоматы имеют крайне низкий уровень безопасности в целом: с точки зрения защиты от атак типа BlackBox и безопасности операционных систем банкоматов в принципе. Исследование за последние три года показывает, что при наличии доступа к компьютеру банкомата, в 85% случаев из него можно извлечь деньги, а при наличии возможности выполнения хотя бы ограниченного списка команд - 100%.
Во-вторых, большинство инструментов защиты на рынке сегодня недостаточно эффективны (включая McAfee Solidcore, официально рекомендованный NCR). Только за последний год исследователи положительных технологий в 5 различных продуктах класса Application Control обнаружили 9 уязвимостей, которые позволяют получить максимальные привилегии на банкомате или обойти это средство (удаленно или локально). А опыт исследователей показывает, что проблема обхода класса управления приложениями решается буквально в течение недели. Это означает, что в реальном мире злоумышленник справится с этим в сопоставимые сроки.
И в-третьих, сами производители из средств защиты показывают недостаточное внимание к докладам исследователей об уязвимостях, выявленных в их продукции: на долю поставщиков игнорируя сообщения исследователей об обнаруженных уязвимостях (или реагировать на них во время вне разумного 90 дней из достоверных источников) остается удручающе в среднем составляет не более 70% проблем, выявленных нами, так или иначе связанных с банкомата программного обеспечения или оборудования, не признал и закрытые разработчиками. В 2017 году банки также начали проявлять интерес к безопасности POS-терминалов, платежных систем нового типа (Apple Pay, Samsung Pay и др.), а также эффективность их систем противодействия мошенничеству-такая заинтересованность выражается в росте запросов на проведение проверок безопасности перечисленных систем и устройств.
В последние годы система дистанционного банковского обслуживания эволюционировала от дополнительного к основному инструменту оказания услуг. В последнее время российские финансовые институты внедряют технологии интернет-банкинга и мобильного банкинга. В 2016 году доля российских банков, предлагающих услуги интернет-банкинга, составила около 80%, а услуги мобильного банкинга-60%.
К сожалению, внедрение новых сервисов по запросу бизнеса сопровождается отсутствием должного внимания к значимому фактору- безопасности использования систем. Так, наряду с преимуществами, которые предоставляет дистанционный банкинг, существуют проблемы, в частности, связанные с обеспечением безопасности дистанционных услуг, в том числе операций по списанию денежных средств со счетов юридических и физических лиц по дистанционным банковским каналам.
Из вышесказанного можно сделать следующие выводы:
- современный банковский бизнес будет стремиться к расширению использования дистанционных банковских услуг;
- коммерческие банки будут вынуждены конкурировать с различными организациями, которые осуществляют подобные услуги и постоянно снижают комиссию за сделки;
- Регуляторы должны как можно скорее принять необходимые нормативные и законодательные акты в области RBS;
- на сегодняшний день нет идеальных путей и средств обеспечения информационной безопасности в сетевых структурах. Каждое из возможных средств имеет индивидуальные недостатки;
- с клиентами кредитных организаций, желающих использовать технологии РБ, необходимо проводить разъяснительную работу и брифинги по порядку хранения перевозчиками конфиденциальной информации, а также информировать их о наиболее распространенных методах мошенничества в системах РБ;
- необходимо совершенствовать методы мониторинга и контроля со стороны контрольно-надзорных органов за использованием банковских учреждений технологий РБ (в том числе возможности их использования в целях легализации преступных доходов).
Источники угроз являются основными носителями угроз информационной безопасности в банке. Они могут использовать уязвимости для нарушения безопасности информации, получения незаконной выгоды (ущерба собственнику, владельцу, пользователю информации). Кроме того, это могут быть не вредоносные действия источников угроз для активации определенных уязвимостей, которые являются вредоносными.
Основные способы защиты информации можно отнести к следующим:
1. Уникальные подписи и ключи, которые генерируются индивидуально для каждого клиента. Этот механизм чаще используется при обслуживании банками компаний, но иногда его предлагают индивидуальным клиентам. Плюс ЭЦП заключается в том, что он позволяет однозначно идентифицировать пользователя.
2. Услуги интернет-банка используют SSL-шифрование данных, передаваемых с компьютера пользователя в систему банка и обратно. Данная мера безопасности позволяет исключить ранее распространенную форму мошенничества. Ранее часто использовалась схема "человек посередине": данные платежа перехватываются на этапе, когда они отправляются от клиента, но еще не дошли до банка. Злоумышленник меняет данные и только после этого отправляет их в банк. Чтобы в полной мере воспользоваться преимуществами безопасной передачи данных, следует соблюдать основные меры безопасности в Интернете - не реагировать на подозрительные сообщения (полученные якобы от банка) и не переходить по неизвестным ссылкам.
3. Метод аутентификации пользователя с помощью одноразовых паролей, созданных методом генерации случайных чисел. С такой системой, все операции, которые клиент совершает с помощью сервиса должна быть подтверждена одноразовым паролем, который приходит в виде SMS-сообщения на мобильный телефон. Такая система имеет ряд преимуществ. Во-первых, он достаточно прост в использовании - специального оборудования не требуется, а процедура подтверждения операции занимает всего пару минут. Во-вторых, это позволяет обезопасить аккаунт от использования злоумышленниками-даже если вы знаете логин и пароль для входа в систему.
4. Уведомления о SMS-сообщениях о том, что кто-то вошел в Интернет- банк или проводит операцию, позволяют клиенту заранее узнать о несанкционированных операциях.
В третьей главе работы, с целью определения рисков информационной безопасности платежных систем и дистанционных банковских услуг, уровень угрозы был рассчитан на основе уязвимости, исходя из критичности и вероятности реализации угрозы через данную Уязвимость. Уровень угрозы показывает, насколько важно воздействие данной угрозы на ресурс с учетом вероятности ее реализации.
До модернизации системы защиты интернет-банка общий уровень угрозы, действующей на ресурс, составлял 0,995, а после модернизации-0,625.
Это говорит о том, что данный показатель снизился примерно в полтора раза, что свидетельствует об успешной работе.
Уровень угроз для основных уязвимостей был значительно снижен. Это видно из показателей CTh до и после. Уровень уязвимостей, таких как перехват SMS-сообщений через специальное оборудование или заражение мобильного телефона вирусами или вредоносными программами, стал значительно ниже. Так, после реализации специальных мер по улучшению защиты информации интернет-банкинга, можно с уверенностью сказать, что защита стала более эффективной. Эти выводы основаны на оценке рисков до и после.
Посредством систематической оценки рисков банк может получить содержательную картину (которая обновляется и обновляется со временем) рисков, связанных с платежными услугами. Это может быть полезно для контроля рисков, присущих конкретным продуктам, и для обучения сотрудников, контролирующих риски.
Банкам необходимо регулярно отслеживать риски, связанные с платежными услугами, и как минимум ежегодно обновлять градации вероятностей и суммы убытков, а также разрабатывать меры по снижению рисков. Историческая информация о рисках, охватывающая период в несколько лет, полезна для оценки.
В настоящее время в России разработана система управления безопасностью объектов РБС, использующая ресурсы специализированных подразделений кредитных и финансовых организаций и компаний, работающих в сфере информационной безопасности.
Для эффективного и безопасного развития и функционирования цифрового финансового пространства необходимо осуществлять согласованные действия на уровне всех его участников, а также своевременное пропорциональное регулирование, которое, с одной стороны, будет поддерживать стабильность финансовой системы и защищать права потребителей, а с другой - способствовать развитию и инновациям цифровых инноваций.
Современный этап развития национальной платежной системы и ее элементов, основанный на системном правовом регулировании, характеризуется наличием общепринятой структуры основных поставщиков платежных услуг на российском рынке. Установлено конструктивное взаимодействие Банка России и регулируемых им субъектов НПС, способствующее повышению прозрачности, удовлетворению спроса на современные высоконадежные платежные инструменты, развитию безналичной среды. Развиваясь в рамках глобальных тенденций, применяя платежные и научно-технические достижения и преимущества сотрудничества между банковскими и небанковскими учреждениями для создания современных финансовых продуктов, провайдеры платежных услуг все чаще внедряют в практику высокотехнологичные платежные услуги, что способствует расширению доступности финансовых услуг, распространению безналичных платежных инструментов, а также повышению скорости платежей клиентов.
Важно подчеркнуть, что с развитием электронных платежных систем возникают риски, связанные с ростом киберугроз, быстрым и своевременным мониторингом, обнаружением, оценкой и разработкой соответствующих мер по предотвращению или минимизации их возможных последствий.
В статье анализируются основные показатели несанкционированных транзакций в российских платежных системах. Уменьшаются объемы несанкционированных операций, проводимых в торговых организациях и банкоматах, растет объем несанкционированных операций без отображения карты.
В качестве причины возникновения большинства несанкционированных транзакций (более 90%), сообщающие операторы указывают на использование ESP без согласия клиента в связи с неправомерными действиями, утратой, нарушением конфиденциальности аутентификационной информации.
Таким образом, можно отметить, что за весь 2017 год финансовые компании вошли в пятерку наиболее атакованных киберпреступниками типов организаций. Причин такой ситуации несколько.
Во-первых, банкоматы имеют крайне низкий уровень безопасности в целом: с точки зрения защиты от атак типа BlackBox и безопасности операционных систем банкоматов в принципе. Исследование за последние три года показывает, что при наличии доступа к компьютеру банкомата, в 85% случаев из него можно извлечь деньги, а при наличии возможности выполнения хотя бы ограниченного списка команд - 100%.
Во-вторых, большинство инструментов защиты на рынке сегодня недостаточно эффективны (включая McAfee Solidcore, официально рекомендованный NCR). Только за последний год исследователи положительных технологий в 5 различных продуктах класса Application Control обнаружили 9 уязвимостей, которые позволяют получить максимальные привилегии на банкомате или обойти это средство (удаленно или локально). А опыт исследователей показывает, что проблема обхода класса управления приложениями решается буквально в течение недели. Это означает, что в реальном мире злоумышленник справится с этим в сопоставимые сроки.
И в-третьих, сами производители из средств защиты показывают недостаточное внимание к докладам исследователей об уязвимостях, выявленных в их продукции: на долю поставщиков игнорируя сообщения исследователей об обнаруженных уязвимостях (или реагировать на них во время вне разумного 90 дней из достоверных источников) остается удручающе в среднем составляет не более 70% проблем, выявленных нами, так или иначе связанных с банкомата программного обеспечения или оборудования, не признал и закрытые разработчиками. В 2017 году банки также начали проявлять интерес к безопасности POS-терминалов, платежных систем нового типа (Apple Pay, Samsung Pay и др.), а также эффективность их систем противодействия мошенничеству-такая заинтересованность выражается в росте запросов на проведение проверок безопасности перечисленных систем и устройств.
В последние годы система дистанционного банковского обслуживания эволюционировала от дополнительного к основному инструменту оказания услуг. В последнее время российские финансовые институты внедряют технологии интернет-банкинга и мобильного банкинга. В 2016 году доля российских банков, предлагающих услуги интернет-банкинга, составила около 80%, а услуги мобильного банкинга-60%.
К сожалению, внедрение новых сервисов по запросу бизнеса сопровождается отсутствием должного внимания к значимому фактору- безопасности использования систем. Так, наряду с преимуществами, которые предоставляет дистанционный банкинг, существуют проблемы, в частности, связанные с обеспечением безопасности дистанционных услуг, в том числе операций по списанию денежных средств со счетов юридических и физических лиц по дистанционным банковским каналам.
Из вышесказанного можно сделать следующие выводы:
- современный банковский бизнес будет стремиться к расширению использования дистанционных банковских услуг;
- коммерческие банки будут вынуждены конкурировать с различными организациями, которые осуществляют подобные услуги и постоянно снижают комиссию за сделки;
- Регуляторы должны как можно скорее принять необходимые нормативные и законодательные акты в области RBS;
- на сегодняшний день нет идеальных путей и средств обеспечения информационной безопасности в сетевых структурах. Каждое из возможных средств имеет индивидуальные недостатки;
- с клиентами кредитных организаций, желающих использовать технологии РБ, необходимо проводить разъяснительную работу и брифинги по порядку хранения перевозчиками конфиденциальной информации, а также информировать их о наиболее распространенных методах мошенничества в системах РБ;
- необходимо совершенствовать методы мониторинга и контроля со стороны контрольно-надзорных органов за использованием банковских учреждений технологий РБ (в том числе возможности их использования в целях легализации преступных доходов).
Источники угроз являются основными носителями угроз информационной безопасности в банке. Они могут использовать уязвимости для нарушения безопасности информации, получения незаконной выгоды (ущерба собственнику, владельцу, пользователю информации). Кроме того, это могут быть не вредоносные действия источников угроз для активации определенных уязвимостей, которые являются вредоносными.
Основные способы защиты информации можно отнести к следующим:
1. Уникальные подписи и ключи, которые генерируются индивидуально для каждого клиента. Этот механизм чаще используется при обслуживании банками компаний, но иногда его предлагают индивидуальным клиентам. Плюс ЭЦП заключается в том, что он позволяет однозначно идентифицировать пользователя.
2. Услуги интернет-банка используют SSL-шифрование данных, передаваемых с компьютера пользователя в систему банка и обратно. Данная мера безопасности позволяет исключить ранее распространенную форму мошенничества. Ранее часто использовалась схема "человек посередине": данные платежа перехватываются на этапе, когда они отправляются от клиента, но еще не дошли до банка. Злоумышленник меняет данные и только после этого отправляет их в банк. Чтобы в полной мере воспользоваться преимуществами безопасной передачи данных, следует соблюдать основные меры безопасности в Интернете - не реагировать на подозрительные сообщения (полученные якобы от банка) и не переходить по неизвестным ссылкам.
3. Метод аутентификации пользователя с помощью одноразовых паролей, созданных методом генерации случайных чисел. С такой системой, все операции, которые клиент совершает с помощью сервиса должна быть подтверждена одноразовым паролем, который приходит в виде SMS-сообщения на мобильный телефон. Такая система имеет ряд преимуществ. Во-первых, он достаточно прост в использовании - специального оборудования не требуется, а процедура подтверждения операции занимает всего пару минут. Во-вторых, это позволяет обезопасить аккаунт от использования злоумышленниками-даже если вы знаете логин и пароль для входа в систему.
4. Уведомления о SMS-сообщениях о том, что кто-то вошел в Интернет- банк или проводит операцию, позволяют клиенту заранее узнать о несанкционированных операциях.
В третьей главе работы, с целью определения рисков информационной безопасности платежных систем и дистанционных банковских услуг, уровень угрозы был рассчитан на основе уязвимости, исходя из критичности и вероятности реализации угрозы через данную Уязвимость. Уровень угрозы показывает, насколько важно воздействие данной угрозы на ресурс с учетом вероятности ее реализации.
До модернизации системы защиты интернет-банка общий уровень угрозы, действующей на ресурс, составлял 0,995, а после модернизации-0,625.
Это говорит о том, что данный показатель снизился примерно в полтора раза, что свидетельствует об успешной работе.
Уровень угроз для основных уязвимостей был значительно снижен. Это видно из показателей CTh до и после. Уровень уязвимостей, таких как перехват SMS-сообщений через специальное оборудование или заражение мобильного телефона вирусами или вредоносными программами, стал значительно ниже. Так, после реализации специальных мер по улучшению защиты информации интернет-банкинга, можно с уверенностью сказать, что защита стала более эффективной. Эти выводы основаны на оценке рисков до и после.
Посредством систематической оценки рисков банк может получить содержательную картину (которая обновляется и обновляется со временем) рисков, связанных с платежными услугами. Это может быть полезно для контроля рисков, присущих конкретным продуктам, и для обучения сотрудников, контролирующих риски.
Банкам необходимо регулярно отслеживать риски, связанные с платежными услугами, и как минимум ежегодно обновлять градации вероятностей и суммы убытков, а также разрабатывать меры по снижению рисков. Историческая информация о рисках, охватывающая период в несколько лет, полезна для оценки.
Подобные работы
- Развитие информационной безопасности в коммерческих банках (Московский банковский экономико-правовой колледж)
Дипломные работы, ВКР, информационная безопасность. Язык работы: Русский. Цена: 1200 р. Год сдачи: 2022 - ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ДИСТАНЦИОННОГО БАНКОВСКОГО ОБСЛУЖИВАНИЯ
Дипломные работы, ВКР, экономика. Язык работы: Русский. Цена: 4325 р. Год сдачи: 2018 - СОВЕРШЕНСТВОВАНИЕ ДИСТАНЦИОННОГО БАНКОВСКОГО ОБСЛУЖИВАНИЯ В КОММЕРЧЕСКИХ БАНКАХ РОССИЙСКОЙ ФЕДЕРАЦИИ
Дипломные работы, ВКР, экономика. Язык работы: Русский. Цена: 4700 р. Год сдачи: 2018 - РАЗВИТИЕ ДИСТАНЦИОННЫХ БАНКОВСКИХ УСЛУГ В КОММЕРЧЕСКОМ БАНКЕ
Дипломные работы, ВКР, экономика. Язык работы: Русский. Цена: 4395 р. Год сдачи: 2018 - НАПРАВЛЕНИЯ РАЗВИТИЯ БАНКОВСКИХ ЭЛЕКТРОННЫХ УСЛУГ И СПОСОБЫ ОБЕСПЕЧЕНИЯ ИХ БЕЗОПАСНОСТИ
Магистерская диссертация, экономика. Язык работы: Русский. Цена: 5500 р. Год сдачи: 2019 - РАЗВИТИЕ ДИСТАНЦИОННОГО БАНКОВСКОГО ОБСЛУЖИВАНИЯ ФИЗИЧЕСКИХ ЛИЦ В РОССИИ
(НА ПРИМЕРЕ ООО «ХОУМ КРЕДИТ ЭНД ФИНАНС БАНК»)
Бакалаврская работа, экономика. Язык работы: Русский. Цена: 4600 р. Год сдачи: 2016 - ОСОБЕННОСТИ ДИСТАНЦИОННОГО БАНКОВСКОГО ОБСЛУЖИВАНИЯ ФИЗИЧЕСКИХ ЛИЦ (НА ПРИМЕРЕ ПАО РОСБАНК)
Бакалаврская работа, экономика. Язык работы: Русский. Цена: 4900 р. Год сдачи: 2018 - СОВЕРШЕНСТВОВАНИЕ ДИСТАНЦИОННОГО БАНКОВСКОГО ОБСЛУЖИВАНИЯ В КОММЕРЧЕСКИХ БАНКАХ РОССИЙСКОЙ ФЕДЕРАЦИИ НА ПРИМЕРЕ ПАО «СБЕРБАНК РОССИИ»
Бакалаврская работа, экономика. Язык работы: Русский. Цена: 4345 р. Год сдачи: 2016 - Роль интернет-банкинга в системе дистанционного банковского обслуживания в
Российской Федерации
Магистерская диссертация, финансы . Язык работы: Русский. Цена: 5660 р. Год сдачи: 2018