маркетинговыми акциями, оставляя реальное внедрение высокотехнологичных решений на будущее. Несмотря на консерватизм банковской сферы как таковой, ситуация постепенно будет меняться, и системы Интернет-банкинга это затронет в первую очередь.
Чтобы разобраться, какие функции Интернет-банкинга необходимы банку в его реальной практике, требуется выделить основные группы клиентов, с которыми ему предстоит работать. Перечислим наиболее типичные группы.
Покупатели Интернет-магазинов. Они активно пользуются услугами дистанционного обслуживания и полностью готовы для работы с онлайновым представительством банка. Если банк, с которым они привыкли работать, не предоставляет такой возможности, то они смело меняют его на более достойное предложение.
Любители инноваций. Эти клиенты с энтузиазмом пользуются дистанционным банковским обслуживанием, если банк предоставляет им услугу такого рода. Если такое предложение отсутствует, то такие клиенты также достаточно быстро покидают банк ради более инновационного.
Обычные клиенты. Они обращаются к услугам Интернет-банкинга, но редко. В основном это происходит в силу необходимости (если со стороны банка настойчиво советуют пользоваться именно Интернетом для доступа к его услугам) или разово, когда из-за невозможности выполнения банковской операции традиционным (явочным) способом приходится выполнять ее дистанционно.
Пассивные пользователи. Эти клиенты используют Интернет исключительно ради получения справочной информации по счетам и банковским услугам.
Угрозы безопасности при дистанционном выполнении банковских операций принципиально отличаются от простого пользования Интернетом. Обычно пользователь выступает для хакера как среднестатистический объект нападений, принципиально ничем не выделяющийся на фоне миллионов других в Сети. Принятие элементарных мер защиты в этом случае обычно ведет к быстрой потере интереса со стороны хакера к конкретному пользователю и его переключению на более легкую добычу.
С Интернет-банкингом все обстоит иначе. Здесь в обращении находятся деньги, пусть даже и виртуальные. Злоумышленник прекрасно понимает, насколько легко они переводятся в реальную форму, что создает для него ясно обозначенную цель. Поэтому при Интернет-банкинге недопустимо халатное отношение к собственной безопасности со стороны пользователя, здесь он рискует больше, чем обычно.
Задача обеспечения надлежащей безопасности решается сегодня различными техническими и организационными методами. Заботу об обеспечении безопасной работы клиентов с онлайновой банковской системой обязаны проявлять как сам банк, так и пользователь: в случае «прокола» клиент рискует потерять свои деньги, а банк еще и репутацию.
Защищенное соединение с Интернетом (https). HTTPS-соединение с Интернетом – достаточно действенная мера защиты при работе с системой интерактивного банковского обслуживания, если компьютеры клиентов дополнительно оснащены системами антивирусной и антихакерской защиты. Преимущество этого стандартного для большинства банковских Интернет-систем метода состоит в том, что оно не требует от клиента получения специального цифрового сертификата и установки дополнительного клиентского ПО на свою машину; для интерактивной работы достаточно обычного современного браузера. Это могут быть Internet Explorer, FireFox, Opera, Safari и пр.
HTTPS, по сути, не отдельный протокол, а обычный HTTP, но работающий через механизмы SSL (Secure Sockets Layer) или TLS (Transport Layer Security), используемые для шифрования транзакций. Этот метод обеспечивает защиту от атак, основанных на фальсификации либо прослушивании сетевого соединения, когда перехват происходит на пути переноса данных от компьютера к банку (так называемые снифферские атаки или man-in-the-middle).
Таблица кодов/токены. Хотя в последние годы при использовании SSL стали применять ключи шифрования повышенной длины (128 бит), но если речь идет об интерактивном доступе к банковским услугам в публичных местах, то только SSL-метод не обеспечивает полной безопасности. В этих условиях могут происходить перехват данных по Сети, вычисление зашифрованных паролей, их подбор и другие мошеннические действия. Однако главная угроза исходит от программ перехвата нажатий клавиш клавиатуры (keyloggers), с помощью которых злоумышленник может узнать Web-адрес банка и логин/пароль для доступа к нему.
Для повышения степени защиты банки предлагают применять систему дополнительных паролей доступа, генерация которых не связана с использованием ПК. Один из таких вариантов – таблица дополнительных кодов. Это обычная пластиковая карта стандартных размеров, на которой записаны разовые пароли, спрятанные под защитным слоем. При обращении в банк клиент получает в свое распоряжение этот уникальный набор паролей, и в дальнейшем банк может проверять по ним достоверность проводимых через Интернет транзакций – выполняет ли их непосредственный владелец карты кодов (клиент банка) или мошенник.
Существует также другой способ защиты, по сути аналогичный только что описанному. Это использование специальных аппаратных брелоков (токенов), внутри которых находится шифровальная машина (обычно DES или TripleDES), отвечающая за генерацию паролей и сигнатур (например, цифровых подписей).
Процедура аутентификации при использовании токена выглядит следующим образом. При попытке зайти на защищенный ресурс пользователю предлагается ввести свой идентификационный номер (login) и пароль, состоящий из PIN-кода и числа, которое показано на токене. Для его получения надо ввести на брелоке тот же PIN-код, и токен выдает свою часть пароля, используя таймер времени и стартовый вектор генерации (seed), аппаратно «прошитый» на стадии производства брелока. Данные отсылаются на сервер аутентификации, где хранятся PIN-коды зарегистрированных пользователей, а также стартовые векторы генерации токенов. Зная текущее значение времени, сервер восстанавливает полученный пользователем токен-код и сам пароль. В результате применения такой системы защиты подделка пароля и неавторизованный вход в систему становятся трудновыполнимыми задачами.
Криптокалькулятор «НОМОС-ЛИНК»
Идея криптокалькулятора «НОМОС-ЛИНК» российской компании «НОМОС-БАНК» – развитие концепции токена, где вместо запоминаемого пользователем собственного цифрового кода применяются данные, записанные на банковской карте международного образца (Visa Classic).
Потребитель получает в свое распоряжение электронный аналог шифровального блокнота – миниатюрный криптокалькулятор. Для работы ему потребуется смарт-карта VISA, этот прибор и доступ к системе Интернет-банкинга «НОМОС-БАНКА». Когда у клиента возникает необходимость в совершении банковской операции, он вставляет карту в криптокалькулятор, и тот генерирует одноразовый пароль. С его
