Безопасность межбанковских операций
Оглавление
Введение 2
Классификация потенциальных угроз информационной безопасности банков 3
Преступления с использованием пластиковых платежных средств 3
Интернет-банкинг 4
Информационная безопасность в системах электронной коммерции 8
Заключение 15
Список литературы 16
Введение
Со времени своего появления банки неизменно вызывали преступный интерес. И этот интерес был связан не только с хранением в кредитных организациях денежных средств, но и с тем, что в банках сосредотачивалась важная и зачастую секретная информация о финансовой и хозяйственной деятельности многих людей, компаний, организаций и даже целых государств. Так, еще в XVIII веке недоброжелатели известного Джакомо Казановы опубликовали закрытые данные о движении средств по его счету в одном из парижских банков. Из этой информации следовало, что организованная Казановой государственная лотерея приносила доход не только казне, но и (в не меньших масштабах) ему лично.
В наши дни в связи со всеобщей информатизацией и компьютеризацией банковской деятельности значение информационной безопасности банков многократно возросло. В результате повсеместного распространения электронных платежей, пластиковых карт, компьютерных сетей объектом информационных атак стали непосредственно денежные средства как банков, так и их клиентов. Совершить попытку хищения может любой — необходимо лишь наличие компьютера, подключенного к сети Интернет. Причем для этого не требуется физически проникать в банк, можно «работать» и за тысячи километров от него.
Компьютеризация банковской деятельности позволила значительно повысить производительность труда сотрудников банка, внедрить новые финансовые продукты и технологии. Однако прогресс в технике преступлений шел не менее быстрыми темпами, чем развитие банковских технологий. В настоящее время свыше 90% всех преступлений связана с использованием автоматизированных систем обработки информации банка (АСОИБ). Следовательно, при создании и модернизации АСОИБ банкам необходимо уделять пристальное внимание обеспечению ее безопасности.
Как показывает практика, не существует сложных компьютерных систем, не содержащих ошибок. А поскольку идеология построения крупных АСОИБ регулярно меняется, то исправления найденных ошибок и «дыр» в системах безопасности хватает ненадолго, так как новая компьютерная система приносит новые проблемы и новые ошибки, заставляет по-новому перестраивать систему безопасности.
В связи с вышеизложенным, в настоящей работе основное внимание уделено именно компьютерной безопасности банков, т.е. безопасности автоматизированных систем обработки информации банка (АСОИБ), как наиболее актуальной, сложной и насущной.
Классификация
потенциальных угроз информационной
безопасности банков
По цели воздействия различают три основных типа угроз информационной безопасности:
- Угрозы нарушения конфиденциальности - направлены на разглашение конфиденциальной или секретной информации. При реализации этих угроз информация становится известной лицам, которые не должны иметь к ней доступ.
- Угрозы нарушения целостности информации, хранящейся в компьютерной системе или передаваемой по каналу связи - направлены на её изменение или искажение, приводящее к нарушению её качества или полному уничтожению. Целостность информации может быть нарушена умышленно злоумышленником, а также в результате объективных воздействий со стороны среды, окружающей систему. Эта угроза особенно актуальна для систем передачи информации - компьютерных сетей и систем телекоммуникации.
- Угрозы нарушения доступности - направлены на создание таких ситуаций, когда определённые преднамеренные действия либо снижают работоспособность аппаратных средств обработки информации, либо блокируют доступ к некоторым её ресурсам.
Преступления с использованием пластиковых платежных средств
Мошенничество с платежными картами, кардинг — вид мошенничества, при котором производится операция с использованием платежной карты или ее реквизитов, не инициированная или не подтвержденная ее держателем. Реквизиты платежных карт, как правило, берут со взломанных серверов интернет-магазинов, платежных и расчётных систем, а также с персональных компьютеров, либо непосредственно, либо через программы удаленного доступа, «трояны», «боты» с функцией формграббера. Кроме того, наиболее распространённым методом похищения номеров платежных карт на сегодня является фишинг.
Фишинг — создание мошенниками сайта, который будет пользоваться доверием у пользователя, например — сайт, похожий на сайт банка пользователя, через который и происходит похищение реквизитов платежных карт.
Одним из самых масштабных преступлений в области мошенничества с платежными картами считается взлом глобального процессинга кредитных карт Worldpay и кража с помощью его данных более 9 миллионов долларов США. В ноябре 2009 года по этому делу были предъявлены обвинения преступной группе, состоящей из граждан СНГ.
Интернет-банкинг
Интернет-банкинг — это общее название технологий дистанционного банковского обслуживания, при котором доступ к счетам и операциям (по ним) предоставляется в любое время и с любого компьютера, имеющего доступ в Интернет. Для выполнения операций используется браузер, то есть отсутствует необходимость установки клиентской части программного обеспечения системы.
Интернет-банкинг часто доступен по системе банк-клиент, с использованием
технологии тонкого клиента.
Как правило, услуги интернет-банкинга включают:
- выписки по счетам
- предоставление информации по
банковским продуктам (
- заявки на открытие депозитов, получение кредитов, банковских карт и т. д.
- внутренние переводы на счета банка
- переводы на счета в других банках
- конвертацию средств
- оплату услуг.
Безопасность интернет-банкинга:
Важным свойством безопасности
интернет-банкинга является
Главным риском в системах интернет-банкинга является возможность несанкционированного доступа к средствам клиента третьих лиц. Понятно, что основные финансовые потери при этом несёт банк, поэтому обеспечение защиты от несанкционированного доступа является важнейшей задачей его служб.
Так как традиционные системы
“клиент-банк” (без
Рис.1.Схема информационной защиты системы интернет-банкинга
IP-интернет-протокол;SSL-
Обмен электронными документами
через Интернет между банком и
клиентом, как правило, защищается с
помощью SSL-протокола, который стал
де-факто стандартом для финансовых
интернет-приложений. Широкое применение
при использовании SSL-протокола находят
цифровые сертификаты VeriSign (режим доступа:
www.verisign.com) и Thawte (режим доступа: www.thawte.com),
проверка которых осуществляется автоматически
при начале соединения. Сами электронные
документы (распоряжения клиента на выполнение
операций, выписки по счету и другие ответы
банка) также шифруются и подписываются
ЭЦП.
Поддержку SSL-протокола на
Основной целью защиты
на стороне банка является предотвращение
несанкционированного доступа к
информации и алгоритмам как системы
интернет-банкинга, так и к АБС,
с которой интернет-банкинг
В случае использования
Наряду с использованием
Ядро системы интернет-
На уровне локальной сети Web-сервер, сервер приложений, сервер БД системы интернет-банкинга рекомендуется размещать в разных сегментах, взаимодействующих через программируемые маршрутизаторы (роутеры). Собственно, БД хранит идентификаторы клиентов, открытые ключи, архив документов и другую информацию, обеспечивающую поддержку функционального интерфейса с клиентом вплоть до элементов CRM. Повышению уровня защиты способствует также рациональное распределение информации между АБС и ядром интернет-банкинга. Так, например, из АБС в БД системы интернет-банкинга может автоматически загружаться информация о состоянии счетов клиентов, что позволяет запросы клиента не маршрутизировать в АБС.
Ядро системы интернет-
Следует отметить также, что
наряду с программно-
В процессе регистрации
В качестве примера конкретного решения вопросов информационной безопасности можно рассмотреть подсистему «интернет- клиент» системы ДБО (комплексная система дистанционного банковского обслуживания).
Общая схема подсистемы «интернет-клиент» представлена на рис. 2.
Рис.2.Построение информационной защиты подсистемы “Интернет-клиент” системы ДБО БСС
Здесь собственную защиту HTTP-трафика
(шифрование, аутентификацию и авторизацию),
а также взаимодействие с
Взаимодействие интернет-клиента с АБС осуществляется через сервер ДБО, который имеет интерфейс практически со всеми известными промышленными АБС.
Также представляет интерес
Информационная безопасность в системах электронной коммерции
Обеспечение информационной
Типовая схема взаимодействия
участников электронной
Рис.3.Схема взаимодействия участников электронной коммерции
Основным риском
покупателя при выполнении
- покупатель производит
оплату в мошеннический
- реквизиты получателя
в распоряжении покупателя на
оплату мошеннически
- секретные реквизиты доступа к платежным средствам покупателя становятся известными третьим лицам и используются последними в мошеннических целях.
Основной финансовый риск
- мошеннического использования
платежного средства
- мошеннического изменения реквизитов получателя платежа в распоряжении покупателя на оплату.
Следует отметить, что в последнем случае финансовые потери несет интернет-магазин, если оказание услуги производится непосредственно после положительного ответа на авторизационный запрос. В том случае, если оказание услуги выполняется только после поступления средств на счет магазина, финансовые потери несет покупатель.
Конкретные схемы реализации информационной защиты должны учитывать как степень уязвимости платежных средств при их использовании в среде Интернет, так и технико-технологические и правовые (юридические) аспекты организации взаимодействия сторон при исполнении сделок электронной коммерции на техническом» технологическом и правовом (юридическом) уровнях.
Наиболее сложной задачей
1)Параметры
заказа после обращения
2)Авторизационный сервер выполняет проверку ЭЦП магазина и возвращает в ответ подтверждение приема авторизационного запроса с номером сессии (шаг 3), ответ подписывается ЭЦП авторизационного сервера.
3)Одновременно
с пересылкой параметров
4)Авторизационный запрос затем транслируется в ту платежную систему, к которой принадлежит банковская карта покупателя (шаг 5).
5)Ответ от платежной системы (шаг 6) возвращается магазину (шаг 7 с ЭЦП авторизационного сервера. Важным моментом здесь является ввод параметров карты именно на стороне авторизационного сервера, а не на сайте магазина, что позволяет снизить риски мошеннического использования карты. Защита взаимодействия авторизационного сервера с внешней платежной системой (шаги 5 и 6), как правило, обеспечивается в соответствии с правилами этой внешней системы — закрытые выделенные линии, шифрование трафика, применение ЭЦП.
Существенным недостатком таких расчетов является недостаточная защищенность схемы от мошенничества. Основная проблема заключается в том, что обеспечить регистрацию клиентов-плательщиков в платежной системе в целях формирования ключей ЭЦП и цифровых сертификатов не представляется возможным. А так как сделка совершается без физического присутствия покупателя и без физического предъявления карты, то
выяснить, действительно ли покупатель является истинным владельцем карты, просто невозможно.
В таких случаях, когда методы
PKI по разным причинам невозможно
использовать, применяются своеобразные
суррогаты PKI — дополнительные
способы идентификации.
1.Использование
дополнительных
2.Применение службы AVS (Address Verification Service):При выдаче карты в банке-эмитенте регистрируются адресные данные владельца, которые затем необходимо указывать при совершении сделок. Использование этой технологии ограничено тем, что российские банки-эмитенты не поддерживают эту службу.
3.Применение технологии 3D-Secure (Three Domain Model) в системе Visa: Суть технологии состоит в предварительной аутентификации участников. В частности, покупателю (владельцу кредитной карты) генерируется некоторый специальный пароль, который известен только ему и банку-эмитенту. Принцип работы 3D-Secure состоит в том, что существуют три домена — банк- эмитент, продавец и Visa. Через домен Visa проходит сообщение между покупателем, продавцом и банками. При этом Visa обеспечивает полную конфиденциальность информации. Для идентификации покупателя в системе банку-эмитенту отправляется запрос на аутентификацию. Эмитент устанавливает соединение с покупателем, предъявляет установленную для общения с ним секретную фразу и запрашивает пароль покупателя. Проверив введенный покупателем пароль, банк-эмитент формирует в систему ответ. Далее происходит идентификация продавца банком- эквайером. Сделка не совершается, если на каком-либо из этапов не произошла верификация участников. Для проведения электронных платежей по стандарту 3D-Secure необходимо, чтобы все участники системы — покупатель, эмитент, эквайер и продавец — поддерживали данную технологию. В России пока не поддерживается.
4.Система универсальной
идентификации владельца
5.Схема PayPal:Одна из самых популярных американских платежных систем PayPal использует следующий верификационный механизм. Клиенту-владельцу банковской карты, который предполагает стать участником системы в качестве покупателя, предлагается зарегистрироваться. В процессе регистрации покупатель указывает реквизиты своей банковской карты и система инициирует платеж с нее.
Сумма платежа при этом небольшая и имеет случайное значение, генерируемое системой. Покупателю предлагается получить в своем банке-эмитенте выписку с указанием суммы платежа и кодом авторизации в платежной карточной системе, а затем ввести эти данные в специальном окне на сайте PayPal. В том случае, если введенные покупателем данные совпадут с данными, полученными системой PayPal от процессингового центра в ответ на авторизационный запрoc, покупателю присваивается верифицированный идентификационный код. Этот код затем должен использоваться покупателем при совершении сделок. Схема достаточно эффективна и в то же время не требует изменений интерфейсов с банками-эмитентами.
7. Ради исторической
справедливости следует
8. Гораздо более
полную защиту от
Это позволяет, в частности, использовать пароль доступа к карте (ПИН), как это делается в любых других физических устройствах (банкоматы, POS-терминалы). Так как алгоритмы обработки ПИН «зашиты» в микропроцессоре карты, нет необходимости передавать его через Интернет на авторизационный сервер. Кстати, именно отсутствие такой возможности для карт с магнитной полосой и приводит к значительному усложнению организации безопасных транзакций, так как передавать PIN через Интернет равносильно предоставлению доступа к карте всем желающим.
Возможности смарт-карт по

- Безопасность международного туризма
- Безопасность международного туризма как главнейшее его условие
- Безопасность мобильных телефонов – вымыслы и факты
- Безопасность монтажных работ
- Безопасность мяса и мясопродуктов
- Безопасность на автомобильном, железнодорожном, морском транспорте, опасные ситуации и поведение людей. Первая медицинская помощь при поп
- Безопасность на автомобильном транспорте
- Безопасность и экологичность технических систем
- Безопасность кадров
- Безопасность как вид деятельности человека: содержание и структура
- Безопасность катания на горных лыжах
- Безопасность компьютеров в сети
- Безопасность лесных массивов
- Безопасность личности в условиях социально-экономического кризиса