15.05.2012

Говоря о ДБО, о какой ДБО мы говорим?

Достаточно много эксперты говорят про безопасность систем ДБО (дистанционного банковского обслуживания). Предлагаются различные решения - токены с неизвлекаемыми ключами, LiveCD, Trusted Screen и т.п. Но... говоря о ДБО, какой тип ДБО мы имеем ввиду? Ведь их достаточно много. А внедряя в банке систему ДБО мы защищаем все ее компоненты или только Интернет-составляющую? Вот так выглядит деление на 2 основных типа - информационный (уведомление о платежах) и транзакционный (собственно сами платежи).

 Защищая только транзакционную часть мы рискуем все равно попасть на нарушения нормативных требований. Например, по новому ФЗ-161 необходимо уведомлять клиента о каждой транзакции. А если уведомления не было? Кто будет виноват? Правильно, банк. Поэтому защищая ДБО необходимо не забывать по обе составляющие.
 Допустим, не забыли. Но опять, говоря о защите транзакционной ДБО, что конкретно мы имеем ввиду? Защиту Интернет-банкинга? Защиту мобильного банкинга? Возможно. А что насчет телефонного банкинга? У меня в банке, например, реализована система телефонного банкинга через IVR (Interactive Voice Response). Защищен ли доступ к ДБО через этот, не самый распространенный способ дистанционного доступа к своему счету? Был несколько лет назад такой прецедент в России - один крупный банк, столкнувшись с ростом мошенничеств в своей системе Интернет-банкинга, усилил меры защиты. и ввел одноразовые коды подтверждения каждой транзакции. Но только в Интернет - телефонный банкинг был забыт, чем и не преминули воспользоваться злоумышленники.


Резюмируя, могу сказать, что танцевать, выстраивая систему защиты ДБО, надо не от угроз, о которых много пишут в Интернете, и не от предлагаемых средств защиты, которые массово предлагаются отечественными и западными вендорами. Отталкиваться нужно от объекта защиты. Мысль тривиальная, но о ней часто забывают, сразу переходя к защите, не проведя предварительного анализа объекта защиты, его рисков и грозящих ему угроз. Такая поспешность к добру не приведет.

7 коммент.:

Turkish комментирует...

наши юристы говорят, что отправка уведомления по авторизованному каналу связи (телефон) считается фактом уведомления (при наличии соответствующего подтверждения), независимо от того получил клиент sms-ку или нет. Защищенность канала связи обеспечивает провайдер в соответствии с ФЗ "О Связи".
Резона делить ДБО на информационный и транзакционный нет.

Turkish комментирует...

опять же, если убрать экзотику типа телефонного банкинга (насколько я понимаю речь о стационарном телефоне), то по всем остальным случаям транзакционной ДБО система подтверждения одноразовыми паролями (разными видами реализации) на сегодня рулит.
Хотя в целом такая классификация ДБО полезна :)
Для начинающих :)))

vgarry комментирует...

Осталось только узнать как юристы могут доказать факт оповещения ;)

Алексей Лукацкий комментирует...

И IVR тоже по одноразовым паролям?

Алексей Лукацкий комментирует...

Документально ;-)

Turkish комментирует...

Область применения одноразовых паролей я ограничил сразу. Телефонный банкинг (включая IVR) в нее не входит (сообщение №2) :)

Алексей Лукацкий комментирует...

А у меня он есть ;-) И иногда бывает очень полезен