Банковские online услуги

Проблема

Безопасность

Построение безопасных банковских систем является неотъемлемой частью современного Интернета. С приходом технологий для создания сайта веб 2.0 и веб 3.0 многие сайты стали предоставлять свои клиентам управление их счетами и кредитными карточками через Интернет, в том числе и веб-сайт чаще всего по протоколу https. Для этого используют разные программные средства: Интернет-кошелёк, Интернет-Клиент и Банк-Клиент.
Перед разработчиками подобных систем, а также перед банками возникают следующие проблемы:
- идентификация пользователя;
- безопасность (передача данных, операции со вкладом, защита секретной информации пользователя);
- простота управления;
-эффективность работы корпоративных клиентов.
Основным отличием этих банковских систем управления является способ предоставления услуги связи с банком:
- в "Банк-Клиенте" используется прямая связь с сервером банка (телефонная линия); она осуществляется через специальное оборудование (модем) или vpn-подключение, которое обеспечивается usb-устройством;
- для "Интернет-Банка" необходим только доступ в Интернет, либо по протоколу http ("веб- клиент"), либо через vpn-подключение к сети банка.
У каждого из видов клиентов есть свои минусы и плюсы. Например, прямая связь "Банк-Клиента" с сервером позволяет значительно повысить уровень защиты информации, тогда как для "Интернет-Банка" необходимы дополнительные способы защиты связи от злоумышленников. Особое внимание стоит уделить "веб-клиентам", которые наиболее подвержены хакерским атакам.

Идентификация пользователя
Работая с любой системой, клиенты всегда сначала проходят идентификацию. По этой процедуре банк понимает, что к ним пришли именно вы, а не кто-либо другой. Впрочем, существует вероятность, что сейчас вместо вас опять же работает хакер - вот почему для доступа к банковским операциям требуются дополнительные процедуры идентификации. Это могут быть:
" кодовая карта;
" устройство Digipass;
" программа расчёта тест-ключей;
" подтверждение кода через SMS-сообщение;
" пин-коды;
" дополнительный пароль для операций;
" разграничение прав по каждому пользователю (можно завести несколько пользователей на один счёт с разными правами).
Рассмотрим каждый из типов идентификации.
1. Средства удалённого доступа к банку создают специальный код (тест-ключ), благодаря которому можно гарантировать высокую степень безопасности при выполнении всех операций и коммуникаций с банком в данную сессию.
2. Кодовая карта - карточка сделанная банком, на которой напечатано 20?50 уникальных кодов (каждый состоит из 5 - 20 цифр). Эти коды подтверждают выполнение тех или иных операций. Надо отметить, что недавно подобную систему удалось взломать одному украинскому хакеру. Оказалось, что коды на карточке создавались по алгоритму, без учёта секретного кода клиента. Они содержали 64 символа, а в базе данных не велась история создаваемых кодов для карт. Следовательно, нельзя было повторно проверить код с карточки и убедиться, что этот код был создан действительно банком. Хакер собирал карточки в течение длительного времени, а потом воспроизвёл алгоритм генерации кодов. Результатом его действий стал взлом банковской системы.
3. Digipass - это небольшое устройство, созданное банком, внешне напоминающее калькулятор с кнопками и несколькими вспомогательными клавишами. Digipass предназначен для подтверждения всех документов, отсылаемых в банк. Он должен создавать уникальный тест-ключ из цифр разной длины. Ключ заменяет подпись и печать клиента. Полученную цифровую комбинацию вводят в специальном поле. Любой тест-ключ может быть использован только один раз, даже если вы совершили ошибку и система вам об этом сообщила. Кроме того, подобные коды существуют лишь в течение ограниченного времени. Digipass обеспечивает высокий уровень безопасности и конфиденциальности проводимых операций пользователем. Это устройство мобильно и его можно носить с собой.
4. Некоторые операции можно подтверждать, выслав специальное SMS-сообщение. Получив от банка SMS, вы получаете также специальный код, при помощи которого вы можете подтвердить осуществляемые вами операции. Код действует ограниченное время и рассчитан на 2 - 5 минут. Далее вы должны ввести в поле код, известный только вам. При этом вы будете использовать виртуальную клавиатуру. Бывает и так, что на телефон ставят специальную программу дешифровки, которая не просто принимает SMS-сообщение от банка, а ещё её и дешифрует. Лишь после этого вы уведите нужный код. Сама программа зависит от телефона. Она работает только на телефоннном аппарате, что защищает вас от перехвата gsm-данных.
5. Программа для генерации цифровых кодов устанавливается на компьютер клиента и позволяет ему подтверждать свои полномочия на выполнение любых операций по счёту. Создаваемые программой тест-ключи обеспечивают более высокую степень защиты, так как генерируется уникальный код в зависимости от валюты, суммы операции и даты сделки.
6. Некоторые банки используют ещё специально созданные сертификаты, которые шифруют данные при их передачи через Интернет. Для этого банки используют SSL-протокол.
7. Банки также приглашают компании по безопасности, которые подтверждают клиенту, что данный сайт не является хакерской подделкой, а является настоящим банковским сайтом. Используются разные сертификаты: comodo, rapidssl, inssl, verisign, digicert, geotrust и другие.
Дополнительные меры защиты и рекомендации банков.
7. Заканчивая работу с Интернет-Банком, всегда следует выходить из своей панели управления, используя счёт.
8. Чтобы добиться высокой степени безопасности при работе, требуется проверять установочные параметры браузера: пароль и код пользователя. Другая полезная и ценная информация не должна сохраняться в браузере.
9. Необходимо чистить временные файлы, используя функционал браузера.
10. Рекомендуется хранить в разных местах кодовые карты, устройства генерации кодов и электронно-цифровые подписи.
11. Следует установить на компьютере антивирусное программное обеспечение.
12. Требуется установить на компьютере также файервол.