Какой протокол безопасности используется банками для обеспечения безопасности онлайн транзакций

Обновлено: 02.07.2024

Быстрорастущий сегмент дистанционного банковского обслуживания привлекает внимание все большего числа мошенников. Поэтому сегодня очень важен взвешенный подход к аутентификации клиентов систем ДБО, в частности мобильного и интернет-банкинга. Клиенты не заинтересованы в сложных механизмах, следовательно, у банка должно быть продуманное централизованное решение аутентификации, которое будет применяться для всех клиентов независимо от приобретенных ими продуктов.

При использовании мобильного и интернет-банкинга клиент в первую очередь должен быть аутентифицирован.

Способы аутентификации

Существует несколько способов аутентификации:

1. классический способ, основанный на том, что клиент знает, - аутентификация по логину и паролю (однофакторная аутентификация). В этом случае для получения доступа к интернет-банку пользователь вводит логин и пароль, которые передаются на сервер банка. Сервер сверяет полученную информацию с хранимыми записями, и, если запись найдена и совпадает, пользователь получает доступ. Суть данного способа заключается в том, что и пользователь и владелец сервера должны знать пароль пользователя;
2. способ аутентификации, основанный на том, что пользователь имеет (например, пластиковая карта, электронный цифровой сертификат или токен);
3. биометрическая аутентификация. Этот способ позволяет однозначно определить, что пользователь и есть тот самый субъект, за которого себя выдает (например, отпечаток пальца, голос, сетчатка глаза).

Примечание. Аутентификация, или подтверждение подлинности, - процедура проверки соответствия субъекта личности, за которую он пытается себя выдать, с помощью некой уникальной информации (например, идентификаторов).

В нашей стране биометрические данные в качестве аутентификации клиента на сегодняшний день банками не используются, хотя могут рассматриваться в качестве дополнительных источников информации. За границей этот вариант применяется в основном в тех странах, где есть проблемы с уровнем грамотности населения.

Наиболее надежный способ аутентификации - это двухфакторная аутентификация. Например, для входа в интернет-банк клиенту необходимо ввести свой логин, пароль, а также OTP-код, который может быть получен разными способами:

Примечание. OTP (one time password) - одноразовый пароль, который действителен только для одного действия (для одного входа в мобильный/интернет-банк или для подтверждения одной операции, проводимой клиентом в мобильном/интернет-банке).

В настоящее время наиболее распространенными являются два первых способа - отправка OTP-кода на мобильный телефон клиента либо выдача кодов в формате пластиковой скретч-карты в офисе банка. Также популярны аппаратные реализации одноразовых паролей (OTP-токены).

OTP-токены

Примечание. OTP-токен (от англ. token - метка, жетон) - персональный электронный идентификатор доступа, используемый в дистанционных каналах.

OTP-токены имеют достаточно компактные размеры и выпускаются в различных конфигурациях. Примеры некоторых из них приведены в табл. 1.

Примеры аппаратных токенов

В токен встроена батарейка, заряда которой хватает на 3 - 5 лет. После истечения этого срока токен придется поменять. Использование токена не должно вызывать у клиентов затруднений. Ввиду его небольшого размера его удобно носить с собой и можно использовать не только в интернет-, но и в мобильном банкинге. Например, однокнопочный токен генерирует одноразовый пароль путем нажатия на нем кнопки. Токены с клавиатурой имеют PIN-устройства, что повышает уровень защиты - для генерации одноразового кода клиенту сначала потребуется ввести код устройства, после чего токен отобразит сгенерированный код. Токен в виде картридера функционирует только при наличии смарт-карты. Клиент вставляет пластиковую карту в токен (картридер), вводит PIN-код карты и получает сгенерированный код.

Отметим, что аппаратный OTP-токен - наиболее дорогостоящее средство среди вышеперечисленных. Что касается срока службы (3 - 5 лет), то в сравнении с пластиковой скретч-картой токен будет служить гораздо дольше.

Помимо аппаратных токенов существуют также программные токены, разработанные для web-сайтов, а также для мобильных устройств (на платформе Java, например). Программные токены для сайта (интернет-банкинг) не требуют каких-либо установок программного обеспечения со стороны клиента, обеспечивают многофакторную защиту (более надежную, чем однофакторная), могут использовать технологию OTP (одноразовый пароль) либо ЭЦП. Для мобильных устройств программный токен (MobilePass) может быть установлен в виде приложения, активируемого по паролю. Для пользователя данный вариант весьма удобен, поскольку нет необходимости обзаводиться дополнительным устройством типа аппаратного токена: у большинства людей мобильный телефон всегда при себе. Программный токен для мобильного телефона также может использовать технологию OTP либо ЭЦП.

Примечание. Электронная цифровая подпись (ЭЦП) - реквизит электронного документа, предназначенный для защиты от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа ЭЦП и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.

Чем выше у устройства обеспечиваемый уровень защиты, тем выше его стоимость. Выбор технологии и средств защиты зависит от решаемых задач, которые напрямую связаны с уровнем рисков. Информационный сервис и возможность совершать платежи (в том числе внешние) через Интернет или мобильный телефон - две абсолютно разные задачи и несопоставимые риски.

Альтернатив на рынке, представленных ведущими разработчиками средств аутентификации и защиты, существует немало. Поэтому выбор есть.

Дополнительные меры защиты пользователя

Классический способ аутентификации (наиболее часто применяется в мобильном и интернет-банкинге) предполагает использование дополнительных мер защиты пользователя. Например:

Меры, направленные на снижение риска подбора логина/пароля

Как правило, банки стараются использовать все вышеперечисленные дополнительные меры защиты.

Для снижения риска подбора логина/пароля (если, например, используется однофакторная аутентификация) в интернет-банкинге применяются следующие дополнительные опции:

• экранная (виртуальная) клавиатура. В этом случае при входе в интернет-банк клиент вводит логин в определенное поле экрана обычным способом, а для ввода пароля используется отдельная виртуальная клавиатура;
• капча (captcha) - компьютерный тест, используемый для того, чтобы определить, кем является пользователь системы - человеком или компьютером. Основная идея теста: предложить пользователю такую задачу, которую может решить человек, но которую несоизмеримо сложно решить компьютеру. В основном это задачи на распознавание символов. То есть клиенту помимо логина и пароля также предлагается ввести символы, изображенные на экране.

Таким образом, для входа в мобильный и интернет-банк могут использоваться различные способы и сценарии ввода идентификаторов для аутентификации пользователя.

Одним из наиболее важных аспектов функционирования систем дистанционного банковского обслуживания является обеспечение информационной безопасности, то есть обеспечение конфиденциальности и достоверности информации, передаваемой между клиентом и банком.

Для обеспечения информационной безопасности в системах дистанционного банковского обслуживания применяются различные средства и методы защиты информации, начиная с паролей и заканчивая многоуровневыми системами безопасности на основе современных криптографических протоколов и алгоритмов, реализующих шифрование и работу с электронными цифровыми подписями (ЭЦП). Выбор средств и методов защиты информации зависит от вида системы удаленного банковского обслуживания и способа доступа к этой системе (табл. 2).

Преимущества и недостатки средств защиты, используемых российскими банками для работы в интернет-банке

В настоящее время на рынке наблюдается повышенное внимание банков к развитию альтернативных каналов обслуживания. Розничные игроки активно развивают дистанционные сервисы и привлекают клиентов к их использованию. Вводятся специальные тарифы, которые все более выгодно отличаются от аналогичных тарифов за обслуживание в офисах банка. Банки работают над повышением удобства и безопасности систем ДБО.

Пользователи Интернета, являющиеся основной целевой категорией, финансово и технически более грамотны. Однако не всегда этой грамотности достаточно, чтобы клиент:

• в достаточной степени доверял дистанционному сервису, предлагаемому банком;
• обладал достаточным уровнем осведомленности для соблюдения правил безопасной работы с банком по дистанционным каналам.

Поэтому банки должны постоянно проводить разъяснительную работу с клиентами в части выполнения ими рекомендаций для обеспечения безопасной работы в системах удаленного банковского обслуживания. Рекомендации могут быть следующими:

• хранить в секрете и не передавать никому свои пароли, карты переменных кодов, носители с криптографическими ключами, токены и другие средства доступа к системам удаленного банковского обслуживания;
• использовать для работы в системах удаленного банковского обслуживания компьютеры, программное обеспечение которых полностью контролируется;
• в случае утраты паролей, карты переменных кодов, токена, носителей с криптографическими ключами или других средств доступа в системы удаленного банковского обслуживания, а также в случае выявления доступа к ним посторонних лиц немедленно блокировать свою работу в системах дистанционного банковского обслуживания.

Проблемы и способы их решения в части повышения популяризации ДБО

Также есть и специфические аспекты безопасности, препятствующие более широкому распространению ДБО:

• законодательство. Отсутствие проработанной законодательной базы, регулирующей дистанционные отношения банка и клиента. На данный момент закон признает только одно средство защиты для дистанционных каналов - ЭЦП, при этом СКЗИ (система криптографической защиты информации) должна быть сертифицирована в Федеральном агентстве правительственной связи и информации (ФАПСИ);
• удобство использования средств безопасности. Сертифицированные ФАПСИ СКЗИ, как правило, сложны в установке и настройке, и обычный пользователь не всегда может самостоятельно настроить такое средство защиты и использовать его с комфортом;
• мошенничество. Случаев мошенничества в системах ДБО за последнее время известно немало. Такие прецеденты подрывают доверие клиентов к дистанционным каналам, и банкам следует вести непрерывную работу, направленную на предотвращение подобных случаев.

департамента розничного бизнеса

Мы используем файлы Cookie. Просматривая сайт, Вы принимаете Пользовательское соглашение и Политику конфиденциальности. --> Мы используем файлы Cookie. Просматривая сайт, Вы принимаете Пользовательское соглашение и Политику конфиденциальности.

В опросы безопасности электронных платежных систем являются сложной задачей для финансового сектора и регуляторов. Существуют две серьезные проблемы – несанкционированные списания средств с банковских карт или счетов юридических лиц и общая гарантия сохранности платежей, совершаемых через небанковские системы переводы платежей. Принимаемые в последние годы меры смогли сделать электронные переводы более безопасными.

Как работает ЭПС

Под это определение попадают:

В Банке России организовано несколько моделей платежей по Интернету. Это программа внутрирегиональных расчетов по сети Интернет (ВЭР) и межрегиональных электронных расчетов (МЭР). Для крупных срочных платежей в России в 2007 году создана идеология банковских срочных платежей (БЭСП). Она является аналогом европейской программы RTGS. Подключенные к ней банки переводят друг другу крупные суммы с целью перечисления клиентам в течение одного операционного дня.

Информационная безопасность электронных платежных систем обеспечивается требованиями, предъявляемыми к банкам-участникам:

Требования формулируются в Положениях Банка России и являются обязательными для исполнения. Отказ от выполнения требований может привести к полному или частичному отключению банка от технологии БЭСП.

Общие принципы ИБ механизмов дистанционных переводов

Если говорить об защите от несанкционированных переводов ЭПС в общем, то вне зависимости от уровня каждой конкретной модели к ним действуют единообразные требования.

Среди наиболее уязвимых мест:

Наличие этих уязвимостей вынуждает банки и операторов обеспечивать защиту трафика при пересылке доступными способами (передача по защищенным каналам, шифрование) и разрабатывать модели аутентификации отправителя и получателя средств.

При этом в работе банка или оператора платежей возникают проблемы:

• определение взаимной подлинности участников трансакции при установлении соединения;
• обеспечение конфиденциальности и подлинности платежных поручений, отправляемых по интернету, и других документов;
• защита процесса отправки, формирование доказательств отправления и получения документов;
• обеспечение исполнения документа (например, постоянное нахождение остатка на корреспондентском счете банка, позволяющее организовать платеж).

Банк и оператор ЭПС обязаны реализовать механизмы защиты клиентов от несанкционированных списаний денежных средств, конкретные требования к которым определяются политиками операторов и регламентами ЦБ РФ:

Для осуществления платежей посредством банковских карт международные системы переводов применяют собственные меры ИБ межкарточных переводов, корреспондирующие с требованиями Банка России. Для иных операторов безбумажных платежей, совершающих более 6 миллионов переводов в год, работает программа сертификации Qualified Security Assessor (QSA).

В России работают представительства нескольких организаций, имеющих право на выдачу сертификата, и он будет предоставлен, если оператор соответствует следующим требованиям:

• его деятельность соответствует международному стандарту Payment Card Industry Data Security Standard (PCI DSS);
• оператор сервиса платежей получил сертификат на соответствие международным требованиям к менеджменту ИБ кредитных организаций в сфере разработки, внедрения и сопровождения программных средств ISO/IEC 27001:2005;
• оператор работает с использованием электронно-цифровой подписи (ЭП);
• шифрование осуществляется разрешенными средствами криптографической защиты, разработанными организациями, имеющими лицензии на право осуществления деятельности по предоставлению, техническому обслуживанию криптографических средств.

Стандарт защиты информации в индустрии платежных карт PCI DSS был разработан международными операторами платежных карт Visa и MasterCard. В него входит 12 детально описанных требований, согласно которым должна обеспечиваться защита платежных систем.

Рекомендации ЦБ РФ

В последние годы ЦБ РФ от рекомендаций организациям финансового сектора по обеспечению защиты денежной системы перешел к непререкаемым требованиям, обязательным для выполнения и сопровождающимся внесением изменений в законы и подзаконные нормативные акты. Теперь информацию о каждой зафиксированной хакерской атаке и о том, что она готовится, он должен получать в течение трех часов.

В стандарте обеспечения информационной безопасности электронных платежных систем ЦБ РФ закрепил несколько обязательных требований:

• компьютер, подключенный к системе, не должен быть доступен из локальной сети банка (п. 5 Постановления ЦБ РФ №672-П);
• компьютер, отправляющий платежи на корреспондентский счет ЦБ РФ на обработку, должен постоянно мониториться с целью выявления несанкционированного вмешательства в программное обеспечение или подключения к сторонним серверам.

Интересно, что регулятор не требует от банка обязательного информирования о DDoS-атаках и других ситуациях, касающихся защиты системы обработки платежей самого финансового учреждения. Но все рекомендации, связанные с защитой от несанкционированных переводов и вмешательством в работу ЭПС любого уровня, как национального, так и международного, должны выполняться неукоснительно. Банки заявили после выхода рекомендаций о глобальном изменении правил игры, ранее они не сообщали о хакерских атаках по двум причинам:

• из страха репутационных рисков;
• из боязни быть оштрафованными за несоблюдение требований ИБ и правил корпоративного поведения.

Положение 672-П

Требования ГОСТа касаются защиты двух механизмов отправления платежей:

• сервиса срочного перевода и сервиса несрочного перевода (ССНП);
• сервиса быстрых платежей (СБП).

Каждый участник системы переводов в целях обеспечения защиты электронных платежных систем обязан принять пакет внутренней организационно-распорядительной документации, описывающий:

• процесс защиты данных при управлении доступом к ним;
• порядок обеспечения физической и программной защиты ИС любого уровня;
• контроль целостности и защищенности инфраструктуры, сети организации, осуществляющей переводы;
• использование антивирусных средств и способов защиты от внедрения вредоносного кода;
• защиту от утечек данных;
• управление инцидентами информационной безопасности;
• защиту среды виртуализации;
• защиту информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств.

Нормы Постановления обязывают банки усилить внимание к собственным пробелам системы защиты, отказаться от самостоятельно разработанного программного обеспечения и перейти на единую системную концепцию безопасности платежей.

Яндекс.Деньги и другие платежные системы

Российские пользователи электронного кошелька Яндекс.Деньги часто интересуются, как именно устроены меры защиты платежей в ней. Платежный сервис использует следующие алгоритмы защиты:

В качестве одного из дополнительных решений введен код протекции, только при знании его получатель может забрать перевод, совершенный через оператора. Это позволяет избежать риска фишинга и отправки платежей неподтвержденным получателям.

Платежные приложения

Отдельным вопросом безопасности электронных платежных систем становится защита платежных приложений, таких как Apple Pay и Samsung Pay. ЦБ РФ, вводя регулирующие правила для иностранных операторов, часто входит в конфликт с уже разработанными и действующими нормами безопасности, чем может затруднить доступ российских граждан к этим ресурсам. Но своевременная реакция профессионального сообщества помогла внести изменения в новые регуляторные требования, и сервисы остались доступными для российских граждан.

Создаваемая система быстрых платежей (СБП), начало действия которой приходится на 28 января 2019 года, позволяющая отправлять деньги по номеру телефона, также имеет свои правила безопасности, утверждаемые регулятором. Для подключения к СБП от кредитных и финансовых организаций требуется:

• установить ПО с максимальной степенью защиты, рекомендуемое регулятором, или доработать собственное ПО в соответствии с требованиями и техническими спецификациями;
• провести тестовые испытания взаимодействия.

Центробанк предлагает следующий механизм борьбы с угрозой: Национальная система платежных карт, являющаяся операционно-клиринговым центром СБП, проводит круглосуточный мониторинг операций и блокирует в системе номера подозрительных телефонов, с которых осуществляется массовый перебор. Помимо блокировки номеров ЦБ будет сообщать банкам об IP-адресах, с которых пытался осуществляться массовый перебор.

От принципа работы платежной системы и модели угроз зависят и способы защиты. Реализация рекомендуемых регулятором мер безопасности должна привести к повышению защищенности электронных платежей, снижению количества несанкционированных финансовых трансакций и списаний с банковских карт. Безопасность средств граждан целиком и полностью зависит от готовности банков и операторов выполнять требования регуляторов.

Читайте также:

  
• Как заключить договор с пожарной службой
  
• Пилинг фреш протокол процедуры
  
• Направление на медосвидетельствование от работодателя бланк образец заполнения
  
• По договору банковского вклада депозита кредитная организация в одностороннем порядке
  
• Что такое протокол сопряжения