Внутренняя угроза
Понятно, что индустрия защиты от киберпреступников тоже не стоит на месте. Наиболее перспективные сейчас способы защиты от банковских интернет-мошенников — персональные средства аутентификации в виде USB-брелоков (так называемые токены) или смарт-карт.
На такие устройства вирусам проникнуть очень сложно, так как они хранятся отдельно от компьютера. При необходимости совершения сделки устройство подключается к компьютеру, и в нем генерируется нужный разрешающий код для доступа к банковскому счету. «Мы считаем перспективным применение токенов, причем моделей с экранами вместо обычных токенов, — говорит Алексей Тюрин. — Дело в том, что клиент, подписывая платежное поручение с помощью обычного токена, получает информацию о том, что подписывает, только через свой компьютер. Злоумышленник различными способами может подменить информацию на ПК клиента, и тот подпишет и отправит деньги злоумышленнику. Здесь могут спасти токены с экранами, которые являются дополнительным доверенным каналом получения информации о будущем платеже».
Одновременно наблюдатели критикуют позицию многих банков, которые совершенствуют свои системы защиты без особого рвения. «У ряда банков простая арифметика: если сумма убытков от мошенничества меньше, чем затраты на внедрение дополнительных мер безопасности, не имеет смысла что-то менять, — продолжает Алексей Тюрин. — Если банк составляет “правильный” договор, который перекладывает на клиентов всю ответственность за инциденты мошенничества, то, согласно российскому законодательству, клиентам очень трудно вернуть свои деньги даже в том случае, если хищение осуществлялось через уязвимости в системе самого банка. Наши исследования в области анализа защищенности систем дистанционного банковского обслуживания показывают, что примерно в 80–90 процентах случаев потенциальные возможности хищения денежных средств у клиентов существуют из-за проблемы с информационной безопасностью в самих банках. К сожалению, клиентам очень сложно доказать, что виноват именно банк».
Не стоит забывать и про такую опасность, как внутренние угрозы банков. «Мне представляется, что в скором времени массовый потребитель банковских услуг осознает простую вещь: внутренние угрозы опаснее внешних, — заявляет
НиколайФедотов
из InfoWatch. — То, что это верно для других областей, уже всем очевидно. И только банки всеми силами привлекают внимание публики к внешним злоумышленникам — и старательно отвлекают от внутренних. Хотя именно инсайдеры-злоумышленники виноваты в большинстве хищений и других инцидентов».