· SwissSign,

· StartCom,

· Entrust,

· Trustwave.

В соответствии с письмом от 30.08.2006 №115-Т "Об исполнении ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" в части идентификации клиентов, обслуживаемых с использованием технологий дистанционного банковского обслуживания (включая Интернет-банкинг)" Банк России обязал финансовые институты при оказании таких услуг идентифицировать не только владельца счета, но и других лиц, которые будут пользоваться этим счетом.

При этом ответственность банка по данным вопросам регламентирована крайне жестко. Нарушение требований закона может повлечь применение к Банку ответственности, предусмотренной ФЗ от 10.07.2002 года №86-ФЗ "О Центральном банке Российской Федерации (Банке России)" (рекомендуемые меры воздействия предусмотрены Письмом Банка России от 13.07.2005 года №98-Т "О методических рекомендациях по применению Инструкции Банка России от 31.03.1997 № 59 "О применении к кредитным организациям мер воздействия при нарушениях кредитными организациями нормативных правовых актов в области противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма").

В условиях кризиса обостряется битва за клиента в любой сфере бизнеса. И кредитно-финансовые организации здесь не исключение. Жесткая конкуренция приводит к необходимости улучшать обслуживание клиентов путём ввода новых видов услуг. Одним из направлений, способствующих предоставлению клиентам максимального удобства в их работе, является дистанционное банковское обслуживание, осуществляемое через сеть Интернет. Возможность полного управления своим личным счётом при условии простоты выполнения операций, комфорта и мобильности всегда привлекало и будет привлекать клиентов.

Однако наряду с удобствами, которые получает клиент, осуществление ДБО через Интернет становится причиной возникновения угроз нового типа. С одной стороны это связано с тем, что существенно возрастает доля рисков (угроз), контролировать которые силами финансовой организации практически невозможно, с другой стороны не меньшую долю рисков (угроз) приносят вопросы организации ДБО.

Основными направлениями распределения рисков в области безопасности для систем ДБО являются:

вопросы организации эксплуатации систем ДБО;

клиенты, обслуживаемые через Интернет;

каналы связи, используемые для транзакций;

глобальная сеть Интернет.

Внедрение систем ДБО подразумевает вовлечение в процесс специалистов различных областей знаний финансовых специалистов, специалистов информатизации, информационной безопасности, юристов и др. Отсутствие четко организованного и регламентированного взаимодействия между различными подразделениями кредитной организации может привести к возникновению уязвимостей, которыми не преминут воспользоваться нарушители. Практика показывает, что реализация угроз с использованием имеющихся "слабых мест" в системах ДБО приводит к весьма существенным финансовым потерям и (или) ослаблению конкурентных преимуществ со стороны кредитной организации.

Анализ инцидентов, происходящих в системах ДБО, позволяет разделить потенциальных нарушителей на внешних по отношению к системе ДБО - то есть клиентов (как авторизованных, так и нет, то есть хакеров или преступников) и внутренних - из числа сотрудников банка.

Важно понимать, что информация, циркулирующая внутри систем ДБО, фактически эквивалента реальным деньгам, а значит создать условия, при которых угроза несанкционированного использования этой информации будет полностью исключена невозможно. Иными словами, всегда найдётся тот, кто захочет завладеть этой информацией. А значит, её нужно защищать.

Правила работы в системах ДБО не являются конфиденциальной информацией и любой желающий может получить к ним доступ. Единственной защитой клиента от злонамеренных действий является его идентификационная информация (логин, пароли, криптоключи). Именно за этой информацией идёт охота. В большинстве случаев нарушителю достаточно украсть идентификационную информацию клиента системы, чтобы получить полный доступ к его счёту. Возможностей совершить такую кражу более чем достаточно. Например, с помощью "хакерских" инструментов, свободно распространяемых в Интернет.

На сегодняшний день, в сети предлагается широкий ассортимент всевозможных программ для перехвата пароля с помощью троянов, keylogger’ов (программ, считывающих вводимую с клавиатуры информацию) - "шпионов", которые незаметно для клиента "подсаживаются" на его компьютер и "ждут" указаний от своего создателя (или мастер - машины) для выполнения какой-либо "полезной нагрузки". Причем хозяин компьютера может в течение весьма длительного срока не подозревать о наличии вредоносного кода на своём ПК ведь даже "активация" такого "шпиона" не всегда приводит к его обнаружению. Это связано с тем, что вместе со "шпионом" "в комплекте" идёт также руткит-технология, позволяющая скрыть следы активности вредоносного кода на ПК жертвы.

Бороться с вредоносными программами и "шпионами" на их нынешнем уровне развития с помощью устаревших технологий сигнатурного анализа, используя для этого мощности компьютера конечного пользователя (что, естественно, связано с замедлением его работы), весьма неэффективно, да и уже практически невозможно. Объясняется это тем, что код "шпионов" и им подобных, как правило, вовсе не является вредоносным для операционной системы компьютера, а их быстрая мутация ставит под сомнение возможность сигнатурного анализа. Наиболее адекватным решением на сегодняшний день видится совместное использование технологий контентной фильтрации и сигнатурного анализа при помощи комплексного шлюзового решения, установленного "на входе" в корпоративную сеть или же, что еще более правильно, используемого в сети провайдера, предоставляющего доступ в Интернет. Такое решение позволяет блокировать любой неразрешенный трафик, генерируемый "шпионом" с персональных компьютеров сети организации, предоставляет средства антивирусной защиты, web-фильтрации и защиты от спама, предотвращает утечку конфиденциальных сведений, и, наконец, позволяет регулировать время пребывания пользователей в сети Интернет и блокировать их доступ к неразрешенным ресурсам.

Сегодня кража паролей и криптоключей с незащищённых носителей являются обыденным явлением. Но, к сожалению, столь же обыденным можно назвать стремление некоторых банков экономить на системах безопасности. А ведь такая экономия зачастую приводит к многомиллионным потерям и далеко не всегда это потери исключительно клиента. Применение устаревших технологий, таких как организация доступа по "логину" и паролю, использование ключевых носителей не способных защитить от кражи хранящуюся на них информацию, рост "фишинговых" атак в значительной степени повышают риск несанкционированного доступа к системам ДБО.

С другой стороны, часто используемые механизмы защиты не могут обеспечить юридическую значимость совершаемых клиентом действий в системе. А этот вопрос в последнее время приобретает всё более важное значение. Как показывает судебная практика, доказать факт кражи у клиента его идентификационной информации не всегда представляется возможным, а вот то, что пароль был известен сотрудникам банка, доказывается легко. Суды зачастую встают на сторону клиента, даже если в договорных обязательствах предъявляются очень высокие требования по обеспечению ими сохранности своей идентификационной информации. Объясняется это весьма просто, клиент мог не обладать необходимыми знаниями или условиями, указанными в договоре, а вот банк должен был предусмотреть адекватные меры защиты.

Этот факт уже взят на вооружение злоумышленниками. Маскируясь под добросовестных клиентов, они всё чаще начинают пользоваться недоработками кредитных организаций в технологических и юридических вопросах связанных с эксплуатацией систем ДБО для отстаивания своей "правоты" в судах. И надо отметить, что, при квалифицированном подходе, попытки эти бывают весьма успешны.

1.3 Анализ тенденций развития банковских услуг по дистанционному обслуживанию в России

Основными областями концентрации рисков, на которые кредитным организациям следует обращать внимание, являются следующие:

1) Нормативно распорядительная документация (договоры, регламенты, инструкции по использованию технологий ДБО и др.). Концентрация рисков в данной зоне связана с тем, что при внедрении и эксплуатации систем ДБО нормативно распорядительная документация должна обеспечить взаимодействие достаточно большого числа разносторонних сотрудников и внешних клиентов. Учитывая различные об