Автора так и подмывало написать статью под заголовком «Плач Ярославны 3.0», но пришлось отказаться от этой идеи. Было решено оставить в стороне все предыдущие материалы и перевести разговор в русло обычного здравого смысла. Для этого есть вполне уважительная причина: приходится констатировать, что российские банки не смогли воспользоваться теми преимуществами, которые у них были в момент появления систем ДБО в России по отношению к западным.

Использование best practices (для более взрослых читателей – «передового опыта») давало возможность российским банкам учитывать пройденный западными банками путь и отказаться как от слепого копирования всех использовавшихся мировыми банками технологий безопасности, так и избежать «изобретения велосипедов».

По прошествии более чем 15 лет с момента появления первых систем ДБО в России надо признать, что российские разработчики не удержались как от слепого копирования отдельных моментов, так и от «изобретения велосипедов». Что не менее интересно, российские банки продолжают покупать решения по дистанционному обслуживанию клиентов, причем как разработчики решений, так и покупатели прекрасно знают о наличии уязвимостей в поставляемых решениях. Невольно создается впечатление, что основная цель таких операций – обеспечение ритмичности производства программных продуктов. Попутно заметим, что разработка многочисленных заплаток, которые создаются разработчиками систем ДБО в режиме аварийного латания дыр, создает видимость заботы о безопасности клиентов. Как результат, система безопасности онлайн-банкинга как для корпоративных, так и для розничных клиентов представляет собой набор слабо связанных компонентов, достаточно неудобный в администрировании и тем не менее позволяющий мошенникам похищать денежные средства из банка.

Очевидно, что и регулятор в последнее время стал уделять больше внимания кибербезопасности банковских организаций. Для повышения требований к кибербезопасности банков у ЦБ есть основания: количество атак на финансовые учреждения не снижается, а постоянно растет, ибо в распоряжении банков имеется наиболее ликвидный товар – деньги. Банкам надо отдавать себе отчет, что стандартные средства обеспечения безопасности – защита периметра (DLP-системы), антивирусы, файерволы и прочее – как правило, не обеспечивают банку защиты от хищения денежных средств, и наиболее логичный и простой способ похищения денег – именно через системы ДБО. Для хищения денежных средств мошенники не используют (или используют крайне редко) какие-либо уязвимости операционных систем клиентских компьютеров и подобные уязвимости приложений. Их задача – похитить аутентификационные данные клиента. Для этого есть масса достаточно хорошо известных механизмов: фишинг, фарминг, социальная инженерия, различного вида кейлоггеры и специализированные банковские трояны. Эти механизмы отработаны мошенниками, не требуют больших затрат и дают «хороший урожай», обеспечивая злоумышленникам доступ к системе ДБО банка. Особенно привлекательны для мошенников те банки, где для подтверждения подлинности клиента и платежа используется статический пароль. Такие решения еще имеются в определенном числе российских банков. Кстати, и DDOS-атаки на банки зачастую имеют весьма простую подоплеку – исключить возможность для клиента получить данные о состоянии счета непосредственно после факта похищения средств и тем самым выиграть время для переправки денег на счета сообщников и вывода их из банка.

Наибольший уровень мошенничества по-прежнему приходится на корпоративных клиентов. Именно здесь есть возможность похищения большого объема средств, и именно здесь правит бал технология подтверждения транзакций с помощью асимметричной криптографии (PKI). Понять приверженность российских банков к этой технологии крайне трудно, но приходится признать, что даже наличие других методов защиты для корпоративных клиентов практически не поколебало позиций этой технологии на рынке.

Вместе с тем если взглянуть на западные банки, то пик популярности этой технологии сошел на нет уже в конце девяностых годов прошлого века. То есть западные банки уже прекратили вкладывать средства в создание инфраструктуры открытых ключей, и в тот самый момент российские разработчики подняли этот метод подтверждения транзакций на щит. Как это сообразуется с передовым опытом и просто со здравым смыслом, остается для автора загадкой.

Не менее важен тот факт, что c момента внедрения решений на базе PKI и по сей день именно эта технология создает предпосылки для хищения средств клиентов. На ранних этапах внедрения воровство средств с расчетного счета происходило путем похищения приватного (закрытого) ключа. Ключ похищали с отчуждаемого носителя (дискеты), ключ похищали с жесткого диска клиентского компьютера, ну и с неменьшим успехом специально написанные вирусы похищали ключ непосредственно из памяти компьютера. После этого определить законного владельца счета по каналу удаленного доступа становилось невозможным. Но отказа от технологии как скомпрометированной не произошло: разработчики стали проверять IP-адреса компьютеров, попытались создать дополнительные барьеры для мошенников, например хранить ключ на смарт-карте под защитой PIN. Правда, ключ оставался доступен, ибо даже со смарт-карты его нужно было загрузить в память компьютера. Но в России уже появлялись смарт-карты, которые могли произвести на своем процессоре все необходимые криптографические преобразования, и приватный ключ вообще не появлялся в памяти клиентского компьютера! Казалось, что счастье наступит завтра или чуть позже. Тот факт, что смарт-карты с неизвлекаемым ключом появились именно на Западе, и тем не менее западные банки отказались от дальнейшего использования технологии PKI, не повлиял на оптимизм российских разработчиков систем ДБО. В кратчайшее время большинство разработчиков решений «прикрутили» новые средства подтверждения подписи к своим решениям, но счастье так и не наступило. Да оно и не могло наступить… Ахиллесова пята решений на базе PKI была известна достаточно давно: для исключения возможности мошенничества необходимо наличие доверенной среды на клиентском компьютере. Но даже и при ее наличии клиент должен просмотреть любой отправляемый в банк документ на предмет соответствия его реквизитов. Увы, злоумышленнику не надо красть ваш приватный ключ, ему достаточно воспользоваться вашим ключом без вашего ведома. И первые хищения средств в системах ДБО с неизвлекаемым ключом осуществлялись с помощью программ удаленного доступа к клиентскому компьютеру. Сейчас мошенники имеют в своем распоряжении более ухищренные программные продукты-вирусы, которые в пакете легитимных платежных поручений клиента отправляют распоряжения о переводе средств в адрес сообщников, сохраняя общее количество платежек, и по получении выписки из банка предъявляют клиенту только те платежки, которые формировал он сам. По сути дела, клиенту показывают мультфильм, а денежки уже перетекли на счета сообщников злоумышленника.

Но и после такого афронта наши разработчики не отказались от любимого механизма подтверждения транзакций. В ход пошли простейшие генераторы одноразовых паролей, одноразовый пароль по SMS и т.д. Заметим, что стоимость новых средств подтверждения транзакций и дополнительных механизмов защиты была естественным образом перенесена банками на клиентов. Заплатив деньги за новые средства защиты, клиенты вскоре выяснили, что нужны еще дополнительные средства защиты… Удобство пользования системой ДБО никоим образом не выросло, что создало у клиентов вполне понятное раздражение. Единственной причиной отсутствия миграции корпоративных клиентов явился тот факт, что с точки зрения риска похищения средств практически все банки одинаковы.

До января 2014 года банки жили в тепличных условиях. Грамотно составленные банками договоры об оказании услуг дистанционного банковского обслуживания практически не оставляли клиентам шансов на возврат похищенных средств. В течение двух лет банковское сообщество отчаянно сопротивлялось введению в действие статьи 9 закона 161-ФЗ «О национальной платежной системе». Какие только доводы ни приводились для обоснования дополнительной отсрочки для данной статьи! Если сначала весьма уважаемые банки за глаза говорили о том, что среди клиентов чуть ли не 15% мошенников, которые только и ждут, когда им можно будет обокрасть банк на законных основаниях, то во второй половине прошлого года банки стали уверять всех, что закон надо отложить именно потому, что уровень защищенности клиента недостаточно проработан. Закон предлагалось доработать, а уже после доработки и периода для адаптации банков к новым условиям ввести в действие.

 

Казалось бы, новые условия взаимодействия с клиентами должны были стимулировать банки к внедрению решений, которые:

•          Уменьшили бы размер потерь, исключив возможность похищения клиентских средств третьими лицами.

•          Позволили бы банкам обнаружить тех самых неблагонадежных клиентов-мошенников, которые самостоятельно перевели деньги и пытаются получить их от банка, ссылаясь на похищение средств неустановленными лицами.

 

Но никаких действий ни банковское сообщество, ни разработчики на сегодняшний день не предпринимали. Единственным заметным трендом на рынке систем ДБО можно считать растущий интерес банков к системам фрод-мониторинга. Крупные банки в состоянии приобрести достаточно дорогие решения западных вендоров, банкам с меньшим объемом бизнеса предлагают решения локальные поставщики. Стремление к внедрению систем фрод-мониторинга в целях сокращения потерь в системах ДБО можно считать похвальным, если бы не одно простое обстоятельство. Бороться с мошенниками можно и нужно, но более рационально – предотвратить воровство, чем ловить преступников, уже укравших деньги. Вместо того чтобы запереть дверь в денежное хранилище на надежный замок и выдать доверенным людям ключи, банки пытаются отличить мошенников от клиентов в тот момент, когда те и другие выходят через незапертую дверь.

Отличить законного клиента от мошенника – задача нетривиальная, есть шанс не обнаружить вора и, наоборот, задержать вполне законопослушного клиента. Может быть, проще повесить замок – оно обойдется много дешевле.

Но внедрение систем фрод-мониторинга может действительно улучшить состояние дел с безопасностью систем ДБО. При правильном использовании системы фрод-мониторинга, когда еще до проведения транзакции в банковских системах производится оценка рисков, которые несет данная транзакция, и в соответствии с уровнем риска выбирается метод подтверждения операции, который может сделать системы ДБО действительно безопасными и в то же время удобными для пользователя.

Автору кажется, что чрезмерная сговорчивость банков при выборе систем ДБО несколько развратила российских поставщиков решений. Почему, при достаточно высокой цене предлагаемых решений, банки не предъявляют требований к безопасности, остается загадкой. Очевидно, что если банки кардинальным образом не изменят свой подход к выбору решений, то очень скоро они заведут себя в тупик, причем сделают это своими собственными усилиями (или отсутствием этих самых усилий).

И совсем немного о новой угрозе, которая может стать реальностью для большинства российских банков, – это крайне широкое использование одноразовых паролей, доставляемых по SMS-каналу. Данная технология настолько пришлась по душе российским банкам, что не учитывать тот факт, что методов взлома данной технологии имеется достаточно много, нельзя. Использование уже скомпрометированного метода создает высокий уровень риска, особенно в тех банках, где данный механизм практически является единственным средством подтверждения операций. Господа банкиры, у вас есть «план Б», который позволит вашим системам ДБО работать, если ваш основной метод подтверждения операций будет атакован? Боюсь, что среди российских банков такой план есть не у всех…

Я призываю банкиров повнимательней отнестись к выбору системы аутентификации пользователей и подтверждения операций – это тот краеугольный камень, без которого безопасность невозможна в принципе. Выбор есть, только не ограничивайте себя тем, что предлагают вам ваши текущие поставщики, и ваши клиенты, я думаю, скажут вам спасибо.