Посредством передачи SMS сообщений (SMS-banking)
Все указанные функции становятся доступными только после персональной идентификации клиента банком на основе системы персональной идентификации. На сегодняшний день наиболее совершенной и безопасной является система на базе биометрических идентификационных карт.
Обслуживание с использованием банкоматов (ATM-banking) и устройств банковского самообслуживания - технологии ДБО с использованием устройств банковского самообслуживания являются одними из наиболее популярных в мире и в России. Банкоматы и терминалы попадают в категорию ДБО, так как почти полностью предоставляют банковские услуги дистанционно, без посещения клиентом банковской организации. Кроме того, важным фактором для включения их в эту категорию является возможность дублирования основных функций стандартного банк-клиента, который банк предоставляет частным (физическим) лицам для осуществления платежей.
Можно выделить несколько видов ДБО по типу используемых устройств:
- ДБО с использованием банкоматов (ATM-banking) — основано на программном обеспечении, установленном на банкоматах банка. См. также Банковская карта
- ДБО с использованием платёжных терминалов;
- ДБО с использованием информационных киосков;
Риски, связанные с использованием технологий дистанционного банковского обслуживания и меры их предотвращения
Проблематика банковских рисков привлекает внимание органов банковского регулирования и надзора разных стран уже довольно давно, и попытки их подробного описания и анализа имели место задолго до начала эры ДБО. Внедрение в банковскую деятельность технологий и систем ДБО усугубило ситуацию в том плане, что на этой волне стали возникать как бы все новые и новые виды банковских рисков, из-за чего и без того не законченная методология, охватывающая выявление, оценивание, анализ, мониторинг банковских рисков и управление ими, стала размываться, затрудняя ее практическое использование. Несмотря на то, что теоретические разработки в области рисков банковской деятельности, ведутся уже более 20 лет, законченной или даже сколько-нибудь полной «теории» этих рисков до настоящего времени не создано — проработаны только отдельные направления. В основном такие разработки были посвящены кредитному, процентному, ценовому, валютному рискам или совокупности последних, определяемых как рыночный риск, а также риску ликвидности. Мало того, практически каждый из зарубежных органов банковского регулирования и надзора до последнего времени формировал свою собственную теорию, причем общее число банковских рисков варьировалось от полутора десятков до одного (операционного, поглощавшего все остальные). Между тем, с течением времени и развитием банковских информационных технологий этим дело не ограничилось, поскольку возникли новые компоненты банковских рисков, уже технологического характера, которые стали вносить существенные коррективы в теоретические подходы к анализу рискованности банковской деятельности. Вследствие этого в последних по времени выпуска материалах БКБН, посвященных основным принципам управления рисками в условиях применения электронного банкинга, стали фигурировать еще и такие риски, как:
– деловой;
– безопасности;
– хищений идентификационных данных;
– мошеннических действий со счетами;
– отмывания денег;
– обезличивания индивидуальности;
– отрицания транзакций,
В некоторых других материалах БКБН говорится еще и о так называемых рисках, «характеризующих электронную обработку данных в банках», а именно:
– риск непредусмотренного раскрытия информации;
– риск ошибок;
– риск мошенничества;
– риск прерывания операций;
– риск неэффективного планирования;
– риски, связанные с действиями клиентов.
Основным риском при использовании ДБО является риск получения злоумышленником несанкционированного доступа к управлению счетом Клиента и к документам Клиента, передаваемым в Банк через ДБО. Последствиями несанкционированного доступа могут быть списание денежных средств со счета Клиента или утечка конфиденциальной информации о совершаемых Клиентом операциях.
Меры по предотвращению несанкционированного использования клиентского рабочего места ДБО клиенту, для снижения возможного риска несанкционированного использования рабочего места ДБО и списания третьими лицами денежных средств со счета Клиента, необходимо:
- Соблюдать правила пользования ДБО, в т.ч. знакомиться с информацией и материалами, касающимися работы ДБО на сайте Банка.
- Использовать услугу в виде возможности подключения к ДБО только c определенных IP-адресов компьютеров Клиента и/или информирование о входе в ДБО, посредством технологии сотовой связи – службы коротких сообщений (СМС).
Выполнять следующие организационные и технические меры:
- минимизировать количество пользователей, которые имеют право доступа к компьютеру с установленным рабочим местом ДБО, ограничив его кругом лиц, непосредственно использующим ДБО;
- осуществлять оценку деловой репутации пользователей, имеющих доступ к ДБО;
- использовать на компьютерах только лицензионное программное обеспечение;
- регулярно обновлять операционную систему и используемое для работы с ДБО программное обеспечение. Установку обновлений необходимо проводить только с официальных сайтов разработчиков соответствующего программного обеспечения;
- установить на компьютерах систему антивирусной защиты. Обновление баз данных антивирусных программ должно осуществляться ежедневно, либо по мере выхода новых официальных версий баз данных;
- использовать сетевые экраны при выходе в сеть Интернет, разрешив доступ только к доверенным ресурсам сети Интернет. Запретить в межсетевом экране соединение с сетью интернет по протоколам ftp, smtp. Разрешить соединения по протоколу smtp только с конкретными почтовыми серверами, на которых зарегистрированы почтовые ящики клиента;
- при работе с электронной почтой не открывать письма и прикрепленные к ним файлы, полученные от неизвестных отправителей, не переходить по содержащимся в таких письмах ссылкам. Наилучшей практикой является отказ от использования электронной почты на компьютерах с установленными рабочими местами ДБО;
- не использовать права администратора при отсутствии необходимости. В повседневной практике входить в систему как пользователь, не имеющий прав администратора;
- включить системный аудит событий, регистрирующий возникающие ошибки, вход пользователей и запуск программ, периодически просматривать журнал регистрации и реагировать на ошибки;
- использовать для размещения закрытых ключей ЭП только внешние извлекаемые носители информации. Использование в качестве места хранения ключевой информации реестра или жесткого диска компьютера увеличивает риск хищения закрытой части ключа ЭП;
- извлекать ключевой носитель сразу после окончания сеанса работы с ДБО;
- хранить ключевой носитель в недоступном для посторонних месте, например, в сейфе;
- не использовать ключевой носитель для иных, кроме работы с ДБО, целей, например, для хранения файлов, электронных документов и т.п;
- не передавать ключи ЭП и не сообщать логин и пароль доступа к ДБО третьим лицам;
- не использовать компьютер, на котором установлено рабочее место ДБО, не по назначению, например, для игр, просмотра фильмов и т.п;
- в случае если компьютер установлен внутри локальной сети организации, провести мероприятия по защите локальной сети от несанкционированных воздействий со стороны сети Интернет;
В случае подозрения на несанкционированный доступ к компьютеру, с установленным рабочим местом ДБО или установлении фактов компрометации закрытой части ключа ЭП:
- срочно связаться с Банком и проинформировать об имеющихся подозрениях или фактах;
- проверить легитимность всех выполненных за последнее время платежей;
- направить в Банк заявление о блокировке операций по ДБО;
- произвести смену ключей ЭП;
Среди факторов, которые сдерживают развитие ДБО, наверное, самым серьезным препятствием является недостаток доверия со стороны клиентов к дистанционным операциям и отсутствие должного обеспечения информационной безопасности при их совершении. Особенно если учесть тот факт, что в последнее время участились попытки неправомерного получения персональной информации пользователей систем ДБО: логинов, паролей, секретных ключей средств шифрования и аналогов собственноручной подписи, PIN-кодов платежных карт и т.д.
Если говорить об утечке информации при ДБО, то здесь возникает два вида рисков: со стороны клиентов и со стороны банков. Характерным примером «клиентских рисков» может быть ситуация, когда пользователь вводит пароль в неправильном месте или оставляет его в системе сохраненным и тем самым дает возможность злоумышленникам воспользоваться им, рассказывает заместитель председателя правления банка «АБ Финанс» Леонид Морозовский. «Клиентские риски также связаны с недостаточно безопасными способами авторизации: когда у пользователя нет карточки паролей либо его доступ в систему обеспечивает лишь одно слово или один пароль, который человек может записать где-либо и который кто-то может увидеть», - говорит Леонид Морозовский. Эксперт считает, что при ДБО имеют место в основном клиентские риски, связанные с тем, что банк не предусмотрел эффективной технологии защиты информации.
Второй вид рисков при ДБО - банковские риски - возникают в случае, когда утечка информации происходит на этапе передачи данных в кредитную организацию. Сейчас такие случаи очень редки, поскольку финансовые учреждения располагают достаточными ресурсами для того, чтобы защитить информационные системы. Если работа, которая ведется банком в данном направлении, выстроена грамотно, такие риски минимальны.