Организация дистанционного банковского обслуживания как новое направление бизнес образования в финансово кредитной сфере России

Пакет электронных документов - один или более ЭПД и / или ЭСИД, подписанных ЭЦП, при этом каждый ЭПД и / или ЭСИД в составе пакета не подписывается ЭЦП.

Подлинность ЭД (пакета ЭД) - положительный результат проверки ЭЦП зарегистрированного владельца, позволяющий установить факт неизменности содержания ЭД (пакета ЭД), включая все его реквизиты.

Центр сертификации или Удостоверяющий центр (англ.  Certification authority, CA) - это организация или подразделение организации, которая выпускает сертификаты ключей электронной цифровой подписи, это компонент глобальной службы каталогов, отвечающий за управление криптографическими ключами пользователей. Открытые ключи и другая информация о пользователях хранится удостоверяющими центрами в виде цифровых сертификатов.

Центр сертификации - это компонент глобальной службы каталогов, отвечающий за управление криптографическими ключами пользователей.

Открытые ключи и другая информация о пользователях хранится центрами сертификации в виде цифровых сертификатов, имеющих следующую структуру:

·  серийный номер сертификата;

·  объектный идентификатор алгоритма электронной подписи;

·  имя удостоверяющего центра;

·  срок годности;

·  имя владельца сертификата (имя пользователя, которому принадлежит сертификат;

·  открытые ключи владельца сертификата (ключей может быть несколько);

·  объектные идентификаторы алгоритмов, ассоциированных с открытыми ключами владельца сертификата;

·  электронная подпись, сгенерированная с использованием секретного ключа удостоверяющего центра (подписывается результат хэширования всей информации, хранящейся в сертификате).

Отличием аккредитованного центра является то, что он находится в договорных отношениях с вышестоящим удостоверяющим центром и не является первым владельцем самоподписанного сертификата в списке удостоверенных корневых сертификатов. Таким образом, корневой сертификат аккредитованного центра удостоверен вышестоящим удостоверяющим центром в иерархии системы удостоверения. Таким образом аккредитованный центр получает "техническое право" работы и наследует "доверие" от организации выполнившей аккредитацию.

Аккредитованный центр сертификации ключей обязан выполнять все обязательства и требования, установленные законодательством страны нахождения или организацией проводящей аккредитацию в своих интересах и в соответствии со своими правилами.

Порядок аккредитации и требования, которым должен отвечать аккредитованный центр сертификации ключей, устанавливаются соответствующим уполномоченным органом государства или организации выполняющей аккредитацию.

Центр сертификации ключей имеет право:

·  предоставлять услуги по удостоверению сертификатов электронной цифровой подписи;

·  обслуживать сертификаты открытых ключей;

·  получать и проверять информацию, необходимую для создания соответствия информации указанной в сертификате ключа и предъявленными документами.

В настоящее время существует большое количество российских удостоверяющих центров, вот некоторые из них:

·  Удостоверяющий Центр ФГУП НИИ "Восход"

·  Удостоверяющий Центр ЗАО "ПФ "СКБ Контур"

·  Удостоверяющий Центр ЗАО "Орбита" (Краснодар)

·  Удостоверяющий Центр DIP

·  ООО Межрегиональный Удостоверяющий Центр

·  НП "Национальный Удостоверяющий центр"

·  ЗАО "АНК"

·  ООО ПНК

·  ЗАО Удостоверяющий Центр Ekey.ru (Москва)

·  ЗАО Удостоверяющий Центр (Санкт-Петербург)

·  Удостоверяющий центр Информационно-аналитического центра Санкт-Петербурга (Санкт-Петербург)

За рубежом также существует масса таких учреждений, ниже перечислены самые популярные и имеющие рейтинг "4 stars" и более

·  DigiCert,

·  SwissSign,

·  StartCom,

·  Entrust,

·  Trustwave.

В соответствии с письмом от 30.08.2006 №115-Т "Об исполнении ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" в части идентификации клиентов, обслуживаемых с использованием технологий дистанционного банковского обслуживания (включая Интернет-банкинг)" Банк России обязал финансовые институты при оказании таких услуг идентифицировать не только владельца счета, но и других лиц, которые будут пользоваться этим счетом.

При этом ответственность банка по данным вопросам регламентирована крайне жестко. Нарушение требований закона может повлечь применение к Банку ответственности, предусмотренной ФЗ от 10.07.2002 года №86-ФЗ "О Центральном банке Российской Федерации (Банке России)" (рекомендуемые меры воздействия предусмотрены Письмом Банка России от 13.07.2005 года №98-Т "О методических рекомендациях по применению Инструкции Банка России от 31.03.1997 № 59 "О применении к кредитным организациям мер воздействия при нарушениях кредитными организациями нормативных правовых актов в области противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма").

В условиях кризиса обостряется битва за клиента в любой сфере бизнеса. И кредитно-финансовые организации здесь не исключение. Жесткая конкуренция приводит к необходимости улучшать обслуживание клиентов путём ввода новых видов услуг. Одним из направлений, способствующих предоставлению клиентам максимального удобства в их работе, является дистанционное банковское обслуживание, осуществляемое через сеть Интернет. Возможность полного управления своим личным счётом при условии простоты выполнения операций, комфорта и мобильности всегда привлекало и будет привлекать клиентов.

Однако наряду с удобствами, которые получает клиент, осуществление ДБО через Интернет становится причиной возникновения угроз нового типа. С одной стороны это связано с тем, что существенно возрастает доля рисков (угроз), контролировать которые силами финансовой организации практически невозможно, с другой стороны не меньшую долю рисков (угроз) приносят вопросы организации ДБО.

Основными направлениями распределения рисков в области безопасности для систем ДБО являются:

вопросы организации эксплуатации систем ДБО;

клиенты, обслуживаемые через Интернет;

каналы связи, используемые для транзакций;

глобальная сеть Интернет.

Внедрение систем ДБО подразумевает вовлечение в процесс специалистов различных областей знаний финансовых специалистов, специалистов информатизации, информационной безопасности, юристов и др. Отсутствие четко организованного и регламентированного взаимодействия между различными подразделениями кредитной организации может привести к возникновению уязвимостей, которыми не преминут воспользоваться нарушители. Практика показывает, что реализация угроз с использованием имеющихся "слабых мест" в системах ДБО приводит к весьма существенным финансовым потерям и (или) ослаблению конкурентных преимуществ со стороны кредитной организации.

Анализ инцидентов, происходящих в системах ДБО, позволяет разделить потенциальных нарушителей на внешних по отношению к системе ДБО - то есть клиентов (как авторизованных, так и нет, то есть хакеров или преступников) и внутренних - из числа сотрудников банка.

Важно понимать, что информация, циркулирующая внутри систем ДБО, фактически эквивалента реальным деньгам, а значит создать условия, при которых угроза несанкционированного использования этой информации будет полностью исключена невозможно. Иными словами, всегда найдётся тот, кто захочет завладеть этой информацией. А значит, её нужно защищать.

Правила работы в системах ДБО не являются конфиденциальной информацией и любой желающий может получить к ним доступ. Единственной защитой клиента от злонамеренных действий является его идентификационная информация (логин, пароли, криптоключи). Именно за этой информацией идёт охота. В большинстве случаев нарушителю достаточно украсть идентификационную информацию клиента системы, чтобы получить полный доступ к его счёту. Возможностей совершить такую кражу более чем достаточно. Например, с помощью "хакерских" инструментов, свободно распространяемых в Интернет.

На сегодняшний день, в сети предлагается широкий ассортимент всевозможных программ для перехвата пароля с помощью троянов, keylogger’ов (программ, считывающих вводимую с клавиатуры информацию) - "шпионов", которые незаметно для клиента "подсаживаются" на его компьютер и "ждут" указаний от своего создателя (или мастер - машины) для выполнения какой-либо "полезной нагрузки". Причем хозяин компьютера может в течение весьма длительного срока не подозревать о наличии вредоносного кода на своём ПК ведь даже "активация" такого "шпиона" не всегда приводит к его обнаружению. Это связано с тем, что вместе со "шпионом" "в комплекте" идёт также руткит-технология, позволяющая скрыть следы активности вредоносного кода на ПК жертвы.

Бороться с вредоносными программами и "шпионами" на их нынешнем уровне развития с помощью устаревших технологий сигнатурного анализа, используя для этого мощности компьютера конечного пользователя (что, естественно, связано с замедлением его работы), весьма неэффективно, да и уже практически невозможно. Объясняется это тем, что код "шпионов" и им подобных, как правило, вовсе не является вредоносным для операционной системы компьютера, а их быстрая мутация ставит под сомнение возможность сигнатурного анализа. Наиболее адекватным решением на сегодняшний день видится совместное использование технологий контентной фильтрации и сигнатурного анализа при помощи комплексного шлюзового решения, установленного "на входе" в корпоративную сеть или же, что еще более правильно, используемого в сети провайдера, предоставляющего доступ в Интернет. Такое решение позволяет блокировать любой неразрешенный трафик, генерируемый "шпионом" с персональных компьютеров сети организации, предоставляет средства антивирусной защиты, web-фильтрации и защиты от спама, предотвращает утечку конфиденциальных сведений, и, наконец, позволяет регулировать время пребывания пользователей в сети Интернет и блокировать их доступ к неразрешенным ресурсам.

Сегодня кража паролей и криптоключей с незащищённых носителей являются обыденным явлением. Но, к сожалению, столь же обыденным можно назвать стремление некоторых банков экономить на системах безопасности. А ведь такая экономия зачастую приводит к многомиллионным потерям и далеко не всегда это потери исключительно клиента. Применение устаревших технологий, таких как организация доступа по "логину" и паролю, использование ключевых носителей не способных защитить от кражи хранящуюся на них информацию, рост "фишинговых" атак в значительной степени повышают риск несанкционированного доступа к системам ДБО.

С другой стороны, часто используемые механизмы защиты не могут обеспечить юридическую значимость совершаемых клиентом действий в системе. А этот вопрос в последнее время приобретает всё более важное значение. Как показывает судебная практика, доказать факт кражи у клиента его идентификационной информации не всегда представляется возможным, а вот то, что пароль был известен сотрудникам банка, доказывается легко. Суды зачастую встают на сторону клиента, даже если в договорных обязательствах предъявляются очень высокие требования по обеспечению ими сохранности своей идентификационной информации. Объясняется это весьма просто, клиент мог не обладать необходимыми знаниями или условиями, указанными в договоре, а вот банк должен был предусмотреть адекватные меры защиты.

Этот факт уже взят на вооружение злоумышленниками. Маскируясь под добросовестных клиентов, они всё чаще начинают пользоваться недоработками кредитных организаций в технологических и юридических вопросах связанных с эксплуатацией систем ДБО для отстаивания своей "правоты" в судах. И надо отметить, что, при квалифицированном подходе, попытки эти бывают весьма успешны.

 

 

1.3 Анализ тенденций развития банковских услуг по дистанционному обслуживанию в России

Основными областями концентрации рисков, на которые кредитным организациям следует обращать внимание, являются следующие:

1) Нормативно распорядительная  документация (договоры, регламенты, инструкции по использованию технологий ДБО и др.). Концентрация рисков в данной зоне связана с тем, что при внедрении и эксплуатации систем ДБО нормативно распорядительная документация должна обеспечить взаимодействие достаточно большого числа разносторонних сотрудников и внешних клиентов. Учитывая различные области производственной деятельности вовлечённых в процесс специалистов, вполне вероятно наличие нестыковок и недостаточная проработанность некоторых вопросов;

2) Отсутствие в кредитных организациях  чёткой регламентации процессов, связанных с эксплуатацией систем ДБО, а также механизмов мониторинга адекватности действующей нормативной документации приводят к расширению состава негативных факторов, которые могут сказаться как на интересах клиентов, так и на финансовом состоянии организации;

3) Доступ пользователей к информационным  ресурсам через не доверенную  среду сети Интернет. Концентрация  рисков в данной зоне связана, прежде всего, с ошибками или  злоупотреблениями по предоставлению  прав доступа и управлению идентификационными данными (паролями, криптоключами) клиентов. Кроме того, существенное влияние оказывают уязвимости программных, аппаратных средств и существующих технологий, а также рост попыток получения неправомерного доступа к информации, циркулирующей в системах ДБО;