Рекомендации по безопасности ДБО от Европейского центрального банка
03.05.12 | Раздел публикации: Защита персональных данных
Европейский центральный банк (European Central Bank, ECB) опубликовал список рекомендаций для повышения уровня безопасности интернет-платежей. Документ содержит 14 директивных пунктов, которые должны исполняться всеми поставщиками услуг дистанционного банковского обслуживания для защиты клиентов от интернет-мошенничества.
Рекомендации ЕЦБ по безопасности дистанционного банковского обслуживания разделены на три большие группы: оценка и контроль рисков интернет-платежей; безопасность совершения транзакций через интернет, как на стороне поставщика услуг, так и на стороне клиента; и, наконец, комплекс мероприятий просветительского характера для предупреждения клиентов о возможных рисках и необходимых мерах безопасности.
В основе рекомендаций Европейского центробанка лежит принцип многоуровневой аутентификации клиента. Провайдерам услуг ДБО рекомендуется ввести процедуру двух- и более уровневой аутентификации личности клиента, для чего предлагается на выбор следующие уровни проверки:
- Средства логической аутентификации: логин, пароль, идентификационный номер;
- Средства физической аутентификации: токены, смарт-карты, мобильные телефоны;
- Средства биометрической аутентификации: например, отпечатки пальцев.
В соответствии с Рекомендациями, каждый уровень проверки личности должен быть защищён независимо от других, то есть взлом одного рубежа безопасности не даёт злоумышленнику открытый доступ к другому (другим). Кроме того, поставщикам услуг ДБО предписывается использовать как минимум один элемент защиты, который не может быть подделан или похищен через интернет.
С полным текстом рекомендаций по безопасности интернет платежей можно ознакомиться на сайте Европейского центрального банка (документ в формате .pdf).
--------------------------------------------------------------
Комментарий SafenSoft:
Рекомендации ЕЦБ по безопасности интернет-платежей демонстрируют положительные тенденции мирового банковского сообщества по вопросам повышения уровня защищённости систем ДБО, которые становятся всё более популярными, и, соответственно, привлекают всё большее внимание злоумышленников.
В данных рекомендациях впервые указано о необходимости анализа технологических рисков интернет-банкинга, связанных с используемым как на клиентской, так и провайдерской стороне программным обеспечением и его уязвимостями. Это совершенно необходимый для развития вектор информационной безопасности дистанционного обслуживания. В данный момент процедуры дистанционного банковского обслуживания с использованием приложений «банк-клиент» строятся на основе «потребительского» ПО, слабозащищённых узлов передачи и обработки информации. Кроме того, внедрение средств защиты для соответствия рекомендациям безопасности интернет-банкинга не должно радикально изменять структуру процессинга ДБО, это в равной степени невыгодно как для банков, так и для их клиентов (особенно организаций).
По мнению экспертов SafenSoft, оптимальным вариантом защиты интернет-платежей является сочетание многоуровневой аутентификации с полной защитой программной среды компьютера и системы «банк-клиент» от любых неавторизованных вмешательств.
- Аутентификация производится как на уровне пользователя (логин, пароль), так и на аппаратном уровне (проверка контрольной суммы устройства). Для этого приложение «клиент-банк» привязывается к аппаратной части (компьютеру бухгалтера клиента), а в систему процессинга вводится специальный банковский сервер авторизованной загрузки и мониторинга SaaS.
- Полная защита компьютера клиента от любых неавторизованных вмешательств, подозрительных обновлений и вредоносного ПО. Тотальный контроль за выходом в интернет (с возможностью ограничения доступа на любые ресурсы, кроме IP-адресов банка).
Такую систему защиты ДБО банк может поставлять на компьютеры своих клиентов (юридических лиц) или распространять на USB-носителях (загрузочный привод USB с операционной системой и защищённым приложением «клиент-банк»).