Говоря о ДБО, о какой ДБО мы говорим?

Разное
Достаточно много эксперты говорят про безопасность систем ДБО (дистанционного банковского обслуживания). Предлагаются различные решения — токены с неизвлекаемыми ключами, LiveCD, Trusted Screen и т.п. Но… говоря о ДБО, какой тип ДБО мы имеем ввиду? Ведь их достаточно много. А внедряя в банке систему ДБО мы защищаем все ее компоненты или только Интернет-составляющую? Вот так выглядит деление на 2 основных типа — информационный (уведомление о платежах) и транзакционный (собственно сами платежи).

 Защищая только транзакционную часть мы рискуем все равно попасть на нарушения нормативных требований. Например, по новому ФЗ-161 необходимо уведомлять клиента о каждой транзакции. А если уведомления не было? Кто будет виноват? Правильно, банк. Поэтому защищая ДБО необходимо не забывать по обе составляющие.

 Допустим, не забыли. Но опять, говоря о защите транзакционной ДБО, что конкретно мы имеем ввиду? Защиту Интернет-банкинга? Защиту мобильного банкинга? Возможно. А что насчет телефонного банкинга? У меня в банке, например, реализована система телефонного банкинга через IVR (Interactive Voice Response). Защищен ли доступ к ДБО через этот, не самый распространенный способ дистанционного доступа к своему счету? Был несколько лет назад такой прецедент в России — один крупный банк, столкнувшись с ростом мошенничеств в своей системе Интернет-банкинга, усилил меры защиты. и ввел одноразовые коды подтверждения каждой транзакции. Но только в Интернет — телефонный банкинг был забыт, чем и не преминули воспользоваться злоумышленники.

Резюмируя, могу сказать, что танцевать, выстраивая систему защиты ДБО, надо не от угроз, о которых много пишут в Интернете, и не от предлагаемых средств защиты, которые массово предлагаются отечественными и западными вендорами. Отталкиваться нужно от объекта защиты. Мысль тривиальная, но о ней часто забывают, сразу переходя к защите, не проведя предварительного анализа объекта защиты, его рисков и грозящих ему угроз. Такая поспешность к добру не приведет.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. Анонимный

    наши юристы говорят, что отправка уведомления по авторизованному каналу связи (телефон) считается фактом уведомления (при наличии соответствующего подтверждения), независимо от того получил клиент sms-ку или нет. Защищенность канала связи обеспечивает провайдер в соответствии с ФЗ "О Связи".
    Резона делить ДБО на информационный и транзакционный нет.

    Ответить
  2. Анонимный

    опять же, если убрать экзотику типа телефонного банкинга (насколько я понимаю речь о стационарном телефоне), то по всем остальным случаям транзакционной ДБО система подтверждения одноразовыми паролями (разными видами реализации) на сегодня рулит.
    Хотя в целом такая классификация ДБО полезна 🙂
    Для начинающих :)))

    Ответить
  3. vgarry

    Осталось только узнать как юристы могут доказать факт оповещения 😉

    Ответить
  4. Алексей Лукацкий

    И IVR тоже по одноразовым паролям?

    Ответить
  5. Алексей Лукацкий

    Документально 😉

    Ответить
  6. Анонимный

    Область применения одноразовых паролей я ограничил сразу. Телефонный банкинг (включая IVR) в нее не входит (сообщение №2) 🙂

    Ответить
  7. Алексей Лукацкий

    А у меня он есть 😉 И иногда бывает очень полезен

    Ответить