Кибербезопасность в условиях электронного банкинга. Практическое пособие - Коллектив авторов
Отождествляя финансовые отношения с IoT-технологиями, не стоит забывать о распространении хищений денежных средств, сбоях в работе СЭБ и, как следствие, снижении доверия к использованию IoT-услуг кредитно-финансовых организаций (возрастании операционных и репутационных рисков). В России уже сегодня применяется следующая схема кражи: чтобы снять деньги со счета, мошенники прикладывают устройство беспроводного терминала к карману или сумке. Считыватели бесконтактных карт работают на расстоянии до 20 см, а ведь, как известно, злоумышленники находятся в местах массового скопления людей. К тому же мобильные терминалы не являются редкостью, достать их проблем не составляет. Считыватель карт можно даже собрать кустарным способом с помощью нехитрых радиокомпонентов, которые легко заказать онлайн[62].
Цифровой банк станет банком расширенного финансового обслуживания, поскольку будет учитывать транзакции «человек-человек», «человек-машина» и даже «машина-машина». Взаимодействовать можно будет со всем, от одежды до эскалаторов, с помощью чипов радиочастотной идентификации – RFID[63], встроенных повсюду. Это означает, что все будет взаимодействовать со всем, разумно и без проводов, с помощью интернета вещей: он являет нам новый дополненный мир виртуальной реальности и вместе с тем несет множество новых угроз как для самих устройств, так и для платформ, на которых они работают. Финансовым организациям понадобятся технологии защиты от хакерских атак и непосредственного физического взлома «девайсов». Проблема усугубляется тем, что с целью снизить затраты потребителей большинство IoT-устройств создают с применением простейших операционных систем и процессоров, не поддерживающих сложные средства защиты.
Поэтому банки сегодня должны попытаться продумать, какого рода операции они будут предлагать и осуществлять в условиях, когда все устройства соединены между собой, могут взаимодействовать друг с другом и участвовать в торговле. Вот часть вопросов, на которые необходимо ответить:
1. Каким образом будут предоставляться IoT-услуги?
2. Кто будет выступать провайдерами?
3. Как будут обеспечиваться безопасность и аутентификация?
4. Когда банки начнут вводить продукты и услуги, использующие новые возможности [77, с. 285]?
Самые очевидные угрозы, вызванные тем, что устройства общаются посредством интернета, – это воровство данных, получение доступа к «умным» устройствам и блокирование устройств (например, с помощью DDoS-атаки). Оптимизация финансовых отношений на основе внедрения IoT-технологий будет осуществляться посредством СЭБ. И самый большой потенциал повышения безопасности СЭБ с помощью технологий кроется в использовании биометрических данных клиентов. Наиболее очевидный вариант – отпечатки пальцев или система распознавания лиц для удостоверения личности пользователя.
Применение биометрических данных имеет два преимущества. Первое – оно не позволит преступникам подобрать пароль или PIN-код, воспользоваться украденной картой или скопировать ее. Второе – это ускорение и улучшение обслуживания клиентов. Нам нужно помнить и вводить так много личных номеров и паролей, что распознавание биометрических данных кажется весьма привлекательной перспективой. Затраты на встраивание функции распознавания биометрических данных в СЭБ обязательно окупятся благодаря своей результативности. С учетом повсеместного использования технологии распознавания отпечатков пальцев в IoT-устройствах и мобильных телефонах признание новшества клиентами не будет проблемой. В зависимости от качества АПО, используемого в технологиях распознавания биометрических данных, угроза кражи денег и конфиденциальной информации у клиентов организаций кредитно-финансовой сферы может быть снижена или вовсе сведена к минимуму.
Хотя само биометрическое оборудование стоит недешево, модификация программного обеспечения и соответствующего процесса идентификации потребует от банков значительных инвестиций. По этой причине сегодня только две страны – Колумбия и Япония – внедрили в банкоматы систему распознавания биометрических данных.
Распознавание биометрических данных очень привлекательно для растущих рынков, особенно в бедных, менее развитых странах, где банкоматы появились сравнительно недавно. Расширение их применения тормозится распространением PIN-кодов и необходимостью хранения карт и PIN-кодов отдельно. Это относится в первую очередь к бедным регионам, где людям непросто запомнить PIN-коды, а их использование небезопасно.
Более интересна «биометрическая интеграция» с IoT-технологиями (распознавание лиц при приближении), которая позволит узнавать клиента и показывать подготовленные специально для него послания, основанные на портфеле продуктов этого клиента или его недавних финансовых операциях. Цифровые видеостены[64] уже используют технологию распознавания лиц и могут «сказать», какого пола клиент, стар он или молод, расстроен или доволен.
Для создания позитивного опыта самообслуживания банкам будет очень важно найти правильное сочетание персонификации, отклика на нужды отдельно взятого клиента, правил конфиденциальности и безопасности. Это позволит сделать использование цифровых технологий более личным и человечным.
2.5. Кибербезопасность в условиях развития интернета вещей и электронного банкинга
Мудрец будет скорее избегать болезней, чем выбирать средства против них.
Томас Мор, английский гуманист, государственный деятель и писательПроблема интернета вещей в том, что IoT-системы создают новые точки доступа для хакеров. Входом в систему может стать сетевой принтер, предоставляющий хакерам маршрут доступа к компьютерам в сети финансовой организации, или мобильное устройство, которое имеет доступ к системе радиосвязи высокотехнологичного автомобиля. Стоит признать, что киберпреступники всегда на шаг впереди, они нападают внезапно и могут использовать нешаблонные способы атак. В связи с этим производители средств защиты вынуждены постоянно обороняться, то есть искать защиту в условиях жесткого лимита времени, поскольку самый большой вред причиняют именно атаки «нулевого дня» (когда «противоядие» еще не найдено). В некоторых случаях защищаться приходится от того, о чем есть крайне поверхностное представление: отсутствуют данные о количестве подобных атак на банки, произошедших ранее, о способах заражения программного обеспечения, о действиях злоумышленников в определенных ситуациях и т. п.
При отсутствии взаимодействия противостояние осуществляется практически вслепую. Это все равно что вести войну, не имея сведений о численности и дислокации врага, об используемом им вооружении и источниках подкрепления.
Кибербезопасность организаций кредитно-финансовой сферы должна базироваться на готовности подразделений безопасности противостоять новым кибератакам, понимании всего спектра угроз в отношении организации в целом и распределения приоритетов между активами организации и их защитой[65].
К факторам, повышающим уровень воздействия кибератак, относятся:
– отсутствие отлаженного правового и организационно-технического обеспечения законных интересов граждан, государства и общества в области кибербезопасности (в т. ч. в условиях применения СЭБ);
– высокая латентность[66] киберпреступлений и недостаточное осознание органами государственной власти на федеральном и особенно региональном уровне возможных политических, экономических, моральных и юридических последствий компьютерных преступлений;
– слабая координация действий правоохранительных органов, суда и прокуратуры в борьбе с киберпреступлениями, неподготовленность их кадрового состава к эффективному предупреждению, выявлению и расследованию таких действий;
– несовершенство системы единого учета правонарушений, совершаемых с использованием средств информатизации;
– отсутствие у Банка России подразделений по надзору за применением IoT-технологий в организациях кредитно-финансовой сферы (ОКФС) и обеспечением кибербезопасности;
– существенное отставание отечественной индустрии средств и технологий информатизации и кибербезопасности от мирового уровня;
– ограниченные возможности бюджетного финансирования научно-исследовательских и опытно-конструкторских работ по созданию правовой, организационной и технической баз кибербезопасности.
Безопасность всего пространства интернета вещей должна обеспечиваться еще на уровне создания архитектуры (тем более для ОКФС). Иными словами, необходимо