Банки предпочитают комплексные решения

15 Октября 2013 03:46

Каналы обслуживания клиентов в российских банках стремительно эволюционируют - за короткий промежуток времени был сделан шаг от предоставления банковских услуг в офисе банка к различным видам дистанционного обслуживания. К системам ДБО относятся: интернет-банкинг, когда клиент получает доступ к услугам через свой компьютер; мобильный банкинг, при котором управление услугами осуществляется через мобильное приложение; телефонный банкинг, когда операции производит оператор с указания клиента; IVR (Interactive Voice Response) - доступ к услугам осуществляется с помощью тонального набора, вводимого клиентом на клавиатуре своего мобильного телефона.

Комплексная защита мобильного банкинга
Сегодня все популярнее становится мобильный банкинг, позволяющий предоставлять клиентам дополнительные каналы коммуникации с банком через разнообразные мобильные устройства. Он, кстати, тоже эволюционирует - многие банки стараются расширить функционал мобильных приложений, предоставляя клиентам, помимо стандартных сервисов вроде оплаты различных услуг с мобильного телефона, дополнительные - доступ к счетам и операции с ними. Понятно, что за этим будущее, поэтому финансовые организации рассматривают наличие мобильного банкинга в арсенале своих каналов обслуживания как конкурентное преимущество.

За последнее время количество операций, проводимых через системы мобильного банкинга в нашей стране, значительно выросло. Однако экспертные исследования показывают, что безопасность мобильных приложений, которые используют банки, находится примерно на том же уровне, что у обычных приложений. А это значит, что банки все еще не уделяют должное внимание разработке, тестированию и аккуратному внедрению подобных приложений.

Мы планируем подробно остановиться на этой теме во время делового мероприятия CROC Cyber Conference, которое состоится 10 сентября 2013 г. В рамках данной конференции, посвященной вопросам информационной безопасности, представители финансовой отрасли расскажут, как защитить конфиденциальные данные в условиях стремительного развития мобильных технологий.

Возвращаясь к мобильному банкингу, отметим что для обеспечения его полноценной защиты банку приходится решать несколько задач. К ним относятся обеспечение безопасности среды, мобильного приложения, каналов, по которым передается информация, а также компоненты, которая, как правило, находится в банке, - серверной части. При этом отдельной задачей стоит вопрос надежной аутентификации в мобильном банкинге.

Для решения вышеперечисленных задач мы предлагаем своим заказчикам комплексные решения по обеспечению многофакторной аутентификации в системах мобильного и интернет-банкинга. Они позволяют обеспечить защиту данных на самих мобильных устройствах (мобильный телефон, терминал, компьютер), например, путем создания контролируемой и защищенной среды в рамках установленного приложения; а также защиту каналов связи и системы, находящейся в банке.

Аутентификационные центры как комплексное решение для защиты всех каналов ДБО


Спрос банков на решения по обеспечению информационной безопасности меняется с появлением новых каналов взаимодействия с клиентами, каждый из которых требует определенного и довольно высокого уровня безопасности. Большое распространение получают аутентификационные центры с системами многофакторной аутентификации. Они объединяют такие средства доступа, как одноразовые пароли, аутентификацию через систему IVR и системы EMV-карт, голосовую и биометрическую идентификацию клиентов для доступных систем и устройств. Последние две формы идентификации – новые разработки, которые уже становятся популярными в странах Юго-Восточной Азии и, возможно, скоро появятся в нашей стране.

Надо заметить, что для банка объединение всех каналов под управлением одной системы безопасности, интеграция их в единый центр аутентификации - задача довольно сложная, но очень важная. Именно поэтому банки, как правило, не занимаются подобными проектами самостоятельно, доверяют эту задачу системному интегратору с необходимыми компетенциями. К настоящему времени мы уже реализовали четыре проекта по созданию аутентификационных центров в банках, еще три находятся в стадии внедрения.

Один из крупнейших проектов в нашей практике был сделан для банка ВТБ24. Внедрение позволило заменить существующие разрозненные механизмы аутентификации и каталоги данных пользователей, реализованные в рамках различных прикладных систем услуг ДБО, на единую универсальную платформу. Применение промышленного сервера аутентификации и собственных разработок компании КРОК предоставило прикладным системам и клиентам ДБО возможность удобного использования унифицированного набора механизмов защищенной аутентификации. Также это позволило автоматически осуществлять выбор способа аутентификации в зависимости от критичности транзакции и истории работы клиента и дало возможность разгрузить смежные системы за счет кэширования запрашиваемых данных. Дополнительными результатами внедрения аутентификационного центра стало уменьшение времени отклика операций с учетными данными, повышение стабильности работы прикладных систем, простая возможность масштабирования.

Расширение функционала аутентификационного центра

В последнее время значительно возрос спрос на расширение функционала аутентификационного центра. Некоторые банки уже хотят иметь в нем системы риск-менеджмента или фрод-менеджмента. Для реализации этого функционала аутентификационный центр необходимо интегрировать с системой класса Web-Fraud Detection (WFD), которая позволяет анализировать транзакции в различных каналах. Выбор той или иной системы зависит от целей и задач, которые ставит перед собой банк. Они могут быть простые, когда внедряется определенная модель, которая работает в своем режиме, и более сложные - самообучающиеся, способные подстроить свой алгоритм под действия клиента. Например, если когда-то транзакция была принята как безопасная, то в следующий раз она не будет срабатывать как мошенническая. Благодаря этому достигается высокий уровень точности определения характера транзакции и скорости срабатывания системы.

Надо заметить, что помимо транзакций, WFD-система может анализировать более 100 параметров как самого устройства, с которого производится транзакция, так и пользователя. Эти данные накапливаются в специальном профиле клиента, и если система видит отклонение от этого профиля, она самостоятельно предлагает клиенту ввести дополнительные аутентификационные данные. В результате аутентификационный центр может применять те или иные методы авторизации пользователя. Кроме того, данные системы позволяют банкам выполнять требование регулятора - «Указание 3007-У», согласно которому банк обязан собирать данные о действиях клиента.

Например, в одном из крупнейших банков мы реализовали систему Intellinx, которая позволяет восстанавливать всю сессию, которую видел специалист при работе с каналами ДБО. Естественно, вводимые пароли не записываются, но движения мыши, порядок нажатия клавиш увидеть можно. При разборе инцидентов информационной безопасности, связанных с хищениями финансовых средств в системе ДБО, система Intellinx позволяет восстановить полную картину произошедшего при работе пользователя в системе ДБО и собрать необходимые доказательства мошенничества.

Аутентификационный центр и система Web Fraud Detection вместе образуют комплексное решение - Enterprise Fraud Management, которое компания КРОК рекомендует всем своим заказчикам - банкам, предлагающим своим клиентам услуги систем ДБО. Стоит отметить, что интеграция систем риск-менеджмента в результате приводит в целом к повышению уровня управления операционными рисками в банке. Многие банки все чаще принимают решение о выборе промышленных комплексных систем, которые позволяют мониторить не только фрод в каналах ДБО, но и внутренний фрод, карточный фрод, производить контроль над мошенничеством при выдаче кредитов. В перспективе мы прогнозируем массовый переход банков на единые комплексные системы. С другой стороны, если банк не готов сразу вкладывать серьезные средства в комплексное решение, мы можем предложить ему начать с защиты наиболее важных для него каналов. Однако при выборе систем обеспечения безопасности очень важно видеть перспективу - внедренное решение должно обладать определенной гибкостью для того, чтобы в дальнейшем систему можно было модифицировать в соответствии с развитием бизнеса и изменяющимися потребностями банка.

В связи с ускоренным развитием разнообразных каналов взаимодействия с клиентами, банкам следует уделять больше внимания защите своих внешних каналов, регулярно проводить их экспертное тестирование на проникновение - наша компания, кстати, оказывает такие услуги. Но самое главное в этой ситуации для банков - внимательно следить за процессами изменения конфигурации в их бизнес-системах. Нужно контролировать программные коды и приложения ДБО для того, чтобы изменения, вносимые сотрудниками банка или внешними организациями, были неуязвимы с точки зрения наличия недекларируемых возможностей.

Аутентификационный центр - это система многофакторной аутентификации, реализующая единый централизованный механизм строгой авторизации пользователей и финансовых операций для всех дистанционных каналов коммуникаций с клиентами. Она позволяет ликвидировать функциональную нагрузку на приложения банка, связанную с аутентификацией клиентов и подтверждением операционной деятельности. Развитие строительства аутентификационных центров связано с увеличивающимся с каждым годом количеством мошеннических транзакций в банковских системах и недостатками использования классических систем однофакторной аутентификации. Для построения такого центра банку совместно со специалистами компании-интегратора нужно сформировать требования к будущей системе. В них входят: список каналов ДБО, которые она будет обслуживать, источник данных о пользователях создаваемой системы и способ их хранения, список систем, с которыми будет обеспечиваться интеграция, метод ее осуществления, необходимость и параметры брендирования устройств аутентификации и т.д. Как правило, эти и другие требования к системе формируются на первом этапе создания аутентификационного центра -- этапе обследования. В среднем, строительство такого центра занимает 6 месяцев. Результаты от его использования заметны уже в первые дни после запуска системы: это позволяет экономить большое количество средств за счет резкого снижения мошеннических транзакций. В целом, строительство аутентификационных центров выгодно банкам, потому что это способствует уменьшению репутационных рисков и убытков от мошеннических транзакций.

Михаил Башлыков
, руководитель направления информационной безопасности компании КРОК
Павел Луцик, менеджер проектов по информационной безопасности компании КРОК
вернуться назад

События

Новости

Корпоративные новости