SMS могут обезопасить казахстанские деньги от мошенников

Для эффективной защиты виртуальных денег казахстанцев недостаточно использовать только электронную цифровую подпись (ЭЦП) и криптографические средства. Необходимо еще иметь механизмы независимой авторизации выплат - независимой от устройства, с которого они отправляются: например, если платежи отправляются с персонального компьютера, то авторизация должна проходить по SMS или смарт-карте. Таким мнением с LS поделился исполнительный директор, директор департамента IT безопасности Евразийского банка Виктор Евдокимов. «Наличие ЭЦП – не залог безопасности: это недостаточное решение для полноценной защиты клиента. Например, заражение смартфона вредоносным программным обеспечением – вирусы или троянские программы, позволяет получить доступ практически ко всем данным на устройстве, включая SMS-переписку, электронную почту, пароли от аккаунтов в соцсетях, и даже к записям телефонных переговоров», - сообщил В.Евдокимов. При этом он заметил, что обычно при использовании ЭЦП применяют различные «смарткарты–токены» и одноразовые пароли (ОТР). «Однако, на практике, клиентам это не очень удобно», - добавил собеседник LS. Директор департамента IT безопасности подчеркнул, что обычно подделывают не подпись, а платеж, на который ставится корректная ЭЦП. «Затем получают несанкционированный доступ к компьютеру, с которого отправляются платежи. Либо злоумышленники похищают легитимную ЭЦП и отправляют платежи с другого устройства. Стандартный сценарий: при заражении ПК бухгалтера, на котором установлена система дистанционного банковского обслуживания (ДБО), троянская программа собирает информацию о типе установленного ПО, ключах ЭЦП и паролях. Далее злоумышленник использует это ПО для удаленного управления ПК, подмены платежей или хищения ключей ЭЦП», - пояснил В.Евдокимов. По его словам, в настоящее время статистики раскрытия злоумышленниками персональных данных казахстанцев нет. «Так как банки не обязаны сообщать об утечках информации. Вот здесь как раз законодательство могло бы помочь», - отметил В.Евдокимов. Эксперт рекомендует быть внимательным и аккуратным в сети интернет при использовании магазинов-приложений (iTunes, Google Play). Также стоит остерегаться использования непроверенных электронных носителей информации (USB, SD карты), и не подключаться к открытым и незнакомым сетям Wi-Fi. Не стоит забывать и про наличие антивирусных программ. Современные банки, по данным В.Евдокимова, дополнительно используют системы противодействия хищениям - AntiFraud, которые анализируют поведение клиента, контекст в котором он работает, выявляют и останавливают подозрительные платежи. «Мы используем технологии для предотвращения утечек данных Data Leakage Protection (DLP) и обнаружения нарушителей Security Information Event Management (SIEM)», - сообщил он. Между тем, В.Евдокимов надеется, что в рамках ЕАЭС не произойдет существенных изменений в законодательстве Казахстана, так как в РФ и РК различные подходы к использованию криптографии. «В России требования к работе и использованию криптографии в коммерческих структурах ужесточается, практически до уровня защиты государственной тайны. На практике это не приведет к существенному повышению уровня безопасности, однако, существенно увеличит нагрузку на бизнес и направит усилия не на защиту клиентов, а на соответствие требованиям», - резюмировал эксперт. В свою очередь в Казкоммерцбанке сообщают, что всего, в зависимости от криптографической стойкости в стандарте СТ РК 1073-2007 - общие технические требования к средствам криптографической защиты информации (СКЗИ), устанавливаются четыре уровня безопасности. «Нынешней производительности современных компьютеров достаточно для вскрытия СКЗИ первого уровня безопасности, но не выше. Банковское ЭЦП относится к СКЗИ второго уровня, на вскрытие которого потребуется сверхмощный компьютер и как минимум два года беспрерывной работы. Поэтому мы полагаем, что в ближайшие 5 лет можно без опаски использовать ЭЦП, в том виде, в котором он существует сегодня», - отметили в пресс-службе банка. Третий уровень безопасности, по их мнению, смогут вскрыть компьютеры, которые появятся лишь через 40 лет, СКЗИ четвертого уровня – те, что появятся через 80 лет. «В данный момент банк выпускает стандартные ЭЦП на смарт-картах, которые можно подключать к стационарным компьютерам и ноутбукам с помощью картридеров со шнурами со стандартным USB-коннектором. Но уже в скором времени могут быть внедрены два новых типа устройств - складные картридеры с мини USB коннектором и SD карты с RSA-контейнером имеющие дополнительные 8 ГБ памяти, которые позволят использовать ЭЦП владельцам мобильных телефонов. Тестирование уже завершено, ожидаются небольшие доработки», - сообщили в финорганизации. Для безопасности своих данных, как пояснили LS в Казкоммерцбанке, нужно выполнять следующие правила: не передавать ЭЦП и картридер третьим лицам, не сообщать никому PIN-код от ЭЦП (он, как и карта защищен PIN-кодом), не оставлять ЭЦП, подключенную к компьютеру или ноутбуку (в скором времени к телефону), использовать лицензионное ПО и антивирусы с обновленной базой. В Казкоммерцбанке также предлагают оставить обязательной аккредитацию только для вновь создаваемых удостоверяющих центров и не распространять на уже функционирующие УЦ, ранее получившие государственную лицензию. «Предлагаем такой вариант: сертификационная комиссия может по заявленным УЦ характеристикам (общее техническое описание к используемым им стандартам шифрования и оборудованиям) выдавать заключение о соответствии данного СКЗИ определенному уровню безопасности по стандарту РК. Также при необходимости взаимодействия и разработки совместных проектов частных учреждений с госорганами, негосударственные УЦ должны проходить аттестационное обследование информационных систем на соответствие их требованиям информационной безопасности по утвержденной цене и срокам. При этом технические вопросы должны решаться на уровне специалистов сторон в рабочем порядке», - добавили в ККБ. По данным пресс-службы, Казкоммерцбанк выпускает ЭЦП с 2008 года. Удостоверяющим центром ККБ за шесть лет было выпущено 71 813 единиц, из которых 8658 было выпущено за январь-август 2014 года. Если говорить о популярности среди юридических лиц, то всего с 2008 года для них было выпущено 25 869 карт ЭЦП. Так, в 2008 году изготовлено 1278 карт, в 2009 году – 1875, в 2010 году – 3435, в 2011 году – 4776, в 2012 году – 5412, в 2013 году – 5186 и в январе-августе 2014 года – 3907. Соответственно, для физических лиц банком за этот период было выпущено 45 944 карт ЭЦП.

Анджела Ищанова