Информационные системы удаленного банковского обслуживания

Современные АБС – это сложные, структурированные, территориально распределенные сети. Как правило, они строятся на основе передовых технологий и программных средств, которые в силу своей универсальности не обладают достаточной защищенностью. Особенно актуальна данная проблема в России.

Самым уязвимым для несанкционированных действий звеном информационной системы банка являются автоматические групповые операции, сумма и счета которых обычно не подлежат тщательному контролю. Рассмотрим некоторые из этих операций.

Начисление процентов на расчетные счета и счета до востребования. Обычно известна только общая сумма данной групповой операции, причем приблизительно. Незначительные изменения в каждой проводке с последующим сбросом суммы на счет злоумышленника практически не поддаются визуальному контролю. Для предотвращения подобного рода хищений рекомендуется иметь в рамках службы безопасности специализированную службу для параллельного контроля автоматических операций по закрытым для остальных сотрудников методикам.[1]

Хищения денежных средств с расчетных счетов осуществляются:

• Ответственными сотрудниками корпоративных клиентов, имевшими доступ к секретным ключам электронная цифровая подпись (ЭЦП) организации. Как правило, это уволенные директора, бухгалтеры и их заместители, а также совладельцы организации.
• Штатными ИТ-сотрудниками корпоративных клиентов, имевшими технический доступ к носителям (дискеты, флеш-носители, жесткие диски и пр.) с секретными ключами ЭЦП клиентов, а также доступ к компьютерам клиентов, с которых осуществлялась работа по системе «Клиент-Банк».
• Нештатными, приходящими по вызову, ИТ-специалистами, обслуживающими компьютеры корпоративного клиента, с которых осуществлялась работа по системе «Клиент-Банк». Как правило, это приходящие ИТ-специалисты, осуществляющие профилактику и подключение к Интернет, установку и обновление бухгалтерских и информационно-правовых программ, установку, обновление и настройку другого ПО.
• Злоумышленниками путем заражения через Интернет компьютеров корпоративных клиентов вредоносными программами. Используя уязвимости системного и прикладного ПО (операционные системы, Web-браузеры, почтовые клиенты и пр.), злоумышленники заражали компьютеры корпоративных клиентов троянскими программами с последующим дистанционным похищением секретных ключей ЭЦП клиента и паролей или дистанционно управляли компьютером клиента.

Во всех выявленных случаях злоумышленники тем или иным образом получали доступ к секретным ключам ЭЦП и паролям корпоративного клиента и направляли в банк платежные поручения с корректной ЭЦП клиента.

Успешно прошедшие проверку ЭЦП, но при этом подозрительные, абсолютно не свойственные данному клиенту платежные поручения в большинстве случаев пресекались банковскими операционистами на этапе принятия решения об исполнении документов.

В то же время часть платежей, направленных злоумышленниками с использованием действующих секретных ключей ЭЦП клиента, не вызывала подозрений у банка. Такие документы имели корректную ЭЦП, вполне обычные реквизиты получателей и типовое назначение платежа. Их исполнение банком приводило к хищению денежных средств с расчетного счета клиента. При этом вся ответственность за убытки безусловно и полностью возлагалась на клиента как единственного владельца секретных ключей ЭЦП.

Вся ответственность за конфиденциальность Ваших секретных ключей ЭЦП полностью лежит на Вас, как на единственных владельцах Ваших секретных ключей ЭЦП.

Банк информирует Вас, что не осуществляет рассылку электронных писем с просьбой прислать секретный ключ ЭЦП или пароль. Банк не рассылает по электронной почте программы для установки на Ваши компьютеры.

Если Вы сомневаетесь в конфиденциальности своих секретных ключей ЭЦП, если есть подозрение об их компрометации (копировании), Вы должны немедленно заблокировать свои ключи ЭЦП позвонив в банк.

Для продолжения работы в системе «Клиент-Банк» Вам потребуется сгенерировать и зарегистрировать в Банке новые ключи ЭЦП.

Настоящим письмом Банк еще раз информирует Вас о необходимости строгого соблюдения правил информационной безопасности, правил хранения и использования секретных ключей ЭЦП и об ограничении по возможности доступа к персональным компьютерам, с которых осуществляется работа по системе «Клиент-Банк».

Действия злоумышленников направлены на:

• похищение файла с секретным ключом ЭЦП;
• передачу в банк электронных платежных документов, заверенных похищенным ключом ЭЦП.

Для обеспечения безопасности Вашей работы с системой «Клиент-Банк» требуется придерживаться приведенных ниже правил и рекомендаций.

Чтобы предотвратить хищение секретного ключа ЭЦП, необходимо:

1. Использовать для хранения файлов с секретными ключами ЭЦП отчуждаемые носители: дискеты, флеш-носители, CD-диски, специализированные устройства.
2. Отключать и извлекать носители с ключами ЭЦП в то время, когда они не используются для работы с системой «Клиент-Банк».
3. По возможности ограничить доступ к компьютерам, используемым для работы с системой «Клиент-Банк»
4. На компьютерах, используемых для работы с системой «Клиент-Банк», исключить посещение Интернет-сайтов сомнительного содержания, загрузку и установку сомнительного ПО и т. п.
5. Применять на рабочем месте (в рабочей локальной сети) надежные, по возможности лицензионные средства антивирусной защиты, обеспечить регулярное автоматическое обновления антивирусных баз.
6. Исключить обслуживание компьютеров, используемых для работы с системой «Клиент-Банк», ненадежными ИТ-сотрудниками.
7. При обслуживании компьютера ИТ-сотрудниками – обеспечивать контроль за Выполняемыми ими действиями.
8. Никогда не передавать ключи ЭЦП ИТ-сотрудникам для проверки работы системой «Клиент-Банк», проверки настроек взаимодействия с банком и т.п. При необходимости таких проверок только лично владелец ключа ЭЦП должен сам подключить носитель к компьютеру и лично ввести пароль, исключая его подсматривание.
9. При увольнении ответственного сотрудника, имевшего доступ к секретному ключу ЭЦП, обязательно заблокировать ключи ЭЦП и сгенерировать новые.
10. При увольнении ИТ-специалиста, осуществлявшего обслуживание компьютеров, используемых для работы с системой «Клиент-Банк», принять меры для проверки компьютеров на отсутствие вредоносных программ.
11. Если Вы заметили проявление необычного поведения ПО «Клиент-Банк» или какие-то изменения в интерфейсе программы – позвонить в банк и Выяснить, не связаны ли такие изменения с обновлением версии ПО. Если нет – возможно, изменения Вызваны работой программы-шпиона. Обязательно сразу же заблокировать ключи ЭЦП и сообщить в Банк о ситуации. [4]

 

2.3 Тенденции  развития информационной банковской системы

 

Требования функционального и структурного плана к автоматизации банковской деятельности, надёжности и защищённости банковской информации определяют особенности ИБС и неприемлемость ИС, созданных для предприятий при решении всего спектра задач в банковской сфере. Если главная цель функционирования ИС на предприятии – обеспечить руководство предприятия финансовой информацией для принятия обоснованных решений при выборе альтернативных вариантов использования ограниченных ресурсов, при этом данные о хозяйственной деятельности являются входом в ИС, а полезная информация для лиц, принимающих решения, – выходом из нее, то ИБС предоставляют возможность ведения учета всего набора операций, осуществляемых банком, с приемлемой степенью скорости и надежности, получения всей бухгалтерской и финансовой отчетности, возможность автоматизации реального банковского документооборота, а функциональные подсистемы реализуют банковские услуги, бизнес процессы и любые комплексы задач, отражающие содержательную или предметную направленность банковской деятельности. Уникальность ИБС определяется и особенностями реализации внешних взаимодействий банка. Системы управления деятельностью кредитных организаций сегодня представляют собой самостоятельное направление в сфере информационного бизнеса. Информационные системы для кредитных организаций прошли достаточно долгий путь развития, и в настоящее время можно с уверенностью утверждать, что процесс информатизации банковской деятельности продолжится.

Основными тенденциями станут повышение качества и надежности предлагаемых продуктов и услуг, увеличение скорости осуществления расчетных операций, организация электронного доступа клиентов к банковским продуктам. Все это и в дальнейшем будет способствовать активному внедрению в банковскую практику самых последних достижений в области вычислительной техники, сетевых и информационных технологий, методов защиты информации и обработки данных. Рынок программных продуктов для кредитных организаций представлен широким спектром систем, различающихся как в функциональной части, так и в технической реализации. Кроме того, ряд банков (около 50%) разрабатывают собственное программное обеспечение. Качественная эволюция деятельности банков, их возрастающие требования и финансовые возможности будут развивать и направлять подходы к организации программного обеспечения банковских технологий, к выбору той или иной ИБС или фирмы – разработчика программного продукта. [8]

 

 

 

 

 

 

 

 

 

 

 

 

3. Информационные  системы удаленного банковского  обслуживания

3.1 Система  «Клиент-банк» и ее телекоммуникационные  средства

 

Удаленное банковское обслуживание предполагает проведение операций без визита в банк на основании инструкций, передаваемых по каналам удаленного доступа.

Банкоматы были первой попыткой банков обойти ограничения на осуществление расчетов из-за того, что отделения открыты только в рабочие часы, и снизить расходы на их содержание. Затем появились услуги по телефону. Примерно полтора года назад возник новый подход к взаимодействию банка с клиентом - многие банки начали предоставлять банковские услуги на дому с помощью специализированных систем «банк-клиент». Сначала такие услуги предоставлялись только по закрытым частным каналам. В настоящее время ситуация изменилась в сторону использования Интернета. [2]

Существует множество систем телекоммуникации, пригодных для использования в системе «банк-клиент». Для взаимодействия в режиме on-line могут применяться: BBS - электронные доски объявлений, World Wide Web (WWW) - Всемирная Паутина и целый ряд систем электронной почты. Однако у каждой из них есть свои недостатки и ограничения, затрудняющие их использование.

Системы, работающие в режиме on-line, очень удобны при организации распределенного доступа к информации. Однако, при отсутствии надежных и устойчивых каналов связи накладные расходы на поддержание работоспособности распределенной системы возрастают настолько, что их использование становится нецелесообразным. Кроме того, немаловажно, что для эксплуатации on - line системы требуется в 5 - 10 раз больше физических или виртуальных каналов, чем в off - line системах. При этом необходимо, чтобы их пропускная способность была выше, чем в случае использования off - line систем.[6]

Среди систем электронной почты следует отметить две, для которых существуют четкие международные стандарты: SMTP (почта сети Интернет ) и Х.400. Сеть Интернет предназначена в первую очередь для передачи некоммерческой информации, поэтому только Х.400 в полной мере отвечает требованиям систем распределенного документооборота. Однако, не следует забывать о существовании частных реализаций почтовых систем. Стандарты описывают виды сервиса, предоставляемого клиентам, и протоколы взаимодействия различных подсистем. А частная реализация может использовать лишь некоторые необходимые виды сервиса и при этом вполне удовлетворять потребности конкретной прикладной системы.

Для достижения требуемой надежности доставки сообщений в группе стандартов Х.400 есть специальный документ, описывающий правила обмена информацией между абонентами почтовой системы. Он называется «Электронный обмен данными» и имеет обозначение Х.435. Его функция - обеспечение надежной транспортировки электронных документов от одной прикладной системы к другой, с соблюдением их целостности и конфиденциальности. [8]

В настоящее время стремительными темпами происходит внедрение систем электронного документооборота в различных предприятиях всех уровней. В соответствии с этим можно ожидать, что система «банк-клиент» в ближайшем будущем передаст часть своих сегодняшних функций внутренним средствам автоматизации предприятия. Как следствие этого существенно упростится экранный интерфейс. Одновременно резко возрастет количество типов документов, обрабатываемых системой, и количество различных внешних систем, с которыми она должна будет уметь взаимодействовать. Фактически система превратится в универсальную станцию внешнего документооборота, или EDI -станцию. Ее основными задачами станут следующие:

• взаимодействие с различными внутренними и внешними автоматизированными системами;
• обработка документов различного типа.
• маршрутизация документов между пользователями и приложениями, использование соответствующих средств аутентификации и криптозащиты;
• взаимодействие с различными транспортными системами телекоммуникаций, в том числе, с системами, работающими в режимах off-line и on-line.

Система «банк-клиент» в настоящее время превращается в необходимый вид сервиса, который каждый солидный банк должен предоставить своим клиентам. В условиях повсеместного перехода от бумажного к электронному документообороту, наличие такой системы зачастую определяет выбор клиентом того или иного банка. Кроме того, при удачной реализации система "банк-клиент" может использоваться банком для организации документооборота со всеми своими партнерами - любыми физическими и юридическими лицами.

 

3.2 Система интернет-банк

 

Остановимся на основных возможностях, которые дает банку применение Интернет. Здесь следует отметить, что сеть Интернет в принципе применима для самых разных областей работы банка - от взаимодействия с клиентом до обмена информацией с другими банками.

Первым этапом работы в Интернет для любой финансовой организации обычно становится использование World Wide Web для опубликования рекламной и прочей информации. Сегодня примерно 300 финансовых организаций применяют WWW как средство рекламы.

Второй этап - предоставление клиентам базового доступа в банк. Клиенты получают возможность просмотреть относящуюся к ним финансовую информацию, при этом они ничего не могут с ней сделать.

Интерактивное взаимодействие с клиентом - третий этап. Благодаря такому взаимодействию, клиент получил не только доступ к финансовой информации, но и смог внести коррективы в информацию и провести различные расчеты.