Рубрикатор |
Статьи |
Катаржина ХОФФМАН-СЕЛИЦКА  | 08 октября 2015 |
Интернет-банкинг: 5 уровней защиты
Критически важным стал переход от простых статических паролей к усиленной системе аутентификации, которая, не разрушая удобство работы с онлайн-системами, открывает доступ к учетной записи только авторизованному пользователю.
По разным оценкам, около половины банковских клиентов предпочитают использовать защищенные онлайн-сервисы для доступа к своим счетам. Взрывной рост интернет-банкинга привел к появлению более изощренных хакерских атак и ужесточению требований регуляторов.
Чтобы добиться эффективности системы многоуровневой аутентификации, необходимо внедрять ее в рамках единой стратегии безопасности. Такой подход предоставляет финансовым организациям возможность обеспечить максимальную защиту онлайн- и мобильных транзакций, совершаемых из любой точки мира и с любого устройства.
Новые каналы, новые угрозы
Согласно данным исследовательской компании CEB TowerGroup, на сегодняшний день существуют несколько ключевых трендов в финансовой отрасли, на которые нужно обращать особое внимание. Во-первых, быстрое развитие новых каналов способствует повышению мошеннической активности и вынуждает финансовые организации внимательнее отслеживать все действия киберпреступников и предпринимать необходимые шаги по защите пользователей.
В то же время исследовательская компания сообщает, что предпочтения в сфере банковского обслуживания у клиентов в последние годы кардинально изменились: в два раза больше пользователей предпочитают проводить банковские операции через интернет.
Также в CEB TowerGroup считают, что по мере развития новых электронных каналов доступа финансовые организации будут полагаться на серьезные интеграционные решения и применять разнообразные методы аутентификации, чтобы минимизировать риски и мошенническую активность. Банки будут подбирать решения для аутентификации, которые способны работать вместе с системами обнаружения угроз и средствами для борьбы с вредоносным ПО. По мере развития функционала мобильных устройств финансовые организации будут совершенствовать свои возможности управления учетными записями, определения профиля и репутации пользователя. И если клиент может управлять своими счетами и данными аутентификации с мобильного устройства, а банковские системы при помощи анализа профилей и репутации системы могут выявлять все возможные риски, клиент получит все возможности для удобной удаленной работы со счетами и транзакциями.
Отрасль готова дать свой ответ
На фоне происходящих изменений возрастает потребность в гибких и надежных решениях, которые позволят банкам выбирать средства аутентификации для различных клиентских групп.
Эффективная система банковской безопасности обязательно должна быть многоуровневой, поскольку только такое решение может надежно защитить пользователей от кражи их учетных данных. Подобная система должна состоять из пяти критически важных уровней для обеспечения многофакторной аутентификации, которая позволяет производить доверенные транзакции в режиме онлайн.
- Аутентификация пользователя: переход от простых паролей к защищенным системам аутентификации является краеугольным камнем развития безопасности онлайн-банкинга. На сегодняшний день наиболее правильный подход – это внедрение системы двухфакторной аутентификации, которая включает в себя как минимум два из перечисленных элементов: нечто, известное только пользователю (ID/пароль); нечто, чем пользователь обладает (мобильный ключ или токен); нечто, являющееся «частью» пользователя (биометрические данные или поведенческая характеристика).
- Аутентификация устройства: после подтверждения личности пользователя необходимо проверить, использует ли клиент авторизованное устройство. Комплексная идентификация устройств, обеспечивающая обнаружение proxy-серверов и применяющая методики геолокации, предпочтительнее простой идентификации.
- Аутентификация канала: по мере развития атак класса Man-in-the-Middle (MIM)/Man-in-the-Browser(MIB), способных обойти однофакторную систему аутентификации, выросли требования к защите браузера. Многоуровневый подход также должен обеспечивать и превентивный контроль вредоносного ПО (обнаружение вредоносного кода в реальном времени, проактивные меры по усилению защиты браузера).
- Аутентификация транзакций: Еще один дополнительный уровень безопасности в многоуровневой системе -- это проверка подлинности транзакций по внешнему каналу (Out-Of-Band, OOB). Для особо конфиденциальных транзакций или переводов крупных денежных сумм можно использовать механизм подписи транзакций, чтобы повысить уровень их защиты.
- Аутентификация приложений: Данный вид аутентификации особенно важен для операций мобильного банкинга. С его помощью осуществляется защита приложений на мобильных устройствах, в которых содержится критически важная информация. Безопасность таких приложений обеспечивается при помощи более прочной архитектуры и взаимной аутентификации. Добавление данного слоя создает полный спектр защиты, делая онлайн-мошенничество существенно сложнее и дороже для хакеров.
Такой многоуровневый подход позволяет организациям добавлять возможности для защиты от мошенничества в режиме онлайн, обеспечивая безопасный доступ к своим веб-сервисам и облачным приложениям. Многоуровневая стратегия повышает уровень безопасности, при этом банки могут устанавливать решения, которые они считают оптимальными для снижения рисков в том или ином клиентском сегменте.
В дополнение к этому использование единой платформы, поддерживающей различные каналы и категории пользователей, также снижает совокупную стоимость владения многоуровневой системы защиты.
Основные критерии эффективной аутентификации
По мнению CEB TowerGroup, ключевой компонент для эффективной аутентификации -- работа с пользователем (Customer Engagement). Именно этот параметр компания считает определяющим в вопросах понимания всех процессов и успешной работы клиента в системе.
CEB TowerGroup оценивает Customer Engagement по трем критериям: 1) первоначальная аутентификация, 2) управление данными аутентификации пользователя и 3) восстановление данных аутентификации. Соответствие первому пункту может достигаться за счет многоэтапного процесса, включающего в себя моментальную оценку компьютера пользователя, подключение к онлайн-сервису, который запрашивает уровень риска, идентификационный номер устройства и данные по обнаружению вредоносного ПО. Для управления данными аутентификации должна предоставляться расширенная ролевая модель авторизации, а также функции аудита протоколов, что позволяет клиенту с соответствующими правами получать доступ к нужным счетам. Что касается третьего критерия, восстановления данных аутентификации, эта функциональность может отличаться для разных каналов. Аппаратные токены высылаются по почте, в то время как программные токены (софт-токены) обычно загружаются пользователем. Клиенты также могут заказать и восстановить заблокированные данные и средства аутентификации через портал самообслуживания.
Совмещение вышеперечисленных функций с возможностями обнаружения вредоносного ПО позволяет создать действительно надежную и перспективную систему аутентификации, обеспечивающую компаниям необходимую гибкость.
Однако для систем аутентификации существуют и другие важные критерии, помимо работы с пользователем. Например, в своем недавно представленном магическом квадрате по аутентификации пользователей Gartner Group отметила, что решения должны оцениваться относительно отраслевой «Связки сил» (Nexus of Forces), ведь сегодня создаются условия для расширения социальных и мобильных сервисов из облака для пользователей и систем.
В действительности клиенты будут использовать системы онлайн-банкинга только в том случае, если они верят в их защищенность. А это значит, что сегодня нужно уходить от простых паролей к многофакторной аутентификации, которая будет становиться все более важным элементом для предотвращения онлайн-мошенничества, обеспечения защиты данных и их конфиденциальности. Комбинация функций Customer Engagement и многоуровневого подхода позволит создать достаточно мощную систему безопасности для защиты банковских транзакций в режиме онлайн и с мобильных устройств, чтобы клиенты всех категорий оставались лояльны банкам, а финансовые организации, в свою очередь, могли развивать функционал своих интернет-систем.