Информационная безопасность в системе дистанционного банковского обслуживания
Распространение дистанционного банковского обслуживания. Распределение по степени риска существующих угроз безопасности в системах дистанционного банковского обслуживания. Анализ защищенности систем и контроль устранения выявленных погрешностей.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | статья |
Язык | русский |
Дата добавления | 10.03.2019 |
Размер файла | 42,0 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
ФГБОУ ВО «Дагестанский государственный университет»
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ В СИСТЕМЕ ДИСТАНЦИОННОГО БАНКОВСКОГО ОБСЛУЖИВАНИЯ
Курбанова Ф.Ф.
Научный руководитель Омарова Э.Ш.
Не секрет, что банки являются краеугольным камнем кредитно-финансовой системы государства и важнейшим финансовым институтом современного общества. В связи с этим на них возлагаются особые требования к обеспечению информационной безопасности [4].
Дистанционное банковское обслуживание (ДБО) - неотъемлемая часть банковских услуг клиенту с использованием телефонных и компьютерных сетей, без его непосредственного визита в банк. Это инструмент снижения операционных расходов, повышения эффективности и конкурентоспособности бизнеса банков [5].
В исследовании агентства CNews Analytics, проведенном в 2017 году, отмечается стабильный рост уровня распространенности ДБО: такие системы используют 94% российских банков. Согласно данным Банка России доступом к своим банковским счетам пользуется несколько миллионов физических лиц.
Распространение ДБО особенно активно происходило в периоды кризисов, на ряду со стремлением руководителей банков сократить свои издержки путем внедрения сравнительно доступной формы обслуживания.
Вместе с тем недостаточное внимание, уделяемое проблемам информационной безопасности и защиты информации, привело к целому ряду уязвимостей, хорошо известных в сфере безопасности приложений, а также угрозам, связанным со спецификой банковской сферы, реализация которых может привести к существенным финансовым и репутационным потерям [1].
Большинство специалистов в области ИБ хорошо знают, какие риски несут в себе системы ДБО, и потому наблюдают за динамичным ростом этого сегмента рынка со вполне понятной настороженностью.
Согласно статистике, около 70% систем ДБО являются собственными разработками банков. В ходе анализа защищенности систем ДБО за 2017 год было выявлено, что во всех системах имеются свои слабые стороны.
В общей сложности было выявлено свыше 170 уязвимостей, большинство из которых определяются низкой степенью риска. Это говорит о том, что в сравнении с результатами предыдущих годов общая доля критически опасных уязвимостей в 2017 году заметно снизилась [5].
МВД России сообщает, что растут как количество, так и размеры хищений денежных средств индивидуальных и корпоративных вкладчиков, осуществляемых с использованием ДБО. При этом денег у юридических лиц крадётся в тысячи раз больше, чем у физических.
Вместе с этим, по сравнению с постоянно растущим объемом возможных угроз, уровень защищенности систем ДБО в целом значительно отстает. Так, по рисунку 1 можно заметить, что по сравнению с 2015-2016 гг., в 2017 году количество серьезных угроз дистанционного обслуживания банков увеличилось на 12% и достигло 90%, что говорит о необходимости принятия необходимых мер, для создания условий полной защищенности (см. рис. 1).
Размещено на http://www.allbest.ru/
Рис. 1 Распределение по степени риска существующих угроз безопасности в системах ДБО (%)
Согласно оценке экспертов, более чем в 55% в системах ДБО встречаются угрозы, обеспечивающие несанкционированный доступ к данным пользователей (см. таблицу 1) [5].
Таблица 1
Рейтинг самых распространенных уязвимостей систем ДБО (доля уязвимых систем) (%)
№ |
Уязвимости систем |
Доля (%) |
|
2017г. |
|||
1 |
Слабая парольная политика |
82 |
|
2 |
Недостаточная защита от Brute Force |
82 |
|
3 |
Возможна идентификация приложений |
73 |
|
4 |
Межсайтовое выполнение сценариев |
62 |
|
5 |
Предсказуемый формат идентификаторов пользователей |
48 |
|
6 |
Незащищенная передача данных |
43 |
|
7 |
Стандартные сообщения об ошибках |
38 |
|
8 |
Возможно проведение атак на сессию |
38 |
|
9 |
Раскрытие информации об идентификаторах |
38 |
|
10 |
Отсутствует маскирование PAN |
23 |
Из таблицы видно, что число уязвимостей в связи со слабой парольной политикой при доступе к данным пользователей в 2017 году составляет 82%.
Недостаточная защита от Brute Force (атаки методом "грубой силы") под которым понимаются атаки методом подбора пароля так же составили 82%. Доля таких видов атак, как сообщения об ошибках, атаки на сессию и раскрытие информации об идентификаторах, составляет по 38%. И завершающая позиция в десятке критичного набора некритичных уязвимостей систем представлена в 23% на отсутствие маскирования персональной сети передачи данных PAN (Personal Area Network).
Эксперты указывают на то, что безопасность эксплуатации банковских систем усложняется для клиентов их низкой ИБ-культурой.
Они уверяют, что в ближайшем будущем для обеспечения безопасности необходимо сделать акцент на средствах защиты клиентской среды, к которым можно отнести механизмы интеллектуального реагирования на факты мошенничества и инструменты усиленной аутентификации пользователей, подтверждающие легитимность операций системы. Подобные процедуры и политики позволят значительно снизить риски хищения денежных средств со счетов пользователей в тех системах, где корректно реализованы эти механизмы [6].
В сфере кредитно-финансовой деятельности специалисты делают акцент на низком контроле используемых бизнес-процессов и недостаточную эффективность взаимодействия банков между собой и с правоохранительными органами, а также уязвимости в базовом ПО систем ДБО [2]. дистанционный банковский угроза безопасность
Низкая защищенность систем банковского обслуживания, находящихся в эксплуатации, явно свидетельствует о необходимости внедрения процессов обеспечения безопасности на всех стадиях жизненного цикла приложений.
Анализ защищенности систем и контроль устранения выявленных погрешностей необходимо проводить и во время ее активного использования клиентами банка на регулярной основе. То есть нужно уделять внимание корректной реализации механизмов защиты [3].
Также следует внедрять процессы безопасной разработки самой системы, обеспечивать всестороннее тестирование безопасности при приемке работ [6].
Подводя итоги, хочется сказать о том, рынок ДБО действительно растет, однако вместе с ним растут и убытки пользователей этих сервисов. Банки инвестируют в проекты по безопасности ДБО десятки миллионов рублей, но проходит время, и мошенники вновь изобретают способ украсть деньги у их клиентов. Самое неприятное здесь в том, что выпускаемые средства защиты не являются предохранительной мерой: в основном они призваны лишь «латать дыры», обнаруженные вследствие уже реализованных атак [5].
Можно перечислить целый ряд стандартных мер и рекомендаций, необходимых для избегания проблем ИБ и повышения безопасности использования системы. Однако, подчеркну лишь значимость федерального закона РФ в области регулирования ДБО № 161-ФЗ “О национальной платежной системе”, принятый 27 июня 2011 года, поскольку его появление, как считают специалисты, свидетельствует о серьезных намерениях нашего государства в регулировании функционирования платежных систем. И мы полагаем и надеемся, что одним из результатов его формирования станет повышение общей защищенности систем ДБО, поскольку разработка и корректировка закона проходит в тесном контакте госрегуляторов, производителей средств ИБ и специалистов служб безопасности банков [2].
Список использованных источников
1. Безопасность. // bankdbo.ru. [Электронный ресурс] Режим доступа. URL: http://www.bankdbo.ru/bezopasnost.
2. Информационная безопасность ДБО. // PCWeek. [Электронный ресурс]. Режим доступа. URL: https://www.itweek.ru/security/article/detail.php?ID=148306.
3. Обзор основных уязвимостей онлайн-банков. // ИТ-сектор. [Электронный ресурс]. Режим доступа. URL: https://itsektor.ru/obzor-osnovnyx-uyazvimosteyi-onlayin-bankov.html.
4. Пискунов И. Особенности обеспечения информационной безопасности в банковской системе. [Электронный ресурс]. Режим доступа. URL: https://www.antimalware.ru/analytics/Technology_Analysis/Features_infor mation_security_in_the_banking_system.
5. Системы дистанционного банковского обслуживания (рынок ДБО России). // Tadvicer.ru. [Электронный ресурс]. Режим доступа. URL: http://www.tadviser.ru/index.php.
6. Уязвимости онлайн-банков 2016: лидируют проблемы авторизации. // habrahabr.ru. [Электронный ресурс]. Режим доступа. URL: https://habrahabr.ru/company/pt/blog/307450/.
Размещено на Allbest.ru
...Подобные документы
Место дистанционного обучения в системе образования. Методологические аспекты. Общие положения системы дистанционного образования. Требования к каналам связи при организации системы дистанционного образования. Выбор систем видеоконференций.
курсовая работа [37,5 K], добавлен 06.10.2006Базовые принципы системы дистанционного образования. Организационно-информационная поддержка и элементы дистанционного учебного курса, этапы его создания. Организация и контроль самостоятельной работы студентов средствами веб-сайта преподавателя.
дипломная работа [10,9 M], добавлен 13.05.2009Особенности дистанционного образования. Анализ функциональных характеристик среды дистанционного образования Moodle. Функционально-ориентированное проектирование электронного практикума. Разработка, тестирование и оценка надежности программного продукта.
дипломная работа [2,0 M], добавлен 12.08.2017Естественно-языковая модель предметной области. Уменьшение времени обслуживания пациентов за счет автоматизации. Описание инфологической модели. Проектирование баз данных. Разработка графа диалога и экранных форм. Оптимизация логической схемы базы данных.
дипломная работа [4,2 M], добавлен 20.05.2012Понятие дистанционного обучения, его сущность и особенности, содержание и цели. Разновидности дистанционного обучения и их характерные черты. Эффективность дистанционного обучения на современном этапе. Основные требования к программному обеспечению.
научная работа [40,2 K], добавлен 29.01.2009Развитие информационно-коммуникационных технологий в образовании. Характеристика и сравнительный анализ программных средств дистанционного обучения, используемых в on-line и off-line режимах; его критерии; эффективность автоматизированных систем.
курсовая работа [208,9 K], добавлен 04.03.2013Развитие теории массового обслуживания. Анализ процессов в системах производства, обслуживания и управления. Интенсивность обслуживания канала. Плотность распределения показательного закона. Коэффициент загрузки системы. Среднее число занятых каналов.
курсовая работа [708,4 K], добавлен 26.01.2013Основы проектирования дистанционных курсов. Педагогические особенности организации дистанционного обучения в информационно-образовательной среде открытого образования. Концептуальные положения технологии модульного обучения. Состав и структура модуля.
реферат [62,1 K], добавлен 28.05.2010Оценка перспектив управления процессом банковского обслуживания клиентуры. Основные элементы процесса обслуживания "как будет". Выбор программного средства моделирования системы. Особенности структуры системы анализа операционного состояния банка.
курсовая работа [473,6 K], добавлен 14.06.2011Проведение анализа развития, проблем и перспектив развития дистанционной формы образования как новой формы обучения. Информационные технологии в системе дистанционного обучения. Анализ его внедрения в Костанайском социально-техническом университете.
дипломная работа [3,0 M], добавлен 23.04.2015Система управления обучением Moodle. Компьютерное тестирование как элемент контроля и обучения. Проектирование компьютерных тестов в системе дистанционного обучения Moodle. Наполнение банка тестовых заданий. Создание теста и настройка его параметров.
дипломная работа [5,4 M], добавлен 10.11.2010Анализ образовательного стандарта по специальности 090303 "Информационная безопасность автоматизированных систем". Качество диспетчеризации и гарантии обслуживания. Экспериментальное исследование возможности внедрения разработанной лабораторной работы.
курсовая работа [722,0 K], добавлен 18.12.2013Формирование требований к подсистеме генерации тестовых заданий в открытой системе дистанционного образования, проектирование подсистемы генерации тестовых заданий в открытой системе дистанционного обучения, реализация пользовательского интерфейса.
курсовая работа [3,3 M], добавлен 28.08.2012Базовые принципы дистанционного обучения. Система управления базами данных Oracle. Технология Java. Принципы построения клиент-серверных систем. Даталогическое проектирование, таблицы и связи между ними. Разработка учебных курсов и процесс обучения.
дипломная работа [11,4 M], добавлен 22.04.2009Анализ и обзор существующих тестовых порталов. Тенденции и причины развития открытого обучения, его особенности. Контроль знаний в дистанционном обучении. Виды тестов и принципы их составления. Установка портала на сервере, инструкция по использованию.
диссертация [4,7 M], добавлен 24.06.2015Преимущества применения информационных технологий в образовании. Системы дистанционного образования. Организационная схема обучения дисциплине "Финансы и кредит". Расчет трудоемкости, длительности и себестоимости разработки информационной системы.
дипломная работа [5,6 M], добавлен 30.08.2010Технологии дистанционного обучения, сравнительный анализ их характеристик, организационно-методические, организационно-технологические модели. Разработка программного продукта, руководство к использованию. Расчет затрат на создание электронного ресурса.
дипломная работа [2,3 M], добавлен 20.05.2013Достоинства и недостатки дистанционного обучения, его оснащение программным обеспечением. Определение педагогического дизайна мультимедийных курсов. Экономическое обоснование выбора технических и программных средств и расчет затрат на их разработку.
дипломная работа [6,2 M], добавлен 18.05.2009Особенности дистанционного образования. Разработка электронного практикума по дисциплине "Методы и средства проектирования информационных систем и технологий". Предметная область, выделение информационных объектов. Разработка программного обеспечения.
дипломная работа [2,1 M], добавлен 27.10.2017Особенности работы программы ENVI, которая является наиболее совершенным программным обеспечением для работы с данными дистанционного зондирования. Спектральный анализ. Поддерживаемые форматы данных. Традиционный анализ изображений. Анализ местности.
отчет по практике [4,5 M], добавлен 28.08.2014