Будущее банкинга

• финансовые убытки, вызванные фишингом и спуфингом, достигают $ 500 млн в год — это половина потерь от хищения конфиденциальной информации, или, другими словами, 50 %-е увеличение финансовых убытков с тех пор, как организованная преступность увлеклась онлайновым финансовым мошенничеством.

И ситуация будет только ухудшаться: как обнаружила Антифи-шинговая рабочая группа (APWG), количество фишинговых атак ежемесячно увеличивается на 50 %, причем их главной целью является банковское мошенничество.

Безусловно, никто не собирается бездействовать или игнорировать данную тенденцию. Уже сегодня большинство банков способны устранить «дыры» в своих интернет-сайтах в среднем за несколько дней. Однако организованные преступные группировки все же имеют возможность в течение этих «нескольких дней» использовать бреши в системе безопасности, что просто недопустимо.

Реальная проблема

Реальная проблема заключается в том, что онлайновый банкинг, офлайновый (то есть обычный) банкинг, и в особенности платежи, должны быть надежными и безопасными. Об этом говорилось и на недавней конференции, на которой собралась вся элита американской отрасли платежных услуг. Я также присутствовал на данном мероприятии. Federal Reserve Bank of Chicago и Bank of America сделали презентацию под названием «Информационная безопасность в мире интернет-платежей», предприняв попытку охарактеризовать современный уровень безопасности онлайновых платежных систем. Учитывая тот факт, что Bank of America был одним из первых банков, внедривших двухуровневую идентификацию, а также управлял крупнейшим в мире интернет-банком с более чем 13 млн пользователей, презентация обещала быть интересной, и ожидания оправдались.

С точки зрения Федеральной резервной системы, онлайновые платежи можно сравнить с авиакатастрофами. Если на 10 млн полетов приходится одна авиакатастрофа, вы не будете слишком сильно бояться летать, но если же падает каждый второй самолет — большинство людей пересядут в машины или поезда. Это ключевой момент. Боязнь онлайновых платежных катастроф очень велика, они уже отпугнули огромное количество потребителей. Например, согласно пресс-релизу компании Visa, из-за опасений подобного рода 24 % потребителей сократили количество совершаемых ими покупок через Интернет. В другой свежей статье, опубликованной в интернет-издании Information Week, утверждается, что в течение 2005 года криминальными группировками были похищены персональные данные более 50 млн человек, а убытки составили $ 47 млрд. Эти убытки равны чистой стоимости данных, ставших достоянием организованной преступности. 47 млрд... Неудивительно, что нам немного страшно.

Затем выступил Bank of America, и все занервничали еще больше, услышав некоторые факты и цифры из его деятельности.

В 2006 году каждый час каждого рабочего дня Bank of America сталкивался:

• с ненадлежащим уничтожением 150 тыс. бумажных страниц с данными;

• 16 тыс. шпионских вторжений на сайт;

• 175 атаками с целью нарушения нормального обслуживания пользователей;

• тремя абсолютно новыми фишинговыми сайтами, мишенью которых являлся Bank of America.

Каждый час каждого дня. Немудрено, что мы так обеспокоены проблемой интернет-мошенничества.

Где же решение?

Банки предпринимают ряд ответных мер. Одним из основных направлений контратаки является внедрение двухуровневой идентификации, наиболее распространенные формы которой при осуществлении платежей основаны на владении определенным предметом — картой или компьютером — и знании определенной информации — PIN-кода или пароля.

Некоторые банки пошли еще дальше. Например, система онлайн-авторизации SiteKey, используемая Bank of America, частично основана на специальном идентификаторе компьютера пользователя — его IP-адресе, который используется в качестве уникального идентификатора, позволяющего получить доступ к онлайновым банковским услугам. ABN AMRO, e*Trade и Lloyds TSB в качестве уникальных идентификаторов используют брелоки с генерируемыми в случайном порядке номерами. Другими словами, для онлайнового обслуживания вам нужно ввести имя пользователя, пароль и затем получить на брелок уникальный код доступа, который действителен лишь в течение 10 секунд. Таким образом, чтобы зайти на сайт, вы должны располагать брелоком, смарт-картой и PIN-кодом.

Все предпринимаемые меры служат одной цели — сделать онлайновое финансовое обслуживание безопасным и надежным. Но достаточно ли этого? Не исключено, что нет. Именно поэтому регулирующие органы многих стран — ив первую очередь США — настаивают на принятии закона об обязательном внедрении двухуровневой идентификации, и именно поэтому было столько шума вокруг введения Федеральным советом по надзору за финансовыми учреждениями [FFIEC) обязательных норм двухуровневой идентификации. Хотя на самом деле данные нормы означают, что все американские банки должны внедрить не новые системы, а только процессы и процедуры.

В Австралии действуют аналогичные законодательные нормы, хотя их принятие вызвало большие споры, поскольку три из четырех крупных банков отдали предпочтение биометрии в качестве второго уровня идентификации.

И здесь перед нами встает вопрос о том, какой метод идентификации следует считать правильным. Чаще всего предлагается такая комбинация:

• предмет, которым обладает клиент (карты], плюс известная ему информация [PIN)

либо

• предмет, которым обладает клиент, плюс какая-либо биометриче ская характеристика.

Биометрия

Я не устаю поражаться одному факту: мы готовы пойти на все, чтобы избавиться от мошенничества, но при этом, в общем и целом, игнорируем потенциал биометрических технологий. Стоит только взглянуть, на какие схемы борьбы с мошенничеством финансовые институты направляют крупные инвестиции — программа Chip & PIN, системы шифрования на основе 128-битной инфраструктуры открытых ключей [PKI), управление паролями с шестью уровнями вопросов для доступа к веб-сайтам, — и сравнить их с количеством банков, использующих биометрию. Почему так происходит?

Главной причиной всегда были опасения финансовых организаций по поводу того, какие эмоции испытывает человек, пожелавший совершить платеж, в ответ на требование предъявить палец или глазное яблоко. Стандартная ассоциация среднестатистического клиента — серьезная проблема для биометрии: все сразу начинают представлять себе отрезанные пальцы и бандитов, угрожающих Клиенту ножом, или что-нибудь похуже. Хотя о том, что может быть хуже отрезанного пальца или вырезанного глаза, большинство из нас предпочитают не думать. Тем, кого все же интересует данная тема, советую посмотреть фильмы «Особое мнение» и «Пила» [Saw], хотя они не для слабонервных.