Автор работы: Пользователь скрыл имя, 21 Декабря 2011 в 08:49, курсовая работа
Целью данного исследования является описание текущей ситуации интернет-банкинга в мире, определение современных тенденций и основных показателей рынка.
Введение…………………………………………………………………………..3
Глава 1. Теоретические аспекты интернет банкинга…………………...….4
История интернет-банкинга……………………………………………….4
Сущность интернет-банкинга. Преимущества и недостатки……………5
Виды систем интернет-банкинга………………………………………….8
Глава 2. Текущее состояние интернет-банкинга в России и мире……....11
Интернет-банкинг в России……………………………………………...11
Интернет-банкинг в мире……………………………………..…………14
Глава 3. Интернет-Банкинг: проблемы и перспективы…………….……16
Риски Интернет-банкинга: меры безопасности……………………….16
Перспективы развития интернет-банкинга…………………………….21
Заключение………………………………………………………………...……23
Список литературы………………………
Основные
технологии обеспечения безопасности
в современных платежных
Специфика нападения
Нет сомнения в том, что наиболее интересный объект для атаки со стороны электронных кибервзломщиков – юридические лица. «Частники» мошенников, как правило, не интересуют – их остатки по счетам недостаточно велики. Впрочем, отдельные счета обеспеченных граждан атаке подвергаются – но по конкретной наводке. К тому же «работа» с юридическими лицами хороша тем, что бухгалтерия по рабочим дням обязательно активна. Следовательно, есть шанс для взлома.
По числу подобных атак положение еще нельзя назвать эпидемией, но десятки инцидентов в месяц в правоохранительных органах уже фиксируются. По объему нанесенного ущерба они могут быть весьма значительными – в реальной практике большинство хищений по системам ДБО находится в районе 250 тыс. руб. Впрочем, случаи с 500 тыс. – 1 млн долл. тоже имеют место быть.
В подавляющем большинстве случаев хищение денег организуется с несанкционированным использованием даже неизвлекаемых секретных ключей при онлайновых атаках (когда USB-токен установлен в рабочем компьютере). Наибольшее число проблем возникает, если бухгалтерский компьютер не только постоянно оснащен однажды установленным USB-токеном, но и системный блок не выключается на ночь, а только переводится в «спящий» режим, оставаясь подключенным к каналу доступа в Интернет.
Первые массовые инциденты атак в режиме онлайн на пользователей ДБО стали проявляться с начала 2010 г. Проникающие на компьютер вирусы выделяют период перерыва в работе системы ДБО (к примеру, обед у персонала, работа с внутренней документацией) и, после адаптации к установленному на компьютере жертвы клиентскому ПО и считывания основных параметров проведения подобных операций, начинают создавать свои платежки для отправки в банк.
Обычно это вирусы-трояны с функцией удаленного доступа к консоли ДБО. На компьютер пользователя сначала проникает загрузчик, который после «укоренения» на компьютере-жертве и детектирования компании-разработчика клиентского модуля ДБО загружает на машину дополнения для работы именно с этой версией системы. Поскольку они не выходят в «открытую» сеть Интернет, антивирусы часто их не отслеживают. Сами трояны такого типа – поделки конструкторов, которыми кишит Интернет. При этом конструкторы сделаны хорошо, добротно. А вот качество вредоносного ПО, которое они производят, очень зависит от квалификации пользователей и варьируется от уровня студенческих поделок до качественных экземпляров, пригодных для целевых атак.
Еще одно из «изобретений» злоумышленников – перехват команд на запрос электронной цифровой подписи (ЭЦП) с USB-портов компьютера в сочетании с туннелированием трафика с хоста злоумышленника через компьютер клиента сразу до банковского сервера (чтобы IP-адрес отправителя был клиентский). Таким образом, во время сеанса работы с ДБО клиент фактически использует свой компьютер «за компанию» с мошенником, который в удаленном режиме свободно работает с его системой ДБО. Соответственно, оператор бухгалтерского компьютера может просто не уследить за формированием «левых» платежей, которые формально подписаны его ЭЦП и уходят в банк в числе прочих.
Правда, для защиты клиентов от новых вирусных угроз банк тоже может улучшить свою систему безопасности. Например, можно настроить индивидуально по каждому юридическому лицу или ИЧП пороговую сумму для платежки, при превышении которой к стандартной ЭЦП потребуется дополнительное подтверждение по авторизованному каналу связи с использованием OTP-токенов или одноразовых паролей через SMS или, как вариант, голосом по определенному номеру мобильного телефона (причем подобный разговор должен записываться).
Меры безопасности
Несмотря на многочисленные системы пассивной и активной безопасности, которые предлагаются пользователям ДБО в банках, для большинства из них существует как минимум несколько вариантов для обхода защитных механизмов. В основном атаке подвергается сам компьютер, который работает под управлением ОС, где банально определяются многочисленные «дырки» разработчиков. Ведь практически ни в одном банке клиенту не предлагается полноценное автоматизированное рабочее место (АРМ) кассира с «усеченным» функционалом ОС, стандартным и эффективным антивирусом, уже смонтированное на компьютер со вполне достаточной для проведения платежей, конфигурацией. Нет такого предложения в принципе даже для крупных заказчиков. В большинстве случаев речь идет только о комплекте ПО, который надо устанавливать «поверх» операционной системы, т. е. стандартный набор угроз уже учитывается как неизбежное зло.
Хорошим
вариант для безопасности банковских
платежей является использование отдельного
мобильного ПК с легальной операционной
системой и установленными обновлениями,
который будет работать в ограниченном
режиме – только для банковских платежей.
Все дополнительное ПО, кроме Firewall и антивируса
оттуда удалено, а физический доступ в
нему ограничен: он извлекается из сейфа
только на время работы. Идеальной ОС для
такого решения будет все-таки Linux (в этой
среде гораздо меньше вирусов) или Windows
7 (здесь больше встроенных систем безопасности).
Кроме того, корпоративный Firewall (помимо
личного) должен разрешать этому компьютеру
выход исключительно на банковские точки
доступа, в заранее прописанные и разрешенные
системы электронного банкинга. Причем
только в рабочее время – в любые выходные,
вечером и ночью доступ в Сеть именно для
этой машины полностью закрыт.
Не
стоит и пренебрегать качественными
системами безопасности – к примеру,
стоит использовать две ЭЦП под
более или менее значимой по сумме
платежкой. В такой схеме первая
ЭЦП принадлежит директору (или
специальному финансовому контролеру),
вторая – главному бухгалтеру. Желательно,
чтобы эти люди еще и не сидели рядом в
одном помещении. Причем секретные ключи
этих ЭЦП должны быть жестко привязаны
к разным смарт-картам или USB-токенам, которые
не могут работать на одном компьютере
– только на строго ограниченном числе
рабочих станций (в идеале каждый на своем
ПК). Вообще, качественные системы ДБО
позволяют поддерживать несколько комбинаций
применения двух и более ЭЦП: от оператора,
который готовит документы и просто подтверждает
валидность их координат, до директора
и главного бухгалтера со своими замами,
которые могут подписывать документы
с определенными порогами перечислений.
Как
уже говорилось, для отправки более
или менее крупных сумм желательно
установить механизм оперативного информирования
через SMS. Причем информация должна быть
обо всех стадиях прохода особенных
или крупных платежей. Создана
платежка, подписана, отправлена в банк
– все это должно отражаться с помощью
текстовых сообщений без возможности
их отключения. В этом случае – как с пластиковыми
карточками – появляется шанс оперативно
среагировать на кражу.
Если
стандартных мер безопасности не
хватает, а ставки слишком высоки,
имеет смысл использовать более
продвинутые и, разумеется, дорогостоящие
системы защиты. Казалось бы, все
проблемы можно решить установкой механической
или сенсорной кнопки, которая
подтверждала бы транзакцию на токене
или смарт-карте. Но это не решает проблему
сути подписываемого документа – ведь
вирус всегда может подсунуть нужную именно
ему платежку. Идеальный вариант – «картридер»
с небольшим экраном и своим доверенным
управляющим ПО на борту. На входе он получает
платежку, которую можно просмотреть на
экране немедленно. И именно ее он и подписывает.
Само устройство может чем-то напоминать
смартфон и подключаться к USB-порту компьютера.
Новые возможности интернет-банкинга делают его одним из наиболее динамично развивающихся банковских сервисов в мире. Есть все основания предполагать, что банки скоро просто не смогут обходиться без предоставления интернет-услуг, иначе они будут терять клиентов. В наше время большое значение имеет скорость оказания банковских услуг, что возможно при условии управления счетами в режиме реального времени из любого места. Через год-два услуги интернет-банкинга станут стандартными для большинства банков, когда основными требованиями клиентов станут удобство, мобильность и оперативность. Самые смелые аналитики уже сейчас сходятся во мнении, что интернет-банкинг можно рассматривать как самое полезное изобретение со времен появления телефона. В любом случае каждый из нас может уже сейчас оценить возможности интернет-банкинга.
Перспектива интернет-банкинга связана с развитием розничного обслуживания, которое традиционно является слабым местом отечественных банков. По мере расширения использования Интернета и увеличения финансовой активности населения интернет-обслуживание перейдет из разряда эксклюзивной услуги в категорию стандартной, как это было чуть раньше с пластиковыми картами. Только в Москве потенциальная клиентура интернет-банкинга оценивается сейчас в 300-400 тысяч человек, а в течение ближайших пяти лет может увеличиться до одного-двух миллионов. В силу географической протяженности России интернет-банкинг имеет хорошие перспективы и в регионах, поскольку жителям глубинки представится возможность оперировать счетами в московских банках со всеми вытекающими преимуществами. Разумеется, многое будет зависеть от развития региональных телекоммуникаций и продвижения Интернета по России.
Есть и серьезные факторы, мешающие внедрению интернет-банкинга: широкое распространение различных «черных» и «серых» схем расчетов наличными, когда «светить» деньги в банках нежелательно, невысокие пока доходы значительной части населения (ведь чтобы распоряжаться деньгами – нужно их иметь), отсутствие во многих небольших торговых точках возможности заплатить банковской картой, а также – иногда весьма странные требования сотрудников ЖКХ.
Тем не менее, потенциал развития интернет-банкинга в России огромен. Этому способствует и все больший охват регионов страны высокоскоростным доступом в интернет (который толкает пользователей к более активному использованию сети, в том числе – и различных предоставляемых ею услуг), и развитием интернет-торговли.
Да и банки в последнее время активно подталкивают своих клиентов к использованию систем интернет-банкинга, в том числе – и льготными тарифами.
Так
что, думаю, в ближайшие год-два
мы увидим на рынке дистанционных
банковских услуг немало новых и
привлекательных предложений.
Заключение
Интернет-банкинг как одно из направлений банковского дела имеет большой потенциал для дальнейшего развития и широкие перспективы. Учитывая стремительное развитие высокотехнологичных банковских продуктов нового поколения, я считаю закономерными планы развивать интернет-банкинг как виртуальный финансовый супермаркет банковских продуктов для физических и юридических лиц. Речь, в сущности, идет о создании полноценного электронного офиса с возможностью проведения через интернет всевозможных финансовых операций. В дальнейшем системы интернет-банкинга превратятся в единое виртуальное пространство финансовых услуг и продуктов - необходимое и удобное как для частных лиц, так и для огромных компаний.
Интернет-банкинг
одинаково успешно развивается
во всем мире, и его популярность
растет день ото дня. Правда, темпы
развития в разных регионах мира разные,
что обусловлено целым рядом обстоятельств
(уровень образования населения, уровень
жизни, ступень экономического развития
страны и т.д.). Однако как явствуют исследования,
почти во всех странах мира, где банковская
система так или иначе развита, существует
тенденция внедрения в эту систему Интернет-банкинга,
и борьбы с целью его последующей популяризации.
В частности, по данным фирмы Gomez Advisiors,
специализирующейся на исследовании деятельности
банков, финансовых организаций и брокерских
фирм, общий объем операций, осуществленных
банками в США без филиалов (то есть, через
банкоматы, телефоны и компьютеры) ежегодно
растет примерно на 15% и на сегодня он составляет
почти 50% всего обслуживания. Вместе с
тем, в США ежегодно растет число домохозяек,
которые при выполнении банковских операций
активно используют Интернет-банкинг,
за последние пять лет их количество удвоилось.
Информация о работе Интернет-Банкинг: проблемы и перспективы