Більшість продавців, що працюють з широким колом приватних клієнтів, мають бути зацікавлені в широкому розповсюдженні послуг інтернет-банкінга. Тоді їм довелося б менше турбуватися про своєчасне надходження засобів від своїх клієнтів. Крім того, споживачі, яким є чим віддалено керувати в банках, є дуже привабливими потенційними клієнтами для будь-якого продавця. І чим більше таких споживачів, тим краще!
Привабливість роздрібних банківських онлайн-послуг очевидна - можна управляти своїм рахунком і робити необхідні платежі у будь-який час доби і з будь-якого місця. Для банку вигоди також в наявності - вартість транзакцій різко падає. При впровадженні нової послуги максимально використовується програмне забезпечення що вже є в банку. Даний шлях полягає в установці системи, призначеної для обробки транзакцій в 'он-лайні' що несе в собі елементи Інтернет-банкинга. Будучи доступною 24 години в добу, ця система бере на себе обслуговування операцій клієнтів у реальному часі, а обмін з бэк-офисом банку здійснюється файлами в офф-лайні з періодичністю потрібної даному конкретному банку.
Іншими словами, банк вибудовує міцний міст між своїм віртуальним відділенням в Інтернеті і бэк-офисом, що дозволяє проводити основні банківські операції включаючи отримання виписок, переказ коштів з рахунку на рахунок, внесення грошей на депозит і т.д. Таким чином, клієнт отримує можливість оперувати з своїми рахунками будь-яким чином - з відділення банку через касу, через банкомат, робити покупки і мати доступ до проведення операцій по рахунках з свого домашнього комп'ютера, а банк виходить на якісно новий рівень надання банківських послуг.
Коли було винайдено електрику, усі думали: воно допоможе рубати дрова! Однак пройшов час, і про дрова забули - завдяки цьому ж відкриттю був знайдений інший спосіб обігріву житла. Щось подібне відбувається зараз і з Інтернетом. Намагаючись часом «віртуалізувати» рішуче усе навколо, ми мало замислюємося про те, що нова технологія вимагає від нас принципово іншого підходу. З одного боку, Інтернет - це усього лише звичайний комунікаційний канал, з іншого - зовсім інший світ. Як говориться, перспектива залежить від точки зору.
У період розробки перших інформаційних систем переважало прагнення створювати програми, що точно копірують реальну діяльність конкретного підприємства. І цей принцип став епітафією не одній компанії-розроблювачу. Виграли ж ті, у кого вистачило мудрості і сил пропонувати не тільки готове і гнучке рішення, але і здійснювати консалтинг -- так сказати «підтягувати» підприємство, що автоматизується, до рівня, при якому автоматизація можлива.
Помилка нашого часу - спроба розглядати Інтернет як ординарний засіб масової інформації. Але дозвольте, а як же бути з основними відмінностями Інтернету від ЗМІ -- інтерактивністю й індивідуальністю підходу? Чи не тому, що ці відмінності часто не беруться до уваги, звичні рекламні ходи в Інтернеті усе частіше дають збої, і люди усі рідше заглядають на сайти, що мають забагато традиційної реклами? Помістити оголошення в конференцію -- ще куди не йшло, але чи потрібно демонструвати на комп'ютері ролик, що призначений для показу по телебаченню? Кому, зрештою, потрібні деякі корпоративні сайти, що усі як один неодмінно містять стандартні розділи як-то «ПРО компанію», «Наші ціни», «Як нас знайти» і обновляються. (а чого там обновляти?) не частіше одного разу в півроку? А лихоманка порталів, що охопила Інтернет якийсь час тому?…
Однак паростки нових підходів все ж помітні. Так, вже розробляються системи, що будуть враховувати індивідуальні прихильності відвідувачів онлайнових магазинів, і навіть подекуди такі додатки починають застосовуватися. Та й деякі «стародавні» рішення виявилися цілком життєздатними. Яскравий тому приклад -- пошукові системи, каталоги або ті ж системи «Інтернет--Клієнт».
Механічний перенос чого-небудь, а тим більше бізнесу, в Інтернет є якщо не збитковим, то, принаймні, марним. У вирішенні цієї проблеми дуже велика роль професійних компаній-розроблювачів. Справа в тому, що окремо узятий банк, як правило, починає автоматизацію із себе самого, і тут дуже легко встати на помилкову стежину «віртуалізації» того, що в принципі не має сенс переносити в Мережу.
Компанія, яка спеціалізується на створенні програмного забезпечення, і має значний досвід у предметній області по визначенню, має більш широке бачення перспектив продукту, і розробку здійснює з прицілом на велику кількість потенційних користувачів, а не на одне лише конкретне застосування.
Власне, у середовищі банкірів зустрічаються дві крайні точки зору. Ті, кому властива перша з них, вважають: «Інтернет -- це небезпечно, і нам він не потрібний». Позиція других протилежна: «Інтернет -- це надзвичайно перспективно, і необхідно розвивати Інтернет-бізнес чого б нам це не коштувало». Обидва радикальних судження лише відбивають різні стадії, що звичайно проходять люди, починаючи знайомитися з Інтернетом. Так, абсолютне заперечення доцільності його використання характерно для тих, хто ще істотно не представляє, що ж таке ця Мережа. Фанатична ж віра властива тим, хто тільки що впізнав про обрії, що відчиняються. Усе б нічого, так от тільки наслідком першої з помилок може стати технологічне відставання банку, а результатом другого -- витрата значних коштів без видимої віддачі.
Є єдиний вірний спосіб, що дозволяє виробити більш професійне відношення до Інтернету, -- потрібно просто продовжувати його освоєння, спочатку вивчаючи, потім намагаючись створити і щось своє. Запевняю, дуже незабаром усілякі проблеми росту будуть ліквідовані.
Складніша справа з соціумом у цілому. Активна аудиторія Мережі поки невелика, і майже усі представляють декілька великих міст. Більшість або перебуває поки в стадії першої помилки, або взагалі не думає про Інтернет. Звичайно, ситуація поступово змінюється (завдяки й висвітленню в ЗМІ, і досвід друзів і знайомих), але все-таки занадто повільно, на що є дуже багато причин, у тому числі й економічних.
Проте той факт, що користуються банківською системою і працюють в Інтернеті люди найбільше соціально активні, дає надію, що їхньої кількості буде достатньо хоча б спочатку, на перших етапах розгортання систем Інтернет-банкінга. Причому є імовірність, що Інтернет підігріє інтерес до банківського сервісу. Зараз переважна більшість банкірів вважає, що зручність Інтернет-обслуговування стане в найближчому майбутньому важливим чинником залучення коштів клієнтів у банки.
Що стосується психологічних складнощів, то до них варто прирахувати побоювання загубити в Мережі свої гроші. Інтернет-банкінгу зовсім не йдуть на користь численні публікації про масові зломи і крадіжки з комп'ютерних систем. Однак, думаю, проблема ця має скоріше суспільні і юридичні корені, чим технічні або якісь інші.
3.3 Підвищення надійності Інтернет-систем та забезпечення безпеки надання фінансових послуг завдяки прогресу в сфері ІР-технологій
Вже відзначалося, що питання інформаційної і фінансової безпеки у випадку інтернет-банкінга набувають особливого значення. Використання нетрадиційних каналів доступу приводить до того, що до звичайних ризиків, випробовуваних банком, добавляються нові, що мають специфічну природу.
Питання безпеки діляться на дві групи. До першої групи відносяться питання захисту клієнта від несанкціонованого доступу до його інформації, що знаходиться в системах банку або передається по лініях зв'язку. Так, система інтернет-банкінга повинна забезпечити конфіденційність інформації про клієнта (залишки і надходження на рахунки, проведені операції) і захист від спроб несанкціонованого доступу до коштів клієнта. Слід зазначити, що захист клієнта припускає опосередковано і захист інтересів банку, тому що конфлікт із клієнтом із приводу розголошення його інформації може мати для банку неприємні наслідки.
Друга група питань відноситься до захисту від несумлінних клієнтів (здатних, наприклад, у корисливих цілях оспорювати проведені операції).
Забезпечення безпеки при використанні інтернет-банкінга засновано на використанні механізмів контролю доступу і повноважень і включає вирішення наступних завдань:
Ідентифікація -- встановлення відповідності між абонентом, що установив з'єднання по каналу віддаленого доступу, і клієнтом системи телебанкінга. Ідентифікація клієнтів робиться по користувальному імені, яким є визначена послідовність символів. З обліком того, що деякі пристрої доступу підтримують уведення тільки цифрової інформації, доцільно імена користувачів у системі телебанкінга обмежити цифровими послідовностями.
Аутентифікація -- підтвердження повноважень абонента використовувати введений їм ідентифікатор клієнта.
Контроль цілісності розпоряджень -- комплекс заходів, що забезпечує неможливість зміни чи утримання розпорядження при передачі від абонента до системи телебанкінга по каналу віддаленого доступу.
Забезпечення невідречности -- встановлення авторства розпорядження, що забезпечує неможливість відмови клієнта від операції, проведеної на підставі і відповідно до розпорядження.
Забезпечення конфіденціальності -- запобігання потрапляння даних, переданих по каналу віддаленого доступу, у розпорядження третьої сторони.
Способи вирішення задач контролю доступу і повноважень різні в залежності від каналу доступу. У деяких випадках, наприклад, при проведенні операцій через Інтернет, можливе досягнення дуже високого рівня захисту і спільне використання декількох механізмів захисту, в інших, наприклад при доступі по телефону, засоби захисту обмежені. На сьогодняшній день існують такі засоби захисту:
Постійний код або пароль. Найбільше простий і найменш надійний спосіб аутентифікации клієнта полягає у введенні клієнтом коду або пароля, відомого тільки йому. Доступ по більшості з перерахованих вище каналів припускає передачу інформації з відкритих мереж, що не дозволяє забезпечити надійний захист пароля від перехоплення і наступного використання. Таким чином, пароль може розглядатися скоріше як перша лінія оборони, що відсіває визначену частку -- сподіваємося, велику -- «непрофесійних» спроб несанкціонованого входу в систему телебанкінга.
Таблиця змінних (разових) кодів. Таблиця нумерованих кодів (також називаних сеансовими ключами), кожний із яких є паролем. Відмінність від постійного коду перебуває в тому, що кожний перемінний код може бути використаний тільки один раз, що робить безглуздим перехоплення. Після вичерпання всіх кодів клієнту видається нова таблиця. В середньому таблиця зі ста кодів вичерпується за півроку, що не тягне занадто великих незручностей для клієнта. Недоліком перемінних кодів є необхідність для клієнта носити із собою таблицю, тому що запам'ятовування декількох десятків кодів, мабуть, неможливо. Потрапляння таблиці в руки зловмисника (наприклад, шляхом копіювання) дає останньому доступ до рахунків клієнта. Рівень захисту може бути підвищений при використанні комбінації пароля, що запам'ятовується клієнтом, і таблиці кодів. Слабким місцем таблиці перемінних кодів також є можливість використання атаки, заснованої на емуляції зловмисником системи телебанкінга з метою одержання від клієнта поточного перемінного коду і його подальшого використання для проведення операції від імені клієнта.
Токен. Захищений локальним паролем фізичний пристрій, за допомогою якого клієнт може динамічно одержувати код доступу в систему. Прикладами токенов є такі пристрої, як Active Card і Tele I.D. Токен зареєстрований у системі телебанкінга на клієнта і певним чином синхронізований із сервером системи, що дозволяє системі визначити, що код був дійсно отриманий за допомогою токена клієнта. Фактично токен є аналогом таблиці перемінних кодів, але на відміну від неї захищений локальним паролем. Крім генерації перемінних кодів, токени можуть виконувати ряд інших функцій, наприклад обчислювати MAC-код для переданих розпоряджень, що забезпечує цілісність повідомлень. На жаль, відомі авторам токени використовують для обчислення MAC-кодів криптографічні алгоритми на симетричних ключах, що не дозволяє забезпечити властивість невідречності. Недоліком токенів є і їх відносно висока ціна (біля 50 дол. для ActivCard і 30 дол. для Tele I. D.), що обмежує їхнє застосування для обслуговування масової клієнтури.
3.4 Основні задачі та вимоги до систем захисту банківських інформаційних технологій
Одним з найважливіших аспектів функціонування систем віддаленого банківського обслуговування (систем Онлайн банкінга), є забезпечення інформаційної безпеки, тобто забезпечення конфіденційності і достовірності інформації, передаваної між Клієнтом і Банком. Для забезпечення інформаційної безпеки в системах віддаленого банківського обслуговування застосовуються різні засоби і методи захисту інформації, починаючи з парольного захисту і закінчуючи багаторівневими системами захисту на основі сучасних криптографічних протоколів і алгоритмів, що реалізовують шифрування і електронний цифровий підпис. Вибір засобів і методів захисту інформації залежить від виду системи віддаленого банківського обслуговування і каналу доступу до цієї системи.
Безпека даних є однією з головних вимог до БС та інтернет послуг. Повинна бути передбачена як стійкість роботи при неправильних діях персоналу, так і спеціалізовані системи захисту від навмисного злому з корисливими або іншими цілями. На сьогоднішній день безпека банківських інформаційних технологій така важлива, що ми розглянемо це питання докладніше. Система захисту і безпеки інформації в БС припускає наявність:
Засоби фізичного обмеження доступу до комп'ютерів БС (ідентифікаційні картки, знімні блокуючі пристрої і т.п.).
Надання повноважень, привілеїв і прав доступу до БС на рівні окремого користувача (співробітника або клієнта банку).
Засоби централізованого виявлення несанкціонованих спроб проникнути до ресурсів БС, що дають можливість своєчасно вжити відповідні заходи.
Захист даних при їх передачі по каналах зв'язку (особливо актуально при використовуванні відкритих каналів зв'язку, наприклад мережі Internet). Тут можливе використовування "цифрового електронного підпису" і інших криптографічних методів.
Питання безпеки діляться на дві групи. До першої групи відносяться питання захисту клієнта від несанкціонованого доступу до його інформації, що знаходиться в системах банку або передається по лініях зв'язку. Так, система інтернет-банкінга повинна забезпечити конфіденційність інформації про клієнта (залишки і надходження на рахунки, проведені операції) і захист від спроб несанкціонованого доступу до коштів клієнта. Слід зазначити, що захист клієнта припускає опосередковано і захист інтересів банку, тому що конфлікт із клієнтом із приводу розголошення його інформації може мати для банку неприємні наслідки.
Друга група питань відноситься до захисту від несумлінних клієнтів (здатних, наприклад, у корисливих цілях оспорювати проведені операції).
Забезпечення безпеки при використанні інтернет-банкінга засновано на використанні механізмів контролю доступу і повноважень і включає вирішення наступних завдань:
Ідентифікація -- встановлення відповідності між абонентом, що установив з'єднання по каналу віддаленого доступу, і клієнтом системи телебанкінга. Ідентифікація клієнтів робиться по користувальному імені, яким є визначена послідовність символів. З обліком того, що деякі пристрої доступу підтримують уведення тільки цифрової інформації, доцільно імена користувачів у системі телебанкінга обмежити цифровими послідовностями.
Аутентифікація -- підтвердження повноважень абонента використовувати введений їм ідентифікатор клієнта.
Контроль цілісності розпоряджень -- комплекс заходів, що забезпечує неможливість зміни чи утримання розпорядження при передачі від абонента до системи телебанкінга по каналу віддаленого доступу.
Забезпечення невідречности -- встановлення авторства розпорядження, що забезпечує неможливість відмови клієнта від операції, проведеної на підставі і відповідно до розпорядження.
Забезпечення конфіденціальності -- запобігання потрапляння даних, переданих по каналу віддаленого доступу, у розпорядження третьої сторони.
Питання безпеки діляться на дві групи. До першої групи відносяться питання захисту клієнта від несанкціонованого доступу до його інформації, що знаходиться в системах банку або передається по лініях зв'язку. Так, система інтернет-банкінга повинна забезпечити конфіденційність інформації про клієнта (залишки і надходження на рахунки, проведені операції) і захист від спроб несанкціонованого доступу до коштів клієнта. Слід зазначити, що захист клієнта припускає опосередковано і захист інтересів банку, тому що конфлікт із клієнтом із приводу розголошення його інформації може мати для банку неприємні наслідки.
Друга група питань відноситься до захисту від несумлінних клієнтів (здатних, наприклад, у корисливих цілях оспорювати проведені операції).
Забезпечення безпеки при використанні інтернет-банкінга засновано на використанні механізмів контролю доступу і повноважень і включає вирішення наступних завдань:
Ідентифікація -- встановлення відповідності між абонентом, що установив з'єднання по каналу віддаленого доступу, і клієнтом системи телебанкінга. Ідентифікація клієнтів робиться по користувальному імені, яким є визначена послідовність символів. З обліком того, що деякі пристрої доступу підтримують уведення тільки цифрової інформації, доцільно імена користувачів у системі телебанкінга обмежити цифровими послідовностями.
Аутентифікація -- підтвердження повноважень абонента використовувати введений їм ідентифікатор клієнта.
Контроль цілісності розпоряджень -- комплекс заходів, що забезпечує неможливість зміни чи утримання розпорядження при передачі від абонента до системи телебанкінга по каналу віддаленого доступу.
Забезпечення невідречности -- встановлення авторства розпорядження, що забезпечує неможливість відмови клієнта від операції, проведеної на підставі і відповідно до розпорядження.
Забезпечення конфіденціальності -- запобігання потрапляння даних, переданих по каналу віддаленого доступу, у розпорядження третьої сторони.
Особлива увага при розробці систем «клієнт-банк» та інтернет-банкінгу була надана забезпеченню безпеки передачі інформації та доступу до неї.
Рис.3.1. Шифрування та дешифрування електронного документу
Для цього в системі використовуються наступні засоби:
Система паролів доступу до абонентного місця.
Шифрування даних при передачі по відкритих каналах зв'язку за допомогою алгоритму DES (рис.3.2.).
Застосування цифрового підпису для забезпечення достовірності документів, передаваних по відкритих каналах зв'язку.
Для формування цифрового підпису використовується комбінована схема відкритого і закритого підпису RSA (стандарти ISO 8730, ISO 8731-1).
У деяких системах передачі даних існує так звана підсистема аудиту. Вона призначена для збору інформації про події системи і містить два типи реєстраційних журналів -- системний і аудиту безпеки. Системний журнал містить відомості про функціонування системи, журнал аудиту безпеки -- дані, пов'язані з інформаційною безпекою системи. Додатково підсистема аудиту може включати реєстраційний журнал серверу з даними по всіх мережевих з'єднаннях, які були встановлені через цей сервер. Для кожної події підсистема реєструє дату і час виникнення події, порядковий номер події, категорію події, джерело події і іншу інформацію, пов'язану з цією подією.
Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10
