Из всего многообразия электронных сервисов, представленных сегодня на публичном рынке, особо хотелось бы отметить сервисы для выполнения финансовых операций (системы дистанционного банковского обслуживания — ДБО, электронной торговли и т. д.). Именно они всегда находятся в фокусе злоумышленников из-за близости к «живым» деньгам. Стоит отметить, что безопасность внутренней инфраструктуры провайдеров (кредитно-финансовых учреждений, торговых площадок) поддерживается на должном высоком уровне, и реализация атак на сами системы малоперспективна, а потому нецелесообразна. Гораздо перспективнее организовать атаку на пользователей системы, и уже от имени легального пользователя либо его же руками осуществить запланированные финансовые операции. И такие атаки вполне успешны, так как пользователи зачастую не только не выполняют рекомендации банка по организации рабочих мест для дистанционного обслуживания, но и пренебрегают элементарными правилами информационной безопасности. Можно ли минимизировать неподконтрольные провайдеру услуг действия пользователей при взаимодействии с порталом? Другими словами, как найти золотую середину между удобством, простотой использования сервиса и требованиями ИБ? Предлагаю ознакомиться с обзором использующихся сейчас на российском рынке решений по обеспечению безопасной работы конечных пользователей в торговых системах и системах ДБО. В фокусе анализа будут механизмы аутентификации, электронной подписи, подтверждения операций.

Конечно, лучшим вариантом с точки зрения безопасности является предоставление пользователю компьютера с предустановленными и преднастроенными средствами защиты информации, однако затраты на организацию подобного решения весьма существенны. Также требуется дополнительная логистика. Тем не менее, некоторые кредитно-финансовые учреждения пользуются этой практикой.

Далее будут рассматриваться реализации систем, основанные на web-технологиях, так как системы с «тяжелыми» клиентами не отвечают требованиям мобильности и доступности с неограниченного круга устройств.

< ... >