Окончание. Начало:
http://www.mk.ru/blogs/posts/internetbanki-v-epokhu-khakerov-desyatki-voprosov-s-odnim-otvetom.html
Здесь, наверное, стоит задаться очередным вопросом: а сколько еще триллионов долларов нужно украсть хакерам, чтобы банки начали разоряться и осознавать грозящую им и их клиентам опасность банкротства?
При существующих тенденциях в области информационной безопасности финансовых платежей, осуществляемых с помощью мобильных устройств, такой результат неизбежен. Это будет похоже на кризис 1992 года, когда с помощью фальшивых авизо в ЦБ РФ украли 3 триллиона рублей. После этого случая Центральный Банк полностью пересмотрел подходы к методам обеспечения информационной безопасности.
Но, видимо, не многие финансисты помнят сегодня последствия той массовой информационной атаки на мощное финансовое учреждение и то, как последствия финансового кризиса отразились на людях. Приведу пример из своей жизни. В 1991 году у меня на сберегательной книжке было накоплено 12000 рублей. По тем временам - стоимость хорошей трехкомнатной квартиры в Москве. Сейчас подобная квартира стоит более миллиона долларов. В конце 2015 года в Сбербанке погасили этот мой вклад, вернув 24000 рублей. По современному курсу немногим больше $300! Вот результаты крупнейшего ограбления государственного банка преступниками.
Есть ли выход из такой ситуации? Конечно, выход есть. Вспомните историю. Когда только начались финансовые платежи через Интернет, был создан особый электронный USB-ключ, Рутокен, eToken. Это устройство, находившееся вне компьютера, подключалось к нему по USB и отдельно от компьютера зашифровывало финансовую информацию, а компьютер использовался лишь как средство передачи информации. У хакеров не было никаких шансов украсть информацию, шифруемую вне компьютера.
Но тогда, в целях удешевления дополнительного оборудования, заказчики совершили непросительную ошибку и тоже пошли по простейшему пути. На eToken не предусмотрели клавиатурную идентификацию, открывшую впоследствии дорогу для мошенников. Устройства были очень дешевы, и за эту дешевизну пришлось расплачиваться.
Сэкономив в начале внедрения новых технологий на информационной безопасности и не поставив идентификатор кода подтверждения на клавиатуру, для работы с надежными и хорошо справлявшимися со своей задачей Рутокенами, мы впоследствии столкнулись с огромной массой мошенничества
В очередной раз задаюсь ставшим уже риторическим вопросом: почему, продвигая мобильный банкинг, финансовый мир не использует уже накопленный опыт? Ведь понятно, что для безопасности проведения платежа должна существовать схема, при которой устройство для шифрования информации обязано работать отдельно от мобильного телефона.
Образец такого подхода был продемонстрирован компанией, которую я возглавляю, еще в начале 2000-х годов, когда мы в России создали первый в мире криптотелефон, а спустя несколько десятилетий - совершенно новую систему информационной безопасности - мобильный аппаратный шифратор.
Если судить по уровню технологий, используемых в них, то еще несколько десятилетий назад мы в России обогнали всех мировых IT- гигантов - и Apple, и Samsung, и Microsoft… Да и сейчас в области криптографии конкурентов российским разработкам нет.
Действительно, любой криптотелефон, который не могут вскрыть хакеры, любая профессиональная система безопасности стоит дороже программных решений. Но как человек, создавший первый в мире криптосмартфон, могу с полной уверенностью сказать, что делать из простых смартфонов финансовый инструмент — путь в никуда.
Именно в нашем российском криптосмартфоне впервые в мире использовалось программное и аппаратное разделение для защиты финансовой информации. Мобильный телефон работал, как всегда, на прием и передачу информации, а уже другая часть обеспечивала шифрование информации. Самое главное - ключи шифрования оказываются полностью недоступными для хакеров и находятся вне операционной системы смартфона.
С точки зрения информационной безопасности, подобная аппаратная защита - единственный выход из тупика, по которому сегодня с развитием электронного банкинга движется мобильная Интернет-торговля.
Чтобы было понятно простому пользователю, приведу образный пример. Из легковой машины танк не сделаешь, какую бы броню на нем ни устанавливали. Даже «мерседес» с президентской системой защиты все равно не станет не только танком, но даже БМП.
Естественно, танк нельзя сделать удобным для водителя или пассажира, как это предусмотрено в автомобиле представительского класса. У танка другие задачи, поэтому там не только броню устанавливают, но и ракеты, защищающие его от атак противника. Соответственно, какие бы программы ни «навешивали», обычный мобильный телефон, создаваемый, прежде всего, для разговоров и поиска информации в сети, невозможно переделать в аппаратный шифратор и заставить защищать пользователя от атак хакеров.
У любой стандартной операционной системы есть десятки, если не сотни, разных «дверей», которые закрыть невозможно. Как бы ее ни «вылизывали» программисты, хакеры все равно взломают её и найдут ключи к системам шифрования, например, с помощью «троянских» программ. И, создавая программное обеспечение для обычного мобильного телефона, банки противоречат сами себе, советуя клиентам никогда не хранить выданную банковскую карточку и пароли к ней в одном месте.
А что происходит в электронных версиях банковского сервиса? Зайдя в любой мобильный телефон, хакер видит в установленной там программке для банкинга не только вашу кредитную карточку, но и пин-код к ней…
Другими словами, Интернет экономика невозможна без информационной безопасности, а информационная безопасность невозможна без массовой специальной техники для защиты «мобильных» финансовых платежей, которая, к сожалению, сегодня не применяется.
Создав и расширяя Интернет экономику с использованием программных систем защиты, мы просто стремительно ежегодно увеличиваем доходы хакеров.
Все эти кражи на сотни миллиардов долларов легли на плечи пользователей. И в какой-то момент искусственно созданный финансовый пузырь не может не лопнуть, так как хакеры ежегодно совершенствуют свои технические возможности, чтобы многократно увеличивать преступные доходы. В какой-то момент банки окажутся не в состоянии погашать свои убытки за счет клиентов. И клиенты банков, наконец, опомнятся и зададут простой вопрос: а почему мы должны платить такие большие деньги за обслуживание наших электронных платежей?
Пока, к сожалению, все попытки ограничить деятельность хакеров остаются на уровне деклараций.
В реальности крупнейшие компании, ошалевшие от прибылей, которые в ближайшее время им могут принести финансовые мобильные технологии, идут фактически ва-банк.
Порой на кон поставлены деньги, даже превышающие прибыли от реализации их основной продукции. Так одна из ведущих компаний по выпуску смартфонов, никогда не занимавшаяся устройствами шифрования информации, решила добавить своим гаджетам функции кредитных карточек и побороться за миллиарды транзакций, осуществляемых по всему миру кредитными компаниями…
Финансовые потери стремительно увеличиваются по всему миру, но мы опять видим, что нас вынуждают использовать программную защиту. Российские граждане уже заплатили за это колоссальную цену. Если ничего не изменится, такая же участь может постигнуть в ближайшее время и другие страны, приведя к глобальным финансовым коллапсам, которые неизбежно спровоцируют военные конфликты.
Сегодня слышна лишь констатация факта, что хакеры крадут сотни миллиардов долларов. Но разве декларации помогут избежать глобальных финансовых потерь, которые в недалёком будущем будут измеряться триллионами долларов? Или все же пришло время задаться вопросом: а может быть, это «запланированные» потери? Может быть, это большая мировая система обналичивания денег, которая прикрывается хакерами? Такую возможность тоже нельзя исключать. Фактически никто не реагирует, никакие запретительные меры на программные средства защиты не установлены. Кажется, в мире всё спокойно. Но не могут быть спокойны простые пользователи Интернет-банкинга. Они должны знать, что их деньгам угрожает опасность.