ації за власними рахунками. Якщо в системі немає заборони на платежі на користь третіх осіб, необхідна криптографія на комп'ютері користувача і разові паролі. Це дозволяє добре захистити і банк, і клієнта. p> Зустрічаються і чисто технологічні помилки у розробці систем ДБО. Їх повинні створювати професіонали в галузі безпеки, інакше в системах можуть виникати алгоритмічні В«діркиВ». Наприклад , у своєму комп'ютері клієнт вставляє USB-токен і починає роботу. У момент підписання платіжного документа троян підкладає фальшиве платіжне доручення, яке підписується правильними підписами і відправляється в банк. Це технологічна уразливість: у деяких системах існує незахищений канал між мікропроцесором шифрування і процесором комп'ютера, який недостатньо контролюється. Така вразливість закривається професійними криптографами, так як просте застосування сертифікованих криптографічних бібліотек цю проблему не допоможе вирішити, тому що проблема в невірних алгоритмах застосування бібліотек.
Ще одна причина - використання в системах ДБО несертифікованих засобів криптографічного захисту інформації , що створює умови правової незахищеності учасників інформаційних відносин. Випадки злому криптографії дуже рідкісні: навіщо зламувати шифр, якщо можна вкрасти ключі? Гроші пропадають з використанням власних ключів користувача. Якщо клієнт буде намагатися довести свої права в суді, то у уваги будуть прийматися тільки сертифіковані засоби.
Так само однією з важливих загроз систем ДБО сьогодні є недостатньо опрацьована нормативно-правова база відносин клієнта з банком. Юридично грамотний зловмисник, що знає технологію застосування електронного цифрового підпису, може знайти уразливості в договорах і регламенту, а потім використовуючи систему ДБО провести підроблену транзакцію, відмовитися від неї і подати позовну заяву до суд. Завдання банку - довести в суді зворотне, тобто довести, що банк діяв правильно.
У більшості випадків кредитна організація не несе юридичної відповідальності перед своїми клієнтами в рамках укладеного між ними договору. Компрометація даних, які необхідні зловмисникам, найчастіше відбувається саме з вини клієнтів. Проте навіть в таких випадках більшість кредитних організацій, у разі звернення клієнта намагаються допомогти йому повернути втрачені кошти, і це часто вдається зробити.
З іншого боку, можливі ситуації, коли кредитна організація може понести юридичну відповідальність за збитки своїх клієнтів. Мова йде про випадки, коли клієнт винен в події, в тому числі на підставі рішення суду, включаючи випадки, коли до списання коштів клієнта причетні співробітники кредитної організації.
Саме на ці випадки і поширюється дія полісів страхування від електронних і комп'ютерних злочинів і страхування професійної відповідальності фінансових інститутів, які досить давно поширені на російському страховому ринку. В«ИнгосстрахВ» пропонує такі види банківського страхування вже більше 10 років.
Ризики електронних і комп'ютерних злочинів по відношенню до банкоматів можуть бути застраховані або як розширення покриття за полісом страхування банкоматів та грошової готівки в них, або в рамках комплексного поліса страхування банку від електронних і комп'ютерних злочинів.
Незважаючи на те що більшість банків в рамках договору з клієнтами формально не несе відповідальності за втрату клієнтами коштів при використанні пін-коду пластикової карти, суди в більшості випадків стають на бік клієнтів. Такі ризики можуть бути застраховані в рамках поліса страхування ризиків емітентів банківських карт.
Будь-який банк зобов'язаний виконувати вимоги щодо забезпечення захисту інформації наступних зовнішніх по відношенню до фінансової організації нормативно-правових актів:
Гј Федеральний закон РФ від 27 липня 2006 р. № 152-ФЗ "Про персональних даних";
Гј Федеральний закон РФ від 7 серпня 2001 р. № 115-ФЗ "Про протидію легалізації (Відмиванню) доходів, одержаних злочинним шляхом ";
Гј Стандарт межународних платіжної системи VISA PA DSS (в контексті вимог стандарту PCI DSS для програмного забезпечення процесингового центру);
Гј Рекомендації ЦБ РФ, спрямовані циркулярним листом Московського ГТУ Банку Росії № 33-00-18/3183 від 25.01.2010 р. "Про рекомендації для кредитних організацій з додаткових заходів інформаційної безпеки при використанні систем інтернет-банкінгу ".
2. Види і методики здійснення шахрайства у сфері інтернет-банкінгу
Шахрайство з картами і шахрайство з ДБО, з'єднані в один технологічний В«вузолВ», дають синергетичний ефект для шахрайств. Втрати від таких дій в десятки разів перевершують окремо взяті злодійство з Інтернет-банкінгу та крадіжки грошей з банкоматів. Інтернет-банкінг дозволяє красти гроші з банківських рахунків, а банкоматні мережі дають можливість вкрадені гроші переводити у го...
