, а також в ЗМІ, клієнти недостатньо глибоко і точно розуміють, де і як у них можуть вкрасти гроші і що робити, щоб цього не сталося. Користувачі приділяють занадто мало уваги забезпеченню власної безпеки в Інтернеті. Наприклад, для багатьох з них до цих пір не є аксіомою, що потрібно застосовувати і своєчасно оновлювати антивірусні засоби.
Крім того, серед клієнтів побутує думка, що використання неліцензійного програмного забезпечення безпосередньо не шкодить безпеки, а порушує лише авторські права. Однак «піратські» операційні системи не завантажують регулярні оновлення безпеки, в той час як антивірусні засоби розраховані на те, що засоби безпеки Microsoft будуть оновлені і виконають своє завдання. У підсумку через неправильне їх взаємодії в системах захисту залишаються проломи.
Наступна причина - використання неадекватних рівнів безпеки в системах ДБО (дистанційного банківського обслуговування). Рівень безпеки повинен залежати від сум і типів операцій: операції між своїми рахунками, зумовлені операції з обмеженими сумами вимагають зовсім іншого рівня безпеки, ніж операції на користь третіх осіб без обмеження суми. При спрощеній системі безпеки можна дозволяти тільки всі операції за власними рахунками. Якщо в системі немає заборони на платежі на користь третіх осіб, необхідна криптографія на комп'ютері користувача і разові паролі. Це дозволяє добре захистити і банк, і клієнта.
Зустрічаються і чисто технологічні помилки в розробці систем ДБО. Їх повинні створювати професіонали в галузі безпеки, інакше в системах можуть виникати алгоритмічні «дірки». Наприклад, у своєму комп'ютері клієнт вставляє USB-токен і починає роботу. У момент підписання платіжного документа троян підкладає фальшиве платіжне доручення, яке підписується правильними підписами і відправляється в банк. Це технологічна уразливість: у деяких системах існує незахищений канал між мікропроцесором шифрування і процесором комп'ютера, який недостатньо контролюється. Така вразливість закривається професійними криптографами, так як просте застосування сертифікованих криптографічних бібліотек цю проблему не допоможе вирішити, тому що проблема в невірних алгоритмах застосування бібліотек.
Ще одна причина - використання в системах ДБО несертифікованих засобів криптографічного захисту інформації, що створює умови правової незахищеності учасників інформаційних відносин. Випадки злому криптографії дуже рідкісні: навіщо зламувати шифр, якщо можна вкрасти ключі? Гроші пропадають з використанням власних ключів користувача. Якщо клієнт намагатиметься довести свої права в суді, то до уваги будуть прийматися тільки сертифіковані засоби.
Так само однією з важливих загроз систем ДБО сьогодні є недостатньо опрацьована нормативно-правова база відносин клієнта з банком. Юридично грамотний зловмисник, що знає технологію застосування електронного цифрового підпису, може знайти уразливості в договорах і регламента, а потім використовуючи систему ДБО провести підроблену транзакцію, відмовитися від неї і подати позовну заяву до суду. Завдання банку - довести в суді зворотне, тобто довести, що банк діяв правильно.
У більшості випадків кредитна організація не несе юридичної відповідальності перед своїми клієнтами в рамках укладеного між ними договору. Компрометація даних, які необхідні зловмисникам, найчастіше відбувається саме...
