Для FFIEC одних паролей мало

     ЭЛЕКТРОННЫЙ БАНКИНГ

     Банки США должны пересмотреть систему онлайновой защиты

Необходимо срочно скорректировать планы защиты электронных транзакций тем американским банкам, которые этого еще не сделали, - таково главное требование Совета США по проверке финансовых учреждений FFIEC. Оно содержится в октябрьском докладе этого межведомственного органа, созданного для контроля индустрии финансовых услуг. По оценкам составителей документа, однокомпонентная аутентификация вроде пароля не обеспечивает должного уровня безопасности транзакций и не способна надежно защитить средства на счете при доступе к нему через сеть. Доклад обязует банки до конца следующего года принять на вооружение улучшенные методы аутентификации, обеспечивающие четкую идентификацию онлайновых пользователей.

Документ под названием "Authentication in an Internet Banking Environment" ("Аутентификация в банковской среде Интернета") - очередной шаг правительства США в борьбе за безопасность онлайнового банкинга. В его основу положены прошлогодние выводы, которые по результатам анализа взломов счетов сделал один из членов FFIEC - расположенная в Вашингтоне Федеральная корпорация страхования депозитов FDIC. Вот что рассказал нам по этому поводу помощник директора ее подразделения контроля и защиты потребителей Майкл Джексон: "Нельзя все время бить по хвостам, нужно опережать события и принимать необходимые меры еще до того, как кражи идентификационных данных создадут серьезную проблему".

По мнению FFIEC, однофакторная аутентификация вроде парольной ни в коем случае не должна использоваться в качестве единственного контрольного механизма онлайновых банковских операций. В дополнение к ней банкам необходимо применять эффективные методы точной идентификации пользователей с учетом степени риска при работе с конкретными онлайновыми продуктами и услугами.

Обеспечивать наивысшую степень безопасности в докладе рекомендуется при переводе денег между банками и счетами. Здесь необходима многоуровневая система, в которой аутентификация с применением пароля должна дополняться использованием смарт-карт, разовых паролей или физических USB-ключей.

"Мы предупреждаем всю отрасль о необходимости самого строгого контроля, особенно в отношении важных транзакций", - сказал Джексон.

Новые требования грозят создать головную боль для очень многих банков США. По данным FDIC, многоуровневая аутентификация для защиты онлайновых операций применяется на сегодняшний день только в 15 американских банках. По этому показателю США намного отстают от стран Евросоюза, где получили широкое распространение смарт-карты, генераторы случайных чисел и различные жетоны безопасности, существенно затрудняющие несанкционированный доступ к счетам.

Некоторые банки ограничиваются применением многоуровневых технологий только для защиты особо важных счетов и клиентов категории VIP. Новые же требования, как отмечает директор по информационной безопасности онлайновой брокерской фирмы Scottrade, заставляют обеспечить не меньший уровень безопасности и для рядовых вкладчиков.

Хотя Scottrade и не входит в состав FFIEC, она тем не менее уже отказалась от чисто парольной защиты клиентов в пользу технологии фирмы Passmark Security. В дополнение к обычным паролям для аутентификации пользователей здесь теперь используются изображения и контрольные вопросы.

FDIC уже разослала во все американские банки (за исключением тех, что пострадали от ураганов Катрина и Рита) предложение провести точную оценку рисков и принять необходимые меры по их устранению. Это должно быть сделано до конца следующего года.