Безопасность ЭПС: бесконечная борьба щита и меча

Опубликовано: 00.00.0000, 00:00 Автор: Родин Дмитрий Рубрики: мнения
Тематика: rupaywebmoneyЭПС
Безопасность ЭПС: бесконечная борьба щита и меча Пользование услугами электронных платежных систем сопряжено с риском потери средств и персональных данных – это факт, который вряд ли кто-либо осмелится поставить под сомнение. Но, с другой стороны, разве нет вероятности мошенничества или других неприятностей при использовании наличных денег или в том же онлайн-банкинге? О «безопасности» первого способа мы ежедневно узнаем из криминальных сводок, а о втором говорили не далее как на прошлой неделе.
Итак, с помощью экспертов WebMoney Transfer и Rupay попробуем разобраться, чем является мошенничество с электронными деньгами в нашей стране: суровой реальностью или все-таки очередным мифом.

Как и при разговоре о безопасности в любой другой сфере человеческой деятельности, в случае с ЭПС действует универсальное правило, в соответствии с которым никто не обезопасит пользователя от возможных неприятностей лучше, чем он сам. Здесь, как и в уже упоминавшемся онлайн-банкинге, огромную роль играет пресловутый «человеческий фактор» - ведь на удочку фишеров можно попасться как по неграмотности (если пользователь только начинает свое знакомство с электронными деньгами), так и по банальной рассеянности (что, конечно, случается реже – например, в спешке). Если же подходить к вопросам безопасности собственных средств и данных с достаточной (не чрезмерно большой) долей серьезности, избежать атак мошенников будет намного проще. Вопрос о количестве таких атак – также актуален, ведь, если задуматься, на самом деле, они совершаются не так уж и часто и не всегда удачно – по крайней мере, сейчас и в нашей стране.

Ранее в интервью журналу «Хакер» директор по внешним связям WebMoney Transfer Петр Дарахвелидзе уже говорил о том, что «пользователи ЭПС должны тратить на защиту своих денег адекватные их количеству время и средства». В то же время вряд ли кто-то будет спорить с утверждением о том, что и сами ЭПС, со своей стороны, должны обеспечивать пользователям максимальную защиту. Естественно, они этим занимаются, разрабатывая все новые решения в области безопасности. В среде пользователей оценка технологий защиты ЭПС зачастую сводится к сравнению систем, работающих с электронными сертификатами, и систем, по старинке предпочитающих привязку по логину и паролю. О том, насколько такое сравнение корректно и оправданно, и какие способы защиты средств клиентов, по их мнению, являются наиболее предпочтительными, в беседе с TelNews рассказывают PR-директор WebMoney Transfer Наталия Чанышева и директор по коммуникациям Rupay Андрей Севостьянов.

«Честно говоря, мне кажется, что такое сравнение предельно некорректно, - делится Наталия Чанышева. - Защита типа «логин/пароль» скомпрометировала себя довольно давно. Защита посредством сертификатов - следующий шаг после «логина/пароля», но уже использующий дополнительные криптографические возможности ОС, то есть основанный на принципиально других возможностях. Что же касается перспектив указанных подходов к защите, то здесь, по нашему мнению, существует третий путь, и это не только электронные ключи, хотя и они, конечно, тоже. В одном из интервью Петр Дарахвелидз уже изложил нашу позицию по этому вопросу достаточно исчерпывающе, заявив, что информацию, хранящуюся на компьютере, защитить невозможно, а раз так – значит, ее не должно там быть. Именно по этому принципу работает наш метод аутентификации e-num, основанный на выдаче пользователю уникального одноразового шифроблокнота в виде Java-мидлета для мобильного телефона или программы для КПК и позволяющий пользоваться тем же WM Keeper даже из самых ненадежных интернет-кафе или клубов – для получения конфиденциальной информации мошенникам придется завладеть КПК или мобильным устройством пользователя, а уже другая статья УК, нежели для рассылки троянов и установки кейлоггеров. Электронные ключи, если их хранить на сменном носителе, как рекомендуется нами при установке Keeper, тоже подходят под реализацию прозвучавшего выше девиза о защите информации. Кроме того, мы не отрицаем, что эта защита – «физическая», аппаратная, и она очень популярна, несмотря на все возможные обсуждения. Keeper Classic по-прежнему устанавливают чаще, чем Light или Mobile».

«Вряд ли их стоит сравнивать эти два подхода, так как они должны дополнять друг друга и делают это, - говорит Андрей Севостьянов. - Наиболее перспективным представляется комплиментарный подход, подразумевающий использование различных средств аутентификации, в том числе и новейших - биометрических».

Получив достаточно подробные ответы, попытаемся узнать у экспертов их мнение относительно будущего систем безопасности отечественных ЭПС. Будут ли они в будущем менее уязвимы, чем сейчас, и если да, то за счет чего?

Комментирует Наталия Чанышева: «Это будет зависеть от приоритетов ЭПС, от результатов поиска компромисса между безопасностью и легкостью регистрации, от профессионализма разработчиков. Мы думаем, что для повышения безопасности есть все условия. Но не стоит забывать и о том, что чем больше рынок, тем больше и интерес к нему со стороны хакеров и мошенников. Поэтому мы осознаем, что ведем бесконечную борьбу меча и щита, в которой нам необходимо быть хотя бы на полшага впереди».

«Трудно давать долгосрочные прогнозы, - продолжает Андрей Севостьянов. - Сегодняшнюю ситуацию можно охарактеризовать как «соревнование брони и снаряда». Безусловно, технологии будут совершенствоваться, но вместе с ними будут развиваться и технологии, направленные на нарушение этой безопасности. Ведь мысли о простой и быстрой наживе как будоражили, так и будут будоражить умы многих, зачастую очень талантливых людей. Уже сегодня активно внедряются новые способы аутентификации пользователей - такие, как сканирование отпечатков пальцев и сетчатки глаза. С удешевлением технологий не исключено что буквально через несколько лет эти и многие другие способы идентификации получат действительно широкое распространение».

От общих вопросов о рынке в целом перейдем к нынешней ситуации в компаниях, представители которых выступают в качестве комментаторов в данной статье. Им был задан вопрос о статистике обращений клиентов по вопросам кражи средств из их кошельков и основных причинах таких происшествий.

«Основная причина - несоблюдение наших рекомендаций, - отвечает Наталия Чанышева. - Да, мы утверждаем, что при соблюдении всех наших рекомендаций по настройкам безопасности и резервному хранению копии ключей, а также своевременному обновлению антивирусных баз со средствами ничего случиться не может. При сбоях в ОС и утере ключа доступ можно восстановить. Невнимательность и чрезмерная наивность или доверчивость – основные причины утраты средств. У нас есть служба безопасности, которая круглосуточно занимается этой проблематикой. Именно благодаря ее работе разного рода «фонды» и пирамиды, обещавшие сотни процентов прибыли из ничего, в пределах системы WebMoney выродились и практически сошли на нет».

«Динамика выглядит весьма и весьма обнадеживающе: 2 года назад мы ввели аттестацию пользователей и с тех пор наблюдаем непрерывный спад мошеннической активности, - сообщает Андрей Севостьянов. - Эта простая процедура многократно снижает риск мошенничества и позволяет системе более четко идентифицировать пользователей по принципу «свой-чужой», а также просчитывать их возможные противозаконные действия».

Следующий вопрос, по сути, близок к предыдущему, однако в то же время достаточно важен для того, что бы быть заданным отдельно. Не секрет, что при краже средств из электронных кошельков мошенниками зачастую используются так называемые «обменники». В связи с этим – закономерный вопрос о том, насколько хорошо у Webmoney Transfer и Rupay налажено взаимодействие с администрациями подобных сервисов.

«У нас очень строгие правила работы с обменными пунктами, – сообщает Наталия Чанышева. - И те, кто хочет с нами работать, их исполняет. Санкции же за неисполнение всегда быстрые и неотвратимые».

«У нас налажены рабочие отношения с большинством легальных обменников, работающих в Рунете и принимающих к обмену расчетные единицы Rupay, - заявляет Андрей Севостьянов. - И, разумеется, мы время от времени обращаемся к ним за содействием. Отметим, что зачастую возникающие трудности удается оперативно и успешно урегулировать. Хотя в данном случае многое зависит от человеческого фактора. Ведь именно человек, а не машина в итоге принимает решение о ликвидности той или иной транзакции».

Напоследок мы попросили представителей компаний дать несколько конкретных практических советов о том, как клиентам ЭПС застраховать себя от мошенничества.

Слово Наталии Чанышевой: «Быть внимательнее. Обращать внимание на такие параметры пользователей в нашей системе как аттестат (или его отсутствие), показатели Business level (BL), уровень доверия, кредитный рейтинг. От фишинга можно защититься только путем повышения бдительности пользователей, через повышение их образованности, чем мы и активно занимаемся. Впрочем, кто-то учится на чужих ошибках, кто-то - на своих, а кто-то не учится вообще - поэтому полностью победить фишинг невозможно».

«Не секрет, что большинство мошеннических действий в Сети, направленных на кражу денежных средств, основывается на банальной невнимательности, а, зачастую, и халатности пользователей. Поэтому, чтобы не попасть на удочку фишеров и других нечистых на руку людей, ведущих преступную деятельность во Всемирной паутине, нужно, прежде всего, руководствоваться здравым смыслом, - советует Андрей Севостьянов. - То есть пользоваться современными антивирусными программами, периодически обновлять антивирусное ПО, не оставлять личные данные на подозрительных сайтах и внимательно относиться к собственной онлайн-корреспонденции. Не стоит также забывать, что главным препятствием на пути мошенников может стать ваш пароль, который является гарантией безопасного хранения ваших средств в системе, как замок является гарантией безопасности вашего дома. И чем лучше замок, тем меньше шансов у недоброжелателей проникнуть в ваше жилище. Так и пароль – чем он сложнее и чем меньше людей знают о его существовании, тем сохраннее средства в вашем кошельке».

Спонсор «Темы недели»


Добавьте комментарий
Для размещения комментария необходима регистрация или авторизация:
 пользователь:   
 запись OpenID: 


Заработай деньги
на своём сайте!
Новый сервис монетизации СМИ и блогов.
Приглашаем сайты к бета-тестированию →
Новости СМИ2

ТЕМА НЕДЕЛИ


Rambler's Top100