Проблемы информационной безопасности банковРефераты >> Банковское дело >> Проблемы информационной безопасности банков
Ввод данных для платежа при голосовой связи (идентификатор, номер счета, размер платежа) производится клиентом либо с клавиатуры телефона либо голосом (что менее надежно с точки зрения безопасности, но более технически доступно).
Системы домашнего (телефонного) обслуживания начали внедряться банками с начала 80-годов, однако, до настоящего времени широкого распространения не получили.
Этот вид обслуживания в разных странах находится на различном уровне. Например, в США домашнее обслуживание не приняло больших масштабов в то время как во Франции около 3.5 млн. домов подключено к сети MiniTel.
Некоторое распространение получило телефонное обслуживание и в Великобритании. Основным банком, обеспечивающим эти услуги является там Trustee Savings Banks. Его система SpeedLink в настоящее время обслуживает более 250.000 клиентов, не имеющих специального оборудования, за исключением современного телефона. [12]
Для получения доступа к услугам SpeedLink клиенту необходимо соединиться с ним и назвать свой номер счета и свой идентификатор (PIN SpeedLine) для подтверждения личности. После установления связи клиенты SpeedLink могут получить уведомление на факс-аппарат или по почте (если факс отсутствует). Система предоставляет также такие услуги как оплата счетов, передача денег, ознакомление с последними шестью транзакциями, перевод денег. Соотношение персональных и корпоративных клиентов этой системы находится в отношении 2:1.
First Direct - полная система телефонного обслуживания клиентов на дому. Она введена в действие Midland Bank Group в 1989 году.
Основное ее отличие в том, что она не использует синтезируемый голос или персональный компьютер для проведения расчетов.
Проведенные после установки First Direct исследования показали, что 30% населения посещают банки для того, чтобы использовать банкоматы, а 30% пользуются телефоном.
В системе First Direct особое внимание уделяется начальной идентификации и проверке абонента. Для идентификации используется десятисимвольный пароль, устанавливаемый клиентом и известный только ему. Проверка абонента осуществляется при взаимодействии с оператором. В начале работы оператор запрашивает наугад одну или несколько букв из пароля пользователя. Дополнительно клиент снабжается кодовым словом, которое используется при этой процедуре. Детали процедуры идентификации и аутентификации системы First Direct держатся в секрете.
Будущее этого вида услуг сильно зависит от прогресса в области распознавания речи и создания надежных и сравнительно недорогих устройств с приемлемыми характеристиками такого распознавания. [12]
Банковский автомат-кассир (АКА, банкомат) - специализированное устройство, предназначенное для обслуживания клиента в отсутствие банковского персонала. Это наиболее существенная часть банковской системы, предназначенная, в основном, для выдачи наличных денег. Помимо этой функции АКА может выполнять ряд дополнительных, а числе которых:
* проверка состояния счета клиента;
* изменение параметров счета клиента;
* осуществление различных платежей;
* предоставление информации о:
- страховом полисе клиента;
- котировках ценных бумаг на фондовом рынке;
- покупке и продаже акций;
- обменных курсах валют и т.д.
Автоматический кассовый аппарат состоит из трех устройств ввода (считыватель с пластиковых карточек, цифровая и функциональная клавиатура), двух выходных устройств (микродисплей и принтер) и устройства обработки информации. Взаимодействие клиента с АКА осуществляется при помощи пластиковой карточки, на которой записана необходимая информация, выносной клавиатуры и микродисплея.
В настоящее время устройства обработки информации АКА разрабатываются на основе микропроцессоров. Так, например основой АКА компании NCR являются процессоры Intel 80486 и Pentium. Фактически АКА компании NCR представляет собой персональную ЭВМ, работающую под управлением ОС OS/2 и имеющую до 64 Мбайт оперативной памяти, до 3200 Мбайт дисковой памяти, накопитель на гибких магнитных дисках, дисплей, принтер и другие периферийные устройства. Выполнение операций осуществляется с помощью прикладного программного обеспечения. Шифрование конфиденциальной информации при передаче по каналам связи или при записи на диск осуществляется на основе стандарта DES. Кроме крипто-защиты предусмотрены и другие меры безопасности.
В 90-х годах по данным Американской Ассоциации Банкиров в США услуги АКА использовались половиной национальных банков и всеми крупными банками. [2, с.377].
Системы, обеспечивающие расчеты продавца и покупателя в точке продажи, (point-of-sale, POS) получили распространение в США более 25 лет назад. В основном, все терминалы, подключенные к этим системам размещены на предприятиях торговли. Большинство таких терминалов установлены в супермаркетах, так как там совершается большое количество покупок в течении дня, а также в других магазинах и на автозаправочных станциях.
Системы POS обеспечивают следующие услуги:
- проверку и подтверждение чеков;
- проверку и обслуживание дебетовых и кредитных карточек;
- использование системы электронных расчетов.
Банки, финансирующие систему расчетов в точке продажи, таким образом расширяют список своих клиентов путем предоставления им больших удобств для покупок в магазинах с использованием удаленных устройств. Торговля, в свою очередь, увеличивает количество клиентов, расширяет управление имуществом, сохраняет время клиентов и уменьшает риск потери наличных денег.
Существует два типа систем POS. Основной из них предполагает, что продавец и покупатель имеют счета в одном и том же банке. Данные, необходимые для платежа, передаются через терминалы системы POS банковскому компьютеру, производится платеж и деньги переводятся со счета покупателя на счет продавца. В более сложной системе участвуют два или более банков. При платеже сначала вызывается банк покупателя, производится платеж и записывается на магнитную ленту для передачи в расчетную палату. Расчетная палата в свою очередь пересылает данные о платеже в банк продавца, который кредитует платеж.
Проблемы идентификации клиента при удаленном обслуживании.
Персональный номер (идентификатор) (Personal Identification Number, PIN) - это последовательность цифр, используемая для идентификации клиента. Для ввода PIN как в АКА, так и в терминалах систем POS предусмотрена цифровая клавиатура, аналогичная телефонной. По способу назначения можно выделить следующие типы PIN:
- назначаемые выведенные PIN;
- назначаемые случайные PIN;
- PIN, выбираемые пользователем.
Клиент различает только два типа PIN: PIN, который назначен ему банком, выдавшим карточку, и PIN, который пользователь может выбирать себе самостоятельно.
В связи с тем, что PIN предназначен для идентификации и аутентификации клиента, его значение должно быть известно только клиенту. Однако на практике PIN трудно удержать в памяти и поэтому клиент банка куда-нибудь его запишет (иногда - на саму карточку). В результате задача злоумышленника бывает сильно облегчена.