Компания Positive technologies опубликовала результаты исследования, посвященного защищенности систем дистанционного банковского обслуживания (онлайн-банкинга). Были изучены 11 систем российских банков. Специалисты Positive technologies пришли к выводу, что уязвимости высокой степени риска преобладали в системах ДБО, предлагаемых известными вендорами, а не в самописных решениях.

Positive technologies высказывает мнение, что, приобретая систему у профессионального разработчика, банки подчас не проверяют качество кода, надеясь на поставщика. "Между тем, сложная архитектура, кроссплатформенность и большое количество функций не всегда позволяют вендору обеспечить необходимый уровень защищенности на уровне кода приложения".

А вот мнение еще одного эксперта – риск-менеджера "Банка24.ру" Ангелины Крашенинниковой (его интернет-банк был признан лучшим для бизнеса в 2013 году): "Есть несколько общих факторов, из-за которых "домашние" доработки более защищены.

Во-первых, глобальность. На вкус и цвет все уязвимости разные: общие для языков программирования, но различающиеся логикой построения. Поэтому совершенно естественно сосредоточить атаки на продукты, используемые повсеместно, или продукты с большим количеством клиентов. Дешевле и эффективнее.

Во-вторых, мобильность. Владельцы собственных систем ДБО (или хорошо интегрированные с банками вендоры) обычно достаточно прокачаны в ИТ-разработках. Соответственно, в разы увеличивается скорость реагирования на возможные атаки не только в момент их обнаружения, но и превентивно при анализе рынка вообще. При этом доработки идут в полном согласовании с бизнесом и позволяют сохранять баланс между удобством и безопасностью.

И, в-третьих, как ни странно, клиентоориентированность. "Карманные" разработчики охотнее изменяют способы идентификации (стандартный цифровой логин, например, на удобное клиенту имя). Быстрее реагируют на предложения гиков – эта группа обычно сосредоточена в секторе ранних последователей и в курсе последних технических новинок. Лучше идут на контакт с клиентом – а клиенты за доверие платят тем, что указывают на ошибки и опасности.

В нашем банке богатая история продуктов ДБО – и каждый последующий продукт вбирал в себя все лучшее от предыдущего.

На первом интернет-банке мы отточили двухфакторную аутентификацию одноразовыми кодами и сложный пароль. На втором – привязали возможность использования ОТП-токенов и AGSESS-карт. Сделали так, чтобы не только первичный вход был безопасным, но и вообще клиент постоянно контролировал свои действия и изменения – блок по картам, в том числе с установкой лимитов, раздел с уполномоченными лицами, мобильное информирование по разным типам событий. На третьем, сохранив все доработки по безопасности, делаем максимально дружелюбный интерфейс".

ОАО "Банк24.ру" зарегистрировано в 1992 году (лицензия № 2227). Уставный капитал банка составляет 32 200 000 рублей.