Реферат: Проблемы информационной безопасности банков
Visa, MasterCard и Discover требуют от обладателей карточек производства по крайней мере фиксированного минимального платежа.
Разновидностью кредитных карточек являются affinity-карточки. Они выпускаются банком, кредитным объединением или финансовой компанией, заключившими специальное соглашение с профессиональной, общественной, религиозной или другой некоммерческой организацией. Обычно знак этой организации помещается на кредитную карточку. Производитель карточек обязуется отчислять своему контрагенту некоторый (сравнительно небольшой) процент от прибыли при использовании карточек. В ответ на это организация, с которой заключен договор, помогает производителю карточек внедрить их среди ее членов.
Дебетовые карточки используются для дебетовых расчетов. Другие ее названия: карточка наличных средств или расчетная. Она во многом аналогична кредитной. Для дебетовых транзакций чаще всего используются АКА. Дебетовые карточки предназначены для замены наличных денег и персональных чеков.
Пластиковая карточка, как основной носитель информации для АКА и оборудования POS, является притягательным объектом для злоумышленника. Поэтому перед выпуском таких карточек необходимо четко представлять степень их защиты от различных воздействий. Существует два основных требования к банковским карточкам: уникальность и необратимость.
Первое требование означает, что среди всех выпущенных банком карточек не должно быть ни одной одинаковой по характеристикам. Создание подобной карточки должно быть исключено для злоумышленника. Согласно второму требованию, не может быть восстановлена первоначальная информация на карточке.
Для реализации этих требований каждая фирма-изготовитель предусматривает свои схемы защиты, все тонкости которых она хранит в секрете. Рассмотрим два основных способа защиты магнитных карточек от подделки: метод магнитных водяных знаков и метод «сэндвича».
Метод магнитных водяных знаков предусматривает нанесение на магнитную ленту, расположенную на карточке, специального рисунка. Этот рисунок наносится при помощи магнитного поля и выполняет ту же самую функцию, что и обычные водяные знаки на ценных бумагах. При изготовлении карточка подвергается воздействию сильного электромагнитного поля под углом 45 градусов к продольной оси. Затем на нее воздействует специальное записывающее устройство, которое преобразует направленность магнитных полей на карточке к особому виду.
Проверка карточки с нанесенными магнитными водяными знаками осуществляется специальными устройствами. Этот метод защиты не влияет на информацию, которая записана на информационных дорожках, а добавляет на неиспользуемую нулевую дорожку от 50 до 100 разрядов дополнительной информации. Эти знаки используется для дополнительной проверки.
Метод «сэндвича» является альтернативой методу водяных знаков и заключается в том, что одна полоска содержит участки с различными уровнями намагниченности, причем участок с меньшей намагниченностью расположен ближе к головке чтения/записи. Для записи информации на карточку используется сильное магнитное поле. В считывателе информации карточка вначале проходит через стирающее поле. При этом на участке со слабой намагниченностью информация стирается, а с сильной намагниченностью - не изменяется. Затем информация с полосы считывается обычным образом. Надежность этого метода защиты основана на двух предположениях: во-первых, если злоумышленник использует одинарную полосу для подделки карточки, то вся информация на ней будет затерта стирающим полем; во-вторых, для записи на двухслойную полосу требуется специальное оборудование для создания необходимого по величине магнитного поля.
Современные пластиковые карточки имеют несколько степеней (уровней) защиты. Например, карточки системы VISA имеют семь уровней защиты:
1. Торговое имя продукта, которое идентифицирует тип Visa карточки, вместе с символом защиты;
2. Вокруг панели расположена кайма впечатанных кодов идентификации банка;
3. Поле fine-line в области идентификации продукции:
- символ защиты;
- идентификатор банка над символом защиты;
- голубь (эмблема Visa), который видим только в ультрафиолетовых лучах;
- трехмерная голограмма голубя.
В настоящее время не существует достоверной статистики по потерям, которые связаны с использованием пластиковых карточек. По некоторым оценкам, они составляют до $2 млрд. в год. Основной причиной потерь является неправильное использование карточек их законными владельцами. [12]
Пропорции злоупотреблений с пластиковыми карточками зависят от структуры банковской индустрии и поэтому сильно меняются от страны к стране. Например, по сравнению с Западной Европой, в США большие потери происходят именно за счет неправильного использования карточек. Но при этом, по оценкам экспертов, ущерб от мошенничества с применением технических средств составляет не менее $500 млн. в год. [3, с.52]
Ниже приведена статистика потерь для Visa и MasterCard (данные 1993 года). [2, с.24]
Причина | Доля в общих потерях, % |
Мошенничество продавца | 22.6 |
Украденные карты | 17.2 |
Подделка карт | 14.3 |
Изменение рельефа карты | 8.1 |
Потерянные карты | 7.5 |
Неправильное применение | 7.4 |
Мошенничество по телефону | 6.3 |
Мошенничество при пересылке почтой | 4.5 |
Почтовое мошенничество | 3.6 |
Кражи при производстве пересылке | 2.9 |
Сговор с владельцем карточки | 2.1 |
Прочие | 3.5 |
Одно из важнейших требований безопасности при работе с пластиковыми карточками — обеспечение безопасности банкоматов.
В настоящее время на автоматические кассовые аппараты (АКА) возлагаются следующие задачи:
- идентификация и аутентификация клиента;
- выдача наличных денег;
- оповещение о состоянии счета клиента;
- перевод денег клиента с одного счета на другой;
- регистрация всех произведенных операций и выдача квитанций.
Основная задача АКА - выдача наличных денег клиенту. Так как внутри АКА кроме различных устройств находятся и наличные деньги, то должна быть предусмотрена его серьезная физическая защита.
По имеющимся данным [6, с.82] в Великобритании АКА установлены:
* 67 % - в виде, вмонтированном в стену;
* 21 % - внутри банков;
* 5 % - в вестибюлях банков;
* 7 % - отдельно стоящие банкоматы вне банков.
При рассмотрении дальнейшей защиты хранимой в АКА информации предполагается, что нарушение его внешней физической защиты маловероятно.
Автоматический кассовый аппарат может работать в одном из двух режимов:
1. Off-line (автономный режим). В автономном режиме АКА функционирует независимо от компьютеров банка. При этом запись информации о транзакциях производится на внутренний магнитный диск и выводится на встроенный принтер.
2. On-line (режим реального времени). Для работы в этом режиме АКА должен быть подсоединен (непосредственно, либо через телефонную сеть) к главному компьютеру банка. При этом регистрация транзакций осуществляется непосредственно на главном компьютере, хотя подтверждение о транзакции выдается на принтер АКА.
Как автономный режим работы АКА, так и режим реального времени обладают своими достоинствами и недостатками (см. табл. 17).
Преимуществами автономного режима АКА является его относительная дешевизна и независимость от качества линий связи. Это особенно следует отметить в отечественных условиях, когда качество телефонных линий, мягко говоря, не идеально. В то же время низкая стоимость установки напрямую обуславливает высокую стоимость эксплуатации этих аппаратов. Ведь для того, чтобы обновлять списки потерянных карточек, «черные списки» необходимо хотя бы раз в день специально выделенному человеку обновлять в месте расположения АКА. При значительном количестве таких устройств подобное обслуживание затруднительно. Отказ от ежедневного обновления списков может привести к большим потерям для банка в случае подделки карточки или при пользовании украденной карточкой.
Сложности возникают также и при идентификации (аутентификации) клиента. Для защиты информации, хранящейся на магнитной карточке применяется ее шифрование. Для того, чтобы АКА одного и того же банка воспринимали пластиковые карточки в них для шифрования/расшифрования должен быть использован один ключ. Компрометация его хотя бы на одном из АКА приведет к нарушению защиты на всех АКА.
Режим реального времени имеет большие преимущества по сравнению с автономным. Он позволяет клиенту не только получить наличные деньги, но и осуществлять манипуляции со своим счетом. Централизованная идентификация/аутентификация позволяет существенно повысить устойчивость системы к компрометации ключей шифрования. Централизованная проверка идентификатора пользователя делает возможным быстрое обновление списков запрещенных к использованию карточек, а также введение ограничений на количество наличных денег, которые может получить клиент в течение одного дня (для защиты от использования украденных карточек).
Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 26, 27, 28, 29, 30, 31, 32, 33, 34, 35