© Коллектив авторов, 2020

Авторы и рецензенты

Авторы

Бердюгин Александр Александрович – аспирант кафедры «Информационная безопасность» Финансового университета при Правительстве РФ, автор более 20 научных работ, включая 1 учебное пособие и 1 коллективную монографию (глава 2)

Дудка Александр Борисович – кандидат экономических наук, доцент кафедры экономики и финансовой политики Омского государственного университета им. Ф.М. Достоевского, автор более 30 научных работ, включая 3 коллективных монографии (глава 7)

Конявская Светлана Валерьевна – кандидат филологических наук, автор более 150 публикаций, включая 8 книг (4 монографии, 1 учебное пособие, 2 методических пособия, 1 коллективная монография) и 2 патента. Заместитель генерального директора ОКБ САПР (глава 10)

Конявский Валерий Аркадьевич – доктор технических наук, автор более 300 работ, включая 12 книг (в т. ч. 3 учебных пособия), 33 патента. Имеет государственные, ведомственные и общественные награды. Лауреат премии и «золотой медали» имени В.М. Глушкова, академик РАЕН, академик АЭН РФ. Научный консультант ОКБ САПР (глава 10)

Назаров Игорь Григорьевич – кандидат технических наук, старший научный сотрудник, автор более 30 публикаций, включая 9 книг (2 монографии, 7 пособий). Действительный государственный советник 3-го класса, ветеран Вооруженных сил Российской Федерации, почетный сотрудник ФСТЭК России, награжден ведомственными наградами Минобороны России, ФСБ России и ФСТЭК России. Генеральный директор ОКБ САПР (глава 10)

Неваленный Александр Владимирович – независимый эксперт в области информационной безопасности, автор 10 научных работ, включая 2 коллективных монографии (глава 3)

Ожеред Игорь Вячеславович – преподаватель кафедры «Информационная безопасность» Финансового университета при Правительстве РФ, автор 10 научных работ, включая 2 учебных пособия (глава 2)

Ошманкевич Ксения Романовна – аспирант кафедры государственного аудита Высшей школы государственного аудита (факультет) МГУ им. М.В. Ломоносова (глава 2)

Персанов Денис Юрьевич – директор по безопасности AD Group, автор 10 научных работ, включая 3 коллективных монографии (глава 3)

Пименов Петр Александрович – полковник полиции в отставке, сотрудничает с Московским университетом МВД России имени В.Я. Кикотя, автор более 20 научных работ, включая 2 учебных пособия и 1 коллективную монографию (глава 4)

Ревенков Павел Владимирович – доктор экономических наук, профессор кафедры «Информационная безопасность» Финансового университета при Правительстве РФ, автор более 200 научных работ, включая 3 монографии, 2 учебных пособия и 4 коллективных монографии (главы 1, 2, 5–8)

Русин Лев Игоревич – эксперт в сфере проведения финансовых расследований, направленных на выявление и пресечение противоправной деятельности, связанной с неправомерным использованием инсайдерской информации и манипулированием рынком ценных бумаг, а также с легализацией (отмыванием) преступных доходов. Занимал различные должности в Следственном Комитете, Росфинмониторинге и Банке России (глава 9)

Силин Николай Николаевич – заместитель генерального директора FinTech Lab, приглашенный преподаватель программы «МВА – управление инвестициями» Банковского института НОУ «Высшая школа экономики», член Совета по финансово-промышленной и инвестиционной политике ТПП РФ, эксперт «Клуба «Валдай». Один из ключевых разработчиков концепции Форума инновационных финансовых технологий Finopolis, автор более 20 публикаций по тематике информационных, образовательных и бизнес-технологий (глава 11)

Фролов Дмитрий Борисович – доктор политических наук, кандидат юридических наук, советник генерального директора ФГУП «Российская телевизионная и радиовещательная сеть», член экспертного совета Комитета Государственной Думы по безопасности и противодействию коррупции, заведующий кафедрой «Организация технической эксплуатации сетей телевизионного и радиовещания» МТУСИ, автор более 120 научных работ, включая 4 коллективные монографии (глава 2)

Рецензенты

Дворянкин Сергей Владимирович – доктор технических наук, профессор кафедры «Информационная безопасность» Финансового университета при Правительстве РФ, профессор кафедры «Комплексная безопасность критически важных объектов» РГУ НГ им. И.М. Губкина, профессор кафедры защиты информации (ИУ-10) МГТУ им. Н.Э. Баумана, академик, действительный член РАЕН. Автор более 200 научных работ и 5 изобретений, в том числе монографий, учебников и учебных пособий. Член Евразийской ассоциации экспертов в области кибербезопасности

Крылов Григорий Олегович – доктор физико-математических наук, кандидат юридических наук, профессор, заслуженный работник высшей школы, профессор кафедры «Информационная безопасность» Финансового университета при Правительстве РФ, профессор кафедры «Финансовый мониторинг» Национального исследовательского ядерного университета «МИФИ», действительный член (академик) Российской академии транспорта и Академии военных наук. Автор более 300 научных работ, в том числе монографий, учебников и учебных пособий. Полковник в отставке, ветеран военной разведки, ветеран Вооруженных сил, ветеран труда

Принятые сокращения

АПМДЗ – аппаратно-программный модуль доверенной загрузки

АПО – аппаратно-программное обеспечение

АРМ КБР – автоматизированное рабочее место клиента Банка России

АС – автоматизированная система

БАС – банковская автоматизированная система

БКБН – Базельский комитет по банковскому надзору

БКИ – бюро кредитных историй

ВРБ – высшее руководство банка

ВрПО – вредоносное программное обеспечение

ГосСОПКА – Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак

ДБО – дистанционное банковское обслуживание

ДВС – доверенная вычислительная среда

ДСС – доверенный сеанс связи

ЕБС – Единая биометрическая система

ИБ – информационная безопасность

ИКТ – информационно-коммуникационные технологии

ИОК – инфраструктура открытых ключей

ИПС – изолированная программная среда

ИТ – информационные технологии

КА – код аутентификации

КИИ – критическая информационная инфраструктура

КП – ключ подписи

НКЦКИ – Национальный координационный центр по компьютерным инцидентам

НОИ – Национальный оператор идентификации

НСД – несанкционированный доступ

ОКФС – организация кредитно-финансовой сферы

ОС – орган сертификации

ПАК – программно-аппаратный комплекс

ПИБ – политика информационной безопасности

ПИН – персональный идентификационный номер

ПКО – подконтрольный объект

ПОД/ФТ – противодействие легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма

РКБ – резидентный компонент безопасности

РПВ – разрушающие программные воздействия

СБР – системный банковский риск

СВА – служба внутреннего аудита

СВК – служба внутреннего контроля

СВТ – средство вычислительной техники

СД – совет директоров

СДЗ – средство доверенной загрузки

СИБ – служба информационной безопасности

СКЗИ – средство криптографической защиты информации

СН – служебный носитель

СОДС – средство обеспечения доверенного сеанса связи

СУИБ – система управления информационной безопасностью

СФК – среда функционирования криптографии

СЭБ – система электронного банкинга

СЭДО – система электронного документооборота

СЭП – средство электронной подписи

ТБР – типичный банковский риск

УКЭП – усиленная квалифицированная электронная подпись

ЦОД – центр обработки данных

ЭБ – электронный банкинг

ЭБР – элементарный банковский риск

ЭлД – электронный документ

ЭП – электронная подпись

ЭСП – электронное средство платежа

ЭЦП – электронная цифровая подпись

AI – Artificial Intelligence

API – Application Programming Interface

CPS – Cyber-Physical Systems

DDoS – Distributed Denial of Service

DoS – Denial of Service

EBG – Electronic Banking Group

GAN – Generative Adversarial Network

GDPR – General Data Protection Regulation

IoE – Internet of Everything

IoT – Internet of Things

ISP – Internet Service Provider

ML – Machine Learning

OCC – Office of the Comptroller of the Currency

OCF – Open Connectivity Foundation

OFC – OpenFog Consortium

PaaS – Platform as a Service

PFM – Personal Financial Management

RPA – Robotic Process Automation

SCS – Social Credit Score

SWIFT – Society for Worldwide Interbank Financial Telecommunications

VPN – Virtual Private Network

XBRL – eXtensible Business Reporting Language

Вступительное слово

Банковский бизнес одним из первых начал использовать преимущества работы в киберпространстве, что обусловлено значительным сокращением затрат на осуществление операционной деятельности: нет необходимости содержать банковские офисы, а функции операциониста выполняет сам клиент с использованием компьютера, планшета или смартфона.

Однако наряду с очевидной привлекательностью такого способа проведения банковских операций появляется и немало дополнительных рисков (как у банка, так и у его клиентов), источниками которых являются виртуальный характер дистанционных банковских операций и постоянно возрастающая активность киберпреступников, ставящих основной своей целью незаконное завладение денежными средствами банков и (или) их клиентов, а также их персональными данными.

Киберпреступность, обладая высокой степенью латентности, остается одним из главных сдерживающих факторов распространения систем электронного банкинга в кредитно-финансовой сфере. В связи с этим развитие научных подходов к решению данных проблем, несомненно, будет способствовать своевременному принятию эффективных защитных мер, обеспечивающих безопасность работы в киберпространстве. Появление таких работ – это очередной шаг к детальному изучению всех особенностей предоставления как банковских, так и в целом финансовых услуг в киберпространстве.

Предлагаемая вашему вниманию книга написана профессионалами своего дела, имеющими большой практический опыт работы по обеспечению кибербезопасности как в регулирующих органах, так и в бизнес-структурах. Она может представлять интерес для студентов, аспирантов, обучающихся по специальностям «Информационная безопасность» и «Банковское дело», а также для преподавателей, работающих по данным специальностям, и всех читателей, желающих получить новые знания в области обеспечения кибербезопасности при использовании систем электронного банкинга.

Р.А. Прохоров,

Председатель Правления Ассоциации

«Финансовые инновации» (АФИ)

Предисловие

Технологии дистанционного банковского обслуживания (включая системы электронного банкинга) стали активно применяться (как в России, так и за рубежом) с начала третьего тысячелетия.

За 20 с небольшим лет системы электронного банкинга для многих людей стали привычным инструментом. Современный смартфон выступает не только как средство связи, органайзер, хранилище аудио- и видеофайлов, игровой компьютер, но и как удобное устройство, с помощью которого можно выбирать товары и услуги, заказывать билеты, а также моментально производить оплату своего выбора.

Для того чтобы любая технология получила широкое распространение, а самое главное – доверие со стороны клиентов, должны выполняться по крайней мере три условия:

– она должна быть легальной (т. е. иметь правовые основания для использования^[1]);

– она должна быть безопасной (иначе сложно рассчитывать на доверие к ней со стороны клиентов);

– она должна «хорошо продаваться» (т. е. быть привлекательной для бизнеса – приносить прибыль).

Применяя такой подход к технологиям дистанционного банковского обслуживания, можно сказать, что с правовой точки зрения препятствий для внедрения и использования таких технологий почти нет. Однако есть некоторое отставание нормативной базы, регламентирующей банковскую деятельность, что в ряде случаев может привести к ослаблению контроля над кредитными организациями со стороны регулирующих органов.

В рамках обеспечения безопасности многие кредитные организации стараются использовать комплексный подход, применяя различные меры на всех этапах жизненного цикла систем электронного банкинга. Однако возрастающая активность киберпреступников, которые используют различные способы получения конфиденциальной информации (в т. ч. применяя методы социальной инженерии), и недостаточный уровень финансовой грамотности и киберграмотности граждан не позволяют считать технологии дистанционного банковского обслуживания в полной мере безопасными. Минимизировать сопутствующие риски можно только за счет успешного решения всех задач, связанных с должным уровнем кибербезопасности, как на стороне банков, так и на стороне их клиентов (при непосредственном участии всех регулирующих органов).

Добавим, что сегодня для развития технологий дистанционного банковского обслуживания (включая системы электронного банкинга) складываются достаточно хорошие условия. Повсеместно растет число клиентов, которые ежедневно пользуются одним из видов электронного банкинга, заметно улучшаются качество работы и безопасность самих банковских веб-приложений.