Угрозы, связанные с использованием систем электронных платежей
Материалы » Анализ электронных платежных систем » Угрозы, связанные с использованием систем электронных платежей
Рассмотрим возможные угрозы разрушающих действий злоумышленника по отношению к данной системе. Для этого рассмотрим основные объекты нападения злоумышленника. Главным объектом нападения злоумышленника являются финансовые средства, точнее их электронные заместители (суррогаты) - платежные поручения, циркулирующие в платежной системе. По отношению к данным средствам злоумышленник может преследовать следующие цели:
1. Похищение финансовых средств.
2. Внедрение фальшивых финансовых средств (нарушение финансового баланса системы).
3. Нарушение работоспособности системы (техническая угроза).
Указанные объекты и цели нападения носят абстрактный характер и не позволяют провести анализ и разработку необходимых мер защиты информации, поэтому в таблице 4 приводится конкретизация объектов и целей разрушающих воздействий злоумышленника.
Таблица 4 Модель возможных разрушающих действий злоумышленника
|
Объект воздействия |
Цель воздействия |
Возможные механизмы реализации воздействия. |
|
HTML-страницы на web-сервере банка |
Подмена с целью получение информации, вносимой в платежное поручение клиентом. |
Атака на сервер и подмена страниц на сервере. Подмена страниц в трафике. Атака на компьютер клиента и подмена страниц у клиента |
|
Клиентские информационные страницы на сервере |
Получение информации о платежах клиента (ов) |
Атака на сервер. Атака на трафик. Атака на компьютер клиента. |
|
Данные платежного поручения, вносимые клиентом в форму |
Получение информации, вносимой в платежное поручение клиентом. |
Атака на компьютер клиента (вирусы и т.д.). Атака на данные поручения при его пересылке по трафику. Атака на сервер. |
|
Частная информация клиента, расположенная на компьютере клиента и не относящаяся к системе электронных платежей |
Получение конфиденциальной информации клиента. Модификация информации клиента. Выведение из строя компьютера клиента. |
Весь комплекс известных атак на компьютер, подключенный к сети Интернет. Дополнительные атаки, которые появляются в результате использования механизмов платежной системы. |
|
Информация процессингового центра банка. |
Раскрытие и модификация информации процессингового центра и локальной сети банка. |
Атака на локальную сеть, подключенную к Интернет. |
Из данной таблицы вытекают базовые требования, которым должна удовлетворять любая система электронных платежей через Интернет:
Во-первых, система должна обеспечивать защиту данных платежных поручений от несанкционированного изменения и модификации.
Во-вторых, система не должна увеличивать возможности злоумышленника по организации атак на компьютер клиента.
В-третьих, система должна обеспечивать защиту данных, расположенных на сервере от несанкционированного чтения и модификации.
В-четвертых, система должна обеспечивать или поддерживать систему защиты локальной сети банка от воздействия из глобальной сети.
В ходе разработки конкретных систем защиты информации электронных платежей, данная модель и требования должны быть повергнуты дальнейшей детализации. Тем не менее, для текущего изложения подобная детализация не требуется.
Статьи по теме:
Основные рекомендации
по совершенствованию политики в отношении пассивных операций Сбербанка России
Исходя из анализа динамики основных показателей ресурсной базы Сбербанка РФ, можно сделать вывод о том, что отделение имеет эффективную депозитную политику. Вместе с тем, развитие конкуренции на банковском рынке требует ее постоянного совершенствования, основанного на Концепции развития Сбербанка ...
Цели и задачи
риск-менеджмента в банках
В связи с постоянным ростом влияния риска на финансовую деятельность особенно актуальной становится проблема банковского менеджмента – управления банковскими рисками, то есть использование различных мер, позволяющих в определенной степени прогнозировать наступление рискового события в банковской д ...
Стуктурные элементы платёжной системы
Существующая в настоящее время в республике национальная платежная система обеспечивает потребности экономики в целом и банков в частности в своевременном и качественном проведении расчетов. Как и в других странах, она включает ряд элементов, основными из которых являются: участники системы; средс ...