Использование персональных данных при контроле доступа – риск для бизнеса
Об этом пишет Стив Рэган, обозреватель журнала Chief Security Magazine, ссылаясь на мнение экспертов по вопросам безопасности. Один из них, Скотт Уэбб, имел случай на собственном опыте убедиться, что использование персональной информации для доступа к закрытым ресурсам опасно.
Однажды ему понадобилось перекинуть деньги с одного счета на другой, но по каким-то причинам не мог воспользоваться инструментом онлайн банкинга, а потому решил обратиться в службу поддержки банка Delta Community Credit Union. Оператор для проверки попросил клиента назвать последние четыре цифры социальной страховки, домашнего адреса, телефона и номера банковского счета. Информацию по первым трем позициям в принципе можно отыскать в открытых источниках, а четвертая позиция – самая важная и сугубо конфиденциальная – вполне может быть раскрыта путем т.н. «социального инжиниринга» (получения несанкционированного доступа к информации без применения технических средств, с использованием особенностей психологии человека). Позднее Уэббу опять пришлось позвонить в тот же банк, и вся процедура вновь повторилась. Оператор спросил последние цифры по тем же позициям, затем перенаправил клиента в соответствующий отдел банка, где пришлось отвечать на те же вопросы плюс называть еще номер дебитной карты.
По мнению ряда экспертов, проверочные вопросы, базирующиеся на фактах личной жизни, могут служить методом персональной идентификации при условии, что эти факты известны строго ограниченному кругу лиц, лучше всего, двоим, т.е. участникам телефонного диалога. Но когда одна и та же информация (к примеру, девичья фамилия матери, имя любимого школьного учителя, кличка домашнего животного,…) используется постоянно, то надежность этого способа деградирует. Чем больше людей овладевают конфиденциальной информацией, тем труднее держать ее в тайне от потенциальных злоумышленников. Хотя банковские служащие уверяют, что чередуют, меняют проверочные вопросы каждые несколько дней, Уэббу ни разу не предложили иной набор вопросов.
В идеале, банки и другие финансовые организации должны исключить вопросы, ответы на которые можно найти в открытых источниках (номера телефонов, адреса и пр.), утверждает Роберт Хансен, вице-президент WhiteHat Security. Проверка должна строиться на информации, которую никак не могут знать посторонние. Например, вопрос может звучать следующим образом: «Три недели назад вы сняли со счета 300 долларов, каким банкоматом воспользовались?». Или: «Скажите, сколько вы заплатили со счета по ипотеке в прошлом месяце?».
Понятно, что потребители банковских услуг предпочитают пользоваться удобными, простыми и легкими способами доступа к своим счетам. Если комфорт и соображения безопасности вступают в противоречие, то их выбор – в пользу первого. С развитием интернет технологий сохранять нужный баланс становится все труднее. Риски слишком велики. Рано или поздно все стороны – и банкиры, и их клиенты - придут к однозначному выводу о необходимости отказаться от подобного рода проверки и искать новое, более надежное и безопасное средство. Это может быть сочетание мульти-факторной идентификации, одноразового пароля и биометрии.
© "АМУЛЕТ" 2003 г. Тел/Факс.(495) 614-40-60, 614-41-60,
Е-mail:sb@amulet-group.ru
|