Волохович Л.С., Глушкова М.О.

Національний авіаційний університет, Україна

 

Переваги та недоліки банківських платіжних систем

 

На сьогоднішній день саме в банківській сфері спостерігається як позитивний ефект, пов’язаний з впровадженням сучасних автоматизованих технологій обробки інформації, так і негативні вияви, а саме:

·        частішають спроби крадіжок грошових коштів, в тому числі за допомогою засобів комп’ютерної техніки;

·        не завжди ефект від впровадження передових технологій не виправдовує  витрати;

·        не всі послуги надаються на досить якісному рівні.

Багато хто з банків вже  зіткнулися з такими проблемами, як забезпечення безпеки обміну інформацією між відділами банків, що працюють в режимі єдиного кореспондентського рахунку. Оскільки більшість платежів в банках становлять внутрішньо-системні платежі безпеки інформації, що циркулює у відомчих мережах передачі даних. Відсутності нормативно-правової бази, яка дає змогу вирішувати питання електронного грошового обігу як між відділами банків, так і між банками і їхніми клієнтами ,також вносить деякі свої нюанси. Без комплексного вирішення цих та інших питань, створити надійну систему електронних розрахунків і зробити доступ до неї простим і зручним для всіх її учасників – з часом стає все важче, томущо з кожним роком впроваджуються нові введення .

 В зв’язку з таким  стрімким введенням таких новинок і  спостерігається сповільнення темпів зростання кількості банків, що працюють на території України. Цей процес пов'язаний  з процесом зростання  кредитних карток, активний обмін фінансовою інформацією між відділами банків з використанням засобів телекомунікації, впровадження різноманітних автоматизованих систем обробки фінансової інформації всередині банків. Не останнє місце серед таких нововведень займають системи електронних платежів “Клієнт–Банк”, що дають змогу клієнтам банку виконувати операції зі своїм банківським рахунком  безпосередньо не виходячи з дому чи  офісу.

   За допомогою такої системи клієнт на своєму автоматизованому робочому місці (АРМ) виконує підготовку електронних платежів документів (ЕПД).

ЕПД за допомогою програмно-технічних засобів телекомунікації (модему і відповідного программного забезпечення) передаються до банку, де приймаються також через телекомунікаційні засоби, що функціонують

на спеціально впровадженому комп’ютері, підключеного до локальної обчислювальної мережі (ЛОМ) банку. У цій ЛОМ функціонує програмний комплекс автоматизованої системи банківського виробництва (АСБВ), який називають комплексом операційного дня банку (ОДБ). Прийняті зв’язним сервером (ЗС) електронні платежі документів каналами ЛОМ передаються в АСБВ, де здійснюється їх подальша обробка. Після прийняття ЕПД і обробки АСБВ формує квитанцію і передає її на ЗС для наступної передачі клієнту. Протягом операційного дня і після його завершення АСБВ формує і передає на ЗС повідомлення про рух на рахунку клієнта (поточні та кінцеві виписки).

    Ця система стала дуже популярною серед клієнтів банків, тому що вона дуже зручна, має вигляд електронних документів, що відображені в інтерфейсі користувача, максимально наближено до паперових, що значно спрощує користування системою. Як і паперові, електронні платіжні документи, що надсилаються до банку, підписують посадові особи підприємства, але замість звичайного підпису, використовується електронний підпис, який зберігається на дискетах.  При користуванні "Клієнт-Банком" зростає швидкість проходження платежів. Зрозуміло, що відпадає необхідність у щоденних візитах до банку для проведення безготівкових платежів. Це економить час та  кошти.

   Але з точки зору безпеки в цій технології існує безліч вразливих місць та недоліків. Одним з  таких вразливих місць  цієї системи є пересилання документів між клієнтом і банком.  Ця проблема, пов’язана з необхідністю взаємного розпізнавання абонентів,  захист документів,  які передаються каналами зв’язку (забезпечення цілісності та конфіденційності документів), захист самого процесу обміну документами (проблема доставки документа).

Не оминули проблеми і сам процес обробки і прийняття рішень про зміну стану рахунку клієнта (про переказ коштів):

·       підтвердження цілісності та юридичної значимості прийнятого документа (ідентифікація та автентифікація відправника, а також автентифікація повідомлення);

·       забезпечення захисту від несанкціонованої модифікації вже прийнятого ЕПД;

·       захист від нав’язування хибної інформації зловмисником всередині відділення банку;

·       захист цілісності використовуваних при обробці ЕПД в банку програмних засобів для блокування можливостей несанкціонованого доступу і модифікації інформації про стан рахунків клієнта.

В звязку з тим що клієнт і банк юридично незалежні, існує проблема недовіри – чи будуть вжиті щодо прийнятого документа відповідні дії.

   Великі ролі в цих недоліках відіграють як ідентифікації так і автентифікації відправника ЕПД, а також авторизації самого документа -застосування цифрового підпису документа, що виконується за допомогою несиметричних криптоалгоритмів.  Існує кілька алгоритмів для виконання цифрового підпису. Серед них схема підпису заснована на шифрованому алгоритмі відкритого ключа RSA.  Безпека цього алгоритму цифрового підпису залежить від складності факторизації великих простих чисел. При застосуванні цифрового підпису RSA, перевірка підпису відбувається набагато швидше, ніж його створення. Такий ефект є бажаним, оскільки повідомлення підписується індивідом тільки один раз, але цей підпис можна перевіряти багаторазово. А от для автентифікації та приховування смислового змісту повідомлень доцільно використовувати симетричні криптоалгоритми, наприклад, DES.

При  встановленні зв’язку між абонентами , можна  виконувати дві  процедури атентифікації: простої та строгої. Процедура простої автентифікації полягає  в обміні паролями. А от  за допомогою процедури строгої автентифікації застосовують  несиметричні криптоалгоритми, це  значно підвищить стійкість системи, тому що немає необхідності  в обміні секретними паролями.  Для фіксації процесів приймання /передачі повідомлень засобами системи захисту слід підтримувати ведення архівів прийнятих і переданих документів, причому доступ до цих архівів має бути обмеженим як програмно, так і організаційно. Всі повідомлення про спроби НСД до інформації,  виявлені засобами системи захисту, повинні фіксуватися в спеціальних журнальних файлах.

 

 

Список літератури:

1.       Тимошенко А.А. Защита информации в системах «Клиент-Банк»

2.       Методи захисту банківської інформації» :  В.К.Задирака, О.С.Олексюк, М.О.Недашковський

 

3.