Фальсификация услуг

Автор работы: Пользователь скрыл имя, 25 Октября 2014 в 19:22, реферат

Описание работы

Пока власть вводила и «совершенствовала» Единый госэкзамен, рынок отрабатывал способы его фальсификации. На этот раз оказалось, что все ответы на вопросы ЕГЭ не просто есть в интернете. Если бы дело было только в этом, их хотя бы нужно было заучивать.

Файлы: 1 файл

Фальсификация услуг.doc

— 69.00 Кб (Скачать файл)

Фальсификация фальсификации

Опубликовано 17.06.2011 автором Николай Соснов

Россия вступает в новую образовательную эпоху – эпоху цикличных скандалов по поводу ЕГЭ.

Пока власть вводила и «совершенствовала» Единый госэкзамен, рынок отрабатывал способы его фальсификации. На этот раз оказалось, что все ответы на вопросы ЕГЭ не просто есть в интернете. Если бы дело было только в этом, их хотя бы нужно было заучивать.

Оказалось, что их можно получать не выходя из экзаменационной аудитории, сфотографировав текст задания и отослав его в фирму-поставщика информации.

Министерство Фурсенко только успело ввести запрет на пронос в аудиторию мобильных телефонов, как экзаменуемые в ответ стали приходить с двумя – один сдается, другой вносится.

В этом примере – суть проблем подобного контроля. Чтобы препятствовать некому нарушению, нужно создавать нормативную базу, организовывать пункт сдачи мобильных. То есть нужны люди и хранилища, некие особые ресурсы и условия. А вот, чтобы запрет обойти, ни времени, ни особых затрат, ни изобретательности не нужно – надо только принести с собой два мобильных телефона.

Дальше потребуются более жесткие процедуры: рамка на входе в аудиторию, выворачивание карманов, если она дала сигнал, проверка ручным металлоискателем, личный досмотр, специальные сотрудники для юношей и девушек.

Потом будут преподаватели, выдающие по договоренности мобильные нужным студентам в аудитории, потом – системы глушения сигнала мобильных в пространстве здания, где сдаются экзамены.

История брони и снаряда конечно вечна, но было бы ради чего ее устраивать. Если обеспечение информационной безопасности на выпускном экзамене в школе требует спецсредств на уровне борьбы с терроризмом, то само по себе это свидетельствует о некой порочности системы и несоразмерности замысла средствам его обеспечения.

И здесь есть еще один момент. Были люди, которые инициировали эту нелепую затею. То, что она нелепа по существу, говорили все специалисты. Но эти люди сочли себя новаторами и решили, что закоснелым в советских предрассудках российским преподавателем просто не дано понять глубины их новации. И решили ее навязать не смотря ни на что. Они утверждали, что у них все продумано и даже несколько лет проводили эксперименты, итоги которых, правда, не были подведены. Впрочем, вся новация заключалась лишь в неком неумелом подражании зарубежному опыту.

И оказалось, что эти продвинутые новаторы, организаторы внедрения передового опыта, ничего не знают ни о том, что у школьников могут быть мобильные телефоны, ни о том, каковы возможности интернета, ни о том, что он давно уже стал беспроводным, ни о том, что в условиях рыночной экономики, поклонниками которой являются эти новаторы, товаром становится все.

Но, если они не смогли предвидеть такую простую вещь, как получение через интернет правильных ответов на вопросы, это наглядно показывает, чего стоит весь их проект. И можно только догадываться, чего они еще не смогли спрогнозировать.

Каждый год приносит новые неожиданности и новые способы фальсификации результатов ЕГЭ. Теперь авторы проекта заявляют, что ЕГЭ не породил эти фальсификации и нарушения, а позволил их выявить. Мол, все тоже самое происходило и при сдаче экзаменов в традиционной форме. Лицемерие такого постулата сравнимо с утверждением убийцы, разбившего человеку голову, что он не убивал последнего, а только выявил слабость его черепа, который мог проломит любой упавший на этот череп камень.

У системы ЕГЭ есть два сущностных, изначально рамочных порока. Первый – это унификация и обезличенность. Ее создатели утверждали, что для искоренения коррупционной составляющей из экзаменационного процесса нужно исключить субъективное начало, человеческий фактор. И максимально систему формализовать.

Но, с одной стороны, унифицировав процесс в масштабах страны, они создали возможность унификации средств фальсификации результатов. Небольшая группа людей может обеспечить поставку информации во все регионы. Вопросы универсальны – ответы универсальны, равно как и средства фальсификации.

С другой стороны, освободив процесс от субъективности экзаменатора, они освободили его и от честности. То есть, процесс теперь не строится на профессиональной порядочности, которая уже не может служить преградой на пути фальсификации. Человека в процессе нет, а значит с моральной точки зрения тому или иному участнику все равно, проходит экзамен честно или нет.

Теперь о втором пороке системы ЕГЭ. Традиционная форма экзаменов была ориентирована на выявление и оценку знания предмета. ЕГЭ ориентирован на выявление знания ответа на стандартные вопросы. Первая форма ориентировала сдающего экзамен на поиск и усвоение знания. Вторая – на поиск нужного ответа. Ответ можно искать и получать разными способами. И знание, как таковое, здесь вообще не причем.

И любой, кто связан с этим процессом, это понимает. Поэтому, включаясь в той или иной степени в процесс фальсификации, он даже не входит в противоречие с моралью. Когда преподаватель шел на коррупционную или иную форму необъективной оценки знаний экзаменуемого, он знал, что участвует в сущностном обмане. Знал, что грешит против профессиональной составляющей –долг преподавателя и самоуважение призывали его оценить ответ честно.

В случае с ЕГЭ он знает, что фальсификация не противоречит объективности оценки знания. Потому что ЕГЭ знаний не выявляет в принципе. И в объективность его оценок не верит большая часть общества – лишь 15 % еще думают, что он оценивает знания выпускников лучше старой системы.

Следовательно, человек, который обманывает эту систему глупости и необъективности, помогает избежать заведомо необъективной и ни о чем не свидетельствующей оценки.

То есть в итоге именно сам ЕГЭ, будучи бессодержательной формальной процедурой, поощряет и мотивирует, оправдывает и облегчает собственную фальсификацию.

А поскольку сам он по сути есть имитация и фальсификация, его фальсификация оказывается лишь уничтожением этой исходной фальсификации.

 

Услуги мобильного банкинга становятся все более популярными и существенно облегчают жизнь как клиентам, так и самим финансовым учреждениям. Тем не менее, на другой чаше весов один, но большой минус: использования телефонов для доступа к банковским услугам существенно понижает уровень безопасности и повышает шансы злоумышленников завладеть данными или деньгами. Причем по большей части это вина отнюдь не банков. 
 
В связи с внедрением мобильных сервисов возникли значительные риски информационной безопасности. Причем для банков они были новыми и существенно отличались от привычных, вроде кредитов на чужой паспорт или скиммеров на банкоматах. С другой стороны, из-за реальной угрозы оттока клиентов ввиду финансового кризиса банкам пришлось активнее работать над удобством предоставления своих услуг. 
 
Главная угроза безопасности мобильного банкинга заключается не в ИТ-инфраструктуре самого банка и не в каналах передачи данных его "сотовых" партнеров: вопросы безопасной передачи данных в сетях GSM решены достаточно успешно. Наименее надежная часть системы – в конце "последней мили", то есть это сам клиент и его мобильное устройство. Причем банк не может контролировать клиента и указывать ему правила безопасного поведения при работе со счетом. Он может лишь обратить его внимание на это. 
 
Потому что жизнь - борьба 
 
На заре своего развития мобильный банкинг предлагал клиентам две основные услуги: информирование о движении средств по счету и пополнение телефонного баланса, то есть оплату самого инструмента предоставления банковской услуги. Такой канал выхода на банковские системы мошенников не интересовал, поэтому долгое время клиенты могли не беспокоиться о безопасности своих счетов даже при утере телефона. 
 
Со временем услуга модернизировалась, и клиенты получили ряд возможностей удаленного управления счетами, которые раньше были доступны только при личном визите в офис или через интернет-банк с обычного компьютера. К этому банкиров подтолкнули жесткая конкуренция и развитие мобильных платформ. Форсированный вывод фронт-офиса в онлайн позволил бы им сократить расходы на физические офисы и заодно удовлетворить требования клиентов по комфортному предоставлению банковских услуг. 
 
Кроме того, "банковский бизнес – это борьба жадности с осторожностью", по меткому выражению одного из банкиров. Поэтому очень важно дать клиенту такой набор инструментов, с помощью которого он в перспективе сможет пользоваться банковскими услугами сразу же после возникновения потребности или простого желания что-то купить, когда он еще "горяч" и готов потратить остатки, влезть в овердрафт или взять кредит. А набор из пластиковой карты и смартфона носит с собой почти каждый экономически активный гражданин. 
 
Онлайн больших возможностей 
 
Мобильные сервисы, предоставляемые разными банками в рамках ДБО, различаются по функционалу и способу реализации. Например, "Сбербанк РФ" использует систему, которая позволяет клиенту самому писать смс-запросы или отправлять их через интерфейс JAVA-приложения. Таким образом клиент может проводить основные операции, такие как получение информации о состоянии счета и последних операциях, включая операции через "Интернет-банк ОнЛ@йн", оплату коммунальных услуг в двух столицах, пополнение баланса у сотовых операторов и интернет-провайдеров, погашение кредита, блокировку пластиковой карты при утере или компрометации. 
 
Аналогичная система "Альфа-Мобайл", используемая "Альфа-Банком", обладает более широким функционалом, предлагая дополнительно переводы между своими счетами и переводы в другой банк или другому клиенту "Альфа-Банка". 
 
Пожалуй, наиболее обширный функционал имеет система HandyBank, в которую входят около 50 банков-провайдеров, включая "Альта Банк", "Интерпрогрессбанк", "Ренессанс Кредит" и другие. Она поддерживает, в частности, мгновенный перевод средств на счет клиента от других участников системы, стандартные банковские платежи по реквизитам, оплату покупок в интернет-магазинах и все прочие действия, предусмотренные интернет-банком. 
 
Подобных систем насчитываются десятки, но функционал лишь 15 из них, по оценке "Эксперт РА", удовлетворяет ожиданиям пользователей. 
 
Знакомство вслепую 
 
Чем больше возможностей по выводу средств предоставляет система мобильного банкинга, тем больше желающих воспользоваться ими неправомерно. Вопрос, как обычно, только в том, как это сделать. 
 
Банк не может проверить документы человека, работающего в системе через смартфон или планшет. Отсюда возникают угрозы: злоумышленник может завладеть мобильным устройством или же данные из устройства могут быть перехвачены шпионским ПО и отправлены преступникам. 
 
Такие ситуации вполне реальны. Активных пользователей мобильного банкинга в России, по экспертным оценкам, несколько сотен тысяч (хотя и публикуются пресс-релизы о миллионах подключившихся к "мобильному банку", многие клиенты не продвигаются дальше получения смс об операциях по карте). Ежегодно в России происходит около 100 тыс. краж/утерь мобильников и КПК. Если владелец записал в памяти телефона свой пароль к банковскому приложению, преступник имеет большие шансы снять с его счета все доступные средства. 
 
Помимо этого, клиент может стать жертвой несанкционированного доступа к его данным, просто загрузив со стороннего сайта игру или другое приложение, содержащее вредоносный код. Во время очередного выхода в интернет личные данные отправятся к новому владельцу. 
 
Простота хуже воровства 
 
Статистика показывает, что подобная безалаберность со стороны клиента - это реальность. Согласно недавнему исследованию Ponemon Institute в США, 29% владельцев телефонов хранят в них данные о своих пластиковых картах. 90% опрошенных понятия не имеют, что сами могут загрузить на телефон шпионскую программу. Столько же людей не знают, что финансовые приложения для смартфонов передают в интернет детали платежа, включая данные о карте. 
 
Случаи реальных мошеннических действий со счетами клиентов через мобильные устройства банки предпочитают не разглашать, опасаясь за свою репутацию, которая дороже денег. Но известны ситуации, когда осуществлялась атака пользователей интернет-клиентов как минимум двух крупных российских банков, когда троянская программа меняла записи в файле hosts на компьютерах жертв и вместо сайта своего банка люди попадали на фишинговые сайты, где и вводили пароли. 
 
Что касается мобильных устройств, то, согласно отчету фирмы Juniper Networks, за последний год вчетверо выросло число вирусов, выявленных для системы Android. Существуют зловредные программы и для других мобильных платформ, включая iOS. Иногда ошибаются сами банки. Так, недавно Sitibank обнаружил критическую уязвимость в своем мобильном клиенте для iPhone. Приложение сохраняло скрытые файлы с персональными данными об аккаунте клиента, включая номера банковских счетов, выставленные на оплату счета и пароли доступа к системе. 
 
Еще одна проблема заключается в том, что для реализации услуги мобильного банкинга необходимо сотрудничать с другими организациями, такими как сотовые операторы и небанковские платежные системы. Банкиры и так имеют к ним претензии, поскольку и первые, и вторые постепенно начинают оказывать чисто банковские услуги, но играют на этом рынке по упрощенным правилам из-за отсутствия таких жестких регуляторов как Центробанк или Росфинмониторинг.  
 
А тут еще необходимо доверить операторам связи передачу собственной финансовой информации на "последней миле", пусть и по защищенным каналам. Стандарт ЦБ по информационной безопасности в банках прямо называет зависимость от поставщиков, провайдеров, партнеров и клиентов одним из основных источников ИБ-угроз. Не в последнюю очередь это связано с тем, что у них отсутствует такое жесткое регулирование вопросов безопасности как в банках. Но выгода от предоставления услуги оправдывает и эти риски. 
 
Поиск стандарта 
 
Борьба за безопасность мобильного банкинга сегодня ведется как в области совершенствования банковских систем, так и в сфере пропаганды "основ безопасной жизнедеятельности" среди клиентов. Согласно требованиям Стандарта ЦБ, они должны быть обеспечены детальными инструкциями, описывающими процедуры выполнения операций или транзакций, включая информацию о возможных рисках. Эти инструкции содержатся на веб-сайтах банков и в буклетах по банковским услугам. 
 
Сложнее обстоит дело с системами. Прошлогоднее исследование ДБО для физлиц, проведенное CNews Analytics среди банков Топ100, показало, что "интернет-клиент" есть у 70%. Среди них 33,6% пользуются системами собственной разработки. На втором месте решения компании "Банк Софт Системс" (BSS) – 29,3%. Третье место с 9,3% заняла компания "Бифит". 
 
Те же участники поделили ведущие места среди систем интернет-банкинга для юрлиц (в них также существуют решения для мобильных устройств), только собственные разработки банков уступили продуктам BSS (17,5% и 48,4% соответственно), третье место занял "Бифит" с 14,8%. 
 
Естественно, эти данные не означают, что так же распределились пользователи систем, поскольку банки отличаются по количеству клиентов. 
 
Множество систем собственной разработки и отсутствие обязательного стандарта по обеспечению безопасности при проведении мобильных операций привели к разнообразию форм защиты данных. 
 
Одни банки требуют личного присутствия клиента в офисе при регистрации мобильного банка на его имя. Другие упрощают эту процедуру и подключают к системе через интернет-клиент, банкомат (терминал) или по звонку в контакт-центр с вводом пин-кода с клавиатуры телефона. 
 
Приложение для телефона или планшета обычно скачивается с сайта банка. Но есть и своеобразные решения. МБРР заключил соглашение с МТС, и при регистрации "мобильного банка" обменивает сим-карту клиента на аналогичную, с тем же номером и балансом, но с уже установленным на ней банковским приложением. 
 
Как правило, сами приложения защищены паролем. Поскольку, как уже говорилось, многие люди хранят персональные данные непосредственно в телефоне, широко используются другие средства аутентификации: одноразовые пин-коды подтверждения транзакций, часто действительные лишь несколько минут; скретч-карты, ЭЦП и аналоги собственноручной подписи. 
 
Перспективы есть 
 
Несколько лет назад среди потребителей банковских услуг преобладал скептицизм в отношении мобильного банкинга. Он был обусловлен не только ограниченными, в основном чисто информационными возможностями, но и недоверием к обеспечению безопасности (хотя кому нужна в лучшем случае тысяча рублей, остающаяся на счете после снятия зарплаты в регионах) и нежеланием разбираться в продвинутых функциях своего мобильного устройства. 
 
Сегодня рынок мобильного банкинга в России растет опережающими темпами по отношению к росту ДБО в целом. По оценкам экспертов, к 2013 году число пользователей интернет-банкинга возрастет на 35%, а мобильного банкинга – на 105%. Причин этого явления несколько. 
 
Во-первых, появились реальные возможности управления счетом. Во-вторых, услуга удобна благодаря своей оперативности. В-третьих, желание комфорта пересиливает сомнения относительно безопасности, тем более что заголовки СМИ не пестрят сообщениями о преступлениях в этой сфере. 
 
Вопрос: Опасен ли мобильный банкинг? Кажется, больше шансов быть ограбленным на улице. 
 
Сергей Березин, менеджер по маркетингу BCC Group: Не соглашусь, что мобильный банкинг более опасен, чем привычный интернет-банкинг. Можно сказать, что мобильный банкинг даже более безопасен, чем интернет-банкинг - просто в силу меньшего числа доступных операций. Так, например, в ряде реализаций интернет-банкинга для частных клиентов есть возможность покупать/продавать ценные бумаги (или паи ПИФов), открывать/закрывать депозиты, в то время как даже для самого "продвинутого" мобильного банкинга эти операции пока не реализованы. Сергей Березин: В настоящее время наиболее серьезной защитой доступа к банковскому приложению на мобильном устройстве считается идентификация по PIN-калькулятору 
 
Кроме того, мобильный банкинг в некотором смысле может быть более безопасным, чем традиционный банкинг с посещением отделения банка – есть регионы (необязательно в России), где у клиента гораздо больше шансов быть ограбленным на улице по пути к отделению банка, чем при использовании мобильного банкинга. 
 
Действительно, существуют две основные угрозы информационной безопасности (ИБ), ассоциированные с мобильным банкингом. Эти угрозы: фальсификация истинного владельца смартфона (имперсонализация) при помощи вредоносного ПО и угроза физической кражи/утери мобильного устройства с последующим взломом доступа к банковскому приложению на устройстве. 
 
Пути снижения угрозы заражения смартфона вредоносным ПО полностью аналогичны таким же рекомендациям для интернет-банкинга. Т.е. не загружать программы, игры, коллекции фото и видео из сомнительных источников, не давать свой смартфон с установленным банковским приложением "поиграть" другим членам семьи (особенно подросткам), "своей девушке" и т.д., а также не сдавать его в ремонт, на перепрошивку и т.п., предварительно не стерев банковское приложение. 
 
В идеале, для мобильного банкинга хорошо бы иметь отдельный смартфон, на котором нет никаких иных программ, кроме операционной системы и банковского приложения. Аналогия – во многих организациях с серьезным подходом к ИБ есть специально выделенный компьютер только для операций "банк-клиент". Этот ПК или ноутбук находится под неусыпным контролем системного администратора с точки зрения ПО и физически контролируется службой безопасности организации. 
 
Что касается угрозы ИБ, ассоциированной со взломом украденного или утерянного смартфона, то в настоящее время наиболее серьезной защитой доступа к банковскому приложению на мобильном устройстве считается идентификация по PIN-калькулятору. Это намного более защищенный вход, чем по пользовательскому паролю, поскольку пароль некоторые пользователи умудряются записать и сохранить среди файлов смартфона, а 8-разрядный код PIN-калькулятора, имеющий срок жизни всего 30сек, подобрать практически невозможно. 
 
Упоминаемая автором статьи аутентификация с помощью дополнительных SMS гораздо менее устойчива, т.к. в случае кражи/утери мобильного устройства эти SMS с большой вероятностью будут приходить уже не владельцу, а злоумышленнику.  
 
Добавлю, что основной целью кражи смартфонов являются все-таки сами мобильные устройства, а отнюдь не доступ к банковскому приложению (которого на конкретном смартфоне может и не быть).  
 
В случае кражи/утери мобильного устройства, - совершенно аналогично случаю кражи/утери банковской карты, - необходимо немедленно звонить в банк для блокировки функционала мобильного банкинга.


Информация о работе Фальсификация услуг