Говоря о ДБО, о какой ДБО мы говорим?

Достаточно много эксперты говорят про безопасность систем ДБО (дистанционного банковского обслуживания). Предлагаются различные решения - токены с неизвлекаемыми ключами, LiveCD, Trusted Screen и т.п. Но... говоря о ДБО, какой тип ДБО мы имеем ввиду? Ведь их достаточно много. А внедряя в банке систему ДБО мы защищаем все ее компоненты или только Интернет-составляющую? Вот так выглядит деление на 2 основных типа - информационный (уведомление о платежах) и транзакционный (собственно сами платежи).

 Защищая только транзакционную часть мы рискуем все равно попасть на нарушения нормативных требований. Например, по новому ФЗ-161 необходимо уведомлять клиента о каждой транзакции. А если уведомления не было? Кто будет виноват? Правильно, банк. Поэтому защищая ДБО необходимо не забывать по обе составляющие.
 Допустим, не забыли. Но опять, говоря о защите транзакционной ДБО, что конкретно мы имеем ввиду? Защиту Интернет-банкинга? Защиту мобильного банкинга? Возможно. А что насчет телефонного банкинга? У меня в банке, например, реализована система телефонного банкинга через IVR (Interactive Voice Response). Защищен ли доступ к ДБО через этот, не самый распространенный способ дистанционного доступа к своему счету? Был несколько лет назад такой прецедент в России - один крупный банк, столкнувшись с ростом мошенничеств в своей системе Интернет-банкинга, усилил меры защиты. и ввел одноразовые коды подтверждения каждой транзакции. Но только в Интернет - телефонный банкинг был забыт, чем и не преминули воспользоваться злоумышленники.


Резюмируя, могу сказать, что танцевать, выстраивая систему защиты ДБО, надо не от угроз, о которых много пишут в Интернете, и не от предлагаемых средств защиты, которые массово предлагаются отечественными и западными вендорами. Отталкиваться нужно от объекта защиты. Мысль тривиальная, но о ней часто забывают, сразу переходя к защите, не проведя предварительного анализа объекта защиты, его рисков и грозящих ему угроз. Такая поспешность к добру не приведет.