17 мая, 2012, BIS Journal №2(5)/2012

Обеспечение безопасности мобильных решений и облачных вычислений в среде кредитной организации


Лукацкий Алексей

эксперт информационной безопасности

Тематическое заседание №4 Уральского форума (IV Межбанковской конференции по информационной безопасности банков) 17 февраля 2012 года

 

Четвёртый день конференции был посвящен применению облачных и мобильных технологий в деятельности банков − вот такой «облачный день в солнечную погоду». В целом у меня сложилось впечатление, что данная тема была преждевременной для столь глубокого обсуждения в течение целого дня. Оказалось, что большинство докладчиков в публичные облака не верит, при этом активно предлагая средства защиты для них.

Проведенный мной блиц-опрос на тему «кто из присутствующих использует или планирует использовать «облака» в своей практике?» показал, что из 60 человек утвердительно ответили на него только 5 слушателей! Причиной такого ответа могло стать не только нежелание отвечать на него, но и раннее утро, и даже тяжелый предыдущий день. Хотя, судя по невысокой активности в зале, тема «облаков» действительно мало кого интересовала.

Косвенно отсутствие интереса подтвердили и представители Oracle и IBM, которые поделились своим взглядом на построение «облаков» у их клиентов. Oracle заявил, что публичные облака спросом у заказчиков из банковской сферы не пользуются, если не сказать больше. Максимум, на что готовы клиенты Oracle − облака частные. А представитель IBM пошёл ещё дальше: и про частные облака сказал, что клиенты из банковской отрасли к этой бизнес-модели вообще пока не готовы.

Вопрос терминологии тоже не раз поднимался. Чем же всё-таки облако (особенно частное) отличается от обычного центра обработки данных, понимали не все докладчики или слушатели. Это и понятно: если верить компании IBM, большинство потребителей её продукции обращает внимание лишь на виртуализацию и консолидацию ресурсов, а это больше похоже на центр обработки данных − ЦОД, чем на частное облако.

Причиной отсутствия интереса к публичным «облакам» стало банальное отсутствие доверия к ним. И действительно, во-первых, непонятен уровень безопасности. И это несмотря на заявления о том, что «облачный» провайдер может обеспечить уровень защиты гораздо выше, чем заказчик. Правда, прописать количественные показатели обеспечения информационной безопасности в договор соглашаются не все, а кто-то и вовсе не в состоянии «оцифровать» уровень обеспечиваемой защищенности. Вторая проблема − отсутствие гарантий обеспечиваемого уровня безопасности. Это Microsoftза нарушение доступности Azure готова предоставить дополнительное время работы со своим сервисом бесплатно. А если речь идет о банковском облаке?

Выступавший на конференции представитель ФСБ России заявил, что разработки нормативной базы для «облаков» и виртуализации в 2012 году не запланировано. И вообще позиция в отношении «облаков», особенно публичных, была сформулирована вполне четко: ФСБ России облакам не доверяет. Но, несмотря на это, регулятор достаточно активно изучает вопрос применения виртуализированных сред в контексте информационной безопасности − ФСБ России делилась результатами своих исследований по материалам открытой прессы.

Обзор угроз и способов их нейтрализации был очень хорошим введением в проблематику виртуализации, но... зная подход регуляторов, считающих, что защита должна осуществляться только сертифицированными средствами, регулятору был задан вопрос, как нейтрализовать описанные угрозы при отсутствии адекватных сертифицированных СКЗИ. Что было сказано в ответ?.. Частично конфиденциальность частного «облака» можно обеспечить и сейчас − сертифицированные СКЗИ есть, но. придётся применять разные СКЗИ с разными ключевыми системами, что усложняет решение и создает дополнительные проблемы. В целом проблема защиты виртуализированных сред сертифицированными средствами полностью пока решена быть не может.

Второй большой темой, которой был посвящён последний день уральского форума, стало использование мобильных устройств в деятельности банка. Надо признаться, что отношение банкиров, а точнее служб информационной безопасности, к этому вопросу было неоднозначное. Одни скромно молчали, не желая раскрывать свои подходы и решения. Другие были категорически против, считая что сотрудникам банка не нужны никакие мобильные устройства и нечего открывать дыры в периметре. Третьи считали, что если мобильные устройства и разрешать, то это должны быть обычные лаптопы весом 2-3 кг с полным набором всех традиционных средств защиты. И только единицы говорили, что бизнес должен диктовать безопасности, что разрешать, а что нет, а не наоборот.

В итоге пришли к тому, что если не рассматривать эпизодические случаи применения мобильных платформ руководством (с этим ничего не поделать), а также использование мобильных устройств IT-специалистами (они и службы- то информационной безопасности не всегда в известность ставят о том, что они обладают такими возможностями), то пока банки не знают, как применять новомодные мобильные штучки, кроме как для выезда специалистов для оценки залоговой стоимости объектов «на месте». Правда, один из крупнейших банков заявил о том, что он как раз сейчас реализует проект, когда сотрудникам будут выдаваться планшетные компьютеры, упрощающие общение с клиентами и ускоряющие сроки продажи банковских продуктов.

Если с пониманием, зачем банку мобильный доступ (именно банку, а не его клиентам) пока не всё понятно, то вот с защитными решениями для различных мобильных платформ ситуация обстоит замечательно. Решений много и они разные − от встроенных в Apple iOS или RIM BlackBerry до «навесных» систем защиты Cisco, Zenprise, Airwatch и т.д. Гораздо более интересна тема сертифицированных средств защиты для мобильных устройств, а точнее − тема отсутствия этих средств.

В кулуарах я поднял эту тему с представителем ФСБ России (коллеги из ФСТЭК России, к сожалению, недолго задержались на мероприятии). Он ответил, что это не совсем так и такие решения есть. Правда, называть их не стал. Возможно, имелись в виду решения «Кода безопасности»,«ИнфоТеКСа», С-Терры, Green-Head, «Лаборатории Касперского» и НИИ СОКБ. Но часть из них никогда не будет сертифицирована, а часть только подана на сертификацию, но... Для работы отечественных СКЗИ на iOS потребуется делать jailbreak, что вызывает вопросы в законности таких действий. На такое замечание представитель ФСБ России ответил: «А мы-то тут причём?».

Действительно, ни при чём. Это проблема потребителя, который будет вынужден нарушать либо требования криптографической защиты, используя не сертифицированные решения, либо лицензионные условия на мобильную платформу (после обновления iOS приходится вновь её «ломать», что не всегда происходит оперативно). В целом же позиция ФСБ России в отношении мобильных устройств похожа на позицию по «облакам» − не доверяет ни тем, ни другим.

Единственное, что так и не прозвучало на секции о мобильных устройствах, так это вопрос применения терминального доступа с мобильного устройства вместо защиты его самого. Последнее решение должно быть не менее (а может, и более) эффективным с точки зрения защиты (ведь никаких данных на устройстве не хранится), а по цене в разы дешевле лицензии на каждое мобильное рабочее место.

В целом облачный день закончился предсказуемо. Решений по защите облаков и мобильных устройств на рынке представлено достаточно, но вот полностью сертифицированную систему построить сейчас невозможно. Да и вопрос, насколько востребованы мобильные и облачные технологий в банках, пока остается открытым.

 

Смотрите также

Скажи: «Пароль»…

21 февраля, 2012
Подпишись на новости!
Подписаться