9 апреля, 2013, BIS Journal №1(8)/2013

Универсальный выход


Потанин Сергей

Начальник центра информационной безопасности департамента защиты активов (АКБ «СОЮЗ» (ОАО))

Подобно заботливому «старшему брату», банки могут помочь обезопасить рабочее место ДБО самой многочисленной и наименее защищённой группе клиентов

Разработка универсальных средств безопасности ДБО сталкивается с принципиальными, системными трудностями. У массовых розничных клиентов – большое разнообразие функционалов, сервисов и режимов работы с банковскими счетами. Наиболее сложный клиент – малый бизнес, индивидуальные предприниматели и обычные граждане – физические лица. Это самая многочисленная и мобильная, но наименее защищённая группа клиентов, использующих дистанционные банковские сервисы. Как банки могут помочь им надёжно обезопасить их рабочие места ДБО?

ОТ АНАРХИИ К ГАРМОНИИ

У дистанционного банковского обслуживания (ДБО) – большое будущее, с его помощью в ближайшее время будет оказываться подавляющая часть розничных банковских услуг. Это удобно клиентам, которым после заключения договора на обслуживание больше не надо лично являться в банк. А также выгодно банкам, существенно экономящим на обустройстве и содержании розничных офисов. Однако возрастает необходимость обеспечивать информационную безопасность удалённых банковских сервисов.

В 1990-е годы электронные расчёты и первые дистанционные банковские сервисы в России начинали развиваться анархически. Но с того времени информационная безопасность банков превратилась в отрасль, регулируемую Банком России на основе стандарта СТО БР ИББС, а в ряде аспектов и ФСБ России, ФСТЭК России и Роскомнадзором. В то же время безопасность и защита клиентского рабочего места до сих пор детально не нормирована. Узким местом на пути расширения дистанционного банковского обслуживания клиентов в настоящее время является отсутствие достаточного уровня безопасности клиентского рабочего места, с которого осуществляется управление счетами.

Наследием 1990-х годов можно считать то, что у многих банков не проглядывается существенный интерес к безопасности рабочего места клиента, пользующегося ДБО. В договорах обслуживания, включающего удалённые сервисы, правила информационной безопасности (выбор и установка антивирусов, настройки брандмауэров и т.п.), в основном, просто перечисляются и рекомендуются. Соответственно, их выполнение носит рекомендательный характер, а ответственность за несоблюдение просто перекладывается на клиента.

Поэтому в случае инцидента, кражи средств клиенту остаётся винить только себя в том, что он не обеспечил собственную безопасность. Выходит – «сам дурак», обокрали не банк, а его, клиента. Оценка материальных и репутационных рисков для банков изменилась после принятия федерального закона № ФЗ-161 от 27 июня 2011 года «О национальной платёжной системе», который обязал банки вначале возмещать клиенту средства, похищенные при использовании ДБО, а уже потом проводить разбирательство.

Таким образом, банки оказались напрямую озабочены обеспечением информационной безопасности не только собственных автоматизированных компьютерных систем, но и рабочего места ДБО клиента. Автору представляется, что приближается время стандартизации механизмов защиты ДБО. Улучшается понимание того, что доступ клиента к своим счетам посредством ДБО – это, однозначно, также доступ к автоматизированной информационной системе банка, а проводимые транзакции являются банковскими операциями с деньгами.

Понятно, что для минимизации рисков в банках при работе с клиентскими счетами применяется правило «двух рук» – задействованы «исполнитель» и «контролёр». Системная трудность ДБО в том, что «исполнителем» является клиент, а «контролёр» пока отсутствует. Возможное решение, поскольку клиент оперирует только своими счетами, в том, чтобы в средствах ДБО объединить обе функции. Это можно сделать, выстроив 2 независимых процесса – процессы создания и подтверждения электронной транзакции клиента. Для этого нужно разработать для системы ДБО и клиентского места защищённый доверенный (программный или аппаратный) механизм безопасности, который бы играл роль «контролёра» со стороны банка. «Контролёром» может служить доверенный универсальный механизм (устройство) безопасности, способный выполнять дополнительную функцию контроля электронных транзакций ДБО данного клиента.

Разделение функций создания и подтверждения транзакции для клиента ДБО может быть выстроено следующим образом: логин + пароль + неизвлекаемая ЭП – ввод и набор атрибутов со стороны «исполнителя»; ввод или подтверждение через доверенное устройство значений критических параметров – проверяющая функция «контролёра». Такой механизм может быть прописан в отраслевом стандарте, и в нормативных документах Банка России (Схема 1).

 

Схема 1. Возможная стандартизация выбора и эксплуатации систем ДБО

Но даже пока такого нет, банки заинтересованы в том, чтобы самостоятельно найти надёжные меры и средства информационной защиты рабочих мест клиентов, пользующихся ДБО. Достаточно эффективным централизованным средством защиты банками электронных платежей, совершаемых клиентами посредством ДБО, являются автоматизированные аналитические системы антифрода.

Большой плюс этого подхода для клиентов заключается в том, что их не нагружают дополнительными требованиями и заботами. Хорошо и банкам, которым в таком случае можно не беспокоиться о состоянии рабочих мест клиентов ДБО. Существенный минус промышленных, а не самодельных антифрод-систем – в дороговизне их покупки, установки и обслуживания, обременительной для многих не очень крупных банков.

Существует и другой подход, который заключается в применении персональных средств обеспечения безопасности клиентских рабочих мест ДБО. Этому подходу присущи свои недостатки – клиентам приходится осваивать новые условия эксплуатации своего рабочего места. Что в известной мере компенсируется психологическим комфортом: иметь единственный и неповторимый «ключ» от своего электронного сейфа просто спокойнее.

БЕЗЗАЩИТНАЯ РОЗНИЦА

Опыт разработки и эксплуатации различных систем безопасности ДБО, в том числе принадлежащий автору этой статьи, показывает, что персональные средства безопасности ДБО следует разделить на 2 вида соответственно различиям, существующим у клиентов банков.

Первый – для крупных организаций, юридических лиц, которые автоматически формируют платежные поручения в специализированном программном обеспечении типа 1С и проч., и также автоматически загружают созданные пакеты документов в систему ДБО. Второй вид – для тех клиентов, кто заполняет платёжные поручения в системах ДБО вручную, не используя автоматическую загрузку. Это небольшие организации – юридические лица, индивидуальные предприниматели и практически все физические лица.

Будем рассматривать наиболее распространённое в настоящее время рабочее место такого розничного клиента – персональный компьютер. Поскольку мобильные устройства (телефоны, смартфоны и «планшетники») для ДБО пока употребляются значительно реже, их информационная защита – отдельная тема.

Банк не может убедить клиента выделить для работы с системой ДБО отдельный компьютер, устанавливать только лицензионное программное обеспечение, начиная с операционной системы, не посещать те или иные интернет-ресурсы. Поэтому условия работы массового розничного клиента ДБО на собственном персональном компьютере далеко не стерильные. Обычный персональный компьютер рассматриваемого типа клиентов – это не только софт от производителей ДБО, но и операционная система, а также много самого разнообразного содержания со всего интернета.

Сегодня существует огромное разнообразие различных систем ДБО, используемых российскими банками. Эти системы различаются по возможностям и функциональности, как правило, тесно привязанным к специфике конкретных банков. Соответственно, персональные средства безопасности рабочего места предлагаются также «заточенные» под программное обеспечение, софт ДБО. Могут ли они гарантировать надёжную защиту и правильность работы софта, включая антивирусные программы?

К сожалению, далеко не всегда. Автору статьи, и не только ему одному, доводилось даже в операционной системе, в которой постоянно работал регулярно обновляемый антивирус, вылавливать немало троянских программ и вирусов. Чтобы всех их выявить и обезвредить, требовалось произвести загрузку с внешнего носителя другой операционной системы, и произвести проверку свежим независимым антивирусом.

Нередко вредоносные программы обнаруживаются в доверенном списке антивируса. Они были чётко выявлены, но клиент поленился или не нашёл времени читать запрос антивируса, что с ними делать. Он поспешил нажать клавишу Enter или кликнуть «OK», занеся в список разрешений. Автор настоящей статьи глубоко убеждён: никакие средства защиты, основывающиеся на работе персонального компьютера или программного обеспечения клиента, не гарантируют от успешной информационной атаки извне.

ЧЕТЫРЕ УРОВНЯ БЕЗОПАСНОСТИ

Специалисту банка необходимо выбрать удобную и качественно защищённую систему ДБО, которая бы минимизировала риски хищений. Что привлекательно для него в этой системе? Соответствие её ряду параметров, которые могут быть положены в основу стандартизации средств ДБО, используемых клиентами на своих персональных компьютерах. Постараемся систематизировать средства информационной защиты, предлагаемые для большинства клиентских рабочих мест ДБО, подразделив их на 4 условных уровня.

1. Первый уровень защиты: логин + пароль + носитель (сильно защищенный или не очень сильно) с контейнером электронной подписи (ЭП), где хранится, как правило, сертифицированная, соответствующая ГОСТ электронная подпись клиента. Сейчас это необходимый минимальный комплект, «джентльменский набор» практически во всех существующих ДБО. Он достаточно хорош, включая и процедуру аутентификации (логин/пароль), и долговременный параметр безопасности (секретная часть ЭП). Когда- то, лет 10 назад, этого вполне хватало, но не теперь.

Защитные средства уже первого уровня должны соответствовать ряду требований, которые могут быть признаны стандартными. Так, ЭП должна обязательно соответствовать ГОСТ и быть сертифицирована ФСБ России. Протоколы обмена информацией между интерфейсом клиентского места ДБО и носителем ЭП, аппаратные и прикладные, должны быть универсальными для любых систем ДБО.

Контейнер со своей неизвлекаемой ЭП клиент должен без проблем подключать к любой из них. Носитель (контейнер) должен быть гарантированно проверен на неизвлекаемость ЭП, и обязательно сертифицирован также и ФСТЭК России. ЭП, находящаяся в контейнере, должна быть зарегистрирована и иметь сертификат удостоверяющего центра (УЦ), но не корпоративного, банка, а независимого, юридически значимого и авторизованного. В таком же УЦ, а не в банке, клиент должен получить носитель с механизмом генерации и создания личной неизвлекаемой ЭП.

ЭП клиента не должна зависеть от конкретного банка, чтобы приниматься любыми банками. У клиента может быть много различных счетов в разных банках с различными системами ДБО, но защищенный носитель с собственной электронной подписью у клиента в этом случае будет один. И тогда не будет нужды иметь много носителей с ЭП для разных банков. Пусть ДБО в банке меняется, но подпись клиента остаётся действительной до истечения срока действия своего сертификата. Тем самым существенно уменьшается зависимость самих банков от конкретных производителей и частных решений ДБО.

2. Второй уровень защиты: разовые цифровые маркеры (пароли), синхронизованные с сервером в банке, которые либо создаются дополнительными устройствами клиента (типа Vasco и т.п.), либо передаются ему на карточках или SMS- сообщениями. Сеансовые одноразовые синхронизируемые цифровые маркеры (пароли) однозначно повышают уровень безопасности, но они напрямую не связаны с содержанием платежного документа. Этот пробел учли авторы нового типа информационных атак.

3. Соответственно оказался востребован третий уровень защиты: не просто цифровые маркеры, но такие, которые отражают индивидуальные цифровые параметры транзакции. Такие маркеры могут создаваться более сложными дополнительными устройствами, подобными Vasco, с возможностью ввода ключевых параметров и получения ответного контрольного параметра, а также SMS-сообщений из банка с индивидуальными параметрами транзакции и соотносящимся с ними контрольным значением. К ключевым параметрам относятся, как минимум, БИК, счёт получателя и сумма перевода с последующим выводом контрольного защитного значения этих параметров в «тело» электронной транзакции.

Это средство «третьего уровня» информационной защиты рабочего места клиента ДБО имеет свои недостатки. Надёжность SMS-оповещения зависит от канала связи – оператора мобильной связи. А при использовании устройства типа Vasco требуется дублирующий ручной ввод на нём данных платёжного документа, а потом переписывание полученного контрольного значения в web-форму ДБО на персональном компьютере. Эти неудобства, чреватые ошибками, снижают надежность работы системы ДБО.

4. К четвёртому уровню защиты можно отнести недавно появившиеся на рынке специализированные дуплексные устройства, которые используют незащищенный, базирующийся только на стандартных протоколах двухсторонний (двунаправленный) обмен дискретной информацией с рабочим компьютером клиента ДБО. Содержание электронных платёжных документов, нуждающееся в подтверждении, визуализируется не только на мониторе компьютера, но и, самостоятельно, на экране устройства.

ДОПОЛНИТЕЛЬНЫЕ УНИВЕРСАЛЬНЫЕ КОНТРОЛЬНЫЕ МЕХАНИЗМЫ

Доработанные дуплексные устройства имеют некоторые пользовательские преимущества перед полудуплексами (однонаправленными) устройствами. Дуплексные устройства – это специализированные исключительно для ДБО «маленькие компьютеры» с соответствующим программным обеспечением.

Дуплекс по сравнению с полудуплексными устройствами более удобен, позволяет сводить к минимуму действия клиента ДБО для подтверждения транзакции, но менее безопасен, поскольку не только передаёт, но и принимает данные извне. Дуплексные устройства, при наличии экрана, могут иметь только 2 клавиши, «да» и «нет».

Дуплексы используют стандартные открытые протоколы обмена с компьютером. Значит, появление в интернете эффективного средства атаки на него и на экран устройства – просто вопрос времени. Но этот недостаток представляется устранимым при определённой доработке как самих устройств, так и систем ДБО, позволяющей обеспечить высокую безопасность клиентского рабочего места.

Улучшение дуплексов должно заключаться в создании защищённого канала связи между сервером ДБО в банке и этими дуплексным устройством. Но, соответственно, при создании такого канала появляется проблема с универсальностью: дуплексы с трудом встраиваются в существующие системы ДБО, которые, в свою очередь, требуют существенной адаптации.

Полудуплексные (однонаправленные) устройства – специализированные исключительно для ДБО «маленькие компьютеры» с соответствующим программным обеспечением, которые только выдают информацию, но ничего не получают извне. Полудуплексные устройства по сравнению с дуплексными устройствами, безусловно, более безопасны и более перспективны, но пользователь должен привыкнуть к ним. Такие устройства, по мнению автора, практически полностью нейтрализуют угрозы очень большого перечня информационных атак. И самое главное, полудуплексы абсолютно универсальны, легко встраиваясь в любую систему ДБО.

При данном подходе персональный компьютер клиента превращается лишь в средство доставки электронного документа с защищёнными конкретными параметрами в банк. Возможное заражение операционной системы вирусами, троянскими программами, несанкционированное удалённое управление не могут служить помехами. Защита обеспечивается контрольным значением, которое создано для этих полей в доверенном однонаправленном устройстве.

Усовершенствованные односторонне направленные специализированные устройства не обязательно должны быть с клавиатурой. Они могут работать с любым интерфейсом ввода, не только с клавиатурой, но и посредством, например, голосового ввода, и т.п. Канал связи с компьютером, также может быть любой: ИК-порт, Bluetooth и т.п. Принципиально одно: эти устройства и каналы должны быть полудуплексными. Естественно, эти устройства обязательно должно быть сертифицированы ФСТЭК России, иметь и необходимый класс, и гарантированный уровень защиты от несанкционированного доступа.

Данные устройства, на которых будет строиться внешний «контрольный» защитный контур безопасности любой системы ДБО, должны нести, как говорилось выше, вспомогательную функцию – служить дополнительным подтверждением подлинности электронной транзакции. И, естественно, при использовании в этих устройствах криптографии для симметричных алгоритмов с ключом длиннее 64 бит или ассиметричных с ключом длиннее 512 бит, обязательна сертификация этих алгоритмов ФСБ России.

На основе описанных специализированных полудуплексных устройств, практически универсальных, вне зависимости от применяемых алгоритмов и механизмов можно выстроить надёжный внешний контур безопасности, применимый практически для любой системы ДБО банка без существенных доработок. Автор надеется, что недалёко будущее, когда эта задача будет решена, и самая многочисленная группа банковских клиентов сможет, используя любой персональный компьютер, безопасно работать со всеми своими счетами в разных системах ДБО любых банков.

 

Смотрите также

Щедрость по разуму

24 декабря, 2012

Учить или не учить?

4 декабря, 2012

Very nice = muito bem*

21 сентября, 2012
Подпишись на новости!
Подписаться