17 июля, 2017, BIS Journal №3(26)/2017

Функциональность = безопасность


Окулесский Василий

руководитель Департамента, кандидат технических наук (ООО «ЦИБИТ»)

Обеспечение информационной безопасности в НСПК

Летом 2014 года в ответ на санкции была создана Национальная система платежных карт (НСПК). Целью создания НСПК является обеспечение национальной безопасности России в области операций по банковским картам. Ее создание и развитие – ключевой фактор обеспечения суверенитета национального платежного пространства, который гарантирует безопасность и бесперебойность проведения внутрироссийских транзакций по всем банковским картам всех платежных систем и полную независимость функционирования национального платежного пространства от внешних факторов, в частности, и в условиях действующих санкций.
 
Уже с 1 апреля 2015 года платежный клиринговый и операционный центр НСПК начал обрабатывать операции по картам крупнейших международных платежных систем, а с 15 декабря 2015 года создал все условия для выпуска банками карт ПС «МИР», к маю 2017 года выпущено более 5 млн карт.
 
С ПЕРВОГО ДНЯ
 
С первого дня образования НСПК вопросы обеспечения информационной безопасности решались вместе с задачами построения инфраструктуры компании, формирования ее бизнес-процессов, проектирования и реализации всего спектра услуг.
 
Это – безопасность каналов связи с участниками, создание системы Удостоверяющего центра (Certificate Authority) для всех банков, безопасность обмена файловыми данными через систему электронного документооборота (СЭДО), это и безопасность данных карты и операций по ней, и безопасность операций электронной коммерции, это и управление расчетными рисками,  арбитраж операций, взаимная аутентификация карты и эмитента, безопасность совершения off-line операций, безопасность ПИН, безопасность мобильной коммерции, мониторинг подозрительных операций,  система взаимного информирования  о подозрительных операциях и еще многое-многое другое.
 
ТРИ НАПРАВЛЕНИЯ
 
Очень условно деятельность в сфере безопасности можно разделить на 3 главных направления:
  1. Обеспечение катастрофоустойчивости инфраструктуры НСПК.
  2. Формирование и контроль выполнения требований по ИБ для участников ПС «Мир».
  3. Обеспечение безопасности технологий платежных операций ПС «Мир». 
В свою очередь разнообразие уже существующих и разрабатываемых технологий требует развития специализации по направлениям: защита чувствительных данных, развитие контактных и бесконтактных технологий, мобильных и интернет платежей (Рис. 1).

 
Рис. 1. Основные направления деятельности НСПК
 
НАДЕЖНЫЙ ПОДХОД
 
Катастрофоустойчивость – сравнительно новый термин, который вошел в нашу жизнь и стал весьма актуален в последние годы.
 
По сути, это хорошо известный всем специалистам комплексный подход к построению инфраструктуры системы, включающий кластеризацию ЦОДов, географическое разнесение их, создание основных и резервных точек доступа, резервирование каналов связи между участниками, канальное шифрование и максимальное использование выделенных каналов, минимальное использование ресурсов публичных сетей, использование программных и технических средств, прошедших процедуру аттестации, использование стандартных архитектурных решений на базе платформы х86.
 
Реализация этого подхода в 2016 году обеспечила коэффициент готовности НСПК 99,999. Кто знает, тот оценит.

О ФУНДАМЕНТЕ

Как хорошо известно, слабость любой защиты определяется самым слабым звеном. Эта «свежая» идея требует набора базовых «правил игры» в информационную безопасность для всех участников платежной системы. Поскольку все правила нужны здесь и сейчас, то в НСПК пришли к выводу о необходимости использования существующего мирового опыта в решении непростой задачи – и присоединились к PCI DSS.

Сразу оговорюсь, PCI DSS – это не «буржуйские» стандарты, а сконцентрированный опыт 30-летнего развития ведущих мировых платежных систем и он не зависит от национальной или государственной принадлежности ПС, это фундаментальные технические и операционные требования, которые разработаны для защиты данных держателей карт, которые были разработаны в целях повышения уровня безопасности данных владельцев платежных карт и содействия процессу повсеместного внедрения единообразных мер по защите данных держателей карт. Кроме того, PCI SSC имеет уже развитую и хорошо организованную систему подготовки профессиональных аудиторов и систему проверки выдвинутых требований. Разработка собственного «параллельного аналога» привело бы к неоправданным затратам на создание такой системы и удвоению затрат банков на проведение сертификации.

Основная задача НСПК в этом направлении обеспечения информационной безопасности – максимально облегчить банкам затраты на совместный аудит соответствия требованиям для ПС «Мир», МПС и 382-П. задача, прямо сказать, нетривиальная, но тем интереснее ее решать.
 
ГРУППЫ ТРЕБОВАНИЙ

Только для того, чтобы напомнить, что это за требования, приведу группы этих требований:
Построение и обслуживание защищенной сети и систем
1. Установить и обеспечить функционирование межсетевых экранов для защиты данных держателей карт.
2. Не использовать пароли и другие системные параметры, заданные производителем по умолчанию.

Защита данных держателей карт
3. Обеспечить безопасное хранение данных держателей карт.
4. Обеспечить шифрование данных держателей карт при их передаче через сети общего пользования.

Программа управления уязвимостями
5. Защищать все системы от вредоносного ПО и регулярно обновлять антивирусное ПО.
6. Разрабатывать и поддерживать безопасные системы и приложения.

Внедрение строгих мер контроля доступа
7. Ограничить доступ к данным держателей карт в соответствии со служебной необходимостью.
8. Определять и подтверждать доступ к системным компонентам.
9. Ограничить физический доступ к данным держателей карт.

Регулярный мониторинг и тестирование сети
10. Контролировать и отслеживать любой доступ к сетевым ресурсам и данным держателей карт.
11. Регулярно выполнять тестирование систем и процессов обеспечения безопасности.

Поддержание политики информационной безопасности
12. Разработать и поддерживать политику информационной безопасности для всего персонала организации.

Любому профессионалу от ИБ все эти требования знакомы не только в контексте PCI DSS, но и в повседневной жизни, это наша работа. Если в рамках здравого смысла их выполнять (заменить слова «данные держателя карты» на «платежные» или «персональные» данные) – любые аудиты станут подтверждением вашего профессионализма!

НЕ ПО УЧЕБНИКУ

До сих пор все было, как по учебнику. Классика жанра. Сейчас тоже почти по учебнику, но не всегда ИБ добирается в эти дебри технологий. Известно, что безопасность-«нашлепка», как бы хороша ни была, тормозит бизнес. Безопасность, как составная часть бизнеса, делает его только привлекательнее. Это становится возможным, когда сами бизнес-технологии одновременно являются технологиями безопасности. Это впрямую относится к «карточным» технологиям.

Привычная платежная карта начинает приобретать бесконтактные свойства, а вместе с ними и новые форм-факторы – в недрах телефонной СИМ-карты, в чипе самого смартфона, в сменной SD-карте, и это все равно остается платежная карта. А значит, ее надо защищать совершенно иными способами, которые реализуются от момента зарождения идеи о новой функциональности.

Основные характеристики контактного приложения «Мир»:
  • полностью соответствует стандарту EMV 4.3;
  • CCD-совместимо и, как следствие, принимается в любом действующем терминале EMV L2;
  • поддерживает базовые функции EMV-приложения, включая ODA, онлайновую взаимную аутентификацию приложения карты и эмитента, скрипт-процессинг, проверку PIN Offline;
  • поддерживает Global PIN;
  • персонализация приложения не зависит от модели микроконтроллера карты (в рамках приложения поддерживается механизм CPS 1.1).Реализация основных характеристик порождает свои преимущества:
  • выбор профиля обработки транзакции в зависимости от параметров терминала/магазина (terminal type, additional terminal capabilities и т.п.) и карты (бесконтакный/контактный интерфейс);
  • расширенные процедуры управления рисками (таблицы проверки, большое количество кумулятивных счетчиков операция и способов их управления в зависимости от выбранного профиля обработки транзакции, циклические счетчики, МТА, Max offline Days);
  • Non-EMV-функциональность. 
ФУНКЦИОНАЛЬНОСТЬ = БЕЗОПАСНОСТЬ
 
Для тех, кто не понял, зачем нужны предыдущие два абзаца, задам задачку – разделите дефисы на функциональность/безопасность. Даже после первой попытки понятно, что в таких технологиях функциональность = безопасность. Все это относится и к бесконтактным приложениям «Мир», которые реализуются в рамках версии 1.1 апплета ПП «Мир». Они наследуют все основные свойства контактного приложения, включая выбор профиля обработки транзакции, при этом суммарное время обработки операции на терминале и карте – менее 400 мс. Приложения могут использоваться для оплаты проезда на транспорте в форме как стандартного платежного приложения на карте «Мир» с выбором профиля по типу терминала (например, чтобы всегда отклонять транзакцию в случае провала ODA), так и отдельного пополняемого кошелька, может реализовываться в различных форм-факторах.
 
ПРО МОБИЛЬНОЕ ПРИЛОЖЕНИЕ

Отдельный разговор про мобильное приложение. Его удобство уже могли оценить многие, карта-телефон всегда под рукой, а технологии взаимной аутентификации участников платежного взаимодействия – еще один пример неразрывного симбиоза безопасность-функциональность-технология. Уже сейчас мобильный сервис реализуется в облачном элементе безопасности (пока для Android 4.4), может использоваться как для бесконтактных, так и удаленных платежей. Все операции токенизируются (до 9 токенов на карту) в зависимости от домена использования токена (бесконтактные операции, удаленные платежи, Card-On-File, ТСП со специальным MCC и т.п.). Все операции обслуживаются в онлайновом режиме с обязательной верификацией держателя карты по ПИН-коду на мобильном устройстве, дополнительно используется fingerprinting (при аутентификации мобильного устройства для реализации, защищенной БД на устройстве), при этом все это технологически полностью соответствует контактному + бесконтактному приложению «Мир» (наследуется формат объектов данных и команд).
 
ПОД «ПСЕВДОНИМОМ»
 
Ключевым словом для безопасности здесь является «токенизация».

Токен — цифровой «псевдоним» (его еще принято называть «суррогатным номером») карты «Мир». У одной карты «Мир» может быть много токенов. Он используется вместо истинного номера карты, что позволяет не предъявлять фактический номер карты в токсических средах, а пользоваться его «суррогатом». И этот суррогатный номер действует лишь в определенном канале (например, только лишь в одном вполне определенном приложении на смартфоне), поэтому перехват «токена» лишен всякого смысла, так как в другой канал его предъявить невозможно, ибо платежная система контролирует канал его поступления. Из другого канала данный токен не будет пропущен на дальнейшую обработку. Процесс токенизации/детокенизации, реализуемый в платежной системе «Мир», приведен на рисунке (Рис. 2).


Рис. 2. Процесс токенизации / детокенизации, реализуемый в платежной системе "Мир"

НА ПОРОГЕ МАЛЕНЬКОЙ РЕВОЛЮЦИИ

И, наконец, последнее, о чем поговорим в этой статье – безопасность интернет платежей. Сейчас около 10% всех авторизаций – это так называемые CNP (card not present) операции. При этом более двух третей мошенничеств с картами происходит именно при совершении таких транзакций. То есть там, где платеж происходит без самой карты, а только по ее реквизитам. С июня 2016 года в ПС «МИР» доступен сервис MirAccept 1.0 – сервис надежной аутентификации Держателя Карты ПС «Мир» на основе технологии 3D-Secure, правообладателем которой является ПС «VISA».

В настоящее время мы стоим на пороге маленькой революции в обеспечении безопасности, и эта революция называется «MirAccept 2.0». Это сервис надежной аутентификации Держателя Карты ПС «Мир» на основе новой спецификации EMVco 3-D Secure 2.0.

Эта новая технология позволяет:
  • проводить аутентификацию держателя карты «Мир» на его смартфоне, планшете или STB (set-top-box) во время операции электронной коммерции, в котором такую процедуру берет на себя загружаемое приложение со встроенным в него компонентом 3DS SDK, сертифицированным EMVCo и платежной системой «Мир»;
  • поддерживать Информационный поток проверки держателя карты без непосредственного обращения эмитента к нему (Frictionless Flow) – мировой тренд обслуживания клиентов путем их узнавания дистанционно;
  • поддерживать информационный поток c обращением эмитента к держателю карты (Challenge Flow). Предусматривает весь спектр современных методов аутентификации;
  • Non Payment Authentication. Проверка подлинности личности держателя карты «Мир» системой эмитента при совершении неплатежной операции электронной коммерции. Например, при добавлении карты «Мир» в регистрационную запись клиента в мобильное приложение магазина;
  • OOB – out-of-band Authentication. Проверка держателя карты любым внешним способом, например, через вызванное из мобильного приложения магазина мобильное приложение банка эмитента. 
Более подробное описание этого стандарта и его использования заслуживает отдельной статьи.
 
Подводя краткие итоги, сформулируем тезис: в наш информационный век безопасность врастает во все этапы жизненного цикла – от зачатия до надгробного памятника, и без нее нам не жить.

И «Мир» нам в этом поможет.

 

Смотрите также

Ключ для ДБО

23 мая, 2017
Подпишись на новости!
Подписаться