Кредитные организации, активно развивающее дистанционное обслуживание, одновременно стараются повысить защищенность систем ДБО. При этом методы, которые могут использоваться при атаках на системы ДБО, различаются и зависят от конкретной системы. Соответственно, и способы защиты могут варьироваться.
Угрозы бывают разные
Наверное, не существует универсального средства или метода противодействия различным атакам на системы ДБО. Тем более что количество и разнообразие этих атак с каждым годом только увеличивается. Однако есть способы защиты от мошенников, минимизирующие риски работы в ДБО, которыми успешно пользуются банки.
«В большинстве случаев при атаках на системы ДБО используются методы социальной инженерии, средством защиты от которых является повышение уровня осведомленности пользователей систем ДБО в вопросах информационной безопасности», - отмечает заместитель начальника управления по информационным рискам Райффайзенбанка Денис Камзеев. Эксперт Райффайзенбанка в качестве основных угроз как раз выделяет использование методов социальной инженерии с последующим заражением клиентских рабочих станций вредоносным программным обеспечением и компрометацией идентификационных данных клиента, а также фишинг и атаки типа «отказ в обслуживании».
Начальник управления внутренней защиты Росгосстрах Банка Николай Кузьмин среди основных угроз дистанционного обслуживания называет, в первую очередь, хищение ключей электронной подписи и закрытых ключей ЭП клиентов систем ДБО (причем хищение производится с компьютеров клиентов). При этом эксперт Росгосстрах Банка считает, что адекватный метод противодействия различного рода атакам на системы ДБО придуман - это перенос функции контроля основных параметров документа из операционной системы в замкнутую среду на внешнем устройстве. «В этом случае функции защиты, целостности и неизменности документа реализуются не в операционной системе, а на отчуждаемом защищенном носителе. Такие устройства на российском рынке уже предлагают несколько компаний», - поясняет специалист.
В последнее время внимание специалистов по информационной безопасности сконцентрировано на проблеме несанкционированных платежей, которые создаются мошенниками посредством украденных ключей электронной подписи, удаленного управления компьютером с ключом ЭП либо посредством подмены реквизитов платежного поручения на ПК клиента в момент подписи. Такую точку зрения высказывает заместитель руководителя службы информационной безопасности Промсвязьбанка Иван Ян-сон. «Соответственно, основные усилия сосредоточены на защите клиентских ключей ЭП и защите процесса создания электронной подписи для платежного документа. При этом оказываются в тени вопросы защиты сетевого периметра, ИТ-инфраструктуры и автоматизированных банковских систем, вопросы безопасности самого приложения «клиент - банк»,- подчеркивает специалист Промсвязьбанка.
Если, например, web-интерфейс системы «клиент - банк» написан без учета технологий безопасного программирования, без контроля его качества, то он может содержать уязвимости, которые, соответственно, используются для атаки, объясняет Иван Янсон. «Для атаки на приложение «клиент - банк» могут быть использованы уязвимости операционной системы сервера, на котором несвоевременно устанавливаются обновления и патчи безопасности. Причем, строго говоря, сервер может и не быть сервером системы «клиент - банк» - атака может быть начата через рядом стоящее приложение (почтовый сервер, информационный web-сервер и т.п.)», -считает эксперт Промсвязьбанка.
Элементарные нормы безопасности
Безопасность системы ДБО зависит и от банка, и от клиента: у каждого своя зона ответственности, причем у кредитной организации она гораздо более широкая. В частности, в зоне ответственности банка находится комплексное обеспечение безопасности системы. «В рамках реализации этой задачи банки делают все возможное для того, чтобы защитить ключи электронной подписи и процедуру формирования подписи для платежных документов на стороне клиента, -говорит Иван Янсон. - Однако при этом, как правило, клиент все же должен обеспечивать элементарные нормы безопасности на своем рабочем месте для работы с приложением «клиент - банк». Действительно, ситуация складывается таким образом, что клиент оказывается менее защищен, нежели организация, поэтому и действия мошенников сместились именно в эту зону. «Если ключи лежат на компьютере у клиента и их просто украсть, то зачем взламывать сервер «клиент - банк»? Это сложнее сделать и более затратно. То есть мошенники пошли по пути наибольшей экономической целесообразности», - рассуждает Иван Янсон.
Однако защита клиентской стороны все-таки постепенно повышается. Это происходит с помощью устройств защищенного хранения ключей ЭП и защищенной выработки электронной подписи, посредством доверенных устройств отображения по подписи п/п (платежного поручения), с помощью доверенных каналов подтверждения платежа, посредством использования доверенной среды для работы с приложением «клиент - банк». По мере того как совершенствуется защита клиента, повышается вероятность того, что мошенники начнут искать уязвимые серверы, приложения и использовать эти «тонкие места» для атак на системы ДБО, подчеркивает Иван Янсон.
Средства защиты
Эффективная система безопасности должна быть комплексной и включать различные средства и меры.
Денис Камзеев (Райффайзенбанк) среди факторов, из которых складывается безопасность ДБО, называет защищенность серверной части этой системы, надежность схемы аутентификации и авторизации транзакций, информирование клиентов об операциях, оформленных по их счетам в системе ДБО, оперативное и эффективное реагирование на сообщения клиентов о возможном несанкционированном доступе в систему ДБО.
Николай Кузьмин рассказал о средствах защиты систем ДБО, установленных на сегодняшний день в Росгосстрах Банке в целях безопасности и защиты информации клиентов. Для физических лиц вход в систему осуществляется с использованием средств авторизации (логина и пароля), причем банком установлены лимиты (дневной и месячный) на проведение операций. Доступ к системе происходит по защищенному протоколу SSL (Secure Socket Layer), который удовлетворяет современным требованиям безопасности. Операции, связанные с перечислением средств не на собственные счета клиента, подтверждаются одноразовыми паролями (сеансовыми ключами).
Для юридических лиц в Росгосстрах Банке предусмотрено использование сертифицированного ФСБ России программно-аппаратного комплекса, который обеспечивает выполнение банком функций собственного удостоверяющего центра без привлечения внешнего подрядчика. В качестве носителей ключевой информации применяются сертифицированные ФСТЭК России USB-ключи eToken 72K (JAVA), обеспечивающие безопасное хранение криптографических ключей, рассказывает Николай Кузьмин. «Электронная цифровая подпись, используемая в системе ДБО, соответствует требованиям ФСБ России. Самостоятельное изготовление клиентами своих секретных (закрытых) ключей увеличивает уровень конфиденциальности и безопасности передаваемой информации», - считает эксперт.
АКЦЕНТ
В последнее время внимание специалистов по информационной безопасности сконцентрировано на проблеме несанкционированных платежей, которые создаются мошенниками посредством украденных ключей электронной подписи, удаленного управления компьютером с ключом ЭП либо посредством подмены реквизитов платежного поручения на ПК клиента в момент подписи. Соответственно, основные усилия сосредоточены на защите клиентских ключей ЭП и защите процесса создания электронной подписи для платежного документа.
Двухстороняя безопасность
Безопасность имеет две основные составляющие, считает Иван Янсон: безопасность на стороне банка и безопасность на стороне клиента. Первая предполагает безопасность сетевого периметра, ИТ-инфраструктуры системы (серверов, сетевого оборудования), приложений. Вторая предполагает обеспечение безопасности процедуры подтверждения клиентом платежа. Эксперт Промсвязьбанка рассказал о том, как обеспечивается безопасность в том и другом случае. Первая задача решается с помощью использования средств сетевой безопасности, регулярной установки пакетов обновлений операционных систем и приложений, безопасной настройки конфигураций сетевого и серверного оборудования посредством использования процедур безопасной разработки систем ДБО и регулярной проверки наличия уязвимостей (с помощью средств поиска уязвимостей, тестов на проникновение).
Вторая задача решается посредством использования устройств защищенного хранения ключей ЭП и защищенной выработки электронной подписи, доверенных устройств отображения ключевых реквизитов и подписи платежного поручения, доверенных каналов подтверждения платежа, доверенной среды для работы с приложением «клиент - банк». А также посредством мониторинга платежей на предмет выявления подозрительных и потенциально мошеннических сделок.
«Примером создания доверенной среды может быть случай, когда клиент использует для работы с приложением «клиент - банк» только специальный выделенный ПК (например, настроенный определенным защищенным образом нетбук), - говорит Иван Янсон. -Примером использования доверенного канала подтверждения платежа являются отправка SMS-сообщений с разовыми кодами подтверждения и использование так называемых МАС-токенов (или криптокалькуляторов). Отметим при этом, что способ, использующий SMS-сообщения, не является идеальным с точки зрения защиты».
Эксперт объяснил алгоритм работы МАС-токенов (криптокалькуляторов). Сначала в устройство вводятся ключевые реквизиты платежного поручения, устройство вычисляет код подтверждения как производную величину от введенных данных и от ключа, «зашитого» в устройство. Далее клиент вводит код подтверждения в систему (на ПК, смартфоне и т.п.), и система проверяет, что код подтверждения относится к поступившему платежному поручению. Если проверка прошла успешно, то система выполняет платеж.
Есть и другие варианты устройств такого класса, рассказывает Иван Янсон. В частности, существуют устройства, которые позволяют считывать реквизиты платежного поручения с экрана ПК, смартфона. В этом случае ручные действия клиента минимизируются, а алгоритм выглядит следующим образом. Клиент вводит платежное поручение (на ПК, смартфоне). Система на экране выводит в зашифрованном виде п/п и дополнительный код. Клиент подносит устройство к штрих-коду и считывает его, устройство, в свою очередь, расшифровывает п/п (платежное поручение) и дополнительный код. Клиент проверяет, легитимен ли платеж, и если платеж легитимен, вводит код подтверждения в систему, а система проводит платеж.
Что касается устройств с доверенным отображением и подписью платежа, то их название говорит само за себя, считает Иван Янсон. «Такие устройства обычно подключаются к ПК через USB-порт и обладают возможностью просмотра на экране ключевых реквизитов платежа и последующего подтверждения (либо, наоборот, неподтверждения платежа)», - разъясняет специалист. Также, по его словам, данные устройства обладают возможностью подписи платежного поручения на самом устройстве.
«БАНК - КЛИЕНТ» с поддержкой рутокен PINPAD - адекватный ответ на новые угрозы
Евгений СУХОВ, руководитель отдела перспективных проектов, компания «Актив»
Банки уделяют все больше внимания развитию такой дистанционной формы обслуживания клиентов, как интернет-банкинг. Соответственно, растет спрос на увеличение безопасности сервиса, а также необходимость соответствования требованиям (ФСБ, ФСТЭК, ФЗ-152, защита коммерческой тайны и т.д.). Системы «клиент - банк» оперируют реальными деньгами, поэтому безопасность этих систем должна быть на высоте. Анализируя текущую ситуацию, можно сказать, что тенденция перехода банков на использование специализированных средств обеспечения безопасности в системах ДБО находится в стадии активного формирования.
В пользу этого факта можно привести пример своевременного появления на рынке специализированного решения Рутокен PINPad, способного защитить пользователей систем дистанционного банковского обслуживания от проблем, связанных с применением злоумышленниками удаленного управления компьютером и подменой платежной информации вредоносным программным обеспечением.
Такое решение будет интересно практически всем. Для банков появляется новый способ предоставить своим клиентам более надежный сервис (вместо того чтобы разбираться с претензиями). Для ведущих разработчиков систем «банк - клиент», совместно с которыми компания «Актив» продвигает Рутокен PINPad на рынок, интеграция с этим аппаратным решением дает убедительное конкурентное преимущество, позволяет привлечь новых покупателей.
Компания «Актив», производитель устройства Рутокен PINPad, тесно взаимодействует с ведущими разработчиками систем ДБО. Уже сейчас Рутокен PINPad используется в системе «Инист Банк Клиент» компании «Инист» и в системе «Банк+Клиент СФТ» компании СФТ. На завершающем этапе находится внедрение в систему «ДБО BS-Client» компании BSS. Ведутся переговоры о поставках Рутокен PINPad в ведущие банки, предлагающие своим клиентам услуги по дистанционному обслуживанию.
Начать дискуссию