Интернет-банкинг

Средства криптозащиты и создание доверенной среды при ДБО

Информационная безопасность всегда требует комплексного подхода.

В настоящее время банки активно развивают дистанционное обслуживание, при этом они стремятся повышать защищенность систем ДБО. Поскольку методы, которые используются при атаках на системы дистанционного банковского обслуживания, различаются, то и способы защиты варьируются. Для обеспечения конфиденциальности, аутентификации, контроля доступа, целостности и идентификации работы в ДБО повсеместно используются средства криптографической защиты.

Сегодня каждый уважающий себя банк предоставляет услуги дистанционного обслуживания, поскольку это, с одной стороны, позволяет оптимизировать затраты финансово-кредитной организации, а с другой – является очень удобным способом общения клиентов с финансовым институтом. Однако возможность осуществлять операции с денежными средствами удаленным способом привлекает внимание злоумышленников. В такой ситуации, чтобы избежать репутационных и финансовых рисков, возникающих при внедрении и использовании технологий ДБО, банки вынуждены применять и предлагать клиентам современные средства безопасности.

Конечно, создать защиту от всех атак со стопроцентным уровнем надежности невозможно, хотя бы потому, что человеческий фактор никто не отменял. Но при этом разработчики средств защиты и систем ДБО усердно работают над тем, чтобы минимизировать риски работы в ДБО.

Среди способов защиты от мошенников есть и такие, которые банки достаточно успешно используют уже на протяжении нескольких лет. К ним, например, относятся средства криптозащиты и создание доверенной среды при взаимодействии кредитной организации с клиентами в системах ДБО. Средства криптографической защиты обеспечивают конфиденциальность информации, ее целостность, контроль доступа (информация должна быть открыта только для того, кому она предназначена), аутентификацию (возможность однозначно идентифицировать отправителя), неотрекаемость (невозможность отказаться от совершенного действия).

Для обеспечения аутентификации, целостности и неотрекаемости используется электронная подпись (ЭП), для обеспечения конфиденциальности и контроля доступа – шифрование.

Различные угрозы

Количество и разнообразие атак на системы ДБО с каждым годом увеличивается. В последнее время внимание специалистов по информационной безопасности сконцентрировано на проблеме несанкционированных платежей, которые создаются мошенниками посредством украденных ключей электронной подписи, удаленного управления компьютером с ключом ЭП либо подмены реквизитов платежного поручения на ПК клиента в момент подписи. 

Соответственно, основные усилия сосредоточены на защите клиентских ключей ЭП и процесса создания электронной подписи для платежного документа. При этом, к сожалению, оказываются в тени вопросы защиты сетевого периметра, ИТ-инфраструктуры, автоматизированных банковских систем, самого приложения «Клиент-банк».

Если, например, web-интерфейс клиент-банка написан без учета технологий безопасного программирования, без контроля его качества, то он может содержать уязвимости, которые привлекут внимание злоумышленников. Для атаки на клиент-банк могут быть использованы уязвимости операционной системы сервера, на котором несвоевременно устанавливаются обновления и патчи безопасности. Причем сервер может и не быть сервером клиент-банка – атака может быть начата через стоящее рядом приложение (почтовый сервер, информационный web-сервер и т.п.). 

Действительно, хищение ключей электронной подписи и закрытых ключей ЭП клиентов систем ДБО с их же компьютеров – одна из основных угроз дистанционного обслуживания. При этом адекватный метод противодействия различного рода атакам на системы ДБО придуман: перенос функции контроля основных параметров документа из операционной системы в замкнутую среду на внешнем устройстве. В данном случае функции защиты, целостности и неизменности документа реализуются не в операционной системе, а на отчуждаемом защищенном носителе. Такие устройства на российском рынке предлагают несколько компаний. 

Безопасность для юридических лиц

Безопасность системы ДБО зависит и от банка, и от его клиентов: у каждого своя зона ответственности, причем у кредитной организации она шире. В частности, в зоне ответственности финансового института находится комплексное обеспечение безопасности системы. В рамках реализации этой задачи банки делают все возможное для защиты ключа ЭП и процедуры формирования подписи для платежных документов на стороне клиента, отмечают банковские эксперты. Однако, как правило, клиент все равно должен обеспечивать элементарные нормы безопасности на своем ПК для работы с клиент-банком.

Ситуация складывается таким образом, что клиент оказывается менее защищен, нежели организация, поэтому действия мошенников сместились именно в эту зону. Если ключи в компьютере клиента и их просто украсть, то зачем взламывать сервер клиент-банка? В данном случае мошенники идут по пути наибольшей экономической целесообразности.

На данный момент практически все кредитные организации ввели использование ЭП для обеспечения защиты и юридической значимости платежных поручений, пересылаемых от юридического лица в банк с помощью системы ДБО. Эксперты говорят, что криптографические алгоритмы, которые применяются в ходе создания и проверки ЭП, доказали свою надежность. Злоумышленники сосредоточили свои усилия на определенных типах атак, среди которых атака на ключевой контейнер, атака удаленного управления, атака подмены документа. 

Злоумышленнику уже не нужен физический доступ к компьютеру атакуемого лица, следовательно, поймать преступников практически невозможно. Сложности возникают потому, что компьютер клиента банка в силу различных причин нельзя сделать доверенной средой. Это дорого, сложно, неудобно для пользователя. Проблему можно решить, создав доверенную среду отдельно от компьютера клиента. 

Безопасность для физических лиц

Клиент (речь идет о физическом лице) может ввести пароль в неправильном месте или оставить его в системе сохраненным, то есть создать своими действиями возможность для атак злоумышленников на его счета. Клиентские риски также связаны с недостаточно безопасными способами авторизации: когда у пользователя нет карточки паролей либо его доступ в систему обеспечивает лишь одно слово или один пароль, который человек может записать где-либо и который кто-то может увидеть. 

По результатам исследования, проведенного компанией Intercede в 2014 году, 51% потребителей делятся именем пользователя и паролями от мобильных приложений и сервисов со своими родственниками, друзьями и коллегами, чем подвергают опасности свои персональные данные.

Как показали результаты опроса, половина респондентов просто запоминают пароли. Из этого следует, что пользователи полагаются на легко запоминаемые комбинации и используют один и тот же пароль для входа в свои учетные записи в разных приложениях и сервисах. По словам главного исполнительного директора Intercede Ричарда Пэрриса, на сегодняшний день большинство людей используют значительное количество паролей в социальных сетях, сервисах электронной почты, интернет-банкингах и т.д. Поэтому неудивительно, что потребители пользуются методом, требующим наименьших усилий, – автоматическим входом в систему. Подобные легкомысленные действия могут привести к потере или хищению персональных данных пользователя. 

В ходе исследования выяснилось, что многие респонденты не выходят из своих учетных записей по окончании работы с приложениями, что также может нести угрозу безопасности персональной информации. Кроме того, большое количество пользователей компрометируют конфиденциальные данные своих банковских счетов и кредитных карт, выбирая опции «запомнить пароль» или «сохранить пароль» при использовании банковских или платежных сервисов. Например, автоматический вход в систему используют 16% пользователей интернет-банкингов. Безусловно, автоматический вход в систему очень удобен, однако в данном случае остается лазейка для действий злоумышленников.

Защита клиента совершенствуется

Статистика гласит, что 70% атак на клиентскую часть ДБО происходит при хранении ключей на незащищенных носителях. В связи с этим многие банки переходят или уже перешли на технологии двухфакторной аутентификации с хранением ключевой информации в неизвлекаемом виде на eToken или на смарт-карте.

К ответственному обращению со средствами клиентов подталкивает банкиров законодательство. Например, Федеральный закон № 161-ФЗ гласит: оператор по переводу денежных средств обязан возместить сумму операции, совершенной без согласия клиента, если не докажет, что клиент нарушил порядок использования электронного средства платежа и это повлекло совершение операции без согласия клиента – физического лица. 

В таких ситуациях, конечно, необходима строгая аутентификация. Причем средства аутентификации и защиты данных обязательно должны быть сертифицированы, что не только предоставляет гарантии надежности, но и соответствует требованиям российского законодательства. 

Специалисты говорят, что, несмотря на многие проблемы, защита клиентской стороны постепенно повышается. Это обеспечивается с помощью устройств защищенного хранения ключей ЭП, защищенной выработки электронной подписи, доверенных устройств отображения по подписи платежного поручения, доверенных каналов подтверждения платежа и посредством использования доверенной среды для работы с клиент-банком. По мере того как совершенствуется защита клиента, повышается вероятность того, что мошенники начнут искать уязвимые серверы и приложения и использовать эти тонкие места для атак на системы дистанционного банковского обслуживания, отмечают эксперты. 

Руководитель отдела информационной безопасности банка «ДельтаКредит» Алексей Лола уверен, что обеспечить безопасность работы клиента в системах ДБО нельзя исключительно техническими средствами – требуется комплексный подход. Использование современных средств криптографической защиты повышает уровень защищенности систем ДБО, но только при условии правильной эксплуатации со стороны клиента. Многие пользователи систем ДБО не являются экспертами в области информационных технологий и информационной безопасности, поэтому повышение осведомленности клиентов об угрозах дистанционного обслуживания – задача не менее важная.

В банке «ДельтаКредит» специфичная система ДБО – инфобанкинг. Эксперт рассказал, что на данном этапе не требуется применение специальных средств защиты. «Стандартные средства защиты обеспечивают баланс между удобством использования и защищенностью», – убежден эксперт. Стоит отметить, что с его мнением согласны многие банкиры. 

Начать дискуссию