Системы дистанционного банковского обслуживания (ДБО) как инструмент снижения операционных расходов, повышения эффективности и конкурентоспособности бизнеса банков получают все более широкое распространение в нашей стране.
В исследовании агентства CNews Analytics, проведенном в прошлом году, отмечается стабильный рост уровня распространенности ДБО: такие системы используют 94% российских банков из ведущей сотни для обслуживания юридических лиц и 83% — для обслуживания физических лиц. Согласно данным Банка России доступом к своим банковским счетам пользуется несколько миллионов физических лиц.
Вместе с тем специалисты по информационной безопасности (ИБ) отмечают низкий уровень защищенности ДБО и большое количество уязвимостей в программном обеспечении, используемом в ДБО-системах, несмотря на увеличение доли профессиональных разработок против самописных.
МВД России сообщает, что растут как количество, так и размеры хищений денежных средств индивидуальных и корпоративных вкладчиков, осуществляемых с использованием ДБО. При этом денег у юридических лиц крадётся в тысячи раз больше, чем у физических.
Ситуация, складывающаяся вокруг ДБО, не оставляет сегодня равнодушными никого из его участников и организаторов — ни клиентов, ни банки, ни правоохранительные органы, ни регуляторов, ни специалистов по ИБ.
В данном обзоре мы постарались рассмотреть специфику организации защиты ДБО, возникающие при этом проблемы и возможные пути их решения с учетом необходимости выполнять нормативные требования к обеспечению безопасности банковских транзакций.
Критерии защищенности систем ДБО
В организации защиты системы ДБО опрошенные нами эксперты рекомендуют исходить прежде всего из экономической целесообразности, т. е. чтобы защита не была дороже защищаемых ресурсов. Хотя есть и более радикальные мнения. Так, Андрей Голов, генеральный директор компании “Код Безопасности”, полагает, что критерий защищенности ДБО может быть только один: злоумышленник не должен найти способа совершить хищение денежных средств. Джабраил Матиев, руководитель группы информационной безопасности компании IBS Platformix, также настаивает на том, что необходимо не дать злоумышленнику возможность получить управление чужим банковским счетом, при этом неважно, каким образом это достигается.
Эксперты обращают внимание на то, что средства защиты ДБО не должны доставлять больших неудобств пользователям системы, в первую очередь ее клиентам. В противном случае они просто будут пренебрегать защитой и применять ДБО с нарушением требований к ИБ.
В организации ИБ систем ДБО Алексей Сизов, руководитель группы противодействия мошенничеству Центра информационной безопасности компании “Инфосистемы Джет”, рекомендует руководствоваться базовыми критериями защищенности информации: обеспечением конфиденциальности, целостности и аутентичности. При этом целостность информации, как он считает, следует рассматривать не только в отношении платежных поручений, но и применительно к операциям проведения платежа. Аутентичность платежного поручения должна рассматриваться для каждой операции с учетом того, в каком отношении к документу состоит пользователь сервиса ДБО.
Для определения специфических критериев защищенности систем ДБО Евгений Афонин, начальник отдела системной архитектуры компании “Информзащита”, предлагает обратиться к документу “Критерии защищенности вычислительных систем ФСТЭК: Автоматизированные системы. Защита от НСД”. По его мнению, сформулированные в этом документе положения могут быть успешно применены к системам ДБО. Из основных характеристик защиты ДБО г-н Афонин обращает особое внимание на универсальность мер и средств защиты вне зависимости от методов атак, на возможность адаптации системы защиты в соответствии с изменениями технологий ДБО и бизнес-процессов кредитной организации, а также на способность предотвращать нарушения ИБ автоматически.
Готовым к практическому использованию руководством по обеспечению ИБ в системах ДБО выглядит перечень ключевых критериев защищённости, представленный Сергеем Котовым, экспертом по информационной безопасности компании “Аладдин Р.Д.”:
- удобный, интуитивно понятный пользовательский интерфейс;
- доступное и внятное руководство пользователя;
- наличие способов идентификации, альтернативных логин-парольной;
- возможность использования средств аутентификации по выбору клиента (с учётом ограничений, устанавливаемых банком);
- возможность выбора правил и средств доступа к системе;
- промышленная (не “самописная”) система ДБО;
- наличие у системы сертификатов регуляторов.
ИБ-риски, специфичные для ДБО
Риски, связанные с использованием ДБО, эксперты разделяют на те, которые возникают на стороне клиента, и те, что характерны для финансово-кредитных организаций. При этом Сергей Котов подчеркивает, что такие риски специфическими считать не следует, поскольку они актуальны не только для области ДБО.
Для клиентов ДБО характерны кражи и потери средств, применяемых для идентификации пользователей (в том числе ключей формирования электронных подписей платежных поручений), перехват управления вычислительными ресурсами как стационарных, так и мобильных устройств, применяемых для работы с сервисами ДБО, заражение их вредоносными программами, позволяющими нарушать целостность последовательности действий при формировании платежных поручений. Эксперты указывают на то, что ситуация с обеспечением безопасности использования систем ДБО на стороне клиентов усложняется их низкой ИБ-культурой.
На стороне кредитно-финансовых организаций эксперты отмечают недостаточный контроль используемых бизнес-процессов, низкую эффективность взаимодействия банков между собой и с правоохранительными органами, уязвимости в базовом ПО систем ДБО, злонамеренный инсайд со стороны банковских сотрудников, включая администраторов бизнес-приложений и инфраструктуры.
К наиболее сложным и опасным на сегодняшний день атакам на ДБО Андрей Голов относит те, в результате которых происходит подмена платежных документов на этапе их подписания. Во время такой атаки пользователь видит и подписывает один документ, а в банк уходит подложный. Как сообщает г-н Голов, вредоносные программы, лежащие в основе организации таких атак, хакерами разработаны практически для всех наиболее распространенных систем ДБО, а ущерб от этого типа атак сегодня исчисляется десятками миллионов рублей.
Факторы, затрудняющие защиту ДБО
Защита ДБО является задачей комплексной и должна реализовываться как на стороне кредитно-финансовой организации, так и на стороне клиента. И если, как отмечает генеральный директор компании “ДиалогНаука” Виктор Сердюк, на своей стороне провайдер услуг ДБО в состоянии обеспечить желаемый уровень защиты в полном объеме, то на клиентской стороне он может только рекомендовать использовать те или иные механизмы безопасности, ответственность за реализацию которых ложится на клиента.
По наблюдениям г-на Сердюка, большинство успешных атак на системы ДБО проводится через плохо защищенные клиентские места, на которых не выполняются даже базовые требования по защите информации. Он полагает, что отсутствие должного внимания к проблеме защиты информации со стороны клиентов ДБО является одним из основных факторов, затрудняющих эффективную защиту систем ДБО.
В ДБО, как в зеркале, отражаются общие для сервисной модели потребления ИТ проблемы обеспечения ИБ, а именно невозможность для провайдера реализовать и гарантировать требуемую безопасность на стороне клиента, а для клиента — организовать адекватный контроль за качеством услуги (включая ее безопасность) на стороне провайдера. Первый фактор для ДБО играет сегодня более значимую роль, и поэтому клиенты, по мнению экспертов, остаются наиболее уязвимым звеном в обеспечении безопасности ДБО. Второй фактор в основном связан с доступностью сервиса, и возникающие в этой связи проблемы могут быть разрешены сменой ДБО-провайдера.
К факторам, затрудняющим обеспечение ИБ систем ДБО, эксперты относят также высокие требования со стороны клиентов к удобству эксплуатации таких систем. Процедуры получения ключей электронной подписи, их применения, разбор конфликтных ситуаций и т. п. не должны быть сильно обременительными для пользователей.
Использование средств защиты ДБО затрудняется также длительным процессом внедрения, что связано с большой и распределенной клиентской базой ДБО-систем. Внедрение системы защиты может приводить к значительной модификации самих систем ДБО в целом. К управлению системами ДБО пока привлекают в основном специалистов службы ИТ, игнорируя ИБ-службу, что также не способствует безопасности ДБО-услуг.
Виктор Сердюк полагает, что для эффективного противодействия атакам на системы ДБО помимо использования современных средств и методов защиты необходимо налаживать более тесное взаимодействие между банками, правоохранительными органами, регуляторами, а также компаниями, работающими на рынке защиты информации. В настоящее время эта задача, по его наблюдениям, решается путем создания специализированных профессиональных ассоциаций и рабочих групп, в рамках которых обсуждаются проблемы защиты систем ДБО и возможные пути их решения.
Поскольку конкуренция на рынке услуг ДБО ощущается уже весьма остро, стоимость для клиента защиты как дополнительного сервиса не должна быть высокой. В противном случае повышается срок самоокупаемости ДБО-систем, что не стимулирует банки рассматривать ИБ как конкурентное преимущество в сфере услуг ДБО.
ИБ-методы и ИБ-продукты для защиты ДБО
Согласно наблюдениям Виктора Сердюка, на ИБ-рынке имеется достаточно широкий спектр решений, которые позволяют обеспечить эффективную защиту систем ДБО. Наряду с традиционными межсетевыми экранами, антивирусами, системами обнаружения атак и т. п. есть и специализированные продукты, к которым он относит инструменты усиленной аутентификации, системы мониторинга банковских транзакций с целью выявления мошенничества, а также средства создания доверенной среды ДБО. Кроме этого он отмечает, что некоторые российские компании, работающие на рынке ИБ, начали предоставлять консалтинговые услуги по проведению аудита информационной безопасности ДБО-систем. В рамках такого аудита проверяется устойчивость системы к возможным атакам злоумышленников, а по результатам формируется отчет с описанием выявленных уязвимостей и рекомендациями по их устранению.
По мнению Сергея Котова, была, есть и будет необходимость в разработке и использовании принципиально новых методов и продуктов для обеспечения безопасности ДБО, которые должны следовать за развитием сервисов ДБО и технологий, используемых киберпреступниками. Разработчикам систем ДБО и ДБО-провайдерам он рекомендует уделять внимание не только функциональности систем, но и безопасности их использования. На первый план в защите ДБО должно, как он считает, в скором времени выдвинуться страхование ИБ-рисков кредитно-финансовыми учреждениями (но не клиентами).
На взгляд Евгения Афонина, инструменты, необходимые для обеспечения защиты ДБО, уже придуманы, и задача заключается в том, чтобы их правильно использовать. Большей эффективности, утверждает он, можно добиться за счет риск-аналитического подхода, если положить его в основу управления информационной безопасностью ДБО. Повысить уровень защиты систем ДБО, по его мнению, можно, применяя поведенческий анализ действий пользователей и профилирование выполняемых ими транзакций.
Как полагает Алексей Сизов, в краткосрочной перспективе для защиты ДБО нужно сосредоточиться на средствах защиты клиентской среды. К ним он относит механизмы интеллектуального реагирования на факты мошенничества и инструменты усиленной аутентификации пользователей, подтверждающие легитимность операций ДБО. В настоящее время на стороне ДБО-провайдера для этого используют как специализированные системы антифрода, так и настройки на отработку событий, связанных с мошенничеством, системы управления информационной безопасностью (СУИБ).
В среднесрочной перспективе, по мнению г-на Сизова, внимание будут уделять механизмам защиты и контроля программного обеспечения систем ДБО, а также контролю действий обслуживающего персонала (сотрудников банков, аутсорсинговых компаний и т. д.).
Андрей Голов наиболее эффективным подходом к обеспечению безопасности ДБО считает внедрение защиты внутри самой ДБО-системы. На его взгляд важно, чтобы используемые средства криптозащиты ДБО и критичные части самой системы ДБО функционировали в единой защищённой среде. Однако если обеспечивать неизвлекаемость ключевой информации в каком-либо отдельном носителе, то необходимо, чтобы и криптографические операции тоже выполнялись в этом носителе, и визуализация информации защищаемых процессов была реализована на нём же. При пакетной обработке транзакций, когда невозможно выполнить ее визуализацию, г-н Голов рекомендует использовать такие приемы, как “белый список” надёжных получателей, управление рисками выполнения операций и т. п.
По мнению г-на Голова, подходы к обеспечению ИБ в системах ДБО нужно пересматривать, двигаясь в двух направлениях. Во-первых, часть системы банк — клиент следует поместить в доверенную среду, которая реализуется вне операционной системы на защищенном внешнем носителе. Это должно обеспечить целостность и неизменность платежных документов во время их подписания.
Подобный подход может упереться в стоимость решения. Банк, по оценкам г-на Голова, готов потратить на защиту одного клиентского средства доступа к системе ДБО не более ста долларов. Это заставляет ИБ-разработчиков идти на компромиссы, в частности применять решения класса Trusted Screen, представляющие собой аппаратные устройства размером с ладонь с сенсорным экраном, в доверенной среде которых подписывается документ и отображаются платежные данные. К недостаткам этого подхода Андрей Голов относит необходимость применять дополнительное устройство, а также дорогие токены и смарт-карты со встроенной криптографией.
Второй компромиссный вариант защиты платежных документов от фальсификаций, рассматриваемый г-ном Головым, представляет собой тонкий или доверенный клиент, разворачиваемый на клиентском компьютере в виде виртуальной машины, на которой создается доверенная среда для просмотра и подписи платежных документов. Такое решение не требует дополнительных устройств, кроме доверенного носителя. Однако пользователь, работая с системой ДБО в такой среде, сильно ограничен, так как система “не видит” ресурсов рабочей стации и не может с ними работать.
По словам г-на Голова, совмещение упомянутых выше двух подходов позволяет обойти их недостатки. Суть такого совмещения заключается в том, что до загрузки вычислительной системы клиентского рабочего места некоторые ее ресурсы (одно ядро процессора, часть памяти и ресурсов видеокарты и т. д.) занимается микрокодом доверенной среды и пользовательскими ключами. После выполнения этой процедуры стартует загрузка операционной системы компьютера, которая теперь “не видит” “изъятых” у нее ресурсов и не может к ним обращаться. Благодаря этому никакие вредоносные программы не в состоянии перехватить критические данные, которые загружены в сформированную таким способом доверенную среду.
Когда в системе ДБО проводится банковская транзакция, внедренный микрокод переключает компьютер в доверенную среду, отображает документ на экране компьютера, затем формирует электронную подпись и возвращает управление операционной системе. Как подчеркивает Андрей Голов, предлагаемая технология отличается надежностью, низкой стоимостью, не требует дополнительных устройств для совершения операций и визуализации.
Регулирование ДБО
Самым значимым в области регулирования ДБО в России является принятый 27 июня 2011 года федеральный закон № 161-ФЗ “О национальной платежной системе”. Его появление, как считает Джабраил Матиев, свидетельствует о серьезных намерениях нашего государства в регулировании функционирования платежных систем, и одним из результатов создания национальной платежной системы станет повышение общей защищенности систем ДБО. Андрей Голов подчеркивает, что разработка и корректировка закона проходит в тесном контакте госрегуляторов, производителей средств ИБ и специалистов служб безопасности банков.
Однако Алексей Сизов оценивает состояние регулирования и контроля исполнения требований регуляторов в сфере ДБО нашей страны как зачаточное. По его мнению, выдвинутые в законе “О национальной платежной системе” требования являются необходимыми для регулирования обращения платежей в стране. Вместе с тем закон получил ряд серьезных замечаний со стороны банковского сообщества, которые повлекли за собой необходимость его корректировки и уточнений. В результате госрегуляторами принято решение на год (до января 2014-го) отсрочить вступление в силу девятой статьи закона, определяющей порядок возмещения клиентам денежных средств, которые были задействованы в банковских операциях, совершенных с использованием электронных средств и без согласия клиента, в том числе через системы ДБО.
По мнению Виктора Сердюка, с развитием российской регулятивной базы будет усугубляться ответственность кредитно-финансовых организаций за возможные финансовые потери их клиентов, связанные в том числе с атаками на системы ДБО (и отложенная на год статья рано или поздно начнёт работать), и усилятся требования к защите информации в кредитно-финансовых компаниях, в том числе в отношении систем ДБО. Так, Банк России уже ведет разработку специализированных нормативных документов по информационной защите, среди которых можно назвать стандарт Банка Росси СТО БР ИББС и Положение Банка России 382-П от 9 июня 2012 г. о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке контроля со стороны Банка России за соблюдением этих требований.
