ФИНАНСОВЫЕ СИСТЕМЫ
Владислав Пономарев
Интернет-банкинг’2005
В тематическом обзоре "Банковские технологии" (газета "Финансовые Известия" от 22.12.2004 г.) были приведены мнения ряда российских банкиров по поводу технологического развития банковского сектора в новом году. Практически все они заявили, что 2005 г. пройдет под знаком кредитной карты и Интернет-банкинга. Действительно, похоже, что для потребительского кредитования и использования кредитных карт настало золотое время, но безудержный оптимизм относительно Интернет-банкинга далеко не так убедителен. Охват данным сервисом юридических лиц, которые по закону обязаны открыть счет в банке и которые производят основную массу платежей в безналичной форме, был в основном завершен в 2003-2004 гг., а потому потенциал роста в корпоративном секторе практически исчерпан. Таким образом, очевидно, подразумевался прорыв в сфере Интернет-банкинга для физических лиц. Однако до сих пор успехи российских кредитных учреждений в этом плане были более чем скромными. По имеющимся на III квартал 2004 г. данным (приложение к газете "Коммерсант" от 19. 08. 2004 г.), услугами индивидуального Интернет-банкинга в России пользовалось всего 40-50 тыс. человек. Здесь мы "обошли" Руанду, которая в прошлогоднем рейтинге стран по степени экономической свободы (The Wall Street Journal) оттеснила Россию со 123-го на 124-е место, но все еще очень далеки от США (25 млн. пользователей электронного банкинга) и Европы (суммарно - около 60 млн.). Причем самое неприятное состоит в том, что бо/льшая часть из указанных 40-50 тысяч пользовалась Интернет-банкингом исключительно в информационном режиме, который так же далек от режима дистанционного управления счетом и услугами, как земля от неба, и не решает главных организационных проблем обслуживания. (В дальнейшем по умолчанию будем подразумевать под Интернет-банкингом работу именно в режиме управления.)
Причины торможения
Конечно, имеется весьма существенная объективная причина, замедляющая продвижение такого вида услуг, - заметное отставание от развитых западных стран в распространении Интернета в России. Однако есть и оказывающие негативное влияние факторы, которые носят чисто субъективный характер и могли бы (при желании) быть преодолены.
Российские банки, как ни странно, не стремятся глубоко анализировать (и творчески перерабатывать) накопленный в рассматриваемой области зарубежный опыт, забывая о том, что умные предпочитают учиться на чужих ошибках, а все остальные - на собственных. В итоге, в отличие от западных банков, которые в работе с физическими лицами ориентируются прежде всего на технологичность системы, наши делают упор на безопасность и вместо международных коммерческих криптоалгоритмов, поддерживаемых всеми ОС, применяют сертифицированные отечественные криптосредства, требующие дополнительного ПО. Безопасность - вещь хорошая. Но избыточная безопасность, имеющая в качестве побочного эффекта усложнение клиентских программных модулей, их настройки и эксплуатации, делающая неудобной или вообще невозможной работу с произвольного компьютера, приводит к резкому падению привлекательности системы в глазах рядового пользователя. Аналогичная разница в подходах наблюдалась, например, лет тридцать назад в разгар холодной войны, когда армии НАТО имели на вооружении легкие противогазы, рассчитанные на 45 минут эксплуатации (исходя из того, что этого времени достаточно, чтобы покинуть очаг поражения тактическим оружием массового уничтожения), а советская армия - противогазы, рассчитанные на несколько часов боевых действий в этом очаге, дышать в которых было гораздо тяжелее. Вопрос о том, с кем и зачем так долго воевать непосредственно в зоне поражения, откуда немедленно должен был ретироваться противник, как-то не возникал, но факт, что мы их "пересидим", расценивался как неоспоримое преимущество. Примерно так же российские банки сейчас строят электронные системы для физических лиц, полагая, что лишний запас прочности не помешает, а то, что дышать тяжело, - мелочь. Но у пользователей по этому поводу может быть другое мнение, а их, в отличие от корпоративных клиентов, которым некуда деваться, можно заманить, только убедив в удобстве системы.
К тому же как российские, так и иностранные банки обеспечивают безопасность системы лишь в общем плане (защита банковской базы данных, шифрование трафика, надежность процедуры ЭЦП и т. п.), а заботу (и ответственность) за чистоту операционной среды на клиентском компьютере, за безопасность эксплуатации клиентского модуля и за сохранность персональных идентификационных данных они (в соответствии с договором) все как один возлагают на пользователя. А именно это звено и оказывается самым слабым в борьбе с атаками злоумышленников, так как типичный пользователь не имеет достаточной квалификации, чтобы грамотно установить и эксплуатировать приличный межсетевой экран, программу контроля целостности файлов и т. д. Таким образом, принцип равной прочности составляющих периметра обороны применительно к электронным банковским системам у российских банков не популярен: основные усилия направляются на укрепление главной башни крепости (т. е. на криптосредства), в то время как наиболее вероятным объектом нападения по-прежнему остаются задние ворота, сколоченные из тонких досок.
Закат эпохи хакерского романтизма
Время хакеров-романтиков, юнцов-вундеркиндов, стремящихся доказать, "кто здесь самый умный", и тех взрослых с психологией подростков, что борются за какие-нибудь абстрактные идеалы свободы в Сети, проходит. Эти типажи постепенно исчезают подобно парусникам в эпоху дымящих пароходов. Современный хакер (так сказать, герой нашего ИТ-времени) - это деловой человек, зарабатывающий в Сети деньги путем поддержки спамеров, Интернет-шантажа, извлечения данных о банковских счетах пользователей или другой конфиденциальной информации. Он исповедует принцип рентабельности, правило "максимум денег при минимуме затрат", и романтики в нем не больше, чем в банковском клерке.
Если говорить о развитии электронных банковских сервисов, то Россия здесь занимает в некотором смысле выгодное положение отстающего, имея, таким образом, возможность обойти грабли, на которые наступает кто-то из идущих впереди. Более того, у наших кредитных учреждений появляется шанс спрогнозировать и решить будущие проблемы оптимальнее, чем это сделали или собираются делать предшественники.
Сейчас наиболее массовым видом хакерских атак в банковской сфере является "фишинг", строящийся на элементарном обмане от имени банка доверчивых пользователей, которые заполняют некие подложные формы и в итоге дарят свои логины, пароли и PIN-идентификаторы злоумышленникам. Страдают от него в основном крупные американские и западноевропейские банки, имеющие большое число онлайновых клиентов. Фишинг, впрочем, должен в недалекой перспективе отмереть по мере убывания доверчивости пользователей и возрастания сложности применяемых в онлайне схем идентификации и аутентификации.
Следующей по размаху (но не по значению!) методикой, которая в ближайшем будущем станет основной, является внедрение на компьютеры банковских клиентов вирусов-"троянцев", умеющих не только перехватывать и передавать хакерам логины, пароли и PIN-коды, но и секретные ключи ЭЦП. Методика эта, безусловно, будет рентабельной до тех пор, пока с дискеты (или другого носителя цифрового сертификата) секретный ключ в процессе использования будет элементарно считываться и попадать в оперативную память компьютера. А большая часть ныне действующих систем работает именно так. Проблема существенно усложнится по мере постепенного перехода банков на более дорогостоящие электронные идентификаторы (смарт-карты и USB-токены) с собственным криптопроцессором, благодаря которому секретный ключ уже не попадает в компьютер. Тогда все будет определяться тем, удастся ли создать разновидность "троянского коня", которая так или иначе сможет извлечь секретный ключ пользователя из защищенной памяти носителя.
И можно быть твердо уверенными, что хакеры, ставящие своей целью финансовую выгоду, не станут заниматься попытками непосредственного вскрытия используемых криптоалгоритмов. Ни международных коммерческих криптоалгоритмов (при условии длины ключей не менее 128 бит для симметричных и 1024 бит для несимметричных), ни тем более сертифицированных отечественных. И те и другие изначально не предназначены для защиты сведений, составляющих гостайну, и имеют хотя и разную, но в любом случае ограниченную стойкость. Тем не менее взлом ключа криптоалгоритма - все равно очень трудоемкая с математической точки зрения задача, требующая слишком много времени, вычислительных ресурсов, финансовых затрат, а злоумышленники - люди практичные.
Пожелания клиента и принцип гильотины
Давайте попытаемся понять, какой хотел бы видеть систему Интернет-банкинга индивидуальный пользователь, и оценить реальность воплощения его желаний.
Ведь клиент, в общем, хочет немногого: максимального удобства при достаточной безопасности. Причем эта разумно-достаточная безопасность должна быть обеспечена заранее, на системном уровне, без лишних усилий с его стороны. Совсем замечательным представляется вариант, когда пользование системой легко осуществляется с любого компьютера, подключенного к Интернету (это, кстати, резко расширяет потенциальную базу банковской клиентуры за счет пользователей, имеющих выход в Сеть только на службе), и не требует установки какого-либо дополнительного ПО. Однако в силу перестраховочной позиции, занимаемой российскими банками по отношению к соответствующим лицензирующим органам, обычно применяются отечественные криптостандарты, что делает клиентский модуль не только неизбежным, но и весьма громоздким. В то же время без индивидуальной программной защиты компьютера, которую банки брать на себя никогда не будут, уязвимость клиентского компьютера оказывается несообразно велика, да и защита эта не дает полной гарантии против программ-"троянцев".
Ситуация на первый взгляд выглядит почти тупиковой. Все наиболее популярные носители ключевых идентификационных данных (дискеты, iButton, смарт-карты, USB-токены) в процессе соединения с компьютером осуществляют с ним автоматизированный обмен информацией. С точки зрения безопасности этот момент и является критичным. Здесь уместно вспомнить хотя и шуточный, но мудрый афоризм: "Единственное надежное средство от перхоти - это гильотина". Таким образом, выход состоит в полном отсечении у компьютера (с предположительно внедренным "троянским конем") возможности доступа к идентификационным данным и переходе на использование системы одноразовых паролей (One Time Password), которые бесполезно перехватывать, поскольку невозможно использовать вновь. Основным достоинством такого подхода оказывается отсутствие необходимости в инсталляции какого-либо ПО для работы или защиты.
Примитивным вариантом реализации этого принципа является схема, когда соединение с сервером идет по обычному SSL-протоколу, пользователь заполняет соответствующие формы на банковском сайте, а каждое значимое действие (прежде всего транзакции) подтверждается вводом очередного разового пароля из списка, выданного в банке. Главный недостаток указанной схемы - очевидная архаичность, поскольку клиент вынужден постоянно беспокоиться о том, где спрятать список паролей, который легко копируется, как не забыть вовремя получить в банке следующий и правильно его активизировать, чтобы пароли не кончились в самый неподходящий момент.
В редких случаях некоторые (пока единичные) банки доводят эту схему до логического конца и применяют в качестве источника одноразовых паролей автономные электронные идентификаторы (АЭИ). АЭИ могут быть реализованы в виде калькуляторов той или иной формы, карт или брелоков. Такие брелоки иногда называют интеллектуальными токенами, но путать их с USB-токенами не стоит. Главной особенностью этих устройств является автономность, т. е. отсутствие непосредственного контакта с компьютером, и наличие дисплея, с которого пользователь считывает информацию. Данные, содержащиеся в самом АЭИ, обычно защищены PIN-кодом. Формирование паролей может быть динамическим, когда АЭИ и сервер осуществляют синхронизированную генерацию паролей на основании одних и тех же исходных данных, или же система может работать по схеме "запрос - ответ": сервер выдает случайное число, которое АЭИ криптографически преобразует и возвращает результат серверу для проверки. Конструкция выглядит почти идеальной. Особенно если криптографическую часть АЭИ построить (к удовольствию лицензирующих органов) на сертифицированных отечественных алгоритмах. Но "и на солнце бывают пятна"... Если число символов, которые каждый раз необходимо считывать с компьютера, вручную набирать на АЭИ и вводить обратно в ПК, переваливает за десяток, то у пользователя невольно возникает мысль: "А так ли уж современная электроника облегчает жизнь?". К тому же серьезным недостатком АЭИ является их высокая цена: ведь чем вещь лучше, тем она дороже. К сожалению, стоимость эксплуатации рассматриваемой системы может послужить причиной отторжения ее как со стороны банка, так и со стороны клиентов (в зависимости от того, кто платит за идентификаторы).
Тут ради справедливости следует заметить, что в качестве потенциального клиента индивидуального Интернет-банкинга среднестатистический россиянин представляет собой не слишком привлекательную фигуру. У него не только гораздо меньше доверия к электронным технологиям и кредитным организациям, чем у европейцев или американцев, не только существенно меньше денег, которые он готов отнести в банк, - у него не всегда есть даже компьютер. Иными словами, российским банкам в этом смысле откровенно не повезло и их титанические (хотя и небескорыстные) усилия по внедрению современных ИТ-технологий в столь нелегких условиях внушают (несмотря на отдельные промахи и недочеты) заслуженное уважение.
Заключение
По-видимому, оптимистичный взгляд на развитие российского Интернет-банкинга состоит в следующем. Если в таких странах, как, например, Швеция и Финляндия (40% пользователей Интернет-банкинга от всего взрослого населения), дальнейшее распространение этого вида электронного обслуживания приобрело плавный (почти вялый) эволюционный характер, то в России (соответственно 0,05%) наблюдается период бурного, революционного роста, темпы которого останутся высокими по крайней мере до достижения уровня охвата населения в 1%. Эти темпы могут еще сильнее возрасти, если российские банки свою любовь к деньгам клиентов переренесут на самих клиентов и предложат максимально удобные для них электронные сервисы. А любой взлет воодушевляет, будит творческую мысль, надежды и иллюзии.
С автором статьи, кандидатом технических наук, можно связаться по адресу: vnponomarev@aeroflot.ru.
