785-04-94

+7 495

Безопасность в системах ДБО — актуальная задача разработчиков

Владимир Кобылянский — советник исполнительного директора
по информационной безопасности BSS

Банковское обозрение • № 12 • Декабрь • 2011

Сегодня сложно найти банк, который не предоставляет услуги дистанционного обслуживания, поскольку это удобно для клиентов. Но возможность удаленно осуществлять операции с денежными средствами, естественно, привлекает внимание злоумышленников.

Компания BSS, ведущий разработчик систем дистанционного банковского обслуживания (ДБО), предоставляет своим клиентам современные и надежные средства для обеспечения безопасности при работе в системах ДБО.

На данный момент практически все банки ввели использование технологии электронно-цифровой подписи (ЭЦП) для обеспечения защиты и юридической значимости платежных поручений, пересылаемых от юридического лица банку с помощью системы ДБО. Так как криптографические алгоритмы, применяемые в процессе создания и проверки ЭЦП, доказали свою надежность в процессе почти20-летнейэксплуатации, злоумышленники сконцентрировали свои усилия на следующих типах атак:

  • атака на ключевой контейнер;
  • атака удаленного управления;
  • атака подмены документа.

Эти типы атак объединяет то, что все они проводятся удаленно (злоумышленнику не требуется получать физических доступ к компьютеру атакуемого), а следовательно, риск быть пойманным у злоумышленника минимален. Удаленные атаки возможны из-за того, что компьютер клиента банка невозможно сделать доверенной средой — это слишком дорого, сложно и, самое главное, неудобно для пользователя. Единственный выход — создание доверенной среды отдельно от компьютера клиента.

Исходя из этих соображений в BSS принято решение о встраивании в свои продукты поддержки аппаратных средств визуализации ЭЦП — то есть устройств, которые отображают на своем экране данные перед подписанием. Работы по встраиванию планируется завершить в конце 2011 — начале 2012 года. Использование таких устройств совместно с токенами с неизвлекаемыми ключами позволяет создать доверенную среду для проведения криптографических операций и тем самым полностью исключить возможность проведения удаленных атак — в любом случае потребуется физический доступ к устройству. На данный момент на рынке существует уже несколько таких устройств — SafeTouch от компании "СэйфТек", PINPad от компании "Актив-софт" и т.п.

С физическими лицами ситуация иная. С одной стороны, у "физиков" существенно меньше денежных средств на счетах, с другой, — больше требований к мобильности решения. А самое главное — для физических лиц сумма более 1 тыс. рублей на обеспечение безопасности зачастую уже не приемлема. Поэтому банки не использует технологию ЭЦП при работе с ДБО физических лиц.

Обычно защита физических лиц при работе в системе ДБО строится на использовании парольной защиты, одноразовых паролей или SMS-подтверждений. К сожалению, все данные средства могут быть "обойдены" злоумышленниками. Но ситуация меняется к лучшему. Уже появились банки, которые выдают физическим лицам ключи ЭЦП и требуют приобретения дополнительных средств. Некоторые банки внедряют использование так называемых "крипто-калькуляторов", которые позволяют обеспечить для физических лиц такой же уровень защиты, как и применение средств визуализации для юридических лиц. Хотя они не очень удобны в использовании.

Кроме того, эксперты прогнозируют появление возможности использования универсальных электронных карт (УЭК) в системах ДБО. Возможно, данное решение, совместно со средствами визуализации, также найдет широкое применение.

В статье описаны лишь общие методы защиты от атак. Главное, что хотелось подчеркнуть, — ситуация на данный момент весьма тревожная, но в сфере защиты систем ДБО все очень быстро меняется, и есть тенденция к улучшению. Защиту от всех атак с надежностью в 100% не удастся создать никогда (хотя бы потому, что в этом процессе участвует человек), но разработчики средств защиты и систем ДБО работают над тем, чтобы максимально приблизиться к таким показателям.

Оригинал статьи