Как уберечь средства клиентов, если обслуживание
advertisement
СОДЕРЖАНИЕ 2—5 • СОБЫТИЯ 6—33• БИЗНЕС 34—55 • ТЕХНОЛОГИИ 56—65 • БЕЗОПАСНОСТЬ 66—79 • ОБЩЕСТВО 80—96 Как уберечь средства клиентов, если обслуживание предприятий осуществляется банком дистанционно C развитием дистанционного банковского обслуживания растет и уровень угроз для пользователей систем ДБО: у банков деньги похитить можно, и мошенники с успехом воруют деньги и в новых условиях. О том, как этого не допустить, мы беседуем с экспертами и участниками рынка Павлом Есаковым, заместителем директора по продажам в финансовом секторе компании CompuTel, Денисом Калембергом, генеральным директором компании «SafeTech», Сергеем Котовым, экспертом по информационной безопасности компании «Аладдин Р.Д.», Николаем Беляковым, начальником службы информационной безопасности банка «КредитМосква» (ОАО), Павлом Головлевым, начальником управления безопасности СМП-банка, Дмитрием Козловым, руководителем службы маркетинга и рекламы компании «Итеранет» и Александром Веселовым, ведущим инженером ЗАО «С-Терра СиЭсПи». Сергей Котов, эксперт по информационной безопасности компании «Аладдин Р.Д.» • Николай Беляков, начальник службы информационной безопасности банка «Кредит-Москва» (ОАО) • Александр Веселов, ведущий инженер ЗАО «С-Терра СиЭсПи» • Павел Головлев, начальник управления безопасности СМП-банка • Павел Есаков, заместитель директора по продажам в финансовом секторе компании CompuTel • Денис Калемберг, генеральный директор компании «SafeTech» • Дмитрий Козлов, руководитель службы маркетинга и рекламы компании «Итеранет» – Какие, на Ваш взгляд, сегодня существуют продемонстрирована возможность взлома системы угрозы для систем дистанционного банковского безопасности на базе одноразовых sms-паролей. обслуживания (ДБО) юридических лиц с точки зрения информационной безопасности? Сергей Котов: На мой взгляд, с течением времени Изменились ли эти угрозы по сравнению с качественно ничего не изменилось. Стало больше ситуацией 2009–2010 годов? смартфонов и планшетов – увеличилось и продол- Павел Есаков: К сожалению, уровень угроз для жает бурно расти число атак с их использованием. пользователей систем ДБО никоим образом не сни- Чуть было не сказал «с их помощью», но это, конечно, жается, а только растет. Деньги – самый ликвидный не так. Правильнее сказать «с помощью пользовате- товар, и их можно похитить у банков. Попытки бан- лей». Редко когда обходится без этого. ков повысить уровень информационной безопасно- Средства защиты есть, но их мало кто применяет, сти за счет USB-устройств с неизвлекаемым ключом ведь теперь уже нельзя считать средством защиты для формирования ЭЦП (а это самый широко распро- логин/пароль. И в этом нет парадокса, если пере- страненный механизм в системах ДБО для корпора- считать 3 украденных миллиарда на 6 миллиардов тивных заказчиков), по большому счету, закончились мобильных пользователей. При стоимости средств провалом. Мошенники с успехом воруют деньги и защиты от десяти до полусотни долларов получим в новых условиях. Широкое использование одно- разницу на порядок – полтора. Вывод: воруют еще разовых sms-паролей также создает существенные не достаточно для осознания необходимости затрат риски, ибо все более частое использование мобиль- на защиту. Хотя, надо признать, что ситуация меняет- ных устройств используется и для доступа к системе ся, но очень медленно. Стало быть, воровать будут и ДБО, и для получения sms-пароля. В ходе банковско- дальше. Текст: го семинара по безопасности, который был орга- Андрей низован компанией Gemalto в октябре 2013 года в Новиков посольстве Франции, банковскому сообществу была 68 Аналитический банковский журнал №04 (217) апрель 2014 Павел Головлев: Полностью согласен с Сергеем. Несмотря на изменение технологий, на мой взгляд, Дистанционное обслуживание собственно профиль угроз не сильно меняется. Бо- рисках использования ДБО через Интернет и т.д. Всё лее чем три четверти проблем сосредоточены всего это в определённой степени дало какой-то эффект и в трех областях: компрометация рабочего места усложнило реализацию атак на ДБО на стороне кли- клиента внешним злоумышленником, компромета- ента. ция (и нелегитимное использование) средств доступа Тем не менее, принимаемые меры оставляют без и подтверждения платежей (ключей, паролей и т. п.) внимания такие аспекты защиты ДБО, как защита сотрудниками компании клиента, мошеннические бухгалтерских систем на стороне клиента и защита действия со стороны клиента. информационных систем на стороне банка. Я умыш- Да, существуют атаки непосредственно на банки. ленно не употребил здесь термин «ДБО», так как всё и в них участвуют нечистые на руку сотрудники. Та- большее распространение имеют целевые атаки, кие инциденты иногда бывают достаточно громкими имеющие длительный период реализации, целью и привлекающими внимание, но основные угрозы которых оказываются не только системы ДБО в чи- безопасности клиентским средствам имеют вполне стом виде. «бытовой» характер. Для примера, заражается любая рабочая станция на стороне банка, далее злоумышленники на ней Денис Калемберг: Основной угрозой по-прежнему «закрепляются» и начинают изучать сеть организа- осталось хищение денежных средств со счетов кли- ции, всячески скрывая своё присутствие. Ряд таких ентов систем ДБО. Однако технологии, применяемые целевых атак завершился тем, что были успешно для этой цели, значительно изменились. Изначаль- атакованы рабочие места, предназначенные для но мошенники просто копировали ключи подписи обмена информацией с МЦИ Банка России. Факти- клиента и с их помощью переводили деньги на свои чески, «противник ударил с тыла, находясь уже за счета. В ответ на это, в период с 2007 до 2012 года всеми оборонительными рубежами». Таким образом, большинство российских банков внедрили средства в ряде случаем реализовались угрозы, к которым защищенного хранения ключей электронной подписи большинство банков не готовилось и не готово до клиента (токены и смарт-карты). Решение это было сих пор. абсолютно верным и на время действительно снизи- На стороне клиентов злоумышленники всё чаще ло темпы роста ущерба, но хакеры нашли довольно атакуют не сами системы ДБО, а бухгалтерские си- изящный способ обойти такой заслон. Сначала они стемы, которые в настоящий момент в значительной стали удаленно подключаться к рабочим станциям степени меньше защищены, чем ДБО. Для работника клиентов и создавать платежки прямо там, затем клиента, платежи, которые он только что загрузил из, создали «продвинутые» банковские трояны, которые самостоятельно подменяют реквизиты и суммы платежных поручений таким образом, что пользователь зараженного компьютера этого не видит. Согласно отчету ЦБ, атаки с удаленным доступом и подменой документа уже в конце 2012 года использовались более чем в 90% случаев хищений. С точки зрения «мобилизации», бум которой происходит сейчас на рынке услуг для физических лиц, юридических лиц – предприятия – она практически не затрагивает в силу специфики работы этой категории клиентов со счетами. Обычно это рабочее место (ноутбук или компьютер) с системой автоматизации бухгалтерского учета. Мобильные технологии пока не дошли до автоматизации этого вида деятельности. Николай Беляков: Напомню, что долгое время банки наибольшее внимание уделяли попыткам защитить ДБО на стороне клиента. Для этого разрабатывались и разрабатываются новые подходы – защищённые носители, функциональные ключевые носители, устройства гарантированного подтверждения платежей, информирование клиентов о Аналитический банковский журнал №04 (217) апрель 2014 69 СОДЕРЖАНИЕ 2—5 • СОБЫТИЯ 6—33• БИЗНЕС 34—55 • ТЕХНОЛОГИИ 56—65 • БЕЗОПАСНОСТЬ 66—79 • ОБЩЕСТВО 80—96 например, 1С, являются доверенными, так как он их для выполнения, но и для понимания) рекомендаций, только что ввёл своими руками. Таким образом, осу- хотя бы снижающих риски. Опубликовать, например, ществив успешную атаку на бухгалтерскую систему список доступных (и лучше бесплатных) средств за- клиента, злоумышленники почти в 100% случаях об- щиты и рекомендации по их применению. А банки, ретают успех в проведении платежа через банк. заявляющие о поддержке малого бизнеса, могли Учитывая эти направления векторов атак, бороть- бы выдавать им средства защиты бесплатно или на ся с мошенничеством в сфере ДБО возможно только условиях необременительного лизинга – такие вари- совместными усилиями разработчиков ДБО, разра- анты уже проработаны. ботчиков бухгалтерских систем, банков и клиентов. Павел Головлев: Только при этом необходимо ре– Отличаются ли подходы к обеспечению шить массу вопросов, связанных с лицензированием информационной безопасности систем ДБО, этой деятельности и логистическими проблемами, эффективные для крупных корпораций, средних что само по себе может оказаться достаточно затрат- компаний и предприятий малого бизнеса? ным для такого банка. Каковы типовые мероприятия и применяемые средства обеспечения безопасности ДБО для Денис Калемберг: Подходы к обеспечению безо- компаний разного масштаба? пасности ДБО малого, среднего и крупного бизнеса Павел Есаков: Крупным корпоративным клиентам действительно различаются. Для небольших компа- по плечу и более тяжеловесные решения. Так, ре- ний, где платежи в основном совершает генераль- шения с созданием доверенной среды на клиент- ный директор, большое значение имеет стоимость ском компьютере можно встретить только у крупных технологии подтверждения, а также ее мобильность. клиентов, где организация готова выделить под При этом уровень защиты должен быть действитель- интернет-банк отдельный компьютер со всеми вы- но очень высоким, так как эти предприятия зачастую текающими последствиями. Нередко можно встре- не могут позволить себе содержать компьютер толь- тить клиентов из малого бизнеса, единственным ко для рабочих целей. механизмом защиты для которого является одно- Средние компании могут потратить на средство разовый пароль по sms. В целом, есть соответствие защиты чуть больше, мобильность технологии не на- между защищаемыми активами и стоимостью си- столько важна, так как работу с системой интернет- стем защиты. банкинга здесь обычно ведет бухгалтер со стационарного рабочего места. Проблема состоит в том, что Павел Головлев: Продолжу мысль Николая. Са- обычно генеральный директор отдает свое средство мые эффективные защитные меры находятся в зоне подписи (например, токен) этому бухгалтеру, что при- ответственности банков. Зона ответственности кли- водит к упрощению атаки. ента — это область «гигиенических» мер. И очень Что касается крупных компаний, основным крите- часто применение защитных мер входит в противо- рием здесь является возможность одновременного речие с требованиями бизнеса и они просто игно- подтверждения большого количества платежей, ко- рируются. Единственное отличие состоит в том, что торое порой доходит до нескольких тысяч. крупный бизнес может организовать деятельность Для малых и средних компаний как средство за- соответствующих внутренних служб и обеспечить их щиты очень хорошо зарекомендовали устройства технически, если на то будет соответствующая поли- класса TrustScreen, которые показывают, какие тическая воля владельцев этого бизнеса. При этом реквизиты действительно идут на подпись и только рабочее место ДБО будет не более чем одним из за- после нажатия кнопки подтверждения «пропускают» щищаемых информационных активов. Малый и сред- их. Данная технология не намного дороже классиче- ний бизнес вынуждены обходиться менее затратны- ского токена, однако, позволяет «закрыть» все из- ми решениями. вестные на сегодняшний день технологии удаленных атак. Сергей Котов: Малый бизнес – вообще отдельная 70 Для корпоративных клиентов она подходит хуже, тема. Таким компаниям многое недоступно. Они ча- так как бухгалтер просто не сможет подтвердить сто «сидят» со своими транзакциями на ближайшей таким образом тысячи документов в день. Но если доступной Wi-Fi точке, что не добавляет безопасно- интегрировать ее с «белыми» списками контраген- сти. Для них любое мероприятие по защите – уже тов, то на дополнительную проверку будут выдавать- нагрузка на бизнес. Возможно, для малого бизнеса ся только те получатели, которым платежи ранее не необходимо разработать набор доступных (не только проводились. То есть «подозрительные» платежи. Аналитический банковский журнал №04 (217) апрель 2014 Дистанционное обслуживание Также хорошим решением для крупных компаний имеет достаточно ограниченную эффективность. Но является выделение специальной рабочей стан- их отсутствие практически наверняка приводит к фи- ции для проведения платежей в системе ДБО. Такой нансовым потерям. В первую очередь, главным про- компьютер должен быть максимально защищен, а блемным местом является использование «ломан- доступ с него невозможен на любые ресурсы, кроме ного» или устаревшего программного обеспечения и интернет-банкинга. отсутствие своевременных обновлений. – Можно ли считать средства «общей Павел Есаков: К сожалению, «средства общей гиги- информационной гигиены» информационной ены», на мой взгляд, не могут обеспечить защиту бан- инфраструктуры предприятия (сетевые экраны, ка или его клиентов от мошенничества. Ведь основ- антивирусы, DLP-системы и другие подобные) ная масса мошеннических операций в канале ДБО основными мерами защиты от специфических не связана со взломом компьютерных систем банка угроз для систем ДБО? или выводом какой-либо информации за пределы Сергей Котов: Конечно можно. Важно понимать, что охраняемого периметра. Мошенник получает доступ в условиях предприятия это не коробочные продукты к чужому счету под аутентификационными данны- и обычно они не оправдывают себя при использова- ми того клиента, которому этот счет принадлежит на нии «по умолчанию». Даже антивирусным средствам законных основаниях, похищая его данные. Антиви- требуется настройка – что уж говорить об остальных. русы, к сожалению, обнаруживают зловредные про- То есть недостаточно потратиться на приобретение граммы несколько позже, на момент обнаружения средств защиты – придется потратиться на тонкую вируса разработчиками и включения его сигнатуры настройку и поддержание в актуальном состоянии, в базу данных антивируса, операции по незаконному что зачастую стоит немалых денег. переводу средств клиента уже завершились. Павел Головлев: Необходимо понимать, что по- Денис Калемберг: На сегодняшний день стандарт- добные «гигиенические» меры (кстати, не только ные средства защиты не являются препятствием для перечисленные технические, но в первую очередь, «банковских троянов». Например, файлы вредонос- гораздо более дешевые – организационные) явля- ного ПО обычно перешифровываются с частотой бо- ются именно гигиеническими. То есть применение их лее 20 раз в сутки, поэтому обновление антивирусов Аналитический банковский журнал №04 (217) апрель 2014 71 СОДЕРЖАНИЕ 2—5 • СОБЫТИЯ 6—33• БИЗНЕС 34—55 • ТЕХНОЛОГИИ 56—65 • БЕЗОПАСНОСТЬ 66—79 • ОБЩЕСТВО 80—96 за ними не поспевает. Также не являются панацеей сетевые диски или пересылаемые сотрудниками и различные программные «песочницы». В том слу- через внешнюю почту, должно блокироваться DLP- чае, если компьютер оказался заражен, хакер имеет системой предприятия. Записи в аккаунтах сотрудни- полный контроль над всеми происходящими в опера- ков в социальных сетях так же не должны содержать ционной системе процессами. в себе информации, способной раскрыть объёмы и Дополнительно, большое количество заражений производится с использованием методов социальной инженерии, когда пользователь под воздействием атакующего сам «обходит» средства защиты. суть проводимых платежей или дать злоумышленникам ключ к подбору паролей для ДБО. Хорошая DLP-система может объединить в себе и контроль над рабочими местами сотрудников, и контроль информационного периметра предприятия и Дмитрий Козлов: Если обратиться к отчётам по мониторинг аккаунтов сотрудников в социальных се- анализу взломов систем ДБО за конец 2013 года, то тях, что позволит свести к минимуму риски при дис- можно заметить, что основными угрозами являются танционном банковском обслуживании. слабая парольная политика и, как следствие, неустойчивость паролей к взлому методом Brute Force. – Какие средства и системы обеспечения Данные угрозы не поможет снизить ни антивирус, ни безопасности систем ДБО могут применяться сетевой экран, ни DMZ, так как атака будет проис- на стороне исключительно банка, во взаимной ходить ещё до их зоны ответственности, и у пере- работе банка и клиента и исключительно на численных видов защиты не будет повода проявить стороне клиента? себя. Чтобы снизить указанные риски или полностью Александр Веселов: Интернет-технологии настоль- их исключить, надо обратиться к корню проблемы. ко прочно вошли в нашу жизнь, что мы пользуемся Пароли, используемые для дистанционного банков- онлайн-услугами везде и всегда. Системы ДБО также ского обслуживания, имеют особенность «распол- предоставляют клиентам возможность подключения заться» среди сотрудников. Кто-то их записывает в как со стационарного компьютера или ноутбука, так надёжном месте, чтобы не забыть, кто-то времен- и с мобильного телефона или планшета. Такое мно- но выполняет обязанности отпускника по работе с гообразие способов доступа порождает множество клиент-банком, кто-то просто является хранителем угроз, как для пользователя, так и для банка. пароля «на всякий случай». При отсутствии одного от- компонент системы и оставить беззащитным дру- невозможно, что и провоцирует нечистоплотных со- гой, так как обязательно найдется злоумышленник, трудников на нарушения. который этим воспользуется. Поэтому средства обе- Выходом, на первый взгляд, могла бы оказаться двухфакторная авторизация по токену, но это только на первый взгляд. Скорее всего, токен будет хра- спечения безопасности необходимо применять и на стороне банка, и на стороне клиента. На стороне банка обычно используется так назы- ниться в месте, доступном для нескольких сотрудни- ваемая «периметровая» защита с несколькими конту- ков компании в одном конверте с паролем. Вместе рами. Контуры могут быть разделены по функцио- с тем, для предотвращения преступления, злоумыш- нальному признаку (межсетевой экран, VPN-шлюз, ленник должен понимать, что он будет идентифици- контекстный фильтр), а также по производителям. рован, даже если воспользуется чужим паролем или Более надежно для защиты периметра банка ис- общественным токеном. Таким серьёзным останав- пользовать продукцию российских компаний, напри- ливающим фактором будет являться однозначная мер, «С-Терра СиЭсПи», выполненную в соответствии идентификация работающего с системой ДБО со- с требованиями регуляторов (ФСБ, ФСТЭК, Банка трудника при варианте использования двухфактор- России). Ведь в последнее время регулярно появля- ной авторизации по пропуску (проксимити-карте), ется информация о компрометации продуктов не- индивидуальной для каждого работника, что даст которых западных производителей, в том числе речь гарантию его присутствия в момент операции рядом идет и о средствах защиты информации. с компьютером. Вместе с тем, использование двух- 72 В этих условиях нецелесообразно защищать один ветственного, виновника происшествия найти уже Банковское оборудование располагается в кон- факторной авторизации и персонификация ответ- тролируемой зоне, поэтому большинство угроз, ственности за проводимые операции не отменяет связанных с несанкционированным физическим до- необходимость в общем контроле передаваемой ступом, не являются актуальными. Наиболее часто в информации и политике хранящейся во внутренней последнее время приходится сталкиваться с атаками сети информации. Безусловно, выявление графи- типа «отказ в обслуживании», когда злоумышленники ков платежей, передаваемых через общедоступные атакуют банковские серверы и парализуют работу Аналитический банковский журнал №04 (217) апрель 2014 Дистанционное обслуживание легитимных пользователей. В остальном, подавляю- Денис Калемберг: Из основных компонентов на щее большинство атак направлено не на банк, а на стороне сервера можно перечислить системы фрод- пользователя. Ведь защита его рабочего места на мониторинга и системы защиты от DDoS-атак. Между порядок слабее системы защиты серверов банка. клиентом и банком: sms-(или push)-уведомления об Как правило, на стороне пользователя примене- операциях, SMS-пароли для подтверждения опера- ние организационных средств защиты неэффективно ций, подтверждение критичных операций по теле- – большинство пользователей игнорируют регла- фону. менты и инструкции. Поэтому необходимо простое и На стороне клиента: использование аппарат- в тоже время – надежное средство защиты, которое ных криптосредств (не позволяющих копировать сможет использовать неквалифицированный поль- ключи ЭП в операционную систему) в сочетании с зователь. устройствами класса TrustScreen (не позволяющих использовать ключи ЭП без ведома владельца), Павел Есаков: Традиционно решения класса «фрод- МАС-токены для дополнительного подтверждения мониторинг» не предполагают наличия какой-либо операций. клиентской части. Все операции по контролю транзакций проводятся на сервере банка или отсыла- Павел Головлев: Все перечисленное перечислено ются на сайт поставщика решений. Ограничения по абсолютно верно. Обязательно необходимо помнить физическому доступу к клиентскому компьютеру и о том, что единого, подходящего всем, сценария не ключевым носителям хотя и могут применяться, но существует. Всегда необходимо максимально точно их эффективность крайне сомнительна. Ведь, как сегментировать клиентскую базу, опираясь на по- правило, мошенникам совершенно не нужен физиче- требности бизнеса клиента, и реализовывать для ский доступ в помещения клиента или возможность каждого сегмента свой набор защитных мер. Напри- работы непосредственно на рабочем месте клиента. мер, для клиентов, создающих десятки платежей в Достаточно иметь доступ к компьютеру клиента, что день, sms-информирование и sms-пароли в их обще- возможно при размещении на клиентском компью- известном виде будут чрезвычайно неудобны и по- тере необходимого шпионского ПО и наличии под- требуют либо замены на что-то другое, либо передел- ключения к сети Интернет. ки функционала. Аналитический банковский журнал №04 (217) апрель 2014 73 СОДЕРЖАНИЕ 2—5 • СОБЫТИЯ 6—33• БИЗНЕС 34—55 • ТЕХНОЛОГИИ 56—65 • БЕЗОПАСНОСТЬ 66—79 • ОБЩЕСТВО 80—96 И еще хочу обратить внимание на то, что в при- известны, озвучивались неоднократно. Однако про- веденной схеме взаимодействия банка и клиента блема не столько в криптографии, сколько в усло- отсутствует еще ряд участников. Это – уже упоми- виях ее применения. Никому и в голову не взбредет навшиеся Александром регуляторы, выдвигающие пересылать ключи от сейфа с первым попавшимся различные, порой противоречивые, требования, мальчишкой с улицы или набирать код на замке при которые требуется соблюдать в ущерб бизнесу. А скоплении людей и телекамер. А вот в сети часто также производители систем ДБО и средств защиты, поступают именно так. Поэтому, не изолировав на- создающие системы, исходя из своих представлений дежно процессы шифрования или подписи, не стоит о бизнесе как банков, так и клиентов, в том числе об рассчитывать на надежную защиту. Правда на рынке экономике процесса. уже представлено устройство («Антифрод-терминал» от «Аладдин Р.Д.»), где документ, подготовленный на – Насколько, на ваш взгляд, сегодня эффективны компьютере, визуализируется, а затем подписывает- «традиционные» системы обеспечения ся в полностью изолированной от внешних воздей- безопасности ДБО: аутентификация по логину- ствий среде. Это, кстати, единственное серьезное паролю, шифрование, электронная подпись? решение. Павел Головлев: Это все гигиенические меры. Эффективность их достаточно низка, но их применение Александр Веселов: Информационная безопас- зачастую обусловлено требованиями регуляторов. ность – это комплексное, многогранное понятие, которое предполагает системный подход к нейтра- Денис Калемберг: В классической схеме использо- лизации угроз. Мы уже говорили о том, что не имеет вания – абсолютно неэффективны. Если компьютер смысла защищать одну часть системы и не защищать клиента заражен, а это может произойти при по- другую, так как злоумышленник использует наиме- сещении даже легального web-сайта, хакер сможет нее защищенное звено. свободно подписывать свои платежки ключом элек- Самым уязвимым компонентом системы ДБО явля- тронной подписи клиента и отправлять их банк на ис- ется пользователь. Как правило, он обладает низкой полнение по надежному зашифрованному каналу от квалификацией в сфере информационной безопас- имени пользователя. ности, поэтому чаще всего подвергается атакам злоумышленников. В такой ситуации «традиционные» Павел Есаков: Традиционные методы обеспечения меры обеспечения безопасности являются необхо- безопасности ДБО, такие как использование ста- димыми, но недостаточными. Они корректно выпол- тических паролей, шифрование трафика и ЭЦП как няют поставленные перед ними задачи, но требуется средства подтверждения транзакций клиентов, не дополнительная защита. Это может быть антиви- дают никаких гарантий клиентам банка. Статический русное ПО, внешние ключевые носители, средство пароль может быть похищен с помощью самых раз- доверенной загрузки и другие. Однако ситуация усу- нообразных приемов, а безопасное использование губляется сложностью эксплуатации средств защи- ЭЦП возможно только при создании доверенной сре- ты. Пользователь может отключить их, некорректно ды на рабочем месте клиента. изменить настройки и т.д. В такой ситуации требует- Что касается других методов обеспечения безопас- ся надежное средство обеспечения безопасности с ности – использования генераторов одноразовых максимально простым сценарием использования и паролей с возможностью «маркирования» транзак- в то же время – с высоким уровнем защиты. Одним ций, использования подключаемых ридеров стандар- из таких решений является устройство, основанное та EMV CAP, то здесь дела обстоят значительно луч- на технологии среды построения доверенного сеан- ше. Эти устройства в состоянии обеспечить защиту са, – СПДС «ПОСТ» производства компании «С-Терра пользователей от всех видов угроз, включая и атаки СиЭсПи». «человек-в-середине» и «человек-в-браузере», но их распространение крайне невелико. Но те банки, ко- – Насколько эффективны решения, торые используют данные технологии, практически предполагающие организацию «доверенной забыли о проблемах с похищенными клиентскими среды» для работы системы ДБО, например, средствами. загрузка специально сформированной операционной системы с доверенного носителя 74 Сергей Котов: Что касается отечественных алгорит- с дальнейшим поднятием VPN-соединения с мов и их реализации в различных устройствах – все сервером банка и запуском системы ДБО? Как вроде бы нормально. С западными же проблемы в этом случае можно организовать безопасное Аналитический банковский журнал №04 (217) апрель 2014 Дистанционное обслуживание взаимодействие с системой ДБО «бухгалтерских» программ, например, Excel и MS Word. Как резуль- систем? тат, доверенная среда должна обеспечить весь функ- Сергей Котов: Вариант неплох, но предполагает ционал, необходимый бухгалтеру или руководителю обычно статический контроль, а нужен еще и ди- в повседневной жизни – а это уже крайне сложная намический. То есть применение всего комплекса задача. Гораздо эффективнее с точки зрения затрат соз- средств защиты не отменяется. дать доверенную среду вне клиентского компьютера. Павел Есаков: Решения, предполагающие созда- Такие решения на рынке присутствуют – SafeTouch, ние и использование доверенной среды на клиент- «Антифрод-терминал», – и их единственным недостат- ском компьютере, имеют право на существование. ком является высокая цена из-за малых объемов Крайне небольшое присутствие таких решений на производства. Но если использовать для этих це- рынке систем ДБО связано именно с тем фактом, что лей вполне стандартные и выпускаемые в больших даже при условии, что разработчик приложения ДБО объемах подключаемые ридеры стандарта EMV CAP, сумел договориться с поставщиком защищенной ОС то можно получить решение, которое будет обеспе- о создании совместного продукта, то остается риск, чивать нужный уровень безопасности и будет вполне что пользователь будет вынужден каким-либо обра- приемлемым по цене. зом готовить данные для отправки в банк. Как правило, источником таких платежных поруче- Денис Калемберг: Решения класса «доверен- ний является та или иная бухгалтерская программа. ная среда на флэшке» начали появляться на рынке И нет никаких гарантий, что новая разновидность около семи лет назад, но до сих пор не появилась вируса не будет использовать для формирования информация ни об одном реальном проекте. С точ- «левых» платежных поручений именно бухгалтерское ки зрения безопасности, такая технология, может приложение. Значит, необходимо, чтобы и бухгал- быть, и эффективна, но с точки зрения реализации терская программа тоже выполнялась в доверенной в многопользовательских системах – практически среде, что неизбежно приводит к резкому усложне- неприменима. Сложности возникают как на эта- нию задачи. Да и с точки зрения бухгалтера, ему не- пе подключения клиентов (работа через PROXY- обходим и доступ в Интернет, и минимальный набор сервера), так и во время самой работы (необходи- г. САНКТ-ПЕТЕРБУРГ, ЦАРСКОЕ СЕЛО ЕЖЕГОДНАЯ БИЗНЕС-КОНФЕРЕНЦИЯ ДОХОД | СТАБИЛЬНОСТЬ | РЕЗУЛЬТАТ В ПРОГРАММЕ: КОНФЕРЕНЦИЯ – ЭТО: Специальные данные для владельцев. Мотивация и управление персоналом Найм: как привлекать, удерживать и усиливать эффективных сотрудников Как создать «боевой» отдел продаж и поднять квалификацию персонала Безупречный, 100% сервис и услуга — инструмент управления доходностью бизнеса Факторы предсказуемости и расширения вашей компании Семинары от спикеров международного уровня Практические мастер-классы и тренировки Обмен опытом и общение с более, чем 150 бизнесменами и руководителями со всей России и СНГ Торжественная церемония вручения премии «Хрустальный штурвал» Комфортное размещение в историческом особняке князя Кочубея в Царском селе Незабываемые экскурсии по Екатерининскому дворцу и парку, водная прогулка по Неве в период белых ночей. Возможность интересно и продуктивно провести время с коллегами, партнерами и семьей Узнайте подробнее и регистрируйтесь (812) 958-63-45 Организатор: e-mail: event@prodavay.ru www.event.prodavay.ru Информационный интернет-партнер: Аналитический банковский журнал №04 (217) апрель 2014 75 СОДЕРЖАНИЕ 2—5 • СОБЫТИЯ 6—33• БИЗНЕС 34—55 • ТЕХНОЛОГИИ 56—65 • БЕЗОПАСНОСТЬ 66—79 • ОБЩЕСТВО 80—96 мость загружать защищенную ОС каждый раз при пользователя. При этом система будет соответство- необходимости провести платеж, выгружать в опре- вать требованиям отраслевого регулятора – Банка деленное хранилище файлы с платежами и т.д.). Все России. это резко увеличит нагрузку на службы технической поддержки и вызовет отторжение у конечных кли- Николай Беляков: Из тех атак на клиентов, с кото- ентов. рыми мне приходилось сталкиваться, практически все были реализованы путём удалённого управле- Александр Веселов: В условиях, когда пользо- ния компьютером жертвы. Исходя из этого, можно ватель на одном и том же рабочем месте обраща- сделать вывод, что использование VPN-соединений с ется к ресурсам банка и просматривает Интернет- серверами банков смогут сделать невозможным ряд страницы, обеспечить полноценную защиту не распространённых атак, которые на данный момент представляется возможным. Ранее в такой ситуации используются злоумышленниками – например, уда- использовали отдельную рабочую станцию (напри- лённое управление. В тоже время, как подмечено в мер, «компьютер бухгалтера»), а сейчас появилось вопросе, это создаст некоторые проблемы при обе- более универсальное решение – технология среды спечении взаимодействия с «сопутствующими» систе- построения «доверенного сеанса». Одним из про- мами, а также неудобства в работе самих пользова- дуктов этого сегмента является устройство СПДС телей данных систем. «ПОСТ» производства компании «С-Терра СиЭсПи» Опять же, VPN на основе чего? Нашумев- – компактное (размером с обычную USB-флешку) шая в этом месяце уязвимость CVE-2014-0160 средство, обеспечивающее высочайший уровень «Heartbleed» лично для меня ставит под сомнение безопасности при работе в системе ДБО. такие решения. Если решение не прошло сертифи- Пользователь (клиент ДБО) загружает эталон- кацию, нельзя быть в нём полностью уверенным, ную операционную систему с защищенного USB- а если оно прошло сертификацию, его применение носителя, при загрузке вводит пин-код. Далее налагает ряд ограничений. устанавливается защищенное соединение с информационной системой банка. Передаваемая Павел Головлев: По оценке руководителей служб информация шифруется с помощью отечественных информационной безопасности 32 банков эффек- криптоалгоритмов ГОСТ. Пользователь работает с тивность подобных решений составляет менее 12%. ресурсами банка в изолированной среде, взаимо- Это просто неудобно. Да и время проведения тран- действие осуществляется через VPN-туннель. При закции увеличивается на порядок. Опять же исполь- этом исключено нарушение конфиденциальности и зование сертифицированных средств составляет целостности информации при её передаче. При та- серьезные лицензионные и логистические проблемы ком подходе у пользователя минимум привилегий для банков, хотя непонятно зачем использовать для – он не может отключить средство защиты или запу- простой платежки, которая формируется на основа- стить стороннее ПО. нии счета, переданного по факсу, средства, предна- СПДС «ПОСТ» позволяет обеспечить аппаратную значенные для защиты гостайны. При этом эффек- защиту с помощью смарт-карты, полную изоляцию от тивность простой задержки исполнения документа потенциально опасных ресурсов рабочей станции, на время, достаточное для того, чтобы клиент мог запрет доступа в Интернет и т.д. получить информацию о платеже и отозвать подлож- Злоумышленник не сможет получить доступ к данным пользователя и ресурсам банка даже при ный документ, составляет более 40%. Но не всякий клиент согласится даже на это. потере или краже устройства – без знания пинкода «прочитать» данные невозможно, а количество Николай Беляков: На мой взгляд, решение про- попыток ввода ограничено. Кроме того, при поте- блемы должно быть максимально простым, только ре устройства администратор «закрывает» доступ с тогда оно будет удобным и надёжным. Здесь рабо- этого носителя к ресурсам банка с помощью отзыва тает очень простая математика, я бы даже сказал, сертификата. арифметика. Сумма средней успешной атаки на ДБО Немаловажным является наличие у продукта СПДС занижению масштабов бедствия банками, эту цифру ностью соответствует требованиям СТО БР ИББС. можно смело умножить на два. Компьютер, который Такой подход позволяет защитить не только взаи- 76 клиента – 400 тысяч рублей. Учитывая тенденцию к «ПОСТ» сертификата ФСБ РФ по классу КС2, что пол- можно использовать для работы с ДБО и бухгалтер- модействие между клиентом и банком, но и ор- скими системами стоит до 30 тысяч рублей. Таким ганизовать полноценную защиту рабочего места образом, изолировав выделенный для работы с ДБО Аналитический банковский журнал №04 (217) апрель 2014 Дистанционное обслуживание компьютер от остальной сети организации (техни- Денис Калемберг: Двухфакторная аутентификация ческие подробности опустим) и разрешив с него – незаменимая технология, которую обязательно обращения только к ДБО банков, клиентом которых надо использовать в системах ДБО, но классические организация является, атаки на ДБО клиента из вне USB-токены, скретч-карты и т.д. могут только под- становятся практически невозможными. Остаются твердить сам факт совершения транзакции. Ее суть только атаки инсайдеров, но это уже тема отдельного (а именно реквизиты платежа) необходимо контро- обсуждения. Повторюсь, как правило, простое реше- лировать в дополнительном, доверенном устрой- ние – самое эффективное. стве, которым может выступать либо уже упомянутый TrustScreen, либо «оптический» МАС-токен с экраном, – Насколько эффективна двухфакторная вырабатывающий код подтверждения транзакции. аутентификация либо двухфакторное В настоящий момент единственным промышленным подтверждение операций (с помощью ввода sms- решением класса TrustScreen, реально использую- пароля, кода скрэтч-карты, USB-токена и тд)? щимся клиентами российских банков, является наша Павел Головлев: На 27%. разработка – SafeTouch. Думаю, через пол года – год мы услышим и о проектах других производителей. Павел Есаков: На мой взгляд, правильно организованная двухфакторная аутентификация может свести Сергей Котов: Двухфакторная аутентификация с к нулю уровень мошеннических операций в системе отчуждаемым носителем несравненно лучше «ло- ДБО. При этом надо отдавать себе отчет, что часть из гин/парольной» аутентификации. Ведь перехватить перечисленных средств аутентификации не является логин/пароль не составляет труда, а использовать двухфакторной, а некоторые решения не в состоянии (в том числе и продавать «направо и налево») его защитить клиента от атак «человек-в-браузере», хотя можно, пока «гром не грянет». Управление отчуж- и могут подтвердить подлинность клиента. Только даемым средством аутентификации и электрон- те механизмы, которые предполагают однозначную ной подписи тоже может быть перехвачено злоу- связь одноразового пароля с данными транзак- мышленником, но только пока оно подключено к ции, могут защитить клиентов от атак «человек-в- компьютеру (естественно, в том случае, если ключ середине». неизвлекаем). sms-пароль и скрэтч-карты вообще Аналитический банковский журнал №04 (217) апрель 2014 77 СОДЕРЖАНИЕ 2—5 • СОБЫТИЯ 6—33• БИЗНЕС 34—55 • ТЕХНОЛОГИИ 56—65 • БЕЗОПАСНОСТЬ 66—79 • ОБЩЕСТВО 80—96 малонадежны в современных условиях и застав- водство устройств SafeTouch, поддерживающих ляют банки серьезно ограничивать транзакции работу не только со смарт-картами, но и с USB- ими подтверждаемые, что ограничивает развитие токенами. мобильного ДБО. Это как раз то поле, где уверен- Абсолютно новой для российского рынка стала ней всех играет «Антифрод-терминал». Недаром и еще одна наша разработка PayControl – мобиль- этой технологией заинтересовались страховые ное приложение, реализующее функционал «опти- компании, выводящие на рынок соответствующие ческого» MAC-токена в смартфоне. Ее внедрение продукты. позволяет заменить устаревшую технологию отправки паролей через sms-канал, сделать под- Александр Веселов: Практика показывает, что для тверждение платежей намного более удобным и нейтрализации актуальных угроз в системах ДБО безопасным. явно недостаточно однофакторной аутентификации, она создает лишь иллюзию защиты. Поэтому двух- Александр Веселов: Компания «С-Терра СиЭсПи» факторная аутентификация – обязательный атрибут является одним из лидеров по производству средств современной системы безопасности. Наиболее по- защиты информации для банковского сектора. До- пулярная реализация – sms-подтверждение входа стигается это за счет использования международных в систему клиент-банк или проведения операции со стандартов IKE/IPsec и соответствия отечественно- счетом. му законодательству. Наши VPN-шлюзы уже давно При использовании технологии СПДС (среда по- используются во многих банках, администраторы строения доверенного сеанса) двухфакторная аутен- привыкли к интерфейсу, аналогичному Cisco IOS. тификация является неотъемлемой частью сценария Поэтому пилотные проекты с новым средством для доступа пользователя к целевым ресурсам. Первый защищенного удаленного доступа, СПДС «ПОСТ», фактор – наличие защищенного USB-носителя, вто- проходят достаточно легко, несмотря на особен- рой – знание пин-кода для загрузки операционной ности системы защиты каждого банка. На основе системы. этих пилотных проектов нам удалось значительно При этом подтверждение операций посредством доработать продукт, учитывая банковскую специфи- sms может стать дополнительным инструментом за- ку. СПДС «ПОСТ» только завоевывает рынок, но уже щиты. сейчас можно говорить о том, что среда построения доверенного сеанса – это более современный и на- – Какие новшества Вы внедрили в области дежный подход к защите ДБО, чем «традиционные» защиты систем ДБО за последний год? меры защиты. Павел Есаков: К сожалению, мы вынуждены ограничить свою активность «просветительской» – Каких изменений типичных атак на системы деятельностью, ибо, несмотря на неснижающийся ДБО Вы ожидаете в этом году? Что собираетесь уровень мошенничества, банки не готовы к изме- им противопоставить? нению своих систем безопасности. Модным трен- Павел Есаков: Наиболее вероятным направлением дом стало внедрение систем фрод-мониторинга – атак следует считать атаки на SMS-аутентификацию, типичная попытка лечить не болезнь, а ее послед- ибо вирусы для реализации таких атак уже разра- ствия. Тем не менее, мы приветствуем внедрение ботаны и требуют лишь незначительной модифика- систем фрод-мониторинга, ибо это создает пред- ции для использования против российских систем посылки для создания систем аутентификации с ДБО. К тому же, крайне широкое распространение учетом рисков. Именно такой подход позволяет sms-аутентификации делает эту атаку перспективной обеспечить удобство для пользователя и высокий с точки зрения мошенников. Любопытно, что даже уровень безопасности. значительное увеличение стоимости sms для банков практически не повлияло на использование этого, 78 Денис Калемберг: За последний год мы реали- уже скомпрометированного, метода аутентификации зовали проекты по внедрению средства визуали- в системе обеспечения безопасности банков. Конеч- зации подписываемых данных SafeTouch более но, можно использовать и скомпрометированный чем в 40-ка российских и зарубежных банках. По механизм аутентификации, но банк в этом случае сути, наша разработка стала первой реализацией должен иметь какой-либо другой механизм, который технологии TrustScreen в России, а ее удобство, может быть оперативно введен в эксплуатацию в простота и невысокая цена обеспечили успех случае атаки на систему SMS-OTP аутентификации на рынке. Недавно мы также запустили произ- этого банка. Аналитический банковский журнал №04 (217) апрель 2014 Дистанционное обслуживание Единственное обстоятельство, почему атаки на тируются на атаки серверной стороны систем ДБО, SMS-OTP не стали массовыми – наличие крайне такие попытки отмечаются и сейчас, но в небольшом большого количества банков с еще менее защищен- количестве. В планах нашей компании и дальше раз- ными решениями – для атак на эти банки у мошенни- вивать линейку средств визуализации подписывае- ков затраты еще меньше. Но как только этот ручеек мых данных SafeTouch, чтобы сделать эти устройства обмелеет, хакеры перейдут к эксплуатации других не только самым безопасным, но и самым удобным уязвимостей. средством подтверждения транзакций. Единственным средством противодействия этим угрозам можно считать внедрение новых решений Сергей Котов: Атаки с использованием уязвимости (впрочем, они с успехом используются в западных нулевого дня и атаки на внутренние ресурсы компа- банках на протяжении многих лет) систем аутентифи- ний с использованием уязвимостей в подключен- кации, основанных на использовании симметричных ных к ним мобильных устройств (такое подключение алгоритмов и позволяющих создать доверенную сре- сулит много выгод, и, стало быть, будет пользоваться ду вне компьютера клиента. все большей популярностью) – нужно внимательно отнестись к оценке рисков и выбору технологий). Что Денис Калемберг: На сегодняшний день мошен- касается «противопоставить» – «обязательно», но да- ники, по сути, могут делать с зараженным компью- вайте не будем предупреждать противника заранее, тером все, что захотят, поэтому дальше они будут он ведь в таком не замечен. только оттачивать технологию автоматической подмены реквизитов платежей, чтобы системам Павел Головлев: Ну, кто же из «банкиров» будет фрод-мониторинга на стороне банка было сложнее говорить о конкретных защитных мерах? Это же их отлавливать. Данная ситуация будет сохраняться коммерческая тайна! Но не думаю, что изменятся еще несколько лет, пока большинство клиентов не принципы. Будут появляться новые «дыры», кото- начнет использовать средства защиты от подмены рыми будут пользоваться злоумышленники. Эти платежей. «дыры» будут заделываться, и это эволюционный В дальнейшем, скорее всего, хакеры переориен- A процесс. ȑȕȔțȌȗȌȔȝȏȦ ǺȖȗȇȉȒȌȔȏȌ ǷȏȘȑȇȓȏ ȉ ǨȇȔȑȕȉȘȑȕȓ ǸȌȑșȕȗȌ ǶȕȉȢȟȌȔȏȌ ȑȇȖȏșȇȒȏȎȇȝȏȏ ȖȚșȌȓ ȤțțȌȑșȏȉȔȕȊȕ ȚȖȗȇȉȒȌȔȏȦ ȗȏȘȑȇȓȏ – ȎȇȒȕȊ ǩȇȟȌȊȕ ȚȘȖȌȜȇ ȉ ȔȕȉȕȐ țȏȔȇȔȘȕȉȕȐ ȤȗȌ 28–29 ȓȇȦ 2014, ǿȌȗȇșȕȔ ǶȇȒȇȘ ǵșȌȒȣ, dzȕȘȑȉȇ, ǷȕȘȘȏȦ DZȕȔțȌȗȌȔȝȏȦ Ǹ5 «ǺȖȗȇȉȒȌȔȏȌ ȗȏȘȑȇȓȏ ȉ ȈȇȔȑȕȉȘȑȕȓ ȘȌȑșȕȗȌ» ȖȗȌȋȕȘșȇȉȏș ǩȇȓ ȚȔȏȑȇȒȣȔȚȥ ȉȕȎȓȕȍȔȕȘșȣ ȖȕȒȚȞȏșȣ ȏȔțȕȗȓȇȝȏȥ ȕ ȑȕȔȝȌȖșȚȇȒȣȔȕ ȔȕȉȢȜ ȖȕȋȜȕȋȇȜ, ȖȗȕȋȉȏȔȚșȢȜ ȓȌșȕȋȕȒȕȊȏȦȜ ȏ ȏȔȘșȗȚȓȌȔșȇȜ ȚȖȗȇȉȒȌȔȏȦ ȗȏȘȑȇȓȏ. ǶȕȔȦșȣ, ȑȇȑ ȖȗȇȉȏȒȣȔȕ ȗȇȘȖȗȌȋȌȒȏșȣ ȗȌȘȚȗȘȢ, ȗȇȎȗȇȈȕșȇșȣ Șȉȕȥ ȏȔȋȏȉȏȋȚȇȒȣȔȚȥ ȤțțȌȑșȏȉȔȚȥ ȘșȗȇșȌȊȏȥ ȚȖȗȇȉȒȌȔȏȦ ȗȏȘȑȇȓȏ ȏ ȔȇȋȌȍȔȕ ȎȇȠȏșȏșȣ ȈȏȎȔȌȘ ǩȇȟȌȊȕ ȈȇȔȑȇ. DZȒȥȞȌȉȢȌ ȉȕȖȗȕȘȢ ȑȕȔțȌȗȌȔȝȏȏ: • • • • • ǩȎȇȏȓȕȋȌȐȘșȉȏȌ ȈȏȎȔȌȘȇ ȏ ȗȌȊȚȒȦșȕȗȇ ǯșȕȊȏ ȖȌȗȌȜȕȋȇ Ȕȇ ȘșȇȔȋȇȗșȢ ǨȇȎȌȒȦ II-III ȏ ȖȗȇȑșȏȞȌȘȑȏȐ ȕȖȢș ȉȔȌȋȗȌȔȏȦ ȇȉșȕȓȇșȏȎȇȝȏȏ ȗȇȈȕșȢ Ȗȕ ǨȇȎȌȒȥ ǸșȗȌȘȘ-șȌȘșȏȗȕȉȇȔȏȌ ȑȇȑ ȏȔȘșȗȚȓȌȔș ȕȝȌȔȑȏ ȤțțȌȑșȏȉȔȕȘșȏ ȈȇȔȑȕȉȘȑȕȐ ȘȏȘșȌȓȢ ǺȖȗȇȉȒȌȔȏȌ ȗȏȘȑȇȓȏ ȉ ȖȕȗșțȌȒȦȜ: ȚȘșȇȔȕȉȑȇ ȏ ȚȖȗȇȉȒȌȔȏȌ Ȓȏȓȏșȇȓȏ, ȓȕȋȌȒȏ Ȗȕ ȕȖȗȌȋȌȒȌȔȏȥ ȗȌȎȌȗȉȕȉ, șȌȘșȏȗȕȉȇȔȏȌ șȌȑȚȠȏȜ ȖȕȗșțȌȒȌȐ • ǷȇȎȉȏșȏȌ ȤȒȌȑșȗȕȔȔȕȊȕ ȏȔȉȌȘșȏȝȏȕȔȔȕȊȕ ȈȏȎȔȌȘȇ ȏ ȖȗȇȉȏȒȣȔȇȦ ȕȝȌȔȑȇ ȗȏȘȑȕȉ ǸȝȌȔȇȗȔȢȐ ȇȔȇȒȏȎ ȏ ȉȑȒȥȞȌȔȏȌ ȌȊȕ ȗȌȎȚȒȣșȇșȕȉ ȉ ȗȇȘȞȌș ȑȇȖȏșȇȒȇ Ǹ ȖȕȋȗȕȈȔȕȐ ȏȔțȕȗȓȇȝȏȌȐ ȓȕȍȔȕ ȕȎȔȇȑȕȓȏșȣȘȦ Ȕȇ ȉȌȈ-ȘȇȐșȌ www.C5-Online.com/RiskRussia ǹȌȒȌțȕȔ ȕȗȊȇȔȏȎȇșȕȗȕȉ ȑȕȔțȌȗȌȔȝȏȏ: +44 (0) 20 7878 6901, e-mail: marketing@c5-online.com ǩȔȏȓȇȔȏȌ! ǶȕȋȖȏȘȞȏȑȇȓ ȍȚȗȔȇȒȇ 10% Șȑȏȋȑȇ! Associate Sponsor: Media Partners: Аналитический банковский журнал №04 (217) апрель 2014 79
