|
|
Важным приоритетом для «Коммерцбанк (Евразия)» является развитие собственной ИТ-инфраструктуры, в том числе, в целях предоставления клиентам широких возможностей сервисов на основе удаленного управления своими финансами. Стремясь обеспечить высокий уровень безопасности системы дистанционного банковского обслуживания, в начале 2009 года руководством «Коммерцбанк (Евразия)» было принято решение о переходе на использование защищенных ключевых носителей нового поколения eToken PRO (Java) компании Aladdin.
Использование коммуникаций интернет в целях предоставления физическим и юридическим лицам различных банковских сервисов на сегодняшний день является наиболее удобным, доступным и быстрым способом работы со счётом. Однако в погоне за повышением качества предоставления финансовых услуг и расширением их спектра, вопрос безопасности нередко остаётся за кадром. Рост мошенничеств с банковскими сервисами ДБО и несвоевременные «латания» уязвимостей разработчиками систем защиты привели к тому, что доверие к глобальной сети, как к среде бизнес-коммуникаций, для которых приоритетна безопасность, начало снижаться. Атаки на клиентские данные в системах дистанционного банковского обслуживания приобрели адресный характер, становясь всё более сложными как в организационном плане, так и с точки зрения обеспечения защиты от них. Наметившаяся тенденция скептического отношения к «новомодным» web-услугам среди юридических лиц, могла негативно сказаться на дальнейшем распространении банковских сервисов, работающих через интернет.
Банки задумались и, прежде всего, в силу репутационных рисков, которые несли с собой многочисленные обсуждения инцидентов в СМИ и на банковских форумах. Задумались и разработчики, поняв, что «лоскутный» метод защиты – это не то предложение, которого ждут в финансовых организациях. В прессе с завидной регулярностью появлялись сообщения то о новых банковских троянах, ворующих реквизиты доступа пользователей, то об обманутых мошенниками пользователях, то о банках, предпочитающих «не выносить сор из избы» и потому не комментирующих те или иные проблемы своих дистанционных сервисов. Так, постепенно наряду с самыми обсуждаемыми в банковской среде вопросами – мировым финансовым кризисом и его влиянии на российскую экономику, перспективой выполнения банками требований закона «О персональных данных», пакетов законов, определяющих будущее развитие российской электронной коммерции и электронных финансовых технологий – в число приоритетных вошел вопрос обеспечения защиты уязвимых сервисов ДБО.
Имея немецкие корни, «Коммерцбанк (Евразия)», в отличие от многих отечественных структур не стал следовать расхожему сценарию «Пока гром не грянет…». Прецедентный тип реагирования в отношении информационной безопасности, господствующий среди большинства российских предприятий, был признан не жизнеспособным. Осознавая масштаб проблемы, а, главное, её последствия, руководство «Коммерцбанк (Евразия)» приняло решение о пересмотре ИТ-стратегии среднесрочной перспективы в пользу дополнительных инвестиций в систему защиты сервисов ДБО. Без оглядки на кризисные явления российской экономики была поставлена задача провести соответствующее исследование, выявить основные риски и разработать методы их снижения.
«Безопасное использование сервисов ДБО должно быть реализована в двустороннем порядке – и банком, и пользователем его услуг, – комментирует Сергей Егоров, старший специалист отдела информационных технологий «Коммерцбанк (Евразия)», – Основная доля ответственности лежит на поставщике дистанционных сервисов и в значительной степени зависит от его компетенции при выборе средств защиты. Именно поэтому большинство кредитных организаций стараются идти в ногу со временем и не пользуются прорехами в законодательстве, регламентирующем лишь базовые требования к безопасности и лицензированию, в угоду простоте и дешевизне решений. В условиях растущей конкуренции крупный банк, имеющий репутацию надёжного, не может позволить себе экономить на безопасности».
Для того чтобы понимать как защищаться, необходимо иметь представление о том, как совершается та или иная атака. Этот принцип лег в основу подготовительных работ к интеграционному проекту «Коммерцбанк (Евразия)» по обеспечению адекватного существующим рискам уровня безопасности системы ДБО. Анализируя ситуацию, специалисты банка пришли к выводам: большинство инцидентов в области информационной безопасности при использовании дистанционных сервисов происходит на стороне пользователя. То есть активно рекомендуемые банками традиционные меры безопасности, такие как парольная защита доступа и хранение ключевой информации пользователя на отчуждаемом носителе типа дискеты или Flash-диска на практике оказываются недостаточно эффективными. Возможность вывода ключа шифрования или закрытого ключа электронной цифровой подписи из-под контроля его владельца является основным «слабым» звеном для систем типа «банк-клиент». Неправомерное использование ключа подписи, а, следовательно, получение возможности управления счетом клиента представляет наибольшую опасность при удаленном распоряжении банковским счетом через сеть интернет. Данная угроза реализуется посредством эксплуатации имеющихся уязвимостей системы: начиная от использования клиентом нелицензионного ПО и невнимания к обновлениям и «заплаткам» в системе защиты и заканчивая пренебрежением рекомендациями банка в части способов хранения ключей ЭЦП и реквизитов доступа к своему счету. К сожалению, даже установленное на компьютере пользователя регулярно обновляемое антивирусное программное обеспечение не дает 100%-ной гарантии защиты конфиденциальных данных от «шпионского» ПО.
Получить в свое распоряжение реквизиты доступа (логины, пароли, криптоключи) обеспечивающие право управления чужим счетом – это основная задача злоумышленников, промышляющих воровством денежных средств в системах дистанционного банковского обслуживания. «Не задумываясь о необходимости выполнения правил и рекомендаций при хранении ключевой информации и использовании удаленного доступа, клиент предоставляет злоумышленнику богатые возможности для проведения атаки с целью получения доступа к его банковскому счету, – комментирует Евгений Модин, руководитель направления консалтинга компании Aladdin, – Хранение ключей подписи и аутентфикационных атрибутов на незащищённых носителях расширяет возможности злоумышленников в использовании различных методов получения доступа к критически важной информации. К сожалению, пока ещё многие разработчики систем ДБО уделяют вопросам безопасности недостаточное внимание. Продавая банкам свои системы с недоработками в области безопасности, они тем самым перекладывают риски связанные с эксплуатацией таких систем, на плечи Банков, а сразу определить и выявить все недостатки зачастую просто невозможно».
Таким образом, в зоне ответственности банка лежит намного больше задач, чем может показаться на первый взгляд. Это тем более справедливое утверждение в контексте безопасности систем дистанционного банковского обслуживания: по сути, в этой сфере «репутационное здоровье» банка в значительной мере зависит от неподконтрольных банку сторон – с одной стороны пользователь банковских услуг, с другой возможные уязвимости самой системы ДБО. «Очевидно, что банк не может контролировать своевременное обновление клиентского ПО, антивируса, отсутствие на компьютере пользователя вредоносных программ, наличие межсетевого экрана или прокси-решения, – комментирует Сергей Егоров, старший специалист отдела информационных технологий «Коммерцбанк (Евразия)», – Банк не может проследить соблюдаются ли правила и регламенты, с которыми был ознакомлен пользователь при заключении банковского контракта. Службы банка бессильны перед добровольной передачей пользователем своих реквизитов третьему лицу. Но при этом, безопасное использование банковских сервисов – это сфера деловой репутации банка, а здесь компромиссов быть не может».
Снижение влияния человеческого фактора на безопасность банковской системы стало основной задачей проекта, связанного с необходимостью внедрения более жестких технологических и организационных мер к обеспечению защиты дистанционных услуг. Хранение закрытых ключей ЭЦП на незащищенных носителях, а также недостаточный уровень контроля доступа при удаленной работе со своим счётом были признаны основными проблемами, которые необходимо было решить в ходе проекта. С точки зрения проектирования защиты системы «банк-клиент» для юридических лиц специалистами «Коммерцбанк (Евразия)» были выделены три основных направления работы:
Обеспечение защиты и безопасного хранения секретных ключей ЭЦП пользователей
Принимая во внимание потенциально слабую защищенность рабочего места пользователя, в рамках данного направления было принято решение о переводе клиентов банка, пользующихся сервисами ДБО, на применение защищённых носителей для хранения секретных ключей ЭЦП, реализованных на базе технологий смарт-карт. В противном случае ответственность за последствия компрометации секретного ключа ложится на клиента, что, во-первых, безответственно со стороны банка, а во-вторых, нейтрализует все прочие защитные меры.
Обеспечение идентификации, аутентификации и контроля доступа к счёту
В этом направлении была поставлена задача предоставить клиенту надежные средства идентификации, аутентификации для управления своими счетами в целях исключения риска несанкционированного доступа и однозначного подтверждения факта того, от чьего имени (учётной записи) совершается та или иная транзакция.
Обеспечение защиты от целевых атак
Удаленная работа со своим счетом подвержена такой распространенной угрозе, как вредоносное ПО, к которому относятся как специализированные «банковские» трояны и компьютерные вирусы, копирующих клиентские данные и отправляющие их по неавторизованным каналам коммуникаций злоумышленникам. Не меньшую угрозу представляют так же атаки типа «человек-по-середине». Данная атака предполагает, что злоумышленник «вклинивается» в информационный обмен между клиентом и сервером, перехватывая отправляемые данные и модифицируя их в целях перевода денежных средств на счета, находящиеся в его распоряжении. Для минимизации этих рисков необходимо предусмотреть возможность идентификации, аутентификации и надёжного хранения реквизитов доступа пользователя на защищенном специализированном носителе. Учитывая, что изощренность и уровень сложности атак в перспективе будут расти, необходимо применение средств, обеспечивающих превентивную защиту.
Что касается критериев выбора партнеров по проекту, со стороны «Коммерцбанка (Евразия)» были выдвинуты следующие требования:
Опыт проведения проектов в области обеспечения безопасности клиентских данных в системах ДБО и высокая компетенция поставщика;
Наличие высококвалифицированной команды специалистов для обучения и последующих консультаций сотрудников банка в области защиты систем электронного банкинга;
Деловая репутация поставщика на рынке, подтвержденная со стороны головной компании - Commerzbank AG (Франкфурт-на-Майне, Германия);
Отзывы о работе с поставщиком от репрезентативной выборки клиентов.
«Коммерцбанк (Евразия)» является дочерним банком Commerzbank AG (Франкфурт-на-Майне, Германия) – второго по величине банка Германии, занимающего 19-е место в рэнкинге крупнейших банков мира с активами более 800 млрд. долл. Основные клиенты российской «дочки» - европейские компании, а также ряд крупных российских коммерческих и государственных предприятий. «Коммерцбанк (Евразия)» обеспечивает качество обслуживания международного уровня, руководствуясь отраслевыми стандартами и уделяя пристальное внимание вопросам информационной безопасности.
По результатам исследовательских работ, а также ряда консультаций со стороны профильных компаний, выбор «Коммерцбанк (Евразия)» был остановлен на средствах аутентификации и хранения ключевой информации eToken PRO (Java) – новейшей модели токенов компании Aladdin, созданных на базе Java-карты и обладающих увеличенным объемом памяти. На момент реализации поставки ключевых носителей «Коммерцбанк (Евразия)» был первой и единственной банковской организацией в России, в системе дистанционного банковского обслуживания которой использовались наиболее прогрессивные модели USB-ключей eToken от технологического лидера рынка – компании Aladdin. К слову, репутация Aladdin, как опытного и компетентного поставщика, а также преимущества применения eToken для реализации задач защиты клиентских данных, были подтверждены в германском Commerzbank AG.
Пример используемого ключевого носителя eToken PRO (Java) для защиты клиенских данных в системе ДБО «Коммерцбанк (Евразия)»
В ходе комплексного проекта в «Коммерцбанк (Евразия)» была развернута система дистанционного банковского обслуживания для юридических лиц "ДБО BS-Client" v.3 компании BSS - технологического партнера Aladdin. В рамках сотрудничества BSS и Aladdin обеспечена возможность использования в программных продуктах для дистанционного банковского обслуживания (ДБО), разработанных BSS, средств аутентификации и защищенного хранения ключевой информации линейки eToken, включая eToken PRO (Java).
В рамках проекта "ДБО BS-Client" позволяет осуществлять взаимную доставку и обработку различных типов документов, контролировать их состояние, обмениваться сообщениями произвольного формата (с возможностью включения файлов), получать выписки в различных видах и форматах, а также иной информации из банка. В свою очередь, персональное USB-устройство eToken PRO (Java) реализует строгую аутентификацию пользователей в системе клиент-банк и минимизируют риск компрометации секретных ключей электронной цифровой подписи (ЭЦП), которые хранятся в защищенной области памяти ключа.
На базе электронных ключевых носителей eToken PRO (Java) компании Aladdin в системе ДБО «Коммерцбанк (Евразия)» обеспечены следующие преимущества:
Хранение цифровых сертификатов и ключей ЭЦП в защищенной области памяти eToken PRO (Java), что исключает возможность несанкционированного доступа к этим данным и, следовательно, хищения денежных средств со счета юридического лица.
Идентификация пользователей в системе, что позволяет однозначно идентифицировать «от имени» какой учётной записи совершено то или иное действие.
Двухфакторная аутентификация пользователя при доступе к своим счетам: данная процедура проверки позволяет достоверно убедиться в том, что пользователь (юридическое лицо), предъявивший электронный ключ eToken и знающий его PIN-код, является его законным владельцем;
Удобство, мобильность и безопасность работы пользователей из числа юридических лиц в системе дистанционного банковского обслуживания «Коммерцбанк (Евразия)».
Использование сертифицированных средств криптографической защиты информации (CryptoPro CSP) в комплексе с защищенными ключевыми носителями eToken обеспечивает высокий уровень безопасности проводимых операций и юридическую значимость передаваемых электронных документов. Этот комплекс соответствует требованиям Commerzbank AG и признан банком как удачный баланс между безопасностью и удобством использования. Согласно корпоративным стандартам банка на используемые USB-устройства eToken нанесен логотип «Коммерцбанк (Евразия)». На данный момент в «Коммерцбанк (Евразия)» поставлено более 1000 устройств eToken PRO (Java).
Благодаря тесному взаимодействию между департаментами банка и опыту специалистов компаний, предоставляющих технологии ДБО и защиты информации проект был реализован в установленные бизнес-планом сроки. Своевременная оценка рисков позволила принять превентивные меры по нейтрализации негативных прецедентов, связанных с угрозой хищения криптографических ключей и осуществлением несанкционированных транзакций, вследствие недостаточной защищенности рабочих мест пользователей и низкой эффективности «бытовых» носителей (дискеты, флеш-диски, HDD и т.д.) для хранения ключевой информации, откуда они легко могут быть скопированы злоумышленниками.
Основными сложностями в процессе внедрения стали консолидация задействованных в проекте систем и приведение их к соответствию внутренним требованиям банка в области информационной безопасности и обеспечения защищенного электронного документооборота. В ходе проекта были выполнены работы по реализации новых функциональных возможностей, таких как автоматизация бизнес-процессов банка по работе с документами типа «Зарплатные ведомости» и «Распоряжение на списание средств с транзитного валютного счета» с автоматическим формированием проводок в АБС.
Комментируя результаты проекта, Сергей Егоров отметил: «Применение специализированных аппаратных носителей со временем перерастет из привилегии прогрессивных банков, в обязательное требование при обеспечении защиты сервисов ДБО. В целях повышения информационной безопасности при использовании сервисов ДБО «Коммерцбанк(Евразия)» мы предлагаем клиентам использовать новую модель токенов компании Aladdin eToken PRO (Java) 72k, расширенные возможности которой в полной мере удовлетворяют требованиям банка. Тестирование и первый год работы с новой для нас системой не выявило уязвимостей и критических замечаний, что ещё раз подтвердило правильность сделанного выбора. Удачный компромисс безопасности и удобства, быстрая и компетентная поддержка продуктов позволили нам за несколько первых месяцев работы передать клиентам более 500 токенов. Благодаря успешному запуску и эксплуатации проекта дистанционного банковского обслуживания, «Коммерцбанк (Евразия)» планирует развивать перспективное направление автоматизации документооборота совместно с компанией Aladdin в дальнейшем».
Со своей стороны, В Aladdin высокой оценивают полученный опыт и особенно подчеркивают требовательность проектной команды «Коммерцбанк (Евразия)»: «Реализация проекта по повышению уровня информационной безопасности при использовании систем ДБО в «Коммерцбанк (Евразия)» была крайне важна для Aladdin: это был первый проект внедрения ключевых носителей нового поколения eToken PRO (Java) в банковской сфере, – комментирует Денис Калемберг, специалист по работе с корпоративными заказчиками Aladdin. – Системный подход к анализу рисков при использовании сервисов дистанционного банковского обслуживания и высокий уровень компетенции со стороны «Коммерцбанк (Евразия)» потребовали от нас в полной мере использовать потенциал, накопленный за годы работы на банковском рынке. Систему защиты клиентских данных при дистанционном банковском обслуживании для юридических лиц, необходимо было разрабатывать с прицелом на будущие потребности в масштабировании и наращивании функциональных возможностей. Оперативное прогнозирование и слаженная работа позволили в срок завершить проект и приобрести бесценный опыт работы с высокопрофессиональной и требовательной командой «Коммерцбанк (Евразия)».
Благодаря успешному запуску и эксплуатации проекта дистанционного банковского обслуживания, а также благоприятной экономической обстановке «Коммерцбанк (Евразия)» планирует развивать перспективное направление автоматизации документооборота, в частности, рассматривается возможность внедрения более «лёгкого» интернет-клиента для частных лиц.
Сообщить факт о Windows XP
Почему устарела Windows XP?
Сообщить цифры о Windows XP