Защита ДБО как фактор экономической безопасности банка

27 марта 2009 17:00

Еще несколько лет назад проблема хищения средств с использованием систем дистанционного банковского обслуживания (ДБО) не входила в число приоритетных для служб безопасности и руководства кредитных организаций. Такие случаи были относительно редки, и объем хищений не представлял серьезной угрозы. Однако в последнее время ситуация изменилась: существенно увеличилось число попыток несанкционированного доступа к счетам через системы ДБО. О ситуации, сложившейся на сегодняшний день, и путях решения возникших проблем мы беседуем с директором по маркетингу компании «БИФИТ» Рустамом Мустафаевым.

Почему проблема несанкционированного использования систем ДБО возникла именно сейчас?

Рустам Мустафаев: Такая угроза существовала всегда. Но существенный рост числа попыток хищений начался примерно в конце 2007 г. Год назад на банковском форуме iFin-2008 мы пытались донести до банков масштабы потенциальной угрозы, но нас слушали не очень внимательно, многие надеялись, что проблема обойдет их стороной. На iFin2009 разъяснять суть угрозы уже не пришлось. Всем в общем-то ясно, что проблема хищения средств со счетов клиентов при помощи систем ДБО существует, вопрос лишь в том – каким образом с ней бороться.

В последнее время системы ДБО стали взламываться чаще?

Р. М.: Системы не взламываются. Необходимо понять, что речь не идет о взломе систем ДБО, банковских серверов, обслуживающих эти системы, и т. п. Это сложно и дорого. Как правило, злоумышленники похищают секретные ключи электронной цифровой подписи (ЭЦП), которые обычно хранятся в файле на компьютере пользователя или на внешнем носителе. Получив такие ключи, злоумышленник может совершать операции от имени клиентов банка. Основной способ хищения ключей – заражение компьютера клиента злонамеренным ПО. После этого копия ключа и перехваченный пароль отправляются злоумышленнику.

Все так просто? Почему проблема обострилась именно сегодня?

Р. М.: Видимо, просто созрела ситуация. Сегодня персональный компьютер стал неотъемлемым инструментом офисного сотрудника. К работникам предъявляются требования минимальных навыков пользования ПК и практически нулевые – к уровнюподготовки в области информационной безопасности. Как следствие – среднестатистический пользователь просто не способен обеспечить должный уровень защищенности своего рабочего места. Одновременно электронный банкинг стал привычной банковской услугой для абсолютного большинства предприятий. Такими популярнейшими системами, как iBank 2, пользуются сотни тысяч организаций и предпринимателей. Широкая клиентская аудитория, помноженная на низкий уровень защищенности пользовательских ПК, явилась благодатной средой для деятельности киберпреступников. Первыми под массовые атаки злоумышленников попали именно пользователи самых популярных систем ДБО. Сегодня с использованием той же технологии атакуются пользователи даже самописных систем «Банк-Клиент». Конструктор для создания ядра злонамеренного ПО можно найти в Интернете, а дополнение его интерфейсом, имитирующим клиентскую компоненту, – задача посильная даже для начинающего программиста.

Можно ли бороться с этой угрозой организационным путем?

Р. М.: Теоретически – да. В идеале операции удаленного банкинга нужно вести с выделенного компьютера, на котором будет установлен минимум программ, с выходом на ограниченное количество сайтов, и доступ к которому разрешен строго ограниченному кругу лиц. Но в реальной жизни такое происходит редко. В большинстве случаев компьютер – это универсальный инструмент, им пользуются как для работы, так зачастую и для развлечений, и он никак не является доверенной средой.

Как же можно бороться с этой угрозой?

Р. М.: Необходимо принципиально исключить саму возможность хищения секретного ключа ЭЦП, а для этого полностью избавиться от использования самого ключа внутри клиентского ПК. Нужно вынести всю работу с ключом во внешнее устройство, не подверженное атакам. Абсолютная защищенность такого решения обеспечивается тем, что секретный ключ ЭЦП никогда не покидает устройства. Его невозможно считать или извлечь каким-либо образом. При работе устройству передается электронный документ, а оно возвращает ЭЦП, сформированную непосредственно внутри. При этом секретный ключ ЭЦП генерируется самим устройством при инициализации, хранится в защищенной памяти устройства и никогда, никем и ни при каких условиях не может быть считан. В нашей системе такие устройства поддерживаются уже более года. Это персональный аппаратный криптопровайдер «iBank 2 Key». Устройство может быть выполнено в форме USB-токена или смарт-карты.

Решение предназначено для защиты ключей ЭЦП только юридических лиц?

Р. М.: Нет, «iBank 2 Key» в нашей системе поддерживается и в каналах обслуживания частных клиентов.

Существуют ли альтернативные аппаратные криптопровайдеры?

Р. М.: До конца 2008 г. это было единственное решение с криптомодулем, сертифицированным ФСБ России. Сейчас появилась первая альтернатива. Еще несколько аналогов проходят исследования в ФСБ. Мы приветствуем такое расширение. Чем больше устройств появится на рынке, тем ниже будет их цена, шире распространение и выше безопасность пользователей систем ДБО.

Что сегодня мешает широкому распространению таких решений?

Р. М.: Пожалуй, все еще невысокий уровень понимания угроз. Мы сталкивались с мнениями небольших региональных банков, что им не нужен такой уровень защиты, потому что у них небольшое количество клиентов, они работают далеко от центра и т. п. Но они используют ту же систему ДБО, что и крупные банки по всей стране! Соответственно, они подвергаются тем же угрозам. Менее года назад случаи хищения средств с банковских счетов с использованием систем ДБО можно было пересчитать по пальцам, тем не менее география инцидентов была от Сахалина до Калининграда.

%images[3]%

Есть ли актуальная статистика о масштабах финансовых потерь банков, понесенных в результате хищений средств через системы ДБО?

Р. М.: Возможно, только у МВД России. Разумеется, банки не стремятся публиковать такую информацию. И, говоря откровенно, обычно прямых убытков они не несут, так как ответственность за безопасность хранения секретного ключа ЭЦП всегда лежит на клиенте. А вот косвенные убытки могут быть колоссальны и трудноисчислимы. Вопервых, это издержки на разбирательства с клиентом вплоть до судебных. Во-вторых – ущерб репутации, а в условиях неспокойной экономической ситуации информация о том, что в том или ином банке возникают проблемы, пусть и не по вине банка, может спровоцировать панику и отток клиентов. Но и это только вершина айсберга.

Какие еще могут быть последствия?

Р. М.: Cразу после успешного хищения средств квалифицированные злоумышленники организуют DoS-атаку на банковский сервер. Цель: сделать невозможным для жертвы проверкусостояния своего счета – исключить оперативное обнаружение хищения. В результате DoS-атаки сервер банка окажется недоступен и для остальных клиентов. Ктото не сможет вовремя заплатить налоги, кто-то своевременно не рассчитается по контракту, погашению кредита и т. д. То есть ущерб будет нанесен даже тем клиентам, чьи ключи ЭЦП не были похищены. Для репутации банка это тоже серьезный удар, даже если злоумышленники такую цель не преследовали. А если такие ситуации повторяются, то о смене банка могут задуматься клиенты, которым вообще неизвестно о хищениях. Вывод: легкомысленно относясь к вопросам безопасности ДБО, банки подвергают себя существенным финансовым рискам.

Могут ли банки предпринять что-то еще для повышения защищенности клиентов?

Р. М.: Кроме технологий противодействия хищению секретных ключей ЭЦП существуют технологии противодействия использованию похищенных ключей, а также средства выявления «подозрительных» платежей, заверенных украденными ключами. Все эти технологии реализованы в iBank 2. Причем отдельные решения были внедрены в систему еще в 2005–2006 гг., а за последний год существенно развиты и усилены. Более того, наши перспективные разработки уже поддерживают технологии противостояния DoS-атакам. Причем как на прикладном уровне, так и во взаимодействии с системными сетевыми средствами.

Уже существующие в iBank 2 технологии противодействия угрозам достаточно эффективны?

Р. М.: Разумеется. Давно отработанные технологии ограничения доступа по IP-адресам, оперативного SMS-уведомления клиентов и другие являются простыми и эффективными. Кроме того, по нашим сведениям, в последнее время злоумышленники вынуждены изощряться, чтобы обойти механизмы выявления подозрительных платежей. Например, направляя вместе с «нужной» платежкой пакет других, весьма типичных для конкретного клиента. Конечно, максимально строго настроенная система Fraud-мониторинга в iBank 2 непременно выявит такой перевод. Тут злоумышленники рассчитывают на человеческий фактор: вдруг операционист пропустит даже выделенную необычную платежку заодно с другими.

%images[2]%

Как вы оцениваете перспективы распространения криптопровайдера «iBank 2 Key»?

Р. М.: На сегодняшний день пользователями iBank 2 являются более 400 тыс. предприятий. Персональных криптопровайдеров нами поставлено порядка 50–60 тыс. штук, т. е. защищено примерно 15% клиентов. По нашим оценкам, в ближайшие месяцы эта цифра может удвоиться. Одновременно количество попыток хищений будет расти. Соответственно, усиливающийся поток попыток будет направляться на сужающуюся незащищенную аудиторию. Это значит, что для самых «легкомысленных» риски вырастут, кто-то может пострадать весьма заметно. И возможно, их печальный пример станет самым сильным аргументом для все еще «сомневающихся» банков. По мере роста защищенности пользователей самых популярных систем злоумышленники все чаще будут ориентировать свои атаки на клиентов других банков. Сегодня понимание принципиальной эффективности использования персонального аппаратного криптопровайдера уже есть у государственных органов и в крупнейшем банке страны. Сбербанк РФ при проведении конкурса на выбор и внедрение системы «Интернет Клиент-Банк» предъявил следующее требование: «формирования ЭЦП документов, отправляемых в Банк, внутри аппаратного устройства, обеспечивающего также хранение секретных ключей в защищенной области, доступной только при предъявлении правильного ПИН-кода, и невозможность извлечения их извне». Требование использования персональных аппаратных криптопровайдеров при предоставлении услуг электронного банкинга предъявляется к кредитным организациям, функцию по финансовому оздоровлению которых приняло на себя Агентство страхования вкладов. В конечной перспективе повсеместное использование персонального аппаратного криптопровайдера просто станет нормой «электронной гигиены», а стоимость решения должна стать сопоставимой c ценой приличной компьютерной клавиатуры.

После этого у киберпреступников останутся шансы для хищения средств?

Р. М.: Теоретические – да. Если злоумышленник сможет получить полный контроль над компьютером клиента, у него появится возможность имитировать работу банковского ПО и направить в криптопровайдер нужный документ для подписи. Но сделать это уже значительно сложнее. Сегодня злоумышленникам абсолютно незачем так усложнять себе задачу. Огромная аудитория клиентов, хранящих ключи ЭЦП в файлах или «защищенных» устройствах хранения, отдающих ключ в компьютер по PIN, – благодатная среда для киберпреступлений. Тем не менее уже понятны рецепты противостояния и таким перспективным угрозам. Например, можно оснастить криптопровайдер экраном, на котором будут отображаться ключевые реквизиты подписываемого документа, и подпись будет осуществляться только после подтверждения пользователем. Уже существуют прототипы таких устройств. Но очевидно, что стоимость такого устройства будет существенно выше. В то время как персональный аппаратный криптопровайдер «iBank 2 Key» является экономически выгодным решением для противостояния актуальным угрозам.



© 2020 БАНКОВСКИЕ ТЕХНОЛОГИИ
Первое издание на российском рынке, посвященное информационным технологиям для банков.
Москва, Проспект Мира, д.3, корп. 1
+7 (495) 120-81-42
info@int-bank.ru

Свидетельство СМИ ФС77-39103 от 11 марта 2010 года.
По вопросам сайта просим обращаться к администрации сайта: info@int-bank.ru.
При использовании материалов необходимо давать ссылку на www.banktech.ru.