Использование коммуникаций интернет в целях предоставления физическим и юридическим лицам различных банковских сервисов на сегодняшний день является наиболее удобным, доступным и быстрым способом работы со счётом. Однако в погоне за повышением качества предоставления финансовых услуг и расширением их спектра, вопрос безопасности нередко остаётся за кадром. Рост мошенничеств с банковскими сервисами ДБО и несвоевременные «латания» уязвимостей разработчиками систем защиты привели к тому, что доверие к глобальной сети, как к среде бизнес-коммуникаций, для которых приоритетна безопасность, начало снижаться. Атаки на клиентские данные в системах дистанционного банковского обслуживания приобрели адресный характер, становясь всё более сложными как в организационном плане, так и с точки зрения обеспечения защиты от них. Наметившаяся тенденция скептического отношения к «новомодным» web-услугам среди юридических лиц, могла негативно сказаться на дальнейшем распространении банковских сервисов, работающих через интернет.

Банки задумались и, прежде всего, в силу репутационных рисков, которые несли с собой многочисленные обсуждения инцидентов в СМИ и на банковских форумах. Задумались и разработчики, поняв, что «лоскутный» метод защиты – это не то предложение, которого ждут в финансовых организациях. В прессе с завидной регулярностью появлялись сообщения то о новых банковских троянах, ворующих реквизиты доступа пользователей, то об обманутых мошенниками пользователях, то о банках, предпочитающих «не выносить сор из избы» и потому не комментирующих те или иные проблемы своих дистанционных сервисов. Так, постепенно наряду с самыми обсуждаемыми в банковской среде вопросами – мировым финансовым кризисом и его влиянии на российскую экономику, перспективой выполнения банками требований закона «О персональных данных», пакетов законов, определяющих будущее развитие российской электронной коммерции и электронных финансовых технологий – в число приоритетных вошел вопрос обеспечения защиты уязвимых сервисов ДБО.

Имея немецкие корни, «Коммерцбанк (Евразия)», в отличие от многих отечественных структур не стал следовать расхожему сценарию «Пока гром не грянет…». Прецедентный тип реагирования в отношении информационной безопасности, господствующий среди большинства российских предприятий, был признан не жизнеспособным. Осознавая масштаб проблемы, а, главное, её последствия, руководство «Коммерцбанк (Евразия)» приняло решение о пересмотре ИТ-стратегии среднесрочной перспективы в пользу дополнительных инвестиций в систему защиты сервисов ДБО. Без оглядки на кризисные явления российской экономики была поставлена задача провести соответствующее исследование, выявить основные риски и разработать методы их снижения.

«Безопасное использование сервисов ДБО должно быть реализована в двустороннем порядке – и банком, и пользователем его услуг, – комментирует Сергей Егоров, старший специалист отдела  информационных технологий   «Коммерцбанк (Евразия)», – Основная доля ответственности лежит на поставщике дистанционных сервисов и в значительной степени зависит от его компетенции при выборе средств защиты. Именно поэтому большинство кредитных организаций стараются идти в ногу со временем и не пользуются прорехами в законодательстве, регламентирующем лишь базовые требования к безопасности и лицензированию, в угоду простоте и дешевизне решений. В условиях растущей конкуренции крупный банк, имеющий репутацию надёжного, не может позволить себе экономить на безопасности».

Подготовительные работы

Для того чтобы понимать как защищаться, необходимо иметь представление о том, как совершается та или иная атака. Этот принцип лег в основу подготовительных работ к интеграционному проекту «Коммерцбанк (Евразия)» по обеспечению адекватного существующим рискам уровня безопасности системы ДБО. Анализируя ситуацию, специалисты банка пришли к выводам: большинство инцидентов в области информационной безопасности при использовании дистанционных сервисов происходит на стороне пользователя. То есть активно рекомендуемые банками традиционные меры безопасности, такие как парольная защита доступа и хранение ключевой информации пользователя на отчуждаемом носителе типа дискеты или Flash-диска на практике оказываются недостаточно эффективными. Возможность вывода ключа шифрования или закрытого ключа электронной цифровой подписи из-под контроля его владельца является основным «слабым» звеном для систем типа «банк-клиент». Неправомерное использование ключа подписи, а, следовательно, получение возможности управления счетом клиента представляет наибольшую опасность при удаленном распоряжении банковским счетом через сеть интернет. Данная угроза реализуется посредством эксплуатации имеющихся уязвимостей системы: начиная от использования клиентом нелицензионного ПО и невнимания к обновлениям и «заплаткам» в системе защиты и заканчивая пренебрежением рекомендациями банка в части способов хранения ключей ЭЦП и реквизитов доступа к своему счету. К сожалению, даже установленное на компьютере пользователя регулярно обновляемое антивирусное программное обеспечение не дает 100%-ной гарантии защиты конфиденциальных данных от «шпионского» ПО.

Получить в свое распоряжение  реквизиты доступа (логины, пароли, криптоключи)  обеспечивающие право управления чужим счетом – это основная задача злоумышленников, промышляющих воровством денежных средств в системах дистанционного банковского обслуживания. «Не задумываясь о необходимости выполнения правил и рекомендаций при хранении ключевой информации и использовании удаленного доступа, клиент предоставляет злоумышленнику богатые возможности для проведения атаки с целью получения доступа к его банковскому счету, – комментирует Евгений Модин, руководитель направления консалтинга компании Aladdin,  – Хранение ключей подписи и аутентфикационных атрибутов на незащищённых носителях расширяет возможности злоумышленников в использовании различных методов получения доступа к критически важной информации. К сожалению, пока ещё многие разработчики систем ДБО уделяют вопросам безопасности недостаточное внимание. Продавая банкам свои системы с недоработками в области безопасности, они тем самым перекладывают риски связанные с эксплуатацией таких систем, на плечи Банков, а сразу определить и выявить все недостатки зачастую просто невозможно».  

Таким образом, в зоне ответственности банка лежит намного больше задач, чем может показаться на первый взгляд. Это тем более справедливое утверждение в контексте безопасности систем дистанционного банковского обслуживания: по сути, в этой сфере «репутационное здоровье» банка в значительной мере зависит от неподконтрольных банку сторон – с одной стороны пользователь банковских услуг, с другой возможные уязвимости самой системы ДБО. «Очевидно, что банк не может контролировать своевременное обновление клиентского ПО, антивируса, отсутствие на компьютере пользователя вредоносных программ, наличие межсетевого экрана или прокси-решения, – комментирует Сергей Егоров, старший специалист отдела  информационных технологий «Коммерцбанк (Евразия)», – Банк не может проследить соблюдаются ли правила и регламенты, с которыми был ознакомлен пользователь при заключении банковского контракта. Службы банка бессильны перед добровольной передачей пользователем своих реквизитов третьему лицу. Но при этом, безопасное использование банковских сервисов – это сфера  деловой репутации банка, а здесь компромиссов быть не может».

Постановка задачи

Снижение влияния человеческого фактора на безопасность банковской системы стало основной задачей проекта, связанного с необходимостью внедрения более жестких технологических и организационных мер к обеспечению защиты дистанционных услуг. Хранение закрытых ключей ЭЦП на незащищенных носителях, а также недостаточный уровень контроля доступа при удаленной работе со своим счётом были признаны основными проблемами, которые необходимо было решить в ходе проекта. С точки зрения проектирования защиты системы «банк-клиент» для юридических лиц специалистами «Коммерцбанк (Евразия)» были выделены три основных направления работы:

• Обеспечение защиты и безопасного хранения секретных ключей ЭЦП пользователей

  Принимая во внимание потенциально слабую защищенность рабочего места пользователя, в рамках данного направления было принято решение о переводе клиентов банка, пользующихся сервисами ДБО, на применение защищённых носителей для хранения секретных ключей ЭЦП, реализованных на базе технологий смарт-карт. В противном случае ответственность за последствия компрометации секретного ключа ложится на клиента, что, во-первых, безответственно со стороны банка, а во-вторых, нейтрализует все прочие защитные меры.

• Обеспечение идентификации, аутентификации и контроля доступа к счёту

  В этом направлении была поставлена задача предоставить клиенту надежные средства идентификации, аутентификации для управления своими счетами в целях исключения риска несанкционированного доступа и однозначного подтверждения факта того, от чьего имени (учётной записи) совершается та или иная транзакция.

• Обеспечение защиты от целевых атак

  Удаленная работа со своим счетом подвержена такой распространенной угрозе, как вредоносное ПО, к которому относятся как специализированные «банковские» трояны и компьютерные вирусы, копирующих клиентские данные и отправляющие их по неавторизованным каналам коммуникаций злоумышленникам. Не меньшую угрозу представляют так же атаки типа «человек-по-середине». Данная атака предполагает, что злоумышленник «вклинивается» в информационный обмен между клиентом и сервером, перехватывая отправляемые данные и модифицируя их в целях перевода денежных средств на счета, находящиеся в его распоряжении. Для минимизации этих рисков необходимо предусмотреть возможность идентификации, аутентификации и надёжного хранения реквизитов доступа пользователя на защищенном специализированном носителе. Учитывая, что изощренность и уровень сложности атак в перспективе будут расти, необходимо применение средств, обеспечивающих превентивную защиту.

Что касается критериев выбора партнеров по проекту, со стороны «Коммерцбанка (Евразия)» были выдвинуты следующие требования:

• Опыт проведения проектов в области обеспечения безопасности клиентских данных в системах ДБО и высокая компетенция поставщика;

• Наличие высококвалифицированной команды специалистов для обучения и последующих консультаций сотрудников банка в области защиты систем электронного банкинга;

• Деловая репутация поставщика на рынке, подтвержденная со стороны головной компании - Commerzbank AG (Франкфурт-на-Майне, Германия);

• Отзывы о работе с поставщиком от репрезентативной выборки клиентов.

Работы по проекту

По результатам исследовательских работ, а также ряда консультаций со стороны профильных компаний, выбор «Коммерцбанк (Евразия)» был остановлен на средствах аутентификации и хранения ключевой информации eToken PRO (Java) – новейшей модели токенов компании Aladdin, созданных на базе Java-карты и обладающих увеличенным объемом памяти. На момент реализации поставки ключевых носителей «Коммерцбанк (Евразия)» был первой и единственной банковской организацией в России, в системе дистанционного банковского обслуживания которой использовались наиболее прогрессивные модели USB-ключей eToken от технологического лидера рынка – компании Aladdin. К слову, репутация Aladdin, как опытного и компетентного поставщика, а также преимущества применения eToken для реализации задач защиты клиентских данных, были подтверждены в германском Commerzbank AG.

Пример используемого ключевого носителя eToken PRO (Java) для защиты клиенских данных в системе ДБО «Коммерцбанк (Евразия)»

В ходе комплексного проекта в «Коммерцбанк (Евразия)» была развернута система дистанционного банковского обслуживания для юридических лиц "ДБО BS-Client" v.3 компании BSS - технологического партнера Aladdin. В рамках сотрудничества BSS и Aladdin обеспечена возможность использования в программных продуктах для дистанционного банковского обслуживания (ДБО), разработанных BSS, средств аутентификации и защищенного хранения ключевой информации линейки eToken, включая eToken PRO (Java).

В рамках проекта "ДБО BS-Client" позволяет осуществлять взаимную доставку и обработку различных типов документов, контролировать их состояние, обмениваться сообщениями произвольного формата (с возможностью включения файлов), получать выписки в различных видах и форматах, а также иной информации из банка.  В свою очередь, персональное USB-устройство eToken PRO (Java) реализует строгую аутентификацию пользователей в системе клиент-банк и минимизируют риск компрометации секретных ключей электронной цифровой подписи (ЭЦП), которые хранятся в защищенной области памяти ключа.

На базе электронных ключевых носителей eToken PRO (Java) компании Aladdin в системе ДБО «Коммерцбанк (Евразия)» обеспечены следующие преимущества:

• Хранение цифровых сертификатов и ключей ЭЦП в защищенной области памяти eToken PRO (Java), что исключает возможность несанкционированного доступа к этим данным и, следовательно, хищения денежных средств со счета юридического лица.

• Идентификация пользователей в системе, что позволяет однозначно идентифицировать «от имени» какой учётной записи совершено то или иное действие.

• Двухфакторная аутентификация пользователя при доступе к своим счетам: данная процедура проверки позволяет достоверно убедиться в том, что пользователь (юридическое лицо), предъявивший электронный ключ eToken и знающий его PIN-код, является его законным владельцем;

• Удобство, мобильность и безопасность работы пользователей из числа юридических лиц в системе дистанционного банковского обслуживания «Коммерцбанк (Евразия)».

Использование сертифицированных средств криптографической защиты информации (CryptoPro CSP) в комплексе с защищенными ключевыми носителями eToken обеспечивает высокий уровень безопасности проводимых операций и юридическую значимость передаваемых электронных документов. Этот комплекс соответствует требованиям Commerzbank AG и признан банком как удачный баланс между безопасностью и удобством использования. Согласно корпоративным стандартам банка на используемые USB-устройства eToken нанесен логотип «Коммерцбанк (Евразия)». На данный момент в «Коммерцбанк (Евразия)» поставлено более 1000 устройств eToken PRO (Java).

Результаты проекта

Благодаря тесному взаимодействию между департаментами банка и опыту специалистов компаний, предоставляющих технологии ДБО и защиты информации проект был реализован в установленные бизнес-планом сроки. Своевременная оценка рисков позволила принять превентивные меры по нейтрализации негативных прецедентов, связанных с угрозой хищения криптографических ключей и осуществлением несанкционированных транзакций, вследствие недостаточной защищенности рабочих мест пользователей и низкой эффективности «бытовых» носителей (дискеты, флеш-диски, HDD и т.д.) для хранения ключевой информации, откуда они легко могут быть скопированы злоумышленниками.

Основными сложностями в процессе внедрения стали консолидация задействованных в проекте систем и приведение их к соответствию внутренним требованиям банка в области информационной безопасности и обеспечения защищенного электронного  документооборота. В ходе проекта были выполнены работы по реализации новых функциональных возможностей, таких как автоматизация бизнес-процессов банка по работе с документами типа «Зарплатные ведомости» и «Распоряжение на списание средств с транзитного валютного счета» с автоматическим формированием проводок в АБС.

Комментируя результаты проекта, Сергей Егоров отметил: «Применение специализированных аппаратных носителей со временем перерастет из привилегии прогрессивных банков, в обязательное требование при обеспечении защиты сервисов ДБО. В целях повышения информационной безопасности при использовании сервисов ДБО «Коммерцбанк(Евразия)» мы предлагаем клиентам использовать новую модель токенов компании Aladdin eToken PRO (Java) 72k, расширенные возможности которой в полной мере удовлетворяют требованиям банка. Тестирование и первый год работы с новой для нас системой не выявило уязвимостей и критических замечаний, что ещё раз подтвердило правильность сделанного выбора. Удачный компромисс безопасности и удобства, быстрая и компетентная поддержка продуктов позволили нам за несколько первых месяцев работы передать клиентам более 500 токенов. Благодаря успешному запуску и эксплуатации проекта дистанционного банковского обслуживания, «Коммерцбанк (Евразия)» планирует развивать перспективное направление автоматизации документооборота совместно с компанией Aladdin в дальнейшем».

Со своей стороны, В Aladdin высокой оценивают полученный опыт и особенно подчеркивают требовательность проектной команды «Коммерцбанк (Евразия)»: «Реализация проекта по повышению уровня информационной безопасности при использовании систем ДБО в «Коммерцбанк (Евразия)» была крайне важна для Aladdin: это был первый проект внедрения ключевых носителей нового поколения eToken PRO (Java) в банковской сфере, – комментирует Денис Калемберг, специалист по работе с корпоративными заказчиками Aladdin. – Системный подход к анализу рисков при использовании сервисов дистанционного банковского обслуживания и высокий уровень компетенции со стороны «Коммерцбанк (Евразия)» потребовали от нас в полной мере использовать потенциал, накопленный за годы работы на банковском рынке. Систему защиты клиентских данных при дистанционном банковском обслуживании для юридических лиц, необходимо было разрабатывать с прицелом на будущие потребности в масштабировании и наращивании функциональных возможностей. Оперативное прогнозирование и слаженная работа позволили в срок завершить проект и приобрести бесценный опыт работы с высокопрофессиональной и требовательной командой «Коммерцбанк (Евразия)».

Благодаря успешному запуску и эксплуатации проекта дистанционного банковского обслуживания,  а также благоприятной экономической обстановке «Коммерцбанк (Евразия)» планирует развивать перспективное направление автоматизации документооборота, в частности, рассматривается возможность внедрения более «лёгкого» интернет-клиента для частных лиц.