Безопасность электронного банкинга для банков
В сообщении, посвященном безопасности электронного банкинга для организаций, рассказывалось о мерах, направленных на обеспечение безопасности транзакций. Те же меры в наиболее полной степени применимы и к банковской ИТ-инфраструктуре.
Однако для защиты электронных платежных систем указанных мер совершенно не достаточно, т. к. банки априори позиционируются как финансовые организации с высоким уровнем доверия в части информационной безопасности. Однако, судя по общедоступной информации, только банки, входящие в ТОП-20 наиболее надежных банков России, имеют штат высокооплачиваемых специалистов в области информационной безопасности, а также риск-менеджеров. В подавляющем большинстве банков ситуация с информационной безопасностью зачастую находится на низком уровне и оставляет желать лучшего.
В настоящее время существует две технологии предоставления сервисов дистанционного банковского обслуживания (ДБО). Это технология с использованием «толстого» клиента и технология с использованием «тонкого» клиента.
Технология «толстого» клиента предполагает использование специально разработанного программного обеспечения, включающего интерфейсы пользователя, необходимые функциональные модули и криптографические библиотеки. Согласно нормам законодательства, криптографические библиотеки должны быть сертифицированы в ФСБ России, а также данная организация должна проводить работы по контролю корректности их встраивания в конечный продукт.
Вопросы информационной безопасности при использовании «толстого» клиента предполагают проведение ряда мероприятий на стороне конечного пользователя или организации, то есть на стороне клиента банка. Среди них установка программного обеспечения клиента, возможные сложности с интеграцией Клиент-Банка в инфраструктуру клиента, такие как обеспечение совместимости с подсистемами безопасности клиента, если они, конечно, есть и функционируют.
Технология «тонкого» клиента предполагает, что вся система расположена на серверах банка, доступ к которым через web-браузер имеет клиент. На стороне клиента должен быть лишь компьютер с установленной операционной системой, антивирус, т.к. компьютер подключен к сети Интернет, и web-браузер (как правило, Microsoft Internet Explorer или Mozilla FireFox). Так как Internet Explorer является стандартным web-браузером, функционирующим под ОС Microsoft Windows, которая используется у 99 % клиентов, то его поддержка является обязательной для всех систем Клиент-Банка. Другие аналогичные программы для навигации в сети Интернет могут официально не поддерживаться, т. к. поддержка любых других программ и платформ ведет к дополнительному тестированию на совместимость, что неминуемо ведет к увеличению стоимости разработки.
С точки зрения защиты банка при использовании «толстого» клиента основополагающим моментом является установка ПО Клиент-банка и работа с системой только на стационарном или мобильном ПК. Это означает, что хорошо бы иметь лицензионную и регулярно обновляемую ОС и иметь лицензионный обновляемый антивирус. Межсетевой экран должен быть включен и настроен, не должно быть никакого лишнего ПО, порты и интерфейсы ПК (как, впрочем, и все остальное) должны использоваться по назначению, а сетевые настройки оставаться неизменными. С технологической точки зрения контроль многих вышеперечисленных критериев можно осуществлять удаленно при помощи специального агента, который может входить в состав Клиент-Банка. Тем самым получается собственная реализация Network Access Control/Protection (NAC/NAP), при которой Клиент-Банк получает доступ к системе только при соответствии указанным требованиям. Эти требования обязательно должны быть прописаны в договоре между банком и клиентом, т.к. иначе такой контроль безопасности нельзя будет использовать легитимно.
Использование «тонкого» клиента предполагает доступ клиента к системе из любого места при соответствии минимальных требований к вендору и версии web-браузера. Такое использование является очень удобным как для клиента, так и для банка, однако это накладывает определенные сложности на реализацию средств защиты. Требования к операционной системе, антивирусу, другому ПО можно / нужно занести в договор, однако контролировать это куда сложнее, чем при использовании «толстого» клиента. Основными направлениями контроля и защиты будут уже являться совершенно другие механизмы и технологии, которые должны реализоваться на стороне Банка (Fraud monitoring).
Основной идеей обеспечения безопасности является анализ транзакций, которые инициирует и подтверждает клиент. Анализ может проводиться как в оффлайне, так и в онлайне. Системы анализа могут быть как обучаемые, так и нет.
Для анализа в оффлайне, нужно иметь системы, которые поддерживают форматы журналов автоматизированной банковской системы (АБС). Анализ журналов может производиться в любое время, поэтому может использоваться ретроспективный анализ.
Для анализа в онлайне, нужно иметь системы, которые поддерживают АБС и могут интегрироваться в них. Анализ проводится в режиме реального времени и задачей оператора является лишь ручной анализ и подтверждение транзакции лишь при срабатывании правил.
Для каждого клиента создается специальный профиль, в который может входить такая информация как IP-адрес или их диапазон, версии web-браузеров, информация о типовых платежах и их времени, то есть вся необходимая информация, по которой можно делать выводы о нормальной работе клиента. Наряду с профилями эти системы имеют разработанные шаблоны, соответствие которым тоже может считаться подозрительным и требовать проведения расследования. Также специалисты в области информационной безопасности могут самостоятельно разработать любые правила, из которых в дальнейшем будет состоять шаблон или профиль и уже по ним производить контроль.
Для дополнительных технических мер могут использоваться одноразовые коды (пароли) подтверждения транзакций, SMS и/или e-mail уведомления о любых транзакциях, различные лимиты по размерам и/или количеству платежей в единицу времени.
Для дополнительных организационных мер безопасности могут применяться задержки в проведении платежей, а также контакты с клиентом для их подтверждения.
Шауро Евгений
Июль 2010 год
Комментариев нет:
Отправить комментарий