ДБО и его защищенность. Что делать?
Статья Сергея Котова, эксперта по информационной безопасности компании "Аладдин Р.Д."
Сегодня мы наблюдаем, что сервисы ДБО становятся все популярнее. Ни потери из-за мошенничества, ни отсутствие каналов связи в некоторых населенных пунктах, ни недостатки самих систем ДБО уже не остановят процесс. Скоро ДБО перейдет в категорию традиционных видов банковского обслуживания, ведь для клиента это экономия времени, а для банка – удобный вариант ускоренного наращивания клиентской базы.
В то же время статистика сообщает о практически экспоненциальном росте мошенничества в системах ДБО. Это свидетельствует о том, что защита на данном этапе проигрывает нападению... Попробуем разобраться в некоторых причинах данного явления.
ДБО развивается активно, но пока экстенсивно, т.е. количественно существенно опережает качество. Под качеством в данном случае будем понимать объем предоставляемых сервисов, удобство их использования, доступность и безопасность для банка и клиента. Первые две составляющие в основном определяет бизнес в соответствии с моделью развития самого банка. О доступности заботится ИТ. Что же влияет на безопасность?
ДБО – это в сущности один из модулей АБС с каналами связи и клиентским ПО. По обе стороны канала – люди, заинтересованные в таком взаимодействии, но имеющие разный уровень подготовки и, соответственно, понимание процесса.
С аппаратным обеспечением все более или менее ясно. Чем его больше и чем оно мощнее и новее на стороне банка, тем лучше для всех. Для системы ДБО это производительность, отказоустойчивость и, в немалой степени, безопасность (дополнительная нагрузка от систем безопасности может быть весьма существенной, да и в случае атаки на систему «лишняя» производительность не будет лишней).
С людьми несколько сложнее. В идеале, необходимое количество банковских работников, проверенных и обученных, с правильно прописанными ролями, под неусыпным контролем службы безопасности обслуживает некоторое количество пользователей, оснащенных необходимыми инструкциями и средствами защиты. На практике бывает по-другому: количество работников часто сокращено до минимума, на обучении экономят в первую очередь, а роли не всегда грамотно прописываются. Стандартный набор средств защиты – это предупреждение на сайте о необходимости проверять наличие https-соединения, логин-парольная аутентификация и одноразовые пароли, пересылаемые по SMS. При этом логин вводится с обычной клавиатуры, что делает его уязвимым для программ-кейлоггеров, а для ввода пароля используется экранная клавиатура, хотя перехват позиций курсора также не составляет проблемы. Что же касается SMS-уведомлений, то остаются риски, связанные с завозимыми из Китая подставными сотами, мобильными вирусами, развивающимися впечатляющими темпами, возможностью кражи телефона или SIM-карты и т.п.
Эта мрачная картина характерна, конечно, далеко не для всех банков, но в той или иной степени, как «среднее по больнице», вполне подтверждается статистикой. Большое количество банков переходит на технологии двухфакторной аутентификации с хранением ключевой информации в не извлекаемом виде на eToken или в смарт-карте. Это совсем не блажь, а минимизация рисков, которая становится конкурентным преимуществом для тех, кто вовремя среагировал. Снова обратившись к статистике, можно заметить, что 70% атак на клиентскую часть ДБО происходит при хранении ключей на незащищенных носителях.
К тому же, законодатели подталкивают к более ответственному обращению со средствами клиента. Для примера: N 161-ФЗ устанавливает, что «… оператор по переводу денежных средств обязан возместить сумму операции, совершенной без согласия клиента, если не докажет, что клиент нарушил порядок использования электронного средства платежа…». При разборе такой ситуации без строгой аутентификации не обойтись.
На рынке также появились средства, предоставляющие доверенную среду для проведения операций электронной подписи. Например, компьютеры, в которых средства доверенной загрузки реализованы в BIOS (в частности, фирмы Kraftway). Это позволяет исключить воздействие вирусов, начинающих работать до загрузки системы, и вирусов, модифицирующих сам BIOS. При этом осуществляется контроль загрузки операционной системы и приложений.
Давно стало общим местом обсуждение сложности обеспечения доверенной среды исполнения на стороне пользователя, но решена ли эта проблема на стороне банков? Различные опубликованные исследования (например, ежегодное исследование Digital Security Research Group) показывают – нет. В программном обеспечении практически всех разработчиков имеется достаточно большое количество уязвимостей, и системы ДБО здесь совсем не исключение. Если разработчики операционных систем постоянно работают над повышением уровня безопасности, уделяют много времени тестированию, то к системам ДБО это отнести сложно. Еще хуже обстоит дело с «самописными» системами. Здесь, как правило, отсутствует серьезная проверка на уязвимость, нет ни документирования процесса разработки, ни, зачастую, самой документации.
Серьезное влияние на безопасность ДБО оказывает уровень квалификации персонала, а также бюджет на обеспечение информационной безопасности. Недостаточная квалификация и мотивация ведут к таким, казалось бы, уже давно надоевшим, но все еще актуальным проблемам, как пароль по умолчанию на сетевом оборудовании, единый пароль на разных ресурсах, удаленный доступ в обход общих правил и политик. Ограниченность бюджета ведет к затягиванию процесса внедрения полного комплекса необходимых технологий и замедлению реакции на возникающие новые риски. Необходима тщательно и всесторонне продуманная система оценки и управления рисками.
Среди типичных недостатков инфраструктуры можно перечислить малую пропускную способность каналов и недостаток резервных каналов, замкнутость на единственного провайдера и отсутствие оперативного взаимодействия с ним (включая четкий договор с прописанными показателями и ответственностью), а также ограниченную мощность сетевого оборудования. Все это ведет к повышению рисков, связанных с блокированием каналов и, соответственно, неработоспособности сервисов, а недостаточная защищенность на канальном уровне приводит к увеличению риска атак на проникновение в АБС.
Существуют также проблемы законодательного плана. Во-первых, это недоработанность существующих и вновь принимаемых законов, отсутствие согласованности в законодательных инициативах. Во-вторых, недостаток правоприменительной практики по многим статьям, отсутствие наработанных методик ведения уголовных дел по хищениям через системы ДБО. В-третьих, это нечеткое взаимодействие правоохранительных органов с банками и клиентами банков. Пожалуй, назрела необходимость создание специализированного полицейского подразделения, которое, взаимодействуя со службами безопасности банков, могло бы полностью расследовать и доводить до логического завершения дела по таким специфическим видам хищений. Оно же могло бы взять на себя методическое обеспечение всех заинтересованных сторон.
Конечно, перечислены далеко не все проблемы. Их решение должно быть комплексным, и потребует сил и средств, но другого пути нет. Создание действительно защищенной среды еще впереди, однако технологии уже есть, и их реализации, в том числе сертифицированные, на подходе. Требуется, как всегда, лишь немного терпения и денег.