Доверяй, но проверяй

22 августа 2014 года в редакции журнала "BIS Journal — Информационная безопасность банков" прошёл "круглый стол", посвящённый проблеме доверенной среды дистанционного банковского обслуживания. Участники дискуссии обсудили как узкие, организационно-технические, так и широкие, гуманитарно-психологические аспекты взаимного доверия сторон бизнес-процессов. Формулировки вопросов и предложенные ответы, несомненно, будут интересны для сотрудников подразделений информационной безопасности банков.

ЧЕМ ОБОСНОВАТЬ УВЕРЕННОСТЬ

Плавный вопрос, поставленный перед участниками обсуждения, был о доверии клиентов банков к дистанционным банковским сервисам, предоставляемым через открытую сеть интернет. Можно ли добиться, чтобы электронным документам, в первую очередь платёжным, доверяли не меньше, чем "бумажным"? На какие жертвы, включая отказ от удобств анонимности, согласятся пойти клиенты банков, чтобы их средствами на электронных счетах не воспользовались мошенники?

Участие в "круглом столе", который вёл Олег Седов, приняли сотрудники государственного регулятора, ведущих банков и компании-поставщики решений по информационной безопасности:

• Артём Сычёв - заместитель начальника Главного управления безопасности и защиты информации Банка России;
• Василий Окулесский — начальник управления информационной безопасности ОАО "Банк Москвы";
• Александр Виноградов — начальник управления информационной безопасности ЗАО КБ "Златкомбанк"; 
• Алексей Сабанов - заместитель генерального директора ЗАО "Аладдин Р.Д.".

Естественным образом за рамками обсуждения остался мировоззренческий вопрос доверия граждан страны к устойчивости национальной финансовой системы. Вкладчики в достаточной степени защищены системой страхования вкладов, хотя у юридических лиц, обслуживающихся в банке, у которого отозвана лицензия, проблем с возвратом своих средств куда больше. Участники "круглого стола" 1акже сошлись во мнении, что доверие между банками и правоохранительными органами в ходе расследования инцидентов информационной безопасности заслуживает отдельного обсуждения.

Необъятно широкую тему доверия быстро конкретизировали до практических отношений банка и клиентов: как создать у клиентов стойкую уверенность в безопасности дистанционных сервисов, без которых в наше время невозможно успешное развитие банковского дела? Но и в этой сравнительно узкой области, как обычно бывает в ходе дискуссий, участники легко переходили с одних разноплановых вопросов на другие. Поднимались концептуальные научные проблемы — что такое доверенная среда, каковы организационнотехнические аспекты обеспечения безопасности ДБО. рассматривались актуальные практические вопросы — как сделать клиентские сервисы одновременно удобными и безопасными.

ОБОЮДООСТРАЯ ВЗАИМНОСТЬ

Оказалось, что проблема доверия обоюдоострая: чтобы клиент доверил свои деньги и пользовался дистанционными сервисами, он должен доверять конкретному банку. Клиент должен быть уверен в том, что и его деньги, и конфиденциальная информация, в первую очередь о финансовом состоянии, не "уплыла" на сторону, не попала в руки к злоумышленникам и не нанесла ущерба репутации. Александр Виноградов отметил, что федеральные законы о банковской и коммерческой тайне, о защите персональных данных обязывают хранить такую информацию от несанкционированного доступа и эти требования под угрозой санкций банки выполняют.

Однако чтобы банк, в свою очередь, доверял клиенту, нужно убедиться, что тот не злоумышленник и не растяпа, способный сообщить PIN-код своей банковской карты первому встречному', а потом опротестовывать кражу средств. В качестве отправной точки дискуссии был приведён наглядный пример "доверенной среды" в реальном мире - подтверждение личности клиента в банковском офисе.

Сотрудник банка лично убеждается, что перед ним - действительно владелец представленного паспорта гражданина РФ. Этот документ сканируется, копия остаётся в банке, затем производится проверка по 5 базам данных, в том числе на отсутствие в списке лиц, причастных к финансированию терроризма. Только по итогам этой проверки принимается решение о заключении договора о банковском обслуживании. При этом "арсенал" сотрудников банка сегодня чрезвычайно ограничен законодательством — проверка "благонадёжности" клиентов проводится через находящиеся в свободном доступе базы данных госорганов.

Идентификация клиента даже при его личном присутствии может сталкиваться с проблемами, отметил Александр Виноградов. Добропорядочный гражданин способен оказаться загримированным мошенником, паспорт поддельным, а сведения, предоставленные банку, заведомо ложными. Схожие угрозы возникают и в процессе электронной аутентификации клиента в системе ДБО.

Для расследования подобных инцидентов повсеместно будет вводиться практика, зарекомендовавшая себя за рубежом — документирование всех процедур идентификации и хранение протоколов. В этом направлении движется Банк России, отметил Артём Сычев, в нормативных документах рекомендуя банкам хранить идентификационную информацию о средствах, при помощи которых клиент осуществляет денежные переводы. Такие идентификаторы как IP-адрес, МАС-адрес, номера мобильных телефонов и т.п. должны протоколироваться с указанием даты и времени совершения операции, а также совершённых действий. Подобная база данных помогает и расследовать инциденты, и, при необходимости, формировать убедительную для суда доказательную базу уголовного дела. Алексей Сабанов добавил к сказанному, что аналогичные меры уже многие годы применяются за рубежом, облегчая деятельность правоохранительным органам и юротделам банков.

ОПАСНЫЙ, АГРЕССИВНЫЙ ИНТЕРНЕТ

Если существуют "подводные камни" идентификации клиента даже при его личном визите в офис банка, то в дистанционных сервисах их неизмеримо больше. Безопасность электронного документооборота между банками друг с другом и с государственными организациями находится на высоком уровне. Чего нельзя сказать о дистанционном общении банка с клиентами, которые могуг стать жертвами прямого обмана — "социального инжиниринга", а их "рабочие места", персональные компьютеры и мобильные устройства - мишенями информационных атак. Особый источник опасности — телекоммуникационная среда, посредством которой осуществляется передача данных при дистанционном банковском обслуживании. В большей степени это относится к интернету, в намного меньшей — к мобильной связи.

Как подчеркнул Алексей Сабанов, интернет, телекоммуникационная среда транспортировки IP-пакетов, заведомо является средой открытой и не доверенной, где трудно создать "островки доверия". Потому что "по умолчанию" предполагаются анонимность пользователей и по структуре, и по происхождению, а также множественность маршрутов. Василий Окулесский выдвинул более радикальную точку зрения: что по этой причине интернет является агрессивной средой для любого бизнеса, и особенности этой среды помогают злоумышленникам похитить, исказить, подменить или уничтожить критически важную информацию.

Анонимность в интернете удобна для пользователей, но, в то же время, сопутствует множеству разнообразных угроз. От координации криминальной деятельности и кибердиверсий, шантажа и клеветы до нарушения неприкосновенности личной жизни. Оптимальное соотношение удобства и безопасности дистанционных финансовых сервисов стараются определить и федеральные органы государственной власти, и банки, и операторы платёжных систем. Одним из средств является ограничение суммы и количества анонимных электронных денежных транзакций в определённый период времени.

Государство, озабоченное противодействием финансированию и отмыванию нелегальных доходов, в настоящее время ограничивает анонимный денежный перевод суммой в 15 ООО рублей. Банки и операторы мобильной связи, заботясь о безопасности своих клиентов, чаше всего проводят без идентификации плательщика разовые платежи до 3000 рублей.

ЛУЧШИЙ КЛИЕНТ - ХОРОШО ИНФОРМИРОВАННЫЙ

Эти меры встречают понимание у граждан России, согласно приведённым Олегом Седовым результатам недавнего исследования, осуществлённого компанией ЕМС. По "индексу конфиденциальности" наши соотечественники оказались на 7 месте среди опрошенных граждан 15 стран: 38% населения России готовы поступиться конфиденциальностью личных данных ради доступности интернет-сервисов.

В свою очередь, банкам приходится определять баланс между удобством и безопасностью сервисов, предлагаемых клиентам, выбирая оптимальное сочетание доверенных, условно-доверенных и заведомо не доверенных элементов и сред. Самое главное — правильно понимать степень доверенности той или иной среды и сопутствующие риски, чтобы использовать адекватные угрозам средства обеспечения безопасности. В банке этим занимаются квалифицированные специалисты, отметил Василий Окулесский. целые подразделения информационной безопасности.

Именно банкам приходится думать, как обеспечить безопасность дистанционных сервисов со стороны клиента, который чаще всего является дилетантом в вопросах зашиты информации. Чем выше доверие к банковским сервисам, тем быстрее расширяется клиентская база, растёт объём оказываемых дистанционных услуг и, соответственно, повышается прибыльность банковского бизнеса. Доверие клиентов, основанное на их убеждении в безопасности дистанционных сервисов, становится всё более действенным конкурентным преимуществом банка.

Чтобы донести до клиента правила безопасности при пользовании интернет- и мобильным банкингом, а также пластиковыми картами банки самостоятельно готовят информационные материалы, размещают их на своих сайтах, раскладывают распечатки в офисах. Эти же правила прописываются в заключаемых договорах банковского обслуживания как обязательства клиента. Если клиент не будет выполнять правила безопасности, которые минимизируют риски несанкционированного использования его идентификационных данных, банк не может гарантировать надёжную защиту платежей.

ОТЧУЖДАЕМАЯ БИОМЕТРИЯ

Особое внимание участники дискуссии уделили техническим средствам идентификации клиента банков в дистанционных сервисах. Алексей Сабанов отметил, что технологии дистанционной аутентификации предполагают выбор минимального набора идентификаторов личности. Речь идёт об уникальных метках, позволяющих отличать в базе данных определённую индивидуальность от прочих. В среднем каждый из нас получает за свою жизнь от 17 до 40 таких идентификаторов — паспортные данные, ИНН. СНИЛС и т.п.

Минус данных официальных документов в том, что они являются отчуждаемыми от человека, а значит, могут быть незаконно скопированы злоумышленниками и использованы для хищений денег жертвы. Более надёжными, хотя и менее удобными для использования, являются неотчуждаемые биометрические данные человека — отпечатки пальцев, рисунок радужной оболочки глаза, код ДНК и другие.

Участники дискуссии отметили, что и у биометрических средств идентификации клиента есть свои минусы. Первый — высокая доля ошибок, для отпечатков пальца — от 5 до 10%. Исследования, проводившиеся в Германии ещё в 2006 году, показали, что 5% из выборки в 400 000 вообще нельзя идентифицировать по отпечатку пальца. Более точными средствами биометрической идентификации являются кисть руки, овал лица и сетчатка глаза, где вероятность ошибки снижается до 1%, а максимальную точность даёт анализ ДНК — ошибка не превышает 0,03%.

Но чем более сложны технологии, тем они более дороги в реализации и менее удобны в практическом применении. Был приведён противоречивый пример коллег из Народного банка в Казахстане: переход на биометрическую идентификацию потребовал так много денег и усилий, что, как говорится, знать бы заранее... Несмотря на то, что сами биометрические параметры не отчуждаемы от человека, тем не менее, злоумышленники могут воспользоваться результатами их оцифровки. Проблемой является и обеспечение целостности при передаче по каналам связи, зашита от возможной подмены.

Совсем уж брутальные возможности "принудительного отчуждения" биометрических данных упомянул Артём Сычев, сославшись на опыт африканских стран. Там, где банкоматы были оборудованы устройствами для идентификации по отпечатку пальца, грабители отбирали банковские карты у их законных владельцев вместе с пальцем. Участники дискуссии не могли не согласиться, что биометрические данные, несмотря на ряд преимуществ, не являются панацеей, и требуют применения дополнительных средств идентификации.

БЕЗОПАСНОСТЬ ПРИВЛЕКАТЕЛЬНА

С точки зрения банков сравнительные достоинства и недостатки различных средств идентификации клиентов в условно-доверенной и не доверенной среде оценили Василий Окулесский и Алексей Сабанов. И пришли к общему выводу - разработчики систем ДБО представляют уже готовый продукт со своим набором средств — устройств и технологий для идентификации и аутентификации.

Банкам, приобретая стандартный "коробочный" набор, приходится приспособлять его к конкретике своих бизнес-процессов, сервисов, типов клиентов. Оказывается, нелегко заменить тот или иной компонент готовой разработки на другой, пусть и более привлекательный, но выполненный другой компанией. Бывает нужно затратить немало усилий, чтобы убедить одного поставщика решений, продукт которого в основном устраивает, интегрировать в него более современный и надёжный компонент другого разработчика.

Инструментом убеждения могут служить действующие нормативные документы, подсказал Артём Сычев. С участием Банка России Техническим комитетом № 122 Госстандарта были разработаны со-ответствующие рекомендации для того, как сертифицировать обеспечение информационной безопасности на всех этапах жизненного никла приложений автоматизированных банковских систем, начиная с этапа их разработки. Подкрепить эти рекомендации мот консолидированные предложения банковского сообщества, к которым разработчикам будет трудно не прислушаться.

Площадок для выработки коллективных решений много — Ассоциация российских банков, Ассоциация региональных банков России, НП "Национальный платёжный совет" и другие отраслевые общественные организации. Совместно выработанные решения способны оказывать положительное влияние и на устранение нестыковок, повышение эффективности межведомственного взаимодействия ФСБ России, ФСТЭК России, Минкомсвязи России и других отраслевых государственных регуляторов.

* * *

Прежде, чем накопится собственный опыт, — пришли к общему знаменателю участники "круглого стола", — для клиента важны внешние свидетельства того, насколько можно считать доверенной среду дистанционных услуг того или иного банка. Такими "плюсами", которые банк может предъявить потенциальному клиенту, являются и присоединение к СТО БР ИББС, и членство в НП "АБИСС", и результаты внешнего аудита обеспечения информационной безопасности. Эти подтверждения надёжности банк может использовать как конкурентное преимущество, чтобы завоёвывать доверие новых и новых клиентов.