Лев Шумский: «За счет повышения уровня безопасности мы планируем увеличить доверие клиентов к банку»
Лев Шумский, «Банковские технологии», №3, 2010
О перспективах развития систем информационной безопасности и используемых сегодня средствах защиты ключевой информации рассказывает Лев Станиславович Шумский, отвечающий за реализацию проектов безопасности банковских систем в Русь-Банке.
«Банковские технологии»: Лев Станиславович, расскажите, какое место занимает обеспечение информационной безопасности в списке приоритетов Русь-Банка?
Лев Шумский: Вопросам обеспечения информационной безопасности технологических процессов в нашем Банке уделяется приоритетное внимание. Это не «модная тенденция», не веление времени, а результат нашей планомерной деятельности в соответствии с классическим циклом Деминга (Plan, Do, Check, Act) — планирование, выполнение, контроль, корректировка. В Русь-Банке используется риск-ориентированный подход к оценке технологических процессов, с помощью которого определяется реальный уровень операционных рисков по отношению к банковским активам. С этой целью ведется разработка эффективных мероприятий, направленных на устранение существующих и потенциальных угроз.
«Б. Т.»: Такой подход является общим для банковского рынка или это одно из ваших конкурентных преимуществ?
Л. Ш.: Это общий тренд, и основная масса банков сегодня движется в данном направлении. Кто-то продвинулся на этом пути дальше, кто-то пока отстает, но это общая тенденция, которая в ближайшие несколько лет будет превалировать на рынке. Все больше кредитных организаций следуют рекомендациям Банка России в области информационной безопасности — СТО БР ИББС-1.0-2008.
«Б. Т.»: Какие аспекты информационной безопасности банковских услуг, в частности систем дистанционного банковского обслуживания (ДБО), являются наиболее актуальными в настоящее время?
Л. Ш.: В сфере информационной безопасности трудно выделить наиболее важные области. Необходимо комплексно подходить к решению вопросов обеспечения ИБ. Элементами такого подхода являются постоянный контакт с производителями и поставщиками систем ДБО и решений в области информационной безопасности, строгое соблюдение требований стандарта Банка России СТО БР ИББС-1.0-2008, действующего законодательства, руководящих документов ФСБ и ФСТЭК.
«Б. Т.»: Какие специальные средства ИБ для защиты операций ДБО используются в Русь-Банке?
Л. Ш.: В нашем Банке обеспечение безопасности платежного процесса в рамках ДБО достигается за счет применения комплекса мероприятий, таких как внедрение современных технологий защиты информации, повышение осведомленности клиентов в части использования технологий ДБО.
Помимо применения общеизвестных технологий защиты публичных сервисов (FireWall, VPN, IPS/IDS) для снижения риска проведения несанкционированных платежей клиентам предлагается ограничивать доступ к системе ДБО по физическим адресам АРМов, с которых будут производиться электронные платежи (фиксация MAC-адреса). Используется система фрод-мониторинга — на основе ранее полученных данных определяется набор критериев, характеризующих мошеннические операции. Информация о попытках совершения мошеннических действий доводится до клиента, таким образом мы снижаем риски финансовых потерь наших клиентов.
В ближайшее время для обеспечения надежного хранения ключей ЭЦП наш Банк предложит своим клиентам использовать аппаратные средства защиты, в частности сертифицированные электронные ключи eToken PRO (Java). Для реализации этого функционала в Банке начат проект интеграции защищенных носителей eToken с комплексом ДБО и Удостоверяющим центром Русь-Банка.
Планируется также внедрить систему оповещения об операциях по счетам через SMS или по электронной почте.
Следует отметить, что Банк уделяет внимание не только внешним, но и внутренним угрозам, осуществляя планомерный контроль над действиями собственных сотрудников, как администраторов системы ДБО, так и других работников, участвующих в технологическом процессе комплекса ДБО.
«Б. Т.»: Насколько актуальны сегодня мошеннические действия, направленные именно на клиентов, а не на банк?
Л. Ш.: В цепочке «Банк — Клиент» наиболее незащищенным элементом является Клиент. К сожалению, большинство клиентов не являются IT-специалистами, а в ряде компаний отсутствует IT-служба либо она не уделяет должного внимания вопросам обеспечения информационной безопасности рабочих мест сотрудников, использующих средства ДБО. Пользователи услуг ДБО в таких компаниях могут работать на компьютерах без регулярно обновляемого антивируса, с административными правами доступа и тому подобными нарушениями условий договора предоставления услуг ДБО.
В таких случаях угрозу проведения мошеннических операций со счетами клиента можно значительно уменьшить применением аппаратных средств защиты ключей ЭЦП.
«Б. Т.»: Проект по использованию таких средств рассчитан только на корпоративных пользователей или также на клиентов — физических лиц?
Л. Ш.: В первую очередь эти средства (защищенные носители eToken) предназначены для корпоративных пользователей. Тем не менее количество клиентов — физических лиц, использующих систему ДБО, постоянно растет. В настоящее время частным клиентам в режиме ДБО доступны только операции, не требующие цифровой подписи (т. е. операции с лимитом по сумме и направлению платежа): оплата коммунальных платежей, Интернета, телефонной связи и т. п. До конца 2010 г. мы планируем расширить спектр услуг, оказываемых физическим лицам дистанционно, и предоставлять им аппаратные средства защиты ключей ЭЦП типа eToken, чтобы они могли осуществлять платежи без указанных ограничений.
«Б. Т.»: Защита ЭЦП при помощи аппаратных средств является обязательным условием для ваших клиентов или они могут отказаться от этого?
Л. Ш.: Использование средств eToken находится в стадии опытной эксплуатации, по окончании которой будет принято решение об условиях использования аппаратных средств защиты ключей ЭЦП.
Мое личное мнение — все корпоративные пользователи должны использовать аппаратные решения для защиты ключей ЭЦП. Отсутствие таких средств серьезно повышает риски как для клиента, так и для Банка. Для клиента это может обернуться финансовыми потерями, а для Банка — репутационными рисками.
«Б. Т.»: Не могли бы вы поподробнее рассказать о проекте по внедрению аппаратных средств защиты?
Л. Ш.: Проект начался в III квартале 2009 г. После анализа рисков в системе ДБО было предложено использовать аппаратные средства защиты ключей ЭЦП для минимизации этих рисков. Подразделением Банка, отвечающим за информационную безопасность, было проведено исследование рынка аппаратных средств защиты ключей ЭЦП и принято решение об использовании ключей eToken PRO (Java) производства компании Aladdin. В ходе реализации проекта была кардинально переработана организационно-распорядительная документация по ДБО, существенно оптимизирована процедура подключения клиентов. Законченное решение для корпоративных клиентов планируется перевести в промышленную эксплуатацию к началу III квартала 2010 г.
«Б. Т.»: С чем связана такая длительность проекта?
Л. Ш.: До внедрения средств защиты необходимо было разработать и принять ряд организационно-распорядительных документов. В их разработке и согласовании принимало участие большое количество подразделений Банка. Параллельно проводились работы по интеграции Удостоверяющего центра, который выпускает сертификаты для ЭЦП, с системой ДБО и централизованной системой управления инфраструктурой открытых ключей. Все подготовительные работы были завершены в феврале 2010 г., после чего система была переведена в режим опытной эксплуатации.
«Б. Т.»: Исходя из вашего опыта, чему следует уделить особое внимание при реализации подобных проектов?
Л. Ш.: Особое внимание следует уделить предоставлению достаточного количества ресурсов для решения поставленных задач. Причем ресурсы должны быть выделены не только в IT-подразделении и службе безопасности, но и во всех подразделениях Банка, которые привлекаются к участию в подобных проектах. Обязательным условием успешного и своевременного завершения проекта является наделение менеджера проекта соответствующими полномочиями, чтобы он мог эффективно управлять ресурсами и оперативно принимать корректирующие решения. Кроме того, в организации должна быть выстроена система бизнес-процессов и процедур, позволяющая реализовывать крупные проекты. Важна также активная позиция бизнес-подразделений.
«Б. Т.»: Какие решения задействованы в этом проекте?
Л. Ш.: Мы используем систему «ДБО BS-Client» v.3.17 производства компании BSS для предоставления услуг клиентам — юридическим лицам. Для обеспечения требований законодательства, в частности Федерального закона от 10.01.2002 № 1-ФЗ «Об электронной цифровой подписи», в банке развернут собственный Удостоверяющий центр на базе продукта «КриптоПро УЦ». В связке с Удостоверяющим центром используются сертифицированные средства криптографической защиты информации КриптоПро CSP. Для защиты клиентских данных (закрытых ключей ЭЦП) применяются аппаратные носители eToken PRO (Java) компании Aladdin, сертифицированные ФСТЭК России для использования в автоматизированных системах до класса защищенности 1Г включительно и ИСПДН 2 класса.
«Б. Т.»: Эти решения обеспечивают максимальную защиту?
Л. Ш.: Ни одно решение не может обеспечить 100%-ной защиты. Только в случае обеспечения вышеописанного комплексного подхода к решению проблемы мошеннических действий с использованием системы ДБО возможна реализация эффективной системы защиты клиента.
«Б. Т.»: Есть ли статистика, сколько банков уже используют такие решения?
Л. Ш.: Точной статистики никто не собирал, но, по нашим данным, банков, предлагающих защищенные носители, пока достаточно мало. В течение нескольких лет, до появления новых видов атак на защищенные носители, предлагаемый уровень безопасности способен обеспечить высокий уровень доверия со стороны клиентов.
«Б. Т.»: Что банк ожидает получить от реализации этого проекта? Каковы бизнес-перспективы внедрения аппаратных средств защиты ключевой информации?
Л. Ш.: От внедрения новых технологий безопасности мы ожидаем повышения качества обслуживания клиентов, в первую очередь сокращения количества визитов клиента в Банк. Повысив уровень безопасности, мы планируем увеличить доверие клиентов к Банку в целом и к используемым нами технологиям. И конечная бизнес-цель — более активное использование канала продаж ДБО и повышение доходности банковских продуктов.
«Б. Т.»: Как, на ваш взгляд, будет развиваться индустрия информационной безопасности в финансовом секторе?
Л. Ш.: Финансовый сектор по своей специфике гибко и оперативно реагирует на возникновение новых тенденций. Поэтому банки должны использовать модульные иерархически взаимоувязанные системы обеспечения информационной безопасности. В нашем случае это Удостоверяющий центр, сертифицированная криптографическая подсистема, комплекс ДБО и система управления ключевой информацией. Время использования коробочных продуктов уходит в прошлое. Наступает эра сложных многокомпонентных и глубоко интегрированных решений в области информационной безопасности. На мой взгляд, в этом направлении будет двигаться и вся отрасль. Наш Банк стремится следовать этим подходам и принципам.