21.08.2013

С. Котов: "Напоминаю: на дворе 21 век"

"Национальный банковский журнал", № 8 (111), август, 2013
<br>Статья Сергея Котова, эксперта по информационной безопасности компании "Аладдин Р.Д."

Клиентам банков предлагают большой набор средств защиты данных на электронных носителях. Но не все они одинаково эффективны и адекватны угрозам.

McAfee оценивает ущерб от кибератак в триллион долларов в год. Это много? Страна, обучающая весь мир демократии, требует у провайдеров ключи от HTTPS. А есть ли уверенность, что они вообще хранятся надёжно? Киберкомандования плодятся одно за другим. Думаете, количество "сноуденов" будет уменьшаться? "Заплатки" для различных операционных систем и приложений выпускаются с бешеной частотой. Уязвимостей становится меньше? Это всего лишь фон.

Всеобщая "мобилизация", начавшаяся с принесённых на работу из дома ноутбуков, а затем смартфонов и, наконец, планшетов и нелегального подключения их к корпоративным информационным системам, резко изменила вектор. Теперь "движение" возглавил топ-менеджмент компаний: сначала стало модно, затем вошли во вкус, и пошло внедрение в приказном порядке. Переход от "хватать и не пущать" к "чтобы завтра всё было" произошел стремительно. Насколько всё это безопасно, учитывая, что мобильные приложения изначально предназначены для работы в слабо контролируемой и крайне агрессивной среде?

Всё зависит от оценки рисков. Могу себе представить, что для бизнеса вполне уместным окажется менеджмент через Facebook. Чем не PR-ход? Однако в большинстве случаев в погоне за удобством, оперативностью и т.д. приходится помнить о повышенных рисках работы через общедоступную среду. Уязвимость мобильных устройств ликвидировать совсем непросто, активно рекламируемая технология NFC далеко не панацея, различные программные решения - и подавно. Вирусописатели трудятся не покладая рук, на этой войне даже линия фронта трудноопределима: то ли она проходит по кошелькам граждан, то ли на стыке интересов государства и личности. Если управление Вашим мобильным гаджетом захвачено злоумышленником, он же будет распоряжаться и всем, что внутри.

Технически проблема решаема, но требует затрат как со стороны государства и бизнеса, так и со стороны граждан. Государство пытается установить разумные правила игры, издает законы и нормативные акты. Бизнес вынужден вкладывать деньги в подготовку нужных законов и в соответствие им. Граждане, если у них есть что терять, пытаются приноровиться к правилам игры и оплачивают всё, что было перечислено. И всё это с разной эффективностью. Например, пресловутый Федеральный закон № 161-ФЗ с его широко обсуждаемой девятой статьёй, конечно, потребует от бизнеса некоторых усилий. Клиенту тоже нужно будет разобраться в тонкостях своих прав и обязанностей и, возможно, потратиться на защиту. Это дорога с двухсторонним движением. Если клиент хочет использовать средство защиты, которое он считает адекватным своему счёту, а банк не готов обеспечить такую возможность, то клиенту придётся ещё и "поработать ногами" в поисках подходящей кредитной организации. Предоставление клиенту на выбор различных вариантов защиты становится конкурентным преимуществом.

Итак, какие средства защиты являются адекватными на сегодняшний день, а какие нет?

Использование мобильных устройств как есть, без минимальных средств защиты, неадекватно? Постоянные логины и пароли - за чей счёт убытки? Установка современного антивируса - уже что-то! К сожалению, не все вредоносные программы могут быть выявлены, да и трафик, оплачиваемый при постоянном скачивании обновлений, может порадовать только провайдера. Использование одноразовых паролей, в том числе полученных по SMS, - не самый плохой вариант, но вспомним о последних новостях про уязвимости в SIM-картах, да и более простые способы мошенничества никто не отменял.

Надёжная взаимная аутентификация и использование электронной подписи снимает большую часть проблем, но не все. Хранение ключей в реестре или на обычном носителе превращает эту технологию в самообман. Необходимо использовать защищённое хранилище. По крайней мере, у Вас не украдут деньги с банковского счёта, когда токен вынут из устройства. В любом случае, это лучше, чем хранить ключи в памяти мобильного телефона.

Если прибавить к этому технологию отображения и подписания информации на защищённом внешнем устройстве, подход уже представляется серьёзным. До недавнего времени существовали проблемы с подключением таких устройств к мобильным гаджетам, особенно к Apple. Установка хоть сколько-нибудь серьёзных программных средств защиты на iPad и т.п. была связана с джейлбрейком устройства, что по понятным причинам далеко не всех радовало. А возможность встраивания вредоносного кода в легальные приложения Android превращала программные средства защиты для них в пустую трату денег.

Теперь эта проблема снята. Компания "Аладдин Р.Д." уже предложила рынку внешние защищённые средства отображения и подписания критической информации, причём универсальные: одно и то же решение можно подключать и к iOS, и к Android, и к Win-совместимым устройствам.