Токен является ключевым элементом информационной безопасности в новых условиях
Денис Калемберг, Банковские технологии №2, 02/10
Распространение систем ДБО привело к новым проблемам в области обеспечения информационной безопасности банков. Об этих проблемах и путях их решения мы поговорили с менеджером по работе с корпоративными заказчиками компании Aladdin Денисом Калембергом.
Одним из наиболее уязвимых мест в системе обеспечения информационной безопасности банков считаются решения дистанционного банковского обслуживания (ДБО). Насколько такое утверждение верно? Каковы основные угрозы системам ДБО сегодня?
Денис Калемберг: Вряд ли системы ДБО являются более уязвимыми, чем любые другие стандартные автоматизированные системы. В большинстве случаев разработчиками и тех, и других систем выступают одни и те же компании, и технологии защиты во многом пересекаются. Системы ДБО традиционно считаются потенциально опасными не потому, что они сами по себе уязвимы и легко вскрываемы, а потому, что они по сути своей размывают периметр информационной безопасности предприятия. Решения ДБО, по определению, предполагают вынесение рабочих мест доступа к банковским ресурсам за пределы защищенного периметра, где их контролирует служба информационной безопасности (ИБ), в некую недоверенную зону. При этом люди, которые работают на таких рабочих местах, в подавляющем большинстве случаев не являются специалистами в области информационной безопасности (ИБ). Они могут использовать устаревшие версии антивирусных систем, не обладают компетенциями в области настройки систем защиты, небрежно хранят секретные данные для доступа в сеть и многое другое. Поэтому правильнее в данном случае говорить не об уязвимости систем ДБО, а о проблеме вынужденного размывания периметра информационной безопасности банка. Соответственно, с распространением подобных систем возникает необходимость изменения подхода к обеспечению информационной безопасности. Создание закрытого периметра в современных условиях не представляется возможным, а значит возникает необходимость в использовании новых средств защиты данных, в соответствии с новыми угрозами безопасности.
Каким основным угрозам подвергаются системы ДБО?
Д. К.: Актуальные угрозы сегодня сочетают в себе элементы социальной инженерии с технологическими средствами воздействия на атакуемый объект. В результате образуется довольно серьезный комплекс угроз, к которому трудно найти адекватные средства защиты. На мой взгляд, говорить о 100%-ном уровне защиты систем ДБО сегодня нельзя, тем не менее можно существенно снизить риски потери значимой информации и сделать атаки на информационные системы банка гораздо более дорогими и ресурсоемкими, что снизит как эффективность, так и рентабельность подобной деятельности.
Насколько эффективным сегодня является использование традиционных средств защиты ДБО (шифрование трафика, межсетевое экранирование, штатные средства защиты ОС и СУБД и т. д.)? Требуется ли их замена на новые защитные решения?
Д. К.: Традиционные средства являются обязательными. Они должны присутствовать по умолчанию. Угрозы, от которых защищали эти средства на момент своего создания, никуда не делись. Однако следует учитывать, что все эти средства нуждаются в постоянном сопровождении, обновлении и т. п. Обеспечение информационной безопасности – это не разовое мероприятие, а процесс, которым невозможно заниматься без специальной подготовки. Поскольку угрозы развиваются, средства защиты также должны развиваться.
Какие средства защиты могут помочь справиться с новыми угрозами?
Д. К.: В последнее время основной вектор атаки на информационные системы направлен на хищение закрытого ключа электронно-цифровой подписи (ЭЦП). Это значит, что первоочередной задачей систем безопасности является защита этого ключа, для чего применяются специализированные портативные устройства – так называемые токены. Эти устройства позволяют защитить ключ от несанкционированного доступа как на программном уровне, поскольку воспользоваться им может только человек, знающий соответствующий PIN-код, так и на физическом уровне. Даже если токен будет украден и разобран на детали злоумышленниками, получить доступ к хранящейся на нем информации невозможно.
Такие устройства также разделяются по уровням защищенности информации. Есть токены, которые просто хранят криптографические ключи, есть те, которые аппаратно выполняют криптопреобразование, при этом закрытый ключ является неизвлекаемым. В любом случае основная задача токена – надежная защита ключей ЭЦП.
Разумеется, остаются и другие звенья в цепочке деятельности, на которые может быть направлена атака, поэтому компания Aladdin придерживается принципа комплексности при обеспечении информационной безопасности. Для этого осуществляется тесное взаимодействие с производителями систем дистанционного банкинга, разработчиками криптографических решений и т. д. Мы начинаем сотрудничество с ними уже на этапе разработки систем, чтобы комплексное решение изначально было интегрированным и, как следствие, более надежным.
Поставка токенов Aladdin возможна только в составе общего проекта по обеспечению ИБ или возможны другие варианты?
Д. К.: Практически каждый проект по повышению уровня безопасности системы ДБО является индивидуальным. Многое зависит не только от самой системы, от того, какие СКЗИ в ней используются, но и от бизнес-процессов банка, от особенностей обслуживания клиентов и прочего. Мы часто консультируем не только IT-службы, но и бизнес-подразделения банка по вопросам более эффективного использования систем ДБО, и наших продуктов в частности.
По вашему опыту, токены чаще используют частные клиенты банков или юридические лица?
Д. К.: Первыми их начали использовать клиенты из числа юридических лиц. Это объясняется и требованиями к ИБ на предприятиях, и большей финансовой свободой. Тем не менее сегодня все активнее эти решения входят в обиход частных клиентов. В конце 2009 г. мы начали работу по нескольким проектам в банках, которые предоставляют своим розничным клиентам наши продукты для обеспечения информационной безопасности. Я такую тенденцию связываю в том числе и с развитием систем ДБО, которое наблюдалось в 2009, кризисном году. Многие банки приняли решение о сокращении отделений и более активном развитии ДБО как инструмента для снижения расходов. Стоит только отметить, что в проектах с физическими лицами чаще используется другой тип токенов – генераторы одноразовых паролей (ОТР-устройства). Их не нужно подключать к USB-порту, что обеспечивает свободу в выборе точки доступа к своему банковскому аккаунту для частных пользователей. Мобильность – важный фактор для перспективности развития мобильного банкинга, в котором трудно использовать USB-устройства.
Частные лица, да и корпоративные пользователи время от времени нуждаются в получении банковских услуг, находясь вдали от своего рабочего места. Насколько применение ваших решений позволяет обеспечить свободу перемещения пользователей и высокий уровень безопасности?
Д. К.: Действительно, к нам обращаются с запросами предоставить такие инструменты, которые позволяют обеспечить защищенный доступ в системы ДБО из любого места, например интернет-кафе и т. п. В ближайшее время появится новое поколение ключей – Token Anywhere. Это ключи, в которые прошивается интернет-адрес (URL) банка, и клиент, подключив его к компьютеру, автоматически попадает на сайт своего банка. Это не только удобно, но и повышает уровень безопасности, поскольку защищает от угроз фишинга. Ключи Token Anywhеre также не требуют установки драйверов, их достаточно подключить и сразу начать работать. В ближайшее время мы портируем на них российскую криптографию и выпустим на рынок. Насколько я знаю, таких технологий в настоящее время нет больше ни у кого из производителей.
И что, действительно можно будет получить защищенный доступ к банку из любого интернет-кафе?
Д. К.: Возможность такого использования есть, но как специалист по информационной безопасности я не рекомендую совершать финансовые операции на недоверенных рабочих станциях. Электронный ключ защищает ЭЦП, но типы атак могут быть разными, не всегда связанными с хищением подписи. Мы – приверженцы комплексного подхода. Как минимум необходимо наличие на рабочей станции актуального антивируса, соответствующей настройки систем защиты и т. д.
С распространением систем ДБО и других решений удаленного доступа исчезает само понятие «периметр информационной безопасности». Какую роль в этих новых условиях и подходах к обеспечению ИБ могут играть аппаратные средства, в частности токены?
Д. К.: Действительно, в системах удаленного доступа рабочие места фактически выносятся за пределы банка, и их количество может быть неограниченным. В концепции «размытого периметра» особое значение приобретают защищенный доступ и надежная аутентификация пользователя. Токен создавался именно как средство аутентификации, это его основное предназначение. После того как человек аутентифицировался и начал работать с защищенной системой, не менее важным также становится подтверждение авторства созданных документов и их целостность. Таким образом, токен является ключевым элементом обеспечения информационной безопасности в новых условиях работы.
С какими угрозами в области информационной безопасности могут столкнуться банки в ближайшей перспективе? Как вы готовитесь к борьбе с этими угрозами?
Д. К.: В ближайший год продолжатся атаки, связанные с попытками хищения ключей, размещенных на незащищенных носителях. Поскольку не все банки внедрили для своих систем ДБО аппаратные средства защиты ключей, часть этих атак будут успешными. Организация атаки на незащищенный носитель сегодня не требует больших усилий. Не секрет, что сейчас можно за небольшую сумму купить в Интернете некий программный конструктор, который позволит собрать троянскую программу, способную похищать незащищенные ключи. Так что работа банков в направлении защиты своих ДБО аппаратными средствами не только продолжится, но, скорее всего, существенно активизируется в наступившем году.
В то же время количество банков, уже внедривших решения безопасности на базе токенов, продолжает расти. Соответственно, со стороны злоумышленников предпринимаются попытки создать новые инструменты для хищений. В сотрудничестве с партнерами мы проводим анализ потенциальных угроз и уже зафиксировали попытки создания зловредного ПО, которое будет атаковать не сам закрытый ключ, а осуществлять подмену документов на этапе их передачи в токен для подписи. По нашим прогнозам, к концу 2010 г. эта угроза станет вполне осязаемой. Совместно с разработчиками систем ДБО мы трудимся над созданием эффективных способов борьбы с ней.