Удаленное обслуживание: "де факто" и "де юре"

Основная проблема, возникающая при дистанционных способах взаимоотношений банка с клиентом, – обеспечение безопасности информации и транзакций.

Бурное развитие информационных технологий в России всё глубже проникает и в такой закрытый сектор рынка, как банковский. Традиционные системы обслуживания сменяются инновационными и то, что еще вчера казалось невозможным, рискованным и опасным сегодня функционирует даже в самых отдалённых банковских филиалах. Сейчас об Интернет-банкинге уже говорят с уверенностью, однако ресурс Всемирной паутины по-прежнему не является безопасным для кредитно-финансовых организаций.

В последние годы удаленное банковское обслуживание уже практически стало стандартом «де факто». Активно применяются несколько способов дистанционного управления счетом. Это традиционная система «Клиент-банк», предполагающая, что главный бухгалтер общается с банком по общему или по выделенному каналу связи через модем, и интернет-банкинг.

Классический «Клиент-Банк» позволяет проводить практически любые операции с банковским счетом. Если же компьютер бухгалтера компании подключен к Интернету, то сделки между банком и компанией-клиентом, осуществляемые ранее по традиционным каналам, могут быть перенесены в системы Интернет-банкинга. Преимущество таких систем состоит в том, что нет необходимости  устанавливать специальное программное обеспечение на клиентское место.

Рынок систем Интернет-банкинга значительно моложе традиционного, однако уже сейчас очевидны его перспективы.  По данным  crime-research.ru оплата услуг клиенту (физическому лицу) через Internet обходится в $ 0,01; с использованием автоматов - в $ 0,27; предоставление услуг по телефону - $ 0,54, а предоставление услуг у кассового окна - в $ 1,07. Стоимость услуг для юридических лиц в данном случае  ниже  обычного.  

В последние годы банки стали активно развивать розничный бизнес. Для взаимодействия и управления счетами клиентов многие из них предлагают воспользоваться теле-банкингом, когда клиент заполняет «голосовую форму» ввода и затем, для проведения банковской операции, подтверждает требуемое или вносит необходимые корректировки. В мире распространены и другие схемы сотрудничества – SMS-банкинг, PDA-банкинг. Банковские терминалы самообслуживания можно найти на станциях метро, в некоторых магазинах, на вокзалах и в аэропортах.

Важнейший вопрос, касающийся удалённых способов работы банка с клиентом – обеспечение безопасности. Уровни обеспечения могут быть разными, но система безопасности в целом состоит из следующих составляющих. Во-первых, аутентификация и авторизация (подтверждение того, что пользователь системы действительно является тем, за кого себя выдает и проверка прав пользователя на совершение каких-либо операций).Во-вторых, шифрование передаваемых данных. В-третьих, использование ЭЦП или иного аналога собственноручной подписи (подтверждение авторства транзакции и целостности ее данных, а также действий, совершенных конкретным пользователем). И, наконец, регистрация всех транзакций в специальных журналах банка и аудит.

Аутентификация пользователя для проведения банковской операции

Чтобы  понять, кто пытается войти в систему, обычно используется некий уникальный признак, который  отличает пользователя (например, пароль пользователя). Опознание пользователя на основе пароля – пример так называемой однофакторной аутентификации. Понятно, что проверка пароля – не гарантия надежности. Но не только на основе знания чего-либо может быть осуществлена однофакторная аутентификация. Пользователь может иметь что-либо, к примеру, таблетку iButton, и этот метод тоже активно используется в банках.

Современные методы аутентификации основываются на множественных факторах (существует и широко применяется двухфакторная аутентификация, известны примеры трехфакторной аутентификации).  Например, двухфакторная аутентификация пользователя проводится не только на основе того, что пользователь знает (пароль), но и того, что он имеет (какой-либо персональный идентификатор). В качестве такого идентификатора часто выступает, так называемый, «токен» - электронный ключ для доступа к корпоративным ресурсам. Данное средство аутентификации может выпускаться также и в виде смарт-карты (например, широко распространенный на российском рынке eToken).

Консалтинговая компания Gartner Group назвала USB-токены лучшим инвестиционным вложением в обеспечение безопасного доступа к данным и осуществление безопасных транзакций в 2005 году. Это объясняется тем, что  eToken используется не только для обеспечения строгой двухфакторной аутентификации пользователей при их подключении к защищенным информационным ресурсам. Он применяется для безопасного хранения ключевой информации, профилей пользователей и других конфиденциальных данных, для аппаратного выполнения криптографических вычислений и работы с асимметричными ключами и сертификатами Х.509.

Это устройство рекомендуется для использования в PKI-приложениях, приложениях, поддерживающих технологии смарт-карт, в банковских и корпоративных системах, требующих строгой  аутентификации пользователей и безопасного хранения конфиденциальной информации.

eToken в форм-факторе смарт-карты может выступать в качестве единой корпоративной карточки, служащей для визуальной идентификации сотрудника (с печатью фото), для доступа в помещения, для входа в компьютер, в сеть, для доступа к защищенным данным, для защиты электронных документов (ЭЦП, шифрование), для установления защищенных соединений (VPN, SSL) и проведения финансовых транзакций. В 2005 г. модель eToken PRO была названа лучшим продуктом в области информационной безопасности и получила национальную отраслевую премию «Зубр».

Если использовать USB-токен, то пароль надежно хранится в защищенной памяти устройства, а для начала работы необходимо ввести PIN-код ( его длина практически не ограничена). Чтобы воспользоваться правами для осуществления транзакции, злоумышленнику недостаточно завладеть токеном – необходимо еще и знание PIN-кода.

Применение USB-токенов обеспечивает надежное хранение паролей, цифровых сертификатов и ключей шифрования пользователя. Тот же упомянутый eToken PRO обеспечивает реализацию международных стандартов на шифрование и ЭЦП, а также поддержку российских стандартов. Устройства сертифицированы Гостехкомиссией РФ (сертификат №925 - для защиты конфиденциальной информации и использования в АС до класса "1Г" вкл.).

Если банковская операция осуществляется вне офиса клиента, с чужого компьютера или PDA-устройства, то для строгой аутентификации пользователя можно использовать электронные ключи с системой генерации одноразовых паролей OTP (One Time Password). Генератор одноразовых паролей синхронизирован с сервером аутентификации. Кроме обычных функций  электронного ключа eToken NG-OTP осуществляет генерацию одноразового пароля пользователя и отображает его на дисплее устройства. Вместе с OTP-PIN-кодом пароль вводится пользователем-владельцем с клавиатуры компьютера или PDA-устройства. При успешном сравнении значения с тем, что генерируется на сервере, считается, что аутентификация пользователя завершилась успешно.

Законодательная база

Принятие Закона об ЭЦП выдвинуло новые требования к технологиям, в том числе – и к банковским. Аутентификация субъектов при их дистанционном взаимодействии получила значительный импульс в результате принятия этого закона. Во многих реализациях банковского ПО аутентификация пользователя осуществляется по ЭЦП или с применением цифрового сертификата. Это означает, что появилась насущная необходимость в удостоверяющих центрах, которые замыкают цепочку сотрудничества.

Закон РФ «Об электронной цифровой подписи» (ЭЦП) вступил в силу три года назад, но публичные удостоверяющие центры так и не заработали. В результате суды столкнулись с  исками, в которых истцы требовали признать использование ЭЦП не имеющим юридической силы.

Согласно принятому закону авторизация ЭЦП должна обязательно проводиться с помощью единой системы удостоверяющих центров. Вопросами лицензирования удостоверяющих центров займется Федеральное агентство по информационным технологиям (ФАИТ) при Мининформсвязи.

Ожидается, что один из трех удостоверяющих центров, которые вскоре появятся, будет корневым, то есть обеспечивающим работу всех других центров. Два других – будут региональными и откроются в Северо-Западном и Южном округах.