Банковское обозрение

Финансовая сфера

  • Безопасность в системах ДБО
20.12.2011
Безопасность в системах ДБО

Сегодня сложно найти банк, который не предоставляет услуги дистанционного обслуживания, поскольку это удобно для клиентов. Но возможность удаленно осуществлять операции с денежными средствами, естественно, привлекает внимание злоумышленников



Компания BSS, ведущий разработчик систем дистанционного банковского обслуживания (ДБО), предоставляет своим клиентам современные и надежные средства для обеспечения безопасности при работе в системах ДБО.

На данный момент практически все банки ввели использование технологии электронно-цифровой подписи (ЭЦП) для обеспечения защиты и юридической значимости платежных поручений, пересылаемых от юридического лица банку с помощью системы ДБО. Так как криптографические алгоритмы, применяемые в процессе создания и проверки ЭЦП, доказали свою надежность в процессе почти 20-летней эксплуатации, злоумышленники сконцентрировали свои усилия на следующих типах атак:
• атака на ключевой контейнер;
• атака удаленного управления;
• атака подмены документа.

Эти типы атак объединяет то, что все они проводятся удаленно (злоумышленнику не требуется получать физический доступ к компьютеру атакуемого), а следовательно, риск быть пойманным у злоумышленника минимален. Удаленные атаки возможны из-за того, что компьютер клиента банка невозможно сделать доверенной средой — это слишком дорого, сложно и, самое главное, неудобно для пользователя. Единственный выход — создание доверенной среды отдельно от компьютера клиента.

Исходя из этих соображений в BSS принято решение о встраивании в свои продукты поддержки аппаратных средств визуализации ЭЦП — то есть устройств, которые отображают на своем экране данные перед подписанием. Работы по встраиванию планируется завершить в конце 2011 — начале 2012 года. Использование таких устройств совместно с токенами с неизвлекаемыми ключами позволяет создать доверенную среду для проведения криптографических операций и тем самым полностью исключить возможность проведения удаленных атак — в любом случае потребуется физический доступ к устройству. На данный момент на рынке существует уже несколько таких устройств — SafeTouch от компании «СэйфТек», PINPad от компании «Актив-софт» и т.п.

С физическими лицами ситуация иная. С одной стороны, у «физиков» существенно меньше денежных средств на счетах, с другой, — больше требований к мобильности решения. А самое главное — для физических лиц сумма более 1 тыс. рублей на обеспечение безопасности зачастую уже не приемлема. Поэтому банки не использует технологию ЭЦП при работе с ДБО физических лиц.

Обычно защита физических лиц при работе в системе ДБО строится на использовании парольной защиты, одноразовых паролей или SMS-подтверждений. К сожалению, все данные средства могут быть «обойдены» злоумышленниками. Но ситуация меняется к лучшему. Уже появились банки, которые выдают физическим лицам ключи ЭЦП и требуют приобретения дополнительных средств. Некоторые банки внедряют использование так называемых «крипто-калькуляторов», которые позволяют обеспечить для физических лиц такой же уровень защиты, как и применение средств визуализации для юридических лиц. Хотя они не очень удобны в использовании.

Кроме того, эксперты прогнозируют появление возможности использования универсальных электронных карт (УЭК) в системах ДБО. Возможно, данное решение, совместно со средствами визуализации, также найдет широкое применение.

В статье описаны лишь общие методы защиты от атак. Главное, что хотелось подчеркнуть, — ситуация на данный момент весьма тревожная, но в сфере защиты систем ДБО все очень быстро меняется, и есть тенденция к улучшению. Защиту от всех атак с надежностью в 100% не удастся создать никогда (хотя бы потому, что в этом процессе участвует человек), но разработчики средств защиты и систем ДБО работают над тем, чтобы максимально приблизиться к таким показателям.




Присоединяйся к нам в телеграмм
Сейчас на главной