Банковское обозрение (Б.О принт, BestPractice-онлайн (40 кейсов в год) + доступ к архиву FinLegal-онлайн)
FinLegal ( FinLegal (раз в полугодие) принт и онлайн (60 кейсов в год) + доступ к архиву (БанкНадзор)
Рынок программныхи аппаратных средств защиты банковской информации стремительно растет — эксперты называют и десятки, и сотни процентов роста объемовв год по разным направлениям. Да так ли важны точные оценки, если «паранойя» в банках развивается по нарастающей: расширяя бизнес, банки понесли первые потери, оценили угрозы и теперь защищаются от клерков, шпионов, мошенников.
Большинство экспертов остерегаются давать количественные характеристики нынешнего состояния рынка систем криптографической защиты информации в целом и прогнозировать темпы его роста. Но наглядное представление о динамике роста могут дать цифры по отдельным сегментам. Генеральный директор компании Aladdin Сергей Груздев приводит следующие данные: «В сегменте рынка, на котором работает наша компания, спрос на средства усиленной аутентификации как коммерческими банками, так и организациями ЦБ РФ вырос примерно в три раза по сравнению с показателями прошлого года. На простейшие идентификаторы, такие как «таблетки», типа iButton, спрос также вырос и составил порядка 40%».
Разброс же цен на отдельные продукты очень велик — от 5 долларов за лицензию и до нескольких сотен долларов за клиентское место. В некоторых случаях стоимость может возрастать до нескольких тысяч долларов, если речь идет об аппаратуре.
Что касается качественных характеристик развития рынка, то здесь оценки наблюдателей довольно сильно разнятся. Одни считают, что рынок переживает качественные перемены спроса. «В целом сегодня мы наблюдаем активный переход от использования дискет, «таблеток» и иных простых идентификаторов к применению более надежных и защищенных носителей, таких как смарт-карты и USB-ключи с функциональностью смарт-карт. В основном ставка делается на сертифицированные носители и использование их для хранения цифровых сертификатов и применения российской криптографии», — рассказывает С. Груздев (Aladdin). В связи с этим позитивной тенденцией является то, что сегодня банки делают свой выбор исходя из функциональных возможностей и надежности носителей. Цена перестала быть приоритетным (а зачастую и единственным) критерием выбора, как это было ранее.
Другие эксперты говорят об отсутствии изменений революционного характера, равно как и предпосылок для их возникновения. «Системообразующих изменений не происходит. Появляются новые продукты, выходят новые версии существующих. Но по сути ничего радикально нового мы не наблюдаем. На общем фоне ровного развития рынка заметна, пожалуй, тенденция на удешевление средств защиты информации. Также есть тренд на более глубокую интеграцию СКЗИ и прикладного ПО», — говорит директор департамента систем электронного банковского обслуживания компании R-Style Softlab Виктор Иванов.
Эксперт считает, что можно быть твердо уверенным в росте интереса банков к более совершенным антивирусным средствам защиты и средствам криптозащиты с течением времени. По мере развития филиальной сети у банков появятся новые дополнительные каналы передачи данных, которые в свою очередь потребуют средств защиты. Так что будет расти объем рынка, равно как и качество предлагаемых продуктов.
Сергей Груздев (Aladdin) полагает, что с точки зрения тенденций внутри банка очевидно, что изменилась основная модель угроз безопасности. На первый план выдвигаются продукты, связанные с защитой от инсайдера, то есть собственного сотрудника банка. Мы наблюдаем резкий рост интереса организаций банковской сферы к этой теме. Здесь можно обозначить, по крайней мере, две тенденции: стремительный отказ от малоэффективной парольной защиты (логин-пароль) и переход к единому идентификатору (USB-ключу или смарт-карте) для доступа ко всем приложениям, а также для доступа в помещения (смарт-карта) с возможностью отслеживания по RFID-меткам местонахождения сотрудника. Единая смарт-карта особенно востребована в тех банках, где согласованы действия службы физической безопасности и офицера по информационной безопасности (ИБ).
В том, что внутренние угрозы представляют несравненно большую опасность, нежели внешние, согласны практически все аналитики. Так, по данным заместителя Института банковского дела Ассоциации российских банков (АРБ) Бориса Скородумова, 76% всех преступлений в банке совершается непосредственно его сотрудниками или же с их непосредственным участием. Не случайно краеугольным камнем целостной системы риск-менеджмента является предупреждение и нейтрализация именно операционных рисков.
С уверенностью можно сказать, что катализатором активного распространения единых средств идентификации стало появление универсальных систем управления жизненным циклом электронных ключей (например, eToken TMS — Token Management System) и смарт-карт (CMS — Card Management System) в масштабе предприятия. Этот продукт является связующим звеном между пользователями, их средствами аутентификации, security-приложениями и политикой безопасности, принятой в банке. Такие системы обеспечивают «прозрачность» управления и переводят административный контроль банковской информационной инфраструктуры на качественно новый уровень. Кто-то говорит об установлении, по сути, тотального контроля. Кто-то об упрощении жизни пользователя, поскольку теперь ему не приходится запоминать по 5—7 паролей для доступа к каждому приложению или — что сводит на нет все усилия офицера по ИБ — записывать эти пароли. Но это всего лишь разница оценочных, но не содержательных суждений.
Востребованность банками тех или иных продуктов жестко детерминируется самим характером угроз. Лавинообразный рост номенклатуры и доли банковских услуг с использованием интернета в «линейке» банковских предложений привел к возникновению новой группы взаимосвязанных преступлений. Ничего более точного для обозначения этого явления, чем калька с английского fishing — «фишинг», — русский язык пока не предложил. Фишингом именуется тип компьютерного мошенничества, основанный на создании поддельных web-ресурсов, позволяющих ввести пользователя в заблуждение (через спам, например, письма с заголовком «Извещение пользователей банковских услуг о переходе на новую систему зачисления платежей») и получить его конфиденциальные данные, как то: пароль, PIN-код и т.п. Причем пользователь, попавший в сети фишера, может наблюдать настоящий адрес банковского сайта в адресной строке браузера, но находиться сам при этом будет на сайте-подделке. Таким образом, продукты, защищающие от перехвата конфиденциальных данных, являются одними из самых востребованных сегодня.
Для того чтобы адекватно оценить масштабы угрозы, имеет смысл обратиться к цифрам, характеризующим динамику роста потока «инфицированных» писем. Согласно данным компании Postini, уже в июле текущего года количество такого рода сообщений перевалило за 19 млн (из 8 млрд совокупного числа электронных посланий). Для сравнения, в апреле их было зафиксировано лишь 9,7 млн. То есть за квартал их количество увеличилось без малого на 100%. А сумма ежегодно наносимого ущерба, по исчислениям глобального аналитического центра Gartner, уже с 2003 года зашкаливает за миллиард долларов.
Что может спасти от фишинга? Например, взаимная двухфакторная аутентификация клиента с одной стороны (с использованием отчуждаемого защищенного носителя) и банка — с другой. Используя надежный идентификатор, USB-ключ или смарт-карту, пользователь подключает его и вводит свой PIN-код на странице банка, после чего происходит взаимная аутентификация пользователя и банковского информационного ресурса. Если она прошла успешно, пользователь может быть уверен, что находится именно на этой web-странице именно этого банка и никто не «слушает» его трафик. Двусторонняя аутентификация обеспечивает также и гарантию того, что это именно тот пользователь, за которого он себя выдает, а не злоумышленник, решивший воспользоваться чужим банковским счетом в своих целях.
Топ-менеджмент ряда «прогрессивных» российских банков уже приходит к осознанию того, что использование простейших способов аутентификации, типа «логин-пароль», не обеспечивает нужной степени защиты, и это серьезным образом подрывает доверие к дистанционным технологиям обслуживания клиентов, интернет-банкингу и т.п., что не может не сказываться на репутации банка. О том, насколько узок круг «прогрессивных», можно судить на примере США, где, по данным Gartner, лишь около половины банков располагают продвинутыми технологиями аутентификации.
«Наши заказчики — пионеры внедрения технологий строгой аутентификации — в основном берут все расходы по приобретению более надежных идентификаторов на себя и бесплатно, но в обязательном порядке раздают их своим клиентам, чтобы обезопасить свой бизнес и сохранить репутацию. И это — еще одна тенденция современного банковского бизнеса», — говорит гендиректор Aladdin.
Вторая серьезная угроза, актуальная для любого бизнеса, а для банковского — вдвойне, это spyware — программы-шпионы. Этот своего рода злонамеренный код пишется специально для того, чтобы незаметно для пользователя собирать различную информацию о нем и автоматически отправлять ее своему создателю. «Шпионы» «подсаживаются» на компьютер при посещении пользователем каких-либо web-ресурсов или при открытии им неблагонадежного письма и скачивают любую информацию, представляющую интерес для автора «шпиона».
В настоящее время разработка программ-шпионов для осуществления заказной атаки в отношении отдельного банка или конкретного должностного лица, имеющего критически важную информацию, приносит их создателям весьма серьезный доход. Предложение подобных услуг можно встретить в сети интернет. А цена делает их доступными для широкого круга потребителей.
Обезопасить банк от таких атак можно, лишь комплексно подойдя к вопросу контент-безопасности, где речь идет уже не о защите информационных ресурсов банка по внешнему периметру, что очевидно, но о защите внутренних информационных потоков для контролирования каждого пользователя и той информации, которая от него исходит.
Также нельзя обойти вниманием проблему чрезмерной регламентации рынка со стороны государства. Сферу СКЗИ регулируют два ведомства — Гостехкомиссия и ФСБ. Гостехкомисия занимается выдачей лицензий на разработку защищенных средств, в первую очередь аппаратуры. В сфере компетенции ФСБ — сертификация и учет обращения средств шифрования и электронной подписи (средства криптографии). Для того чтобы иметь право распространять и использовать СКЗИ в своей продукции, у компании-производителя прикладного ПО, должны быть необходимые лицензии ФСБ, которые следует регулярно подтверждать.
Виктор Иванов (R-Style Softlab) считает, что российской спецификой рынка ПО для обеспечения информационной безопасности является чрезмерное влияние регулирующих госорганов, которые играют контрольно-распорядительную роль.
Но российская специфика развития рынка имеет и свои достоинства. «Мы на рынок финансовых приложений выходим более защищенными, чем западные банковские системы, которые изначально развивались с ритейла. Вследствие того, что развитие розничных банковских услуг опережало развитие средств обеспечения информационной защиты, ритейловые системы на Западе слабее защищены. Именно поэтому там больше проблем с обеспечением безопасности специализированных приложений», — считает эксперт. Впрочем, эти недостатки могут быть элиминированы путем глубокой интеграции СКЗИ в прикладное ПО.
Существует еще одна принципиальная проблема, связанная с несовершенством законодательной базы. Необходимо определиться, как рассматривать продукты, содержащие встроенные криптоалгоритмы, которые свободно используются на рынке (продукты Microsoft). Получается, что компании, которые продают офисный софт, фактически действуют нелегально, поскольку с этим софтом распространяют и средства криптозащиты (они не являются сертифицированными). Банку, чтобы работать с этими средствами криптографии, нужно получить целый пакет лицензий. В свою очередь, для получения пакета лицензий он обязан использовать только сертифицированные средства. Круг замкнулся. «Фактически, если банк в работе использует Windows, то использует и встроенные в нее криптографические средства. Имеет смысл решить проблему с de jure незаконным использованием «публичной» криптографии и официально дать встроенным средствам «зеленую улицу», — убежден Виктор Иванов (R-Style Softlab).
Упомянем еще один казус, связанный с использованием криптографических средств. В настоящее время все СКЗИ сертифицируются на три года. Проходит три года, и возникает вопрос, что с таким СКЗИ делать? Распространять это средство криптозащиты нельзя, а вот можно ли использовать? Закон не дает однозначного ответа, что позволяет говорить о еще одной правовой лакуне.
Инструменты «умной» защиты банков отнюдь не исчерпываются СКЗИ. Наиболее актуальным и во многом еще неосвоенным направлением защиты банковского бизнеса являются, пожалуй, системы биометрической идентификации. Во многом рост популярности биометрии в банковском секторе подстегнуло подчеркнутое внимание к ней со стороны государственных органов стран-лидеров мировой экономики, ставшее следствием глобальной террористической экспансии. Грядущее в России введение биометрических паспортов стимулировало интерес российского бизнес-сообщества в целом и его банковской составляющей в частности к биометрическим системам защиты.
Как рассказал «БО» директор по развитию бизнеса компании BioLink Technologies Дмитрий Кравцов, в последнее время характер интереса банкиров к биометрии разительно изменился. Вопросы уже сводятся не к прикидочному «а что это такое — биометрическая идентификация?», но вполне предметному «что может ваше решение, каковы его характеристики, где и что мы приобретем?». И сегодня представители банковских структур, которые уже попробовали что-то относительно простое из наших продуктов, предлагают нам разработать оригинальную систему на биометрических компонентах, учитывающую тонкости бизнеса именно этого банка.
Какая-либо национальная специфика развития рынка, по мнению Дмитрия Кравцова, отсутствует — вполне типичный бурнорастущий (десятки процентов ежегодно) рынок. За исключением одного принципиального обстоятельства. Холодный климат большинства регионов России повышает требования к аппаратному обеспечению, которое будет установлено на открытом пространстве. Биометрические системы для офиса банка в Сургуте или Ханты-Мансийске должны будут отличаться от их аналогов в Лос-Анджелесе.
«Цены на аппаратное обеспечение в России находятся примерно на том же уровне, что и в остальном мире. Цены же на программную часть системы могут отличаться в разы, причем в России стоимость сложных проектов на сегодня существенно ниже, чем за рубежом», — говорит эксперт.
Что касается потребностей рыночных игроков, то прежде всего банковские структуры интересует защита доступа к важной информации (вход в компьютер, базу данных) по отпечатку пальца или другим биометрическим признакам сотрудников банка. Кроме того, подтверждение транзакций, например, перечисление средств выше определенной суммы, контроль доступа в помещения.
Менее устоявшийся, но быстро растущий спрос отмечается на ряд продуктов, например подтверждение запроса при удаленной работе (выездное отделение банка для выдачи потребкредитов в магазине, салоне). Пользуется спросом учет деловой активности — постоянный контроль за присутствием сотрудника на рабочем месте. При этом коллега-сосед не сможет за сотрудника ввести его пароль или приложить проксимити-карту для отметки присутствия отсутствующего человека. Банки заинтересованы в подтверждении удаленных транзакций для клиентов банка через системы «Банк-Клиент» и идентификации представителей клиентов, приезжающих в банк лично.
Можно утверждать, что риски, например, internet-banking с применением биометрических средств идентификации будут, несомненно, снижены. «Так и хочется сказать, что до нуля, — восклицает Дмитрий Кравцов (BioLink Technologies). — Но! Существуют еще другие проблемы с безопасностью внутри банковских интернет-сервисов, которые зачастую сводят все остальные меры безопасности на нет». Так что, от комплексного решения проблемы безопасности транзакций никак не уйти.
Для того, чтобы биометрия стала неотъемлемой частью такого рода решений, необходим ряд правовых новелл. Должны быть приняты законодательные акты о закреплении биометрических признаков человека в качестве равноправных наряду с бумажными документами для идентификации человека.
Также необходима разработка, утверждение регламентов и системы контроля за их соблюдением. Сегодня не существуeт ни стандартов, по которым должны разрабатываться новые биометрические продукты, ни сертификационных процедур для подтверждения качества таких продуктов.
Было бы несправедливым говорить о том, что в этом направлении ничего не делается. «Наша компания принимает самое активное участие в работе подкомитета по биометрии в рамках технического комитета Росстандарта, который разрабатывает биометрические стандарты для России», — говорит Д. Кравцов. Конечно, достойно сожаления, что согласование требований со стороны различных заинтересованных ведомств продвигается подчас с большим трудом из-за полярности требований. Но тут уж ничего не попишешь — издержки роста.
Новости информационных технологий в банках
В 2005 году в головном офисе Ханты-Мансийского банка было внедрено решение 5NT(e) RETAIL для комплексной автоматизации розничного бизнеса банка. В настоящее время продолжается автоматизация филиальной сети банка на базе решения 5NT(е) компании «Диасофт»: уже 13 из 16 филиалов банка ведут свою работу в рамках 5NT(e). Так, в этом году уже завершены работы по переводу филиалов на новую систему в городах Москва, Югорск и Советский. Одним из ключевых проектов стал проект внедрения комплексной розничной системы 5NT(e) RETAIL в головном отделении банка, который был полностью реализован за четыре месяца.
Ханты-Мансийский банк и компания «Диасофт» являются стратегическими партнерами на протяжении многих лет. Для поддержки и развития своего бизнеса головное отделение банка успешно эксплуатирует решение 5NT(e) BANK. На базе 5NT(e) RETAIL автоматизирована работа с вкладами, переводами, коммунальными платежами и деятельность банка в области потребкредитования. С апреля 2005 года решение работает в режиме промышленной эксплуатации и уже зарекомендовало себя как высокотехнологичный инструмент, способный обеспечить текущие потребности банка, ориентированные на развитие бизнеса. Внедрение розничного комплекса 5NT(e) RETAIL позволило расширить функциональные возможности, увеличить скорость выполнения ряда операций и автоматизировать значительную часть работы, которая ранее выполнялась вручную.
Мнение эксперта
Дэян Момчилович, руководитель отдела по работе с партнерами Rainbow Technologies:
— Потребность российских банков в использовании инновационных средств контроля доступа, какими являются единые идентификаторы, постоянно растет. В первую очередь это связано с тем, что в последнее время отмечается резкое увеличение количества phishing и pharming атак, направленных на получение конфиденциальной информации у пользователей платежных систем. При этом злоумышленники используют подложные электронные письма и поддельные web-сайты, умело замаскированные под реально существующие ресурсы и способные обмануть даже очень осторожных пользователей.
На сегодняшний день аппаратные идентификаторы (токены) для USB-порта или смарт-карты предоставляют высокий уровень защиты таких систем, как «Клиент-Банк» и «Домашний Банк». Они обеспечивают как аутентификацию пользователя, так и хранение конфиденциальной информации в виде закодированного сообщения. Кроме того, это единственное приемлемое по цене решение.
Что касается биометрических средств защиты — сегодня еще рано говорить о возможности повсеместного применения этих технологий в банковских системах. Высокий уровень погрешности при считывании и распознавании биометрических данных говорит о недостаточной зрелости этой технологии. А неоправданно высокая стоимость делает ее неудобной для массового внедрения в банковские системы в ближайшее время.
Первые государственные банки располагались в бывших частных домах и даже на монастырском подворье, а первое здание, построенное специально для банка, появилось в 1783 году по Указу императрицы Екатерины II о строительстве в Санкт-Петербурге Ассигнационного банка