Доклады, выступления, видео и электронные публикации

Как создать доверенную среду и обеспечить безопасность банковских приложений

Конявская С. В., к. ф. н., ОКБ САПР

Не первый раз хочется сказать спасибо редакции журнала НБЖ за то, что формулировка тем в тематическом плане дает нам – авторам – очень важную для нас обратную связь с аудиторией журнала. Имплицитное, выраженное в этих темах, позволяет нам понять, какие идеи осознаны до уровня само собой разумеющихся положений, а какие еще нуждаются в обсуждении и аргументации.

Так, никого уже не требуется убеждать в том, что необходимо создавать доверенную среду, вопрос уже только в том, как именно это делать.

Уверена, что этот вопрос связан не с недостаточной информированностью о том, каким комплексом мер вообще возможно создание и поддержание доверенной вычислительной среды, а с той спецификой, которая характеризует функционирование этих самых банковских приложений. Специфика же, важная для ответа на этот вопрос возникает тогда, когда возникает ДБО. В остальных случаях, вообще говоря, все достаточно стандартно и для профессионалов, работающих над защитой информации в банках, проблем не представляет. Задачи, связанные с организацией защищенности фронт и бэк офиса, сегодня сводятся не к тому, как это сделать, а к тому, как сделать это рационально. Своими мыслями по этому поводу мы уже делились и готовы делать это снова [1, 2. С. 258–271.].

Когда же в ситуацию вмешивается ДБО (а оно неизбежно вмешивается, так как в нем заинтересованы и банки, и клиенты), в область ответственности безопасника банка попадают компьютеры (и, кстати, телефоны) клиентов банка. Очевидно, что их нельзя контролировать, нельзя добиться того, чтобы клиенты банка установили, настроили и корректно эксплуатировали весь комплекс средств защиты, для работы которого в банках есть целые подразделения профессионалов. Кроме того, это просто дорого, клиент не согласится.

В таком случае можно ли вообще изолировать клиент-банк на компьютере клиента от его он-лайн игры (а в этом – в изоляции программ одной от другой – и состоит задача обеспечения доверенной среды)? Или остается просто возложить риски на клиента?

Традиционные подходы к защите информации для систем ДБО непригодны.

Мы сами (сотрудники ОКБ САПР) для защиты наших личных он-лайн платежей используем свою разработку СОДС МАРШ! [3, 4], но для клиента, не желающего заниматься никакими настройками и вообще «совершать лишние действия» это может казаться тоже слишком нагрузочным.

Выход видится в том, чтобы предоставить клиенту:

  • дешевый (7— 8 тыс. рублей),
  • защищенный,
  • ненастраиваемый (тоесть полностью преднастроенный, one-touch-security),
  • полнофункциональный (с полноценной ОС идоступом к основным сервисам Интернет) компьютер. Или, точнее, микрокомпьютер,
  • позволяющий, кроме всего прочего, надежно его идентифицировать.

Это микрокомпьютеры MKT на базе инновационной отечественной архитектуры (Новой гарвардской архитектуры), которая обеспечивает им вирусный иммунитет.

Схема взаимодействия клиента с банком при этом выглядит так: клиент банка получает ненастраиваемое устройство, которое обеспечивает загрузку неизменяемой проверенной ОС. Включая его, устанавливает защищенное с использованием криптографических алгоритмов соединение с защищенным центром обработки данных, в котором установлено ПО клиента ДБО для доступа к АБС банка. Риски клиентов и банка сведены к минимуму – ПО клиента в защищенном ЦОДе, АБС – также в защищенной на усмотрение банка системе. Клиент банка (человек) – подключается к защищенному ПО с защищенного устройства по защищенному каналу.

Технология гарантирует безопасность доступа клиента банка к своему клиенту ДБО (и, соответственно, к банку) из любой точки мира, из любого гостиничного номера, где есть телевизор.

Конечно, нельзя заставить всех клиентов всех банков покупать такое изделие, но целесообразно рекомендовать сделать это, так как при такой защите успешные хакерские атаки на компьютер клиента невозможны при сегодняшнем уровне техники. А это, в свою очередь, делает возможным предложить клиенту, выбравшему защищенное взаимодействие, страхование от кибермошенничества.

А для облегчения формирования правильного решения клиенту нужно в клиентском договоре предоставить выбор: управление счетом с использованием защищенного компьютера — и тогда все риски покрывает банк (или ЦОД, или страховая компания), или любые другие механизмы — и тогда все риски на клиенте. Так банк и обезопасит себя, и обеспечит высокий уровень защищенности клиента.

Литература:

  1. Конявская С. В. Импортозамещение: идеология и логика // Национальный банковский журнал. М., 2017. № 8 (август). С. 50–51.
  2. Сычев А. М., Ревенков П. В., Дудка А. Б. Безопасность электронного банкинга. М., 2017. – с.
  3. Конявская С. В. ДБО как сотрудничество банка и клиента // Национальный банковский журнал. М., 2013. № 2 (105). С. 85.
  4. Конявская С. В., Кравец В. В. Защищенное ДБО: несколько слов о самых популярных возражениях // Information Security/Информационная безопасность. М., 2014. № 2. С. 22–23.

Автор: Конявская С. В.

Дата публикации: 01.01.2018

Библиографическая ссылка: Конявская С. В. Как создать доверенную среду и обеспечить безопасность банковских приложений // Национальный банковский журнал. М., 2018. № 4 (апрель). С. 101.


Scientia potestas est
Кнопка связи