Доклады, выступления, видео и электронные публикации

Хотят ли банки ДБО?

Мотивация защищать информацию должна быть сильнее мотивации этого не делать.

Очевидно, что корень проблем с защищенностью систем ДБО лежит в том, что у банков просто нет положительной мотивации. Не потому, что банки плохие, а по целому ряду совершенно объективных причин.

1. Банки на развитии сферы ИБ не зарабатывают. Банки зарабатывают на тех услугах, которые они предоставляют клиентам. И если у банка возникает альтернатива - ввести новую удобную, но незащищенную услугу или аналогичную услугу в защищенном виде, но неудобную - банк выбирает первое. Безопасники в лучшем случае делают и сертифицируют хорошие, но неудобные средства защиты, а функциональщики в лучшем случае пишут удобные, но незащищенные программы. В результате, конечно, банки не развивают защищенные услуги, потому что разработка систем в защищенном исполнении - несвойственная им задача, они не умеют и не должны уметь этого делать.

2. Затраты на защиту недопустимо высоки. И для банка, и для клиента. Считается, что затраты на информационную безопасность должны составлять около 20 процентов от общих затрат на информационную систему. Компьютер стоит около 400$, и примерно столько же стоит электронный замок на этот компьютер. Сегодня средства технической защиты информации обходятся банку в сумму, близкую к цене информационной системы, то есть почти в пять раз дороже нормы. Конечно, дело здесь не в том, что вендоры дерут за свои средства втридорога. Все в комплексе - и низкая эффективность производства, и неразвитость рынка, и отсутствие достаточной квалификации у интеграторов. За защиту каждой из функций приходится платить неоднократно. Как результат - затраты банков на ИБ давно превзошли все допустимые пределы, а эффекта банкиры не чувствуют.

Есть и другие обстоятельства, но в данном случае, думается, достаточно остановиться на этих двух, потому что все остальные все равно сведутся к тому же - к экономической оправданности затрат.

На счетах банков вкладчики разместили около 11 триллионов рублей, и значительная часть их может быть утрачена в результате хакерских атак. Куда могут пойти эти деньги? К каким экономическим и даже геополитическим потрясениям это может привести? Проблема достаточно серьезная для того, что бы считать ее проблемой национальной безопасности.

Потеря возможна потому, что реальные меры безопасности по уже приведенным выше причинам подменяются имитацией защиты. Ни одна система ДБО сегодня не обеспечивает создания доверенной среды исполнения СКЗИ со стороны клиента, в результате применение средств защиты осуществляется с нарушением обязательных условий, что и приводит к потерям. Полноценная защита слишком дорогая, а усеченная - не дает ожидаемого эффекта, но рекомендуется банками, поскольку создает у клиентов ложную, но все же уверенность в безопасности.

Ответственность за финансовые потери банки переносят на клиентов, хотя понимают опасность «усеченных» решений, и в целом совсем не хотят намеренно никому вредить. Клиенты соглашаются, потому что не понимают реальных рисков и потому, что не видят альтернативы. И в первом и во втором случае ситуация чревата колоссальными репутационными рисками, особенно для крупных банков. При потере средств клиент испытывает огромное разочарование услугой банка и банком в целом. В этом случае клиент не будет считаться с тем, что «так у всех», он все равно будет винить именно тот банк, который так его подвел. Но и понимание клиентами того, что банк покрывает свои риски их деньгами, не способствует привлечению новых клиентов.

Деньги клиента похитили у банка. Кто в этом виноват?

Свою позицию по рассматриваемому поводу еще более десяти лет назад сформулировал Пленум Высшего арбитражного суда Российской Федерации в Постановлении от 19 апреля 1999 года №5 «О некоторых вопросах практики рассмотрения споров, связанных с заключением, исполнением и расторжением договоров банковского счета». Так как банк, работая с деньгами клиента, должен выполнять распоряжения именно клиента о перечислении и выдаче средств со счета, то должен быть определен порядок проверки полномочий лиц, которые от имени клиента могут распоряжаться счетом. Пленум четко определил, что: «Проверка полномочий лиц, которым предоставлено право распоряжаться счетом, производится банком в порядке, предусмотренном банковскими правилами и договором с клиентом». И далее: «Если иное не установлено законом или договором, банк несет ответственность за последствия исполнения поручений, выданных неуполномоченными лицами, и в тех случаях, когда с использованием предусмотренных банковскими правилами и договором процедур банк не мог установить факта выдачи распоряжения неуполномоченными лицами» (выделено автором).

Пленум Высшего арбитражного суда однозначно занял государственную, направленную на защиту клиентов, позицию. Теперь даже если банк считает, что клиент «сам виноват» в том, что банк не смог установить, что распоряжение направлено не клиентом, а злоумышленником, то это проблема не клиента, а банка. И, значит, разговор переходит в другую плоскость - а что нужно сделать, чтобы банк всегда мог отличить добропорядочного клиента от преступника? Как недорого обеспечить доверенную среду со стороны клиента?

Выход есть. Он основывается на простом логическом выводе - если во взаимодействии с удаленным информационным ресурсом (в случае с ДБО - с банком) пользователю необходимо решать строго определенную задачу, можно снизить накал борьбы - и вместо того чтобы предпринимать дорогостоящие меры по созданию доверенной вычислительной среды «навсегда», попытаться обеспечить доверенную среду выполнения конкретной задачи - доверенный сеанс связи (ДСС).

Для этого предназначено средство обеспечения доверенного сеанса (СОДС) «МАРШ!».

Применение СОДС «МАРШ!» в ДБО для клиента будет выглядет так:

  • чтобы начать сеанс работы с банком, пользователь заканчивает свой предыдущий сеанс работы («перезагружается») и загружает компьютер с подключенным загрузочным USB-устройством «МАРШ!» (размером со среднюю флешку);
  • в оперативную память компьютера с «МАРШ!а» загружается все, необходимое для работы с банком, включая VPN и СКЗИ;
  • все ресурсы ПК, к которому подключен «МАРШ!», кроме оперативной памяти и переферии (клавиатура, мышь, монитор), в процессе работы в доверенном сеансе связи с банком пользователю недоступны, поэтому защищенность работы они снизить не могут, пользователь работает в доверенной среде и только в рамках определенных банком задач;
  • после завершения работы с банком, пользователю достаточно отключить «МАРШ!» и «перезагрузиться», загрузив основную ОС своего ПК, чтобы продолжать работать со своим привычным программным и аппаратным окружением.

На стороне банка, конечно, доверенный сеанс связи поддерживает серверная часть СОДС «МАРШ» - Сервер доверенного сеанса связи.

Такой подход позволит гарантированно исключить случаи утраты средств банками и их клиентами из-за хакерских атак на системы ДБО, и в тоже время он абсолютно экономически оправдан - и для банка, и для клиента. Решение на базе ДСС в разы дешевле, и в то же время - существенно удобнее: не требует ни изменения привычной информационной среды, ни работы с одного определенного раз и навсегда компьютера. Для внедрения такого решения даже не понадобится вносить значительные изменения в системы ДБО, использующие Web-сервисы.

Таким образом, мотивация защищать информацию в системах ДБО у банка будет, если учесть, что:

  1. Услуга ДБО приносит банку ощутимый доход
  2. Если деньги похищены хакерами, то ответственность за это должен нести, как правило, банк, а не клиент
  3. Есть недорогое, но надежное и безопасное клиентское решение, которое устроит клиента и обезопасит банк от потерь

Можно предположить, что в скором времени по этому пути пойдут банки, заботящиеся о своей репутации и уважающие своих клиентов.

Автор: Конявский В. А.

Дата публикации: 01.01.2012

Библиографическая ссылка: Конявский В. А. Хотят ли банки ДБО? // Национальный банковский журнал. М., 2012. № 2 (февраль). С. 86–87.


Scientia potestas est
Кнопка связи