Безопасность электронных финансовых услуг: что нового?

По мере развития рынка электронный финансовых услуг растёт проблема кибермошенничества, преступники становятся все более интеллектуальными, а это значит, что тема обеспечения безопасности сферы электронных денег и платежей нуждается в инновациях. О том, так ли это, и что нового происходит в этой сфере бизнеса мы беседуем с экспертами и участниками рынка Андреем Рябовым, исследователем Научно-исследовательского отдела ЗАО «ОКБ САПР», Дмитрием Романченко, Директором центра технологий безопасности компании IBS, Павлом Головлевым, Начальником управления безопасности Информационных технологий ОАО «СМП Банк», Аленой Зуевой, начальником отдела информационной безопасности и Сергеем Марголиным, коммерческим Директором ООО «Информационные системы».

Павел Головлев, начальник управления безопасности СМП банка. Дмитрий Романченко, директор центра технологий безопасности компании IBS. Андрей Рябов, исследователь Научно-исследовательского отдела ЗАО «ОКБ САПР» . Алена Зуева, начальник отдела информационной безопасности ООО «Информационные системы» . Сергей Марголин, коммерческий Директор ООО «Информационные системы»

Какие новые виды атак и опасностей появились, какие ушли в прошлое, какие активизировались, и почему это произошло?

Павел Головлев: Давайте сразу договоримся, что мы обсуждаем только тему «электронные услуги, ока­зываемые банками», и не будем рассматривать сце­нарии атак собственно на банки, ведь это большая и отдельная тема, включающая в себя и инсайдерские проблемы, и целевые атаки, и конкурентную борьбу. Комплексные атаки, конечно, существуют, но именно в случае атак на банк. Что же касается атак в обла­сти финансовых услуг, то это - массовый рынок, и как любой современный массовый рынок он не терпит сложностей. По мере того, как банки внедряют но­вые защитные меры, злоумышленники развивают способы противодействия. Поскольку самое слабое звено - это клиентское устройство, то львиная доля атак сосредоточена именно в этом сегменте просто потому, что поверхность атаки больше, следователь­но, так проще и быстрее получить профит. Чем десять раз красть по миллиону, оказывается безопаснее и выгоднее миллион раз украсть по 100 рублей. Пока что я не вижу причин для изменения этой тенденции.

Дмитрий Романченко: На мой взгляд, современ­ные атаки, в отличие от прошлых, носят исключитель­но целенаправленный характер. Они нацелены на получение атакующей стороной определенных вы­год: экономического, политического эффекта, влекут репутационные и иные издержки для объекта атаки. Современные акты вторжения всегда интегрирова­ны с элементами социальной инженерии (как в фазе подготовки и осуществления атаки, так и в фазе окончательного эффекта). Сложно выделить состав компонентов ИТ-инфраструктуры банка (или иной организации в цепочке оказания банковского сер­виса), которые наиболее часто подвергаются угро­зам - здесь работает статистика и правило самого слабого звена. В этой связи, слабым звеном чаще оказываются каналообразующая часть и клиент­ские устройства. Возможность проникновения через гаджеты в ИТ-систему зависит от многих факторов, и прежде всего от качества кода самого прикладного ПО. На мой взгляд, целесообразно разделить виды атаки на вторжение с целью незаметного проникно­вения и атаки "вандального типа" (DDoS и прочие). Их схемы и способы проведения могут существенно отличаться.

Алена Зуева: В настоящий момент злоумышленни­ки используют все виды атак. Выбор метода зави­сит от вида злоумышленника и его возможностей. Наибольшую опасность, как и вероятность успеха нанести вред, представляет угроза от персонала -инсайдеры. Это может быть как обиженный сотруд­ник, имеющий доступ к важной информации (вред без извлечения материальной выгоды для себя), так и сотрудники, целенаправленно изучающие узкие места в защите информации. При определен­ном накопленном знании и низких моральных прин­ципах они могут использовать это для излечения материальной выгоды. Определенный оптимизм внушает уверенность в том, что служба безопасно­сти и служба HR банка стали достаточно требова­тельны к соискателям.

Сергей Марголин: Весьма значительный риск пред­ставляют для себя сами пользователи услуг банка - физические и юридические лица. Низкий уровень защиты, беспечность и общая «компьютерная» без­грамотность позволяют злоумышленникам без особого труда воспользоваться чужой электронной подписью и перевести средства с расчетного счета пострадавшего. Часто найти злоумышленника не представляется возможным. Такие организацион­ные меры, как хранение и регулярная смена паро­лей, хранение электронных подписей на сертифици­рованных средствах защиты информации (Ру-Токен, Е-токен) в несгораемых шкафах (сейфах), единолич­ное владение электронной подписью, хранение в тайне паролей доступа в интернет-банк, к сожале­нию, часто воспринимаются как назойливые советы «чокнутых безопасников».

Алена Зуева: Угрозы проникновения в автомати­зированную систему существуют и извне. Общая цель таких атак - получение доступа к конфиден­циальной информации, использование полученной информации в собственных целях или искажение информации. Такие проникновения обусловлены избыточностью функций протокола TCP/IP, который служит в настоящее время стандартом межсетевого взаимодействия. Он позволяет сопрягать различ­ные устройства в глобальную сеть Internet и исполь­зовать общедоступные каналы связи. В настоящее время все интернет-банки используют защищенные протоколы передачи (SSL-протокол) и шифрование трафика с помощью средств криптозащиты инфор­мации при передаче информации по общим каналам связи сети Internet.

И всё-таки, на какую из сторон приходится наибольший вес угроз и уязвимостей - на сторону клиента банка, на сторону самого банка и его подрядчиков - ЦОДов, телекомпровайдеров?

Алена Зуева: Если использовать критерий веса угроз как наибольшая вероятность успеха, умножен­ная на максимальный доход (убыток) от реализации вреда, то рейтинг угроз можно составить следующий:

1. Инсайдеры, работающие в банке - могут нанести самый тяжелый урон автоматизированной систе­ме.
2.  Подрядчики банка - ЦОДы, телекомпровайдеры, т.к. многие не обладают достаточным уровнем защиты от распределённых сетевых атак.
3.  Клиенты банка.
4.  Внешний злоумышленник, имеющий достаточные технические знания и средства для взлома ав­томатизированной системы, но не обладающий знаниями в политике безопасности в конкретном банке.

Существуют ли комплексные угрозы: например, атака на клиентский гаджет как способ проникновение в ИТ-систему банка в целом? Расскажите об известных вам прецедентах и их последствиях?

Сергей Марголин: Через клиентский гаджет вскрыть ИТ-систему банка в целом при условии вни­мательного отношения банка к политике безопасно­сти, разработке организационно-распорядительной документации и соблюдении ее положений, в настоя­щий момент достаточно проблематично.

Крупные платежные системы, такие как Visa и MasterCard много делают для усовершенствования платежных систем. В частности, международны­ми платежными системами разработан и внедрен новый международный стандарт безопасности PCI DSS (Payment Card Industry Data Security Standard -стандарт безопасности данных индустрии платёжных карт).

Стандарт представляет собой совокупность две­надцати детализированных требований по обеспече­нию безопасности данных о держателях платёжных карт, которые передаются, хранятся и обрабатыва­ются в информационных инфраструктурах организа­ций. Принятие соответствующих мер по обеспечению соответствия требованиям стандарта подразумевает комплексный подход к обеспечению информацион­ной безопасности данных платёжных карт.

Требования стандарта распространяются на все компании, работающие с международными платёж­ными системами Visa и MasterCard. В зависимости от количества обрабатываемых транзакций, каждой компании присваивается определённый уровень с соответствующим набором требований, которые они должны выполнять. В рамках требований стандарта предусматриваются ежегодные аудиторские провер­ки компаний, а также ежеквартальные сканирова­ния сетей.

Высокая вероятность захода злоумышленника в систему Интернет-банка или осуществления плате­жа с помощью Интернет-магазина может быть при компрометации пароля доступа в Интернет-банк (программы-закладки на компьютере пользователя, хранении пароля доступа на стикере на мониторе и т.п.), передоверия своей банковской карты другому лицу, передача по открытым системам номера кар­ты, дата истечения срока действия и CVC-кода. К при­меру, эти данные могут запросить отельеры Европы по телефону или факсу при бронировании номеров в гостинице.

Каковы уровень и динамика спроса на решения в области защиты информации разных типов: электронные ключи, QR-мидлетов, другие аппаратные средства, антивирусы (в том числе, встраиваемые в пользовательское ПО), другие виды (пожалуйста, укажите, какие)? Каковы достоинства и недостатки существующих решений?

Павел Головлев: Абсолютного решения - так назы­ваемой "серебряной пули" не существует. В совре­менных условиях необходимо очень тонко сегмен­тировать клиентскую базу и применять в каждом

сегменте решения, наиболее адекватные поставлен­ной бизнес-цели и риск-аппетиту. В этом контексте необходимо признать, что спроса со стороны самих клиентов пока нет, и не предвидится, так как любая мера безопасности - это, в первую очередь, сниже­ние удобства. А спрос со стороны конкретного банка появляется и будет появляться только при наличии чисто экономических причин для возникновения та­кого спроса именно в этом банке.

Дмитрий Романченко: Область технологий инфор­мационной безопасности активно развивается, и ответ на этот вопрос - повод к отдельной дискуссии. При выборе способов и технологий ИБ всегда прихо­дится искать баланс между удобством клиента и при­емлемым уровнем безопасности. На текущий момент наблюдается существенное увеличение количества систем ДБО, использующих двухфакторную систему аутентификации. Широкое распространение полу­чили одноразовые пароли, высылаемые на телефон клиента. Необходимо отметить и важные активно­сти лидеров платежной индустрии Visa и MasterCard по переходу исключительно на чип-карты, и полный отказ от использования карт только с магнитной по­лосой. Данная активность существует в виде четкого плана с жесткими сроками. Это предполагает полную замену парка устаревших банкоматов. К сожалению, далеко не все российские банки готовы следовать подобным требованиям.

Алена Зуева: Нужно понимать, что ни одно из суще­ствующих решений не дает 100% защиту от злоу­мышленников. На сегодня в приложениях для сети Интернет (Интернет-банки), в мобильных приложени­ях (мобильный интернет для смартфонов), использу­ются комбинированные методы защиты: разделение каналов получения паролей входа в интернет-банк (login, password хранит пользователь, подтвержде­ние по разовому паролю через SMS, номеру мобиль­ного телефона или карт-ридера), принудительные смены пароля для пользователя, аудит сложности подбора нового пароля. Это требует от разработ­чиков интернет-банков усложнения алгоритмов идентификации и аутентификации пользователя интернет-банков. Для банков это влечет разверты­вание и поддержание удостоверяющих центров на серверах банковской автоматизированной системы.

— Следовательно, растут затраты на обслуживание и разработку ПО...

Алена Зуева: Да, настоящий бум переживают серти­фицированные средства криптографической защиты информации (электронные ключи). Это вызвано, с одной стороны, низкой ценой устройства, высокой степенью надежности от копирования информации с устройств Ру-токен (Е-токен). Минусы в небольших размерах устройства (он же главный плюс), а значит, его достаточно просто потерять. Также устройства часто путают с обычным flash-накопителем и забы­вают в USB-портах.

Сергей Марголин: Отмечу, что рынок QR-мидлетов и карт-ридеров не так сильно распространен в Рос­сии. Возможно, это вопрос будущего. А вот необходи­мость покупки и обновления антивирусных программ у пользователей уже выработана. Сейчас мяч на стороне разработчиков ПО - актуальными являются снижение цены антивируса с одновременным повы­шением его надежности, своевременное обновле­ние баз знаний по различным вирусам, сервисная поддержка пользователей. С точки зрения разви­тия, следует обратить внимание на пользователей мобильных приложений Интернет-банков и своевре­менную поставку антивирусного ПО для смартфонов.

Андрей Рябов: Мы исходим из того, что, токены, за­щищенные ключевые носители, электронные замки, модули доверенной загрузки, средства разграниче­ния доступа, VPN, межсетевые экраны и т.п. позволя­ют обеспечить достаточный уровень защищенности только в комплексе. Но если есть хотя бы одна функ­ция, связанная с безопасностью, - изделие нужда­ется в сертификации. А когда изделие сертифици­ровано, кто, за исключением горстки специалистов, поймет, что оно обеспечивает не «безопасность», а приемлемое выполнение только одной (или несколь­ких) функций?! Защита подменяется имитацией за­щиты. Имитация - проблема эпохи.

Не решает проблему и подключение к недоверен­ному компьютеру устройства электронной подписи, подписывающего и отображающего платежку. Да, если это устройство простейшее, его можно иссле­довать, зафиксировать его состояние и считать до­веренным. Но проблема в том, что его функциональ­ность будет слишком узкой (в силу простоты). Значит, использовать его будет неудобно. А если функцио­нальность сделать близкой к привычной, которую предоставляют компьютеры, тогда и все проблемы компьютеров перенесутся на это устройство. И снова о доверенности придется забыть.

Еще один сюжет: в 2012 году один известный вендор представил новое устройство, позволяю­щее использовать на платформе iOS (iPhone/iPad) смарт-карты с сертифицированной российской крип­тографией. Утверждается, что смарт-карта и ридер для iPad/iPhone дают возможность использовать квалифицированную электронную подпись в систе­мах электронного дистанционного обслуживания, интернет-банкинга, при работе с электронными госу­дарственными услугами и пр.

— Как оценить, насколько это соответствует действительности?

Андрей Рябов: Обратимся к положениям Федераль­ного Закона «Об электронной подписи» № 63-ФЗ. В соответствии с ч.2 п.4 ст.5 «для создания и проверки электронной подписи используются средства электрон­ной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии 63-ФЗ». В соответствии с п.4 ст.10 участники обмена при исполь­зовании квалифицированной ЭП «обязаны использо­вать СЭП, получившие подтверждение соответствия требованиям ФЗ-63». В соответствии с п.5 ст.8. ФСБ РФ устанавливает требования к СЭП и осуществляет подтверждение соответствия СЭП установленным тре­бованиям. Требования к СЭП устанавливаются Прика­зом ФСБ РФ № 796 (далее - Приказ).

Но ведь рассматриваемая смарт-карта в настоящий момент не имеет документов, подтверждающих соответствие требованиям к СЭП?

Андрей Рябов: Однако отсутствие документов еще не говорит об отсутствии соответствия, а говорит лишь о том, что оно не подтверждено.

А соответствует ли анонсированный продукт требованиям Приказа?

Андрей Рябов: Смарт-карта может выполнять функ­ции СКЗИ, хранилища ключевой информации, можно на смарт-карту загрузить Java applet для выполнения прикладных задач. Но для выполнения п.8 и 9 При­каза необходимо выполнять визуализацию подпи­сываемого/проверяемого документа, подтвержде­ние создания подписи, просмотр того, что подпись создана.

Данные функции могут реализовываться про­граммными и аппаратными средствами, с которыми штатно функционируют средства ЭП - среда функ­ционирования. В данном случае - это либо при­кладное ПО, либо Web-браузер, функционирующие на устройствах Apple c ОС iOS. То есть iPad/iPhone c операционной системой iOS в рассматриваемом случае будут являться компонентами среды функцио­нирования СЭП.

В соответствии с Приказом, средства ЭП и среда их функционирования, должны противостоять угро­зам, представляющим собой целенаправленные действия с использованием аппаратных и (или) про­граммных средств с целью нарушения безопасности защищаемой средствами ЭП информации или с це­лью создания условий для этого - атаки.

Например, для средства ЭП класса КС1 (класс с наименьшими требованиями по информационной безопасности) среда функционирования, с которой они штатно должны функционировать, для прохож­дения оценки соответствия в системе сертификации ФСБ по требованиям Приказа, должны противосто­ять таким атакам, как внесение несанкционирован­ных изменений в компоненты среды функциониро­вания, в том числе с использованием вредоносных программ; проведение атак на программные и аппа­ратные компоненты среды функционирования.

Каковы методы противодействия таким атакам?

Андрей Рябов: Методами противодействия этим атакам могут служить применение сертифицирован­ных решений для защиты от НСД (наложенные СЗИ или сертифицированная ОС), контроль целостности критических важных файлов, которые не должны из­менятся в процессе работы; применение антивирус­ных средств.

На сегодняшний день сертифицированных средств защиты информации для операционной системы iOS, которые могли бы противостоять приведенным выше атакам, нет, а вопросы, связанные с механиз­мами безопасности, интегрированными в iOS, оста­ются открытыми.

Антивирусных продуктов для мобильных устройств Apple тоже нет, а ряд атак именно на те системы, для применения в которых анонсируется рассматривае­мый продукт, в наше время как раз реализуется с помощью шпионского ПО. Например, подмена пла­тежных реквизитов в XML-документе при отправке его на подпись в системах ДБО.

— То есть, если рассматривать связку устройств «смарт-карта и ридер + устройство Apple», атака как раз приходится на компонент среды функционирования СЭП - кеш Web-браузера устройства Apple?

Андрей Рябов: Да, поскольку нельзя противодей­ствовать атакам на приложение или Web-браузер, которые являются компонентами СФ СЭП и отвечают за функции визуализации подписываемой информа­ции и другие предусмотренные п.8 и 9 Приказа, нуж­но признать, что они функционируют в недоверенной среде и подвержены атакам.

Стало быть, для использования квалифицированной ЭП в системах ЭДО, интернет-банкинга и пр. - недостаточно только применения «связки» смарт-карты и ридера?

Андрей Рябов: Необходимо также, чтобы СЭП и среда функционирования удовлетворяли требова­ниям Приказа для соответствующего класса СЭП, а средства СЭП были сертифицированы по требовани­ям Приказа.

То есть неназванный вами вендор, выпустив ридер для мобильных устройств Apple, создал не СЭП для iOS, а технические предпосылки для использования смарт-карт в качестве хранилища ключевой информации и СКЗИ на iPad/iPhone?

Андрей Рябов: В основе безопасности всегда долж­на лежать доверенная среда. Это нужно хорошо по­нимать.

Павел Головлев: Категорически не согласен! Нач­нем с того, что мне до сих пор никто так и не от­ветил на вопрос: «А зачем при проведении плате­жей использовать квалифицированную подпись?». Сертифицированные средства в подавляющем большинстве случаев защищают хуже, чем несертифицированные, по ряду объективных причин, главные из которых - технологическое отставание, невозможность адаптации под бизнес-процессы и потребности клиента, абсолютно неадекватная цена, а также полное отсутствие ответственности произво­дителя. А чаще всего, необходимых бизнесу «здесь и сейчас» сертифицированных средств, как было отме­чено выше, просто нет и не предвидится.

Среди двадцати девяти актуальных защитных мер для систем ДБО, выработанных рабочей группой практиков банковской безопасности, нет ни слова о сертифицированных средствах. Они, конечно, могут применяться, но на рынке также есть гораздо более эффективные несертифицированные средства. Связ­ки смарт-карты и ридера, действительно, может быть недостаточно, но отказываться от нее только потому, что она несертифицирована, просто неразумно.

Сертификация в наших условиях - не панацея, а не более чем дополнительная фискальная нагрузка на бизнес, имеющая, в целом, отрицательную эф­фективность и создающая для клиентов ложное ощу­щение безопасности.

Также необходимо понимать, что создание дове­ренной среды на стороне клиента - это практически неразрешимая задача. Никто не будет передавать деньги лотошнику за стаканчик мороженого через банковскую ячейку. Эффективность использования на компьютере клиента средств контроля целостности операционной системы и программных компонентов, оцененная экспертами, составляет чуть выше восьми процентов в контексте снижения риска. А вот насиль­ственное навязывание подобных решений является серьезной головной болью для банков.

Алена Зуева: может быть в данном примере следу­ет различать программные и аппаратные средства? Программные (СКЗИ) должны быть сертифицирова­ны, сертификацией занимается ФСБ и все, что рас­сказал Андрей Рябов - истина. Аппаратные же (или технические средства) по последним веяниям ФСТЭК (приказ ФСТЭК №21 от 18.02.2013 «Об утверждении состава и содержания организационных и техниче­ских мер по обеспечению безопасности персональ­ных данных при их обработке в информационных системах персональных данных») ч.1 п.4 говорит об оценке соответствия. В данной трактовке собствен­ник информационной системы (в нашем случае -банк) вправе сам решать какие средства защиты от несанкционированного доступа он будет применять: сертифицированные или прошедшие соответствие по уровню безопасности. Если же банк является го­сударственным, то он обязан использовать только сертифицированные средства защиты.

Андрей Рябов: Уточню ещё раз, что отсутствие сер­тификата (и подтверждения оценки соответствия) не говорит о том, что требования безопасности не выполняются. О том, что они не выполняются, я сде­лал вывод, основываясь на совсем других посылках, которые были подробно изложены. Не вижу смысла комментировать мнение о том, что требования регу­ляторов надуманы и завышены. Все серьезные безо-пасники считают требования регуляторов слабыми, отстающими от реальных хакерских атак, и в своих средствах защиты предусматривают и те защитные механизмы, которые практически необходимы, но не отражены в требованиях. Есть и другой подход -имитация выполнения требований. Об этом я тоже сказал.

А вот с тем, что создание доверенной среды на ма­шине клиента на период работы с банком - это прак­тически нерешаемая задача - не могу согласиться. Такие решения на отечественном рынке есть, и они сертифицированы, и имеют положительный опыт интеграции с системами «Клиент-Банк». Это средства обеспечения доверенного сеанса связи. Мы называ­ем эту технологию "Серебряной пулей для хакера".

— Что можно сказать о сопровождении и поддержке средств защиты на текущий момент? Изменились ли издержки банка как пользователя, клиента банка как пользователя, и поставщика решения? Чьё бремя стало тяжелее? Как урегулируются потери при наступлении инцидента?

Павел Головлев: К сожалению, поставщики реше­ний сейчас не отвечают ни за что, но при этом обла­дают чрезмерно хорошим аппетитом, сложившимся под влиянием очень крупных заказчиков. Поэтому распределение издержек между банком и клиентом, а также урегулирование инцидентов - исключитель­но вопрос стратегии и тактики управления рисками конкретного банка.

Дмитрий Романченко: В связи с расширением ландшафта угроз и частоты инцидентов информа­ционной безопасности, а также в связи с развити­ем рынка современных «тяжелых» решений, пока что затраты банков только растут. В свою очередь, поставщики решений несут издержки, связанные с адаптацией своих продуктов к новым требованиям и прохождением сертификации. Развитие аутсорсинга рынка функций ИБ пока находится на недостаточном уровне, как в силу технических проблем, так и в силу организационно-правовых (к примеру, непонятно, как распределять компенсацию в случае инцидента ИБ между банком и сервис-провайдерами). Рынок страхования рисков ИБ также находится в зачаточ­ном состоянии. Очевидно, что издержки в каком-то объеме перекладываются на клиента.

— Как соблюсти баланс в соотношение безопасности и мобильности, эксплуатационных качеств и стоимости владения для пользователей? Какие средства максимально защищают бизнес от нарушений пользовательской дисциплины - небрежности пользователя при вводе, хранении паролей, хранении аппаратных устройств защиты и т.п.?

Павел Головлев: Надо считать риски, сегменти­ровать клиентов, продукты и услуги, обеспечивать многовариантность решений. Абсолютного решения не существует: то, что хорошо для одного банка мо­жет быть абсолютно неприменимо для другого. То, что устраивает одного клиента, может совершенно не нравиться десятку других. Единственное, о чем можно сказать с уверенностью, это то, что от наруше­ний дисциплины не защищает ничего. Мы, навер­ное, единственная страна, в которой каждую весну со льдин спасают одних и тех же рыбаков. Невоз­можно полагаться только на технические решения. Необходимо учить, учить и еще раз учить и клиентов, и работников правилам «компьютерной гигиены». «Деньги в компьютере» это такие же деньги, как и в кошельке, поэтому компьютер надо беречь так же как кошелек.

Лично мне импонирует решение, когда ключи подписи системы «Клиент-Банк» хранятся на той же карточке, на которой хранятся личные средства директора или бухгалтера. Безопасность таких клю­чей гораздо выше, но и сопутствующих проблем по управлению ключевой инфраструктурой больше. Не каждый может себе позволить такое решение.

Дмитрий Романченко: Клиент должен иметь воз­можность определять свой баланс между удобством пользователя и приемлемым для него уровнем безо­пасности. Если система ДБО не будет достаточно гиб­кой в этом вопросе, то это может негативно повлиять на удовлетворенность клиента предоставляемыми услугами. Но вести «просветительскую» работу с кли­ентом необходимо. Уровень «компьютерной грамот­ности» населения, к сожалению, оставляет желать лучшего. Поэтому необходимо объяснять клиентам важность вопросов ИБ и даже склонять их к соблю­дению правил информационной безопасности. Этому могла бы способствовать практика удаленного ауди­та компьютера клиента и взимания дополнительных комиссий в случаях, если клиент не выполняет требо­вания к информационной безопасности.

С другой стороны, для определения требуемого уровня безопасности важно понимать возможно­сти и цели нарушителя. Если речь идет о преступных группировках, то ситуация одна. Если речь идет о возможностях государства (в том числе иностранно­го), либо их использования преступными (коррумпи­рованными) сотрудниками, то ситуация совсем иная. Раскручивающийся в настоящее время скандал с прямым доступом Агентства Национальной Безо­пасности США к серверам Microsoft, Google, Apple, YouTube и других наглядно показал цену защиты указанных сервисов, технологий. А, соответствен­но, и мобильных устройств производства указанных компаний или использующих соответствующее ПО. Так что в любом случае надо понимать приемлемость рисков для клиентов.

Сергей Марголин: Здесь работает общий принцип охраны информации - комплекс мер по охране по стоимости не должен превышать стоимость самой информации. Максимальную защиту принесут только комплексные меры - организационные, программ­ные, дисциплинарные. И меры должны пересматриваться и обновляться не реже чем один раз в 3 года (общая оценка безопасности информационной системы). По конкретному направлению меры могут пересматриваться и чаще, например смена пароля может осуществляться каждые три месяца.

— Каков оптимальный портфель решений для обеспечения безопасности электронных финансовых услуг для банка и для его клиента? Какова его средняя цена владения? Каковы бюджеты и сроки проектов для корпоративных заказчиков?

Павел Головлев: Рецепта не существует, как не существует стандартного решения. Каждое решение должно быть уникальным и учитывать все аспекты бизнеса банка и его риски. Рабочая группа, в ко­торую входят эксперты из нескольких банков, уже разработала несколько моделей угроз для различ­ных областей деятельности банков, содержащих как оценку актуальности угроз, так и оценку эффектив­ности различных защитных мер как в целом, так и в отношении конкретных угроз. Из этих моделей видно, что общая эффективность самой эффективной за­щитной меры в системах ДБО чуть выше 40%. В обла­сти карточного бизнеса этот показатель в два раза ниже, но и выбор защитных мер значительно богаче. Соответственно, защитные меры должны комбиниро­ваться для снижения риска до приемлемого уровня с учетом того, что оптимальная стоимость решения должна составлять 10-15% уровня исходного риска. При этом необходимо не забывать об иных затратах, сопутствующих внедрению любой защитной меры, таких как затраты на интеграцию с существующими бизнес-процессами, на сопровождение, реагирова­ние на инциденты, корректировку параметров авто­матизированных систем, логистику и т.п.

Дмитрий Романченко: Стоимость портфеля для кли­ента оценить сложно, так как указанная цена может быть спрятана в стоимости отдельных технических средств (электронные ключи, антивирусное и прочее ПО), в стоимости банковских продуктов, в стоимости страхования по отдельным продуктам, условиям по­крытия рисков информационной безопасности.

Стоимость для банка складывается из стоимости решений (оборудование и ПО, стоимости поддержки, стоимости внешнего сервиса). Стоимость продуктов одного и того же класса может существенно отли­чаться. Типовой набор, приведенный в различных российских и западных стандартах, примерно совпа­дает (PCI DSS, требования по безопасности в разви­тие ФЗ-161, СТО БР ИББС, 21 приказ ФСТЭК от 2013 года и проч.). Это большой список, включающий в себя до 20 необходимых функций информационной безопасности и соответствующих решений.

— Какие инновации просматриваются в перспективе для включения в продукты класса ДБО в целях обеспечения безопасности электронных финансовых услуг?

Павел Головлев: В общем-то, в особых инновациях необходимости нет. Было бы желание и возможно­сти адекватно и к месту применять то, что уже есть. При этом ощущается острая потребность в «демокра­тизации» ценовой политики поставщиков решений. В этом свете лично мне нравится новый продукт «PayControl» компании «СэйфТек». В сегменте для фи­зических лиц, и даже малого и среднего бизнеса, -очень достойное решение.

Сергей Марголин: На мой взгляд, инноваций тре­бует область хранения персональных данных в части усиления ответственности операторов персональных данных за утечки, принудительной аттестации систем обработки персональных данных и, как следствие, рост предложений программно-аппаратных средств по защите информации. Как пример можно привести постепенный переход от карт с магнитной полосой на чиповые карты и расширение использования вирту­альных карт.

Дмитрий Романченко: Существенный вклад в обе­спечение безопасности систем ДБО может внести анализ «платежного профиля» клиента. Интересным способом защиты от «фишинга» является персонали-зация интерфейса системы под клиента. Перспектив­ным направлением является использование новых способов аутентификации (например, на основе биометрических данных). Однако основная иннова­ция, которая может радикально изменить ситуацию, это совместные действия банков, интернет и сервис провайдеров в построении сквозных интегрирован­ных систем обеспечения ИБ со сквозными бизнес-процессами в данной области. Это позволит создать такую глубину стека технологий безопасности, ко­торая будет сложно преодолима даже для хорошо вооруженного злоумышленника, а значит, снизит частоту успешных инцидентов ИБ и, соответственно, потери. Более того, данный подход позволит разумно распределить риски (и покрытие по ним) между раз­личными участниками ДБО. Это позволяет надеяться, что в итоге выиграет клиент.

— Эксперты утверждают, что Россия находится в списке лидеров по количеству сотовых телефонов и других электронных гаджетов, но и на первых позициях по объему наличных платежей. Готовы ли отечественные банковская и платежная индустрии к взрывному росту электронных платежей, если таковой случится, с точки зрения безопасности электронных финансовых услуг?

Павел Головлев: Я не вижу причин для взрывно­го роста электронных платежей. Для проведения электронных платежей необходимо не столько на­личие гаджета у плательщика, сколько заинтере­сованность и возможность приема таких плате­жей получателями. А эти процессы регулируются совсем иными и, зачастую, совсем не технологи­ческими обстоятельствами. В этой сфере сейчас идет нормальный эволюционный рост, и банков­ская индустрия с ним вполне справляется, более того - всеми силами старается его стимулировать, так как считает недостаточным. При этом, в тече­ние 2010-2012 годов удельный риск в системах ДБО по всей банковской системе оценивается ста­бильно - в одну копейку на каждую тысячу рублей в обороте. В карточном бизнесе в 2011году он подрос в полтора раза по сравнению с предыду­щими годами, и стабилизировался на уровне пят­надцати копеек на ту же тысячу рублей. Основную опасность представляет именно революционное насаждение новых технологий и продуктов. За­частую, при разработке этих продуктов и техноло­гий вопросы безопасности не просто не рассма­триваются, а сознательно игнорируются, так как устанавливаются иные критерии эффективности. В этом контексте индустрия безопасности всегда будет выступать в роли догоняющего, и главной задачей является недопущение ситуации, когда разрыв станет критическим.

Дмитрий Романченко: Готовы ли банки? Если от­ветить кратко, то не готовы. Но это следует вос­принимать дифференцированно по отношению к различным категориям финансовых институтов и инструментов, различным банкам. Инвестиции крупных банков в ИБ вполне ощутимы, и ситуация существенно улучшилась по сравнению с ситуацией пятилетней давности. Но сохраняется неравенство по уровню ИБ между крупными банками, средними и мелкими, между центральными офисами и филиала­ми, между различными видами платежей (карточные платежи, клиент-банк, электронные деньги и проч.).

Алена Зуева: Хочется верить, что Россия постепен­но улучшает свои системы банковского и платежно­го обслуживания. Также улучшаются магистральные каналы связи, идет бурное строительство оптоволо­конных и спутниковых линий связи. В России есть опыт построения больших автоматизированных си­стем и сделаны большие финансовые вложения для закупки нужного оборудования.

Сергей Марголин: В России много талантливых программистов и инженеров, которые все больше работают внутри страны. Решения, которые уже име­ются, на мой взгляд, доказывают, что справиться с взрывным ростом электронных платежей России вполне под силу.

С точки зрения безопасности, необходимо учиты­вать ошибки при построении как коммерческих си­стем массового обслуживания, так и государствен­ных информационных систем (ГАС «Выборы», ЕГЭ, «Пенсионного фонда»), анализировать и не допу­скать их повторения.

Авторы: Рябов А. С.

Дата публикации: 01.01.2013

Издательство: Аналитический Банковский Журнал. М., 2013. № 6. С. 92-101.

---