Направления защиты информации, стимулируемые банковскими приложениями

   Для того чтобы адекватно оценить  масштабы угрозы, имеет смысл  обратиться к цифрам, характеризующим  динамику роста потока «инфицированных»  писем. Согласно данным компании Postini, уже в июле текущего года  количество такого рода сообщений перевалило за 19 млн. (из 8 млрд. совокупного числа электронных посланий). Для сравнения, в апреле их было зафиксировано лишь 9,7 млн. То есть за квартал их количество увеличилось без малого на 100%. А сумма ежегодно наносимого ущерба, по исчислениям глобального аналитического центра Gartner, уже с 2003 года зашкаливает за миллиард долларов.

   Что может спасти от фишинга?  Например, взаимная двухфакторная  аутентификация клиента с одной  стороны (с использованием отчуждаемого  защищенного носителя) и банка  — с другой. Используя надежный идентификатор, USB-ключ или смарт-карту, пользователь подключает его и вводит свой PIN-код на странице банка, после чего происходит взаимная аутентификация пользователя и банковского информационного ресурса. Если она прошла успешно, пользователь может быть уверен, что находится именно на этой web-странице именно этого банка и никто не «слушает» его трафик. Двусторонняя аутентификация обеспечивает также и гарантию того, что это именно тот пользователь, за которого он себя выдает, а не злоумышленник, решивший воспользоваться чужим банковским счетом в своих целях.

   Топ-менеджмент ряда «прогрессивных»  российских банков уже приходит  к осознанию того, что использование  простейших способов аутентификации, типа «логин-пароль», не обеспечивает нужной степени защиты, и это серьезным образом подрывает доверие к дистанционным технологиям обслуживания клиентов, интернет-банкингу и т.п., что не может не сказываться на репутации банка. О том, насколько узок круг «прогрессивных», можно судить на примере США, где, по данным Gartner, лишь около половины банков располагают продвинутыми технологиями аутентификации.

   «Наши заказчики — пионеры  внедрения технологий строгой  аутентификации — в основном  берут все расходы по приобретению  более надежных идентификаторов на себя и бесплатно, но в обязательном порядке раздают их своим клиентам, чтобы обезопасить свой бизнес и сохранить репутацию. И это — еще одна тенденция современного банковского бизнеса», — говорит гендиректор Aladdin. 
 
 
 
 
 

5. Криптография  — дело федеральной безопасности

   Вторая серьезная угроза, актуальная  для любого бизнеса, а для  банковского — вдвойне, это  spyware — программы-шпионы. Этот своего  рода злонамеренный код пишется  специально для того, чтобы незаметно  для пользователя собирать различную информацию о нем и автоматически отправлять ее своему создателю. «Шпионы» «подсаживаются» на компьютер при посещении пользователем каких-либо web-ресурсов или при открытии им неблагонадежного письма и скачивают любую информацию, представляющую интерес для автора «шпиона».

   В настоящее время разработка  программ-шпионов для осуществления  заказной атаки в отношении  отдельного банка или конкретного  должностного лица, имеющего критически  важную информацию, приносит их  создателям весьма серьезный  доход. Предложение подобных услуг можно встретить в сети интернет. А цена делает их доступными для широкого круга потребителей.

   Обезопасить банк от таких  атак можно, лишь комплексно  подойдя к вопросу контент-безопасности, где речь идет уже не о  защите информационных ресурсов банка по внешнему периметру, что очевидно, но о защите внутренних информационных потоков для контролирования каждого пользователя и той информации, которая от него исходит.

   Также нельзя обойти вниманием  проблему чрезмерной регламентации рынка со стороны государства. Сферу СКЗИ регулируют два ведомства — Гостехкомиссия и ФСБ. Гостехкомисия занимается выдачей лицензий на разработку защищенных средств, в первую очередь аппаратуры. В сфере компетенции ФСБ — сертификация и учет обращения средств шифрования и электронной подписи (средства криптографии). Для того чтобы иметь право распространять и использовать СКЗИ в своей продукции, у компании-производителя прикладного ПО, должны быть необходимые лицензии ФСБ, которые следует регулярно подтверждать.

   Виктор Иванов (R-Style Softlab) считает,  что российской спецификой рынка  ПО для обеспечения информационной  безопасности является чрезмерное  влияние регулирующих госорганов, которые играют контрольно-распорядительную  роль.

   Но российская специфика развития рынка имеет и свои достоинства. «Мы на рынок финансовых приложений выходим более защищенными, чем западные банковские системы, которые изначально развивались с ритейла. Вследствие того, что развитие розничных банковских услуг опережало развитие средств обеспечения информационной защиты, ритейловые системы на Западе слабее защищены. Именно поэтому там больше проблем с обеспечением безопасности специализированных приложений», — считает эксперт. Впрочем, эти недостатки могут быть элиминированы путем глубокой интеграции СКЗИ в прикладное ПО.

   Существует еще одна принципиальная  проблема, связанная с несовершенством  законодательной базы. Необходимо  определиться, как рассматривать  продукты, содержащие встроенные  криптоалгоритмы, которые свободно  используются на рынке (продукты Microsoft). Получается, что компании, которые продают офисный софт, фактически действуют нелегально, поскольку с этим софтом распространяют и средства криптозащиты (они не являются сертифицированными). Банку, чтобы работать с этими средствами криптографии, нужно получить целый пакет лицензий. В свою очередь, для получения пакета лицензий он обязан использовать только сертифицированные средства. Круг замкнулся. «Фактически, если банк в работе использует Windows, то использует и встроенные в нее криптографические средства. Имеет смысл решить проблему с de jure незаконным использованием «публичной» криптографии и официально дать встроенным средствам «зеленую улицу», — убежден Виктор Иванов (R-Style Softlab).

   Есть еще один казус, связанный с использованием криптографических средств. В настоящее время все СКЗИ сертифицируются на три года. Проходит три года, и возникает вопрос, что с таким СКЗИ делать? Распространять это средство криптозащиты нельзя, а вот можно ли использовать? Закон не дает однозначного ответа, что позволяет говорить о еще одной правовой лакуне. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

6. Рост спроса на биометрию — десятки процентов  в год

   Инструменты «умной» защиты банков  отнюдь не исчерпываются СКЗИ. Наиболее актуальным и во многом еще неосвоенным направлением защиты банковского бизнеса являются, пожалуй, системы биометрической идентификации. Во многом рост популярности биометрии в банковском секторе подстегнуло подчеркнутое внимание к ней со стороны государственных органов стран-лидеров мировой экономики, ставшее следствием глобальной террористической экспансии. Грядущее в России введение биометрических паспортов стимулировало интерес российского бизнес-сообщества в целом и его банковской составляющей в частности к биометрическим системам защиты.

   Как рассказал «БО» директор  по развитию бизнеса компании BioLink Technologies Дмитрий Кравцов, в  последнее время характер интереса  банкиров к биометрии разительно  изменился. Вопросы уже сводятся  не к прикидочному «а что это такое — биометрическая идентификация?», но вполне предметному «что может ваше решение, каковы его характеристики, где и что мы приобретем?». И сегодня представители банковских структур, которые уже попробовали что-то относительно простое, предлагают разработать оригинальную систему на биометрических компонентах, учитывающую тонкости бизнеса именно этого банка.

   Какая-либо национальная специфика  развития рынка, по мнению Дмитрия  Кравцова, отсутствует — вполне  типичный бурнорастущий (десятки  процентов ежегодно) рынок. За исключением одного принципиального обстоятельства. Холодный климат большинства регионов России повышает требования к аппаратному обеспечению, которое будет установлено на открытом пространстве. Биометрические системы для офиса банка в Сургуте или Ханты-Мансийске должны будут отличаться от их аналогов в Лос-Анджелесе.

   «Цены на аппаратное обеспечение  в России находятся примерно  на том же уровне, что и в  остальном мире. Цены же на  программную часть системы могут  отличаться в разы, причем в России стоимость сложных проектов на сегодня существенно ниже, чем за рубежом», — говорит эксперт.

   Что касается потребностей рыночных  игроков, то прежде всего банковские  структуры интересует защита  доступа к важной информации (вход  в компьютер, базу данных) по отпечатку пальца или другим биометрическим признакам сотрудников банка. Кроме того, подтверждение транзакций, например, перечисление средств выше определенной суммы, контроль доступа в помещения.

   Менее устоявшийся, но быстро  растущий спрос отмечается на ряд продуктов, например подтверждение запроса при удаленной работе (выездное отделение банка для выдачи потребкредитов в магазине, салоне). Пользуется спросом учет деловой активности — постоянный контроль за присутствием сотрудника на рабочем месте. При этом коллега-сосед не сможет за сотрудника ввести его пароль или приложить проксимити-карту для отметки присутствия отсутствующего человека. Банки заинтересованы в подтверждении удаленных транзакций для клиентов банка через системы «Банк-Клиент» и идентификации представителей клиентов, приезжающих в банк лично.

   Можно утверждать, что риски, например, internet-banking с применением биометрических  средств идентификации будут,  несомненно, снижены. «Так и хочется  сказать, что до нуля, — восклицает Дмитрий Кравцов (BioLink Technologies). — Но! Существуют еще другие проблемы с безопасностью внутри банковских интернет-сервисов, которые зачастую сводят все остальные меры безопасности на нет». Так что, от комплексного решения проблемы безопасности транзакций никак не уйти.

   Для того, чтобы биометрия стала  неотъемлемой частью такого рода  решений, необходим ряд правовых  новелл. Должны быть приняты законодательные  акты о закреплении биометрических  признаков человека в качестве  равноправных наряду с бумажными документами для идентификации человека.

   Также необходима разработка, утверждение  регламентов и системы контроля  за их соблюдением. Сегодня  не существуeт ни стандартов, по  которым должны разрабатываться  новые биометрические продукты, ни сертификационных процедур для подтверждения качества таких продуктов.

   Было бы несправедливым говорить  о том, что в этом направлении  ничего не делается. «Наша компания  принимает самое активное участие  в работе подкомитета по биометрии  в рамках технического комитета Росстандарта, который разрабатывает биометрические стандарты для России», — говорит Д. Кравцов. Конечно, достойно сожаления, что согласование требований со стороны различных заинтересованных ведомств продвигается подчас с большим трудом из-за полярности требований.¹  
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

7. Обеспечиваемая  шифром степень защиты

   Хорошие криптографические системы  создаются таким образом, чтобы  сделать их вскрытие как можно  более трудным делом. Можно  построить системы, которые на  практике невозможно вскрыть (хотя доказать сей факт обычно нельзя). При этом не требуется очень больших усилий для реализации. Единственное, что требуется - это аккуратность и базовые знания. Нет прощения разработчику, если он оставил возможность для вскрытия системы. Все механизмы, которые могут использоваться для взлома системы надо задокументировать и довести до сведения конечных пользователей.

   Теоретически, любой шифровальный  алгоритм с использованием ключа  может быть вскрыт методом  перебора всех значений ключа. Если ключ подбирается методом грубой силы (brute force), требуемая мощность компьютера растет экспоненциально с увеличением длины ключа. Ключ длиной в 32 бита требует 2^32 (около 10^9) шагов. Такая задача под силу любому дилетанту и решается на домашнем компьютере. Системы с 40-битным ключом (например, экспортный американский вариант алгоритма RC4) требуют 2^40 шагов - такие компьютерные мощности имеются в большинстве университетов и даже в небольших компаниях. Системы с 56-битными ключами (DES) требуют для вскрытия заметных усилий, однако могут быть легко вскрыты с помощью специальной аппаратуры. Стоимость такой аппаратуры значительна, но доступна для мафии, крупных компаний и правительств. Ключи длиной 64 бита в настоящий момент, возможно, могут быть вскрыты крупными государствами и уже в ближайшие несколько лет будут доступны для вскрытия преступными организациями, крупными компаниями и небольшими государствами. Ключи длиной 80 бит могут в будущем стать уязвимыми. Ключи длиной 128 бит вероятно останутся недоступными для вскрытия методом грубой силы в обозримом будущем. Можно использовать и более длинные ключи. В пределе нетрудно добиться того, чтобы энергия, требуемая для вскрытия (считая, что на один шаг затрачивается минимальный квантовомеханический квант энергии) превзойдет массу солнца или вселенной.