Дмитрий Горелов, коммерческий директор компании «Актив», рассказал о технологиях безопасности виртуального банкинга и о том, как сделать клиент-банк еще одним конкурентным преимуществом. // Андрей Лазарев, специально для Bankir.Ru
Досье Bankir.Ru. Дмитрий Горелов. Работает на рынке информационной безопасности (ИБ) более 20 лет. В 1994 году с партнерами основал компанию «Актив», которая занимается разработкой и производством аппаратных средств аутентификации Рутокен и средств защиты программного обеспечения от нелегального копирования Guardant. Входит в совет директоров Российской Криптологической Ассоциации «РусКрипто» и возглавляет программный комитет ежегодной конференции «РусКрипто». Является признанным экспертом на рынке отечественной ИБ, что подтверждает его активная деятельность в качестве модератора и докладчика на различных мероприятиях, посвященных защите информации.
- Ни для кого не секрет, что виртуальный банкинг – уже не роскошная дополнительная услуга, которую банк предоставляет своим клиентам в качестве бонуса, а серьезный инструмент, гарантирующий лояльность клиентов и позволяющий сэкономить. Но, к сожалению, до сих пор узким местом интернет-банкинга остается обеспечение должного уровня информационной безопасности. Какие на сегодняшний день существуют технологии, позволяющие сделать проведение операций через интернет более «секьюрными»?
- Вы правы, интернет-банкинг (или клиент-банк) в современном динамичном мире – отличный помощник. Для клиента – это существенная экономия времени. Отпала необходимость ездить в банк для осуществления операций по счету: можно в любое удобное время посмотреть выписку по счету, узнать внутренний курс валют, погасить кредит, провести любой платеж и многое другое. Для банка же перевод клиента в «виртуальное пространство» - серьезная экономия бюджета: нет необходимости открывать все больше и больше дополнительных офисов для обслуживания клиентов.
Во многих банках система клиент-банк выполняет до сих пор некую справочную функцию – можно посмотреть выписки по счету, провести простые транзакции, но доверить клиенту самостоятельно проводить через интернет межбанковские операции пока решаются немногие. Связано это с тем, что гарантировать безопасность таких «удаленных» операций могут себепозволить далеко не все. Наиболее популярной защитой до сих пор является логин и пароль.
При заключении договора клиенту передается пакет документов, в котором и содержится необходимый логин и пароль для доступа к клиент-банку. Действительно, эта технология не требует никаких дополнительных финансовых вливаний, но думаю, не стоит говорить о том, почему она небезопасна. Следующая по популярности технология – скретч-карты, на которых под защитным слоем содержится до сотни одноразовых паролей доступа. Более современная и относительно недорогая технология, но после того, как количество одноразовых паролей закончится – клиенту снова придется идти в банк и получать новую карту. А если клиент - юридическое лицо и проводит до 50 финансовых операций в день? Надолго ли ему хватит такой карточки? Сейчас очень популярна технология получения одноразовых паролей доступа на мобильный телефон в виде смс-сообщения. Однако система безопасности, основанная на смс-уведомлениях, имеет свои ограничения. Представим себе ситуацию: клиенту необходимо пополнить баланс мобильного телефона. Клиент запрашивает в личном кабинете клиент-банка одноразовый пароль для проведения транзакции, но получить смс он не сможет, так как мобильный телефон заблокирован. Возможны сбои на стороне мобильного оператора и прочие внешние форс-мажорные обстоятельства.
- Получается, что существующие технологии не всегда гарантируют клиенту банка то, что в любой момент он может воспользоваться интернет-банком и при этом быть уверенным в надежности и легитимности финансовых операций?
- Это не так. Наиболее надежной и безопасной технологией удаленного управления счетом является верификация операций средствами электронной цифровой подписи (ЭЦП), которая генерируется средствами криптопровайдера (СКЗИ). Ключ ЭЦП - это некий набор символов, который является паспортом-пропуском клиента в виртуальный мир банковских операций. При заключении договора обслуживания клиент получает ключ, и каждую проведенную операцию он будет подтверждать росчерком «виртуального пера»: электронная подпись поступает на проверку в Удостоверяющий центр банка (это специальная служба, отвечающая за выдачу цифровых сертификатов и за проверку их подлинности), где формируется ответ – подтвердить подлинность сертификата или отклонить запрос. Но! Важно обеспечить достойное хранение секретного ключа ЭЦП: устаревшие на сегодняшний день методы, такие как дискета или флешка абсолютно небезопасны. Нужен контейнер, который будет хранить ЭЦП в зашифрованном виде, недоступном непосвященным людям или злоумышленникам. Роль такого контейнера выполняют смарт-карты и USB-токены.
- Что безопаснее и надежнее – USB-токен или смарт-карта?
- Оба этих устройства обладают практически одинаковым функционалом. Единая сущность – разные конструктивы. Но для работы со смарт-картой необходим считыватель – еще одно устройство в копилку делового человека. Согласитесь, это не всегда удобно. USB-токен же выглядит как небольшой брелок, дополнительных приспособлений не требует, можно носить на связке с ключами. Для доступа к интернет-банкингу нужен компьютер или ноутбук, оснащенный USB-портами, доступ к интернету и токен.
- Компания «Актив» с 2002 года занимается разработкой и производством USB-токенов, выпускаемых под брендом Рутокен. Уже много лет «Актив» входит в тройку крупнейших поставщиков USB-токенов в России и на равных конкурирует с международными компаниями. Чем ваш продукт заслужил уважение и признание на рынке ИБ?
- Действительно, Рутокен – наше сравнительно новое направление, 8 лет назад совместно с фирмой «Анкад» мы разработали электронные USB-идентификаторы, которые с успехом заменили парольные системы защиты информации. Основу Рутокен составляет микроконтроллер, который выполняет криптографическое преобразование данных, и память, в которой хранятся данные пользователя (пароли, сертификаты, ключи шифрования и т. д.). Нет необходимости запоминать множество паролей – все они надежно, в зашифрованном виде содержатся в памяти токена.
Рутокен – продукт, сделанный в соответствии с отечественными и международными стандартами, имеет сертификаты ФСБ и ФСТЭК, подтверждающие нашу компетентность и соответствие принятым в России государственным нормам в области защиты конфиденциальной информации. Сертифицированный Рутокен может также работать со сведениями под грифом «секретно». Немногие наши зарубежные коллеги способны подкрепить свои обещания сертификатами такого уровня.
Играет роль также и цена продукта. Мы сами производим USB-токены и для крупных заказчиков действует механизм прямых продаж. Мы можем себе позволить держать достаточно невысокие цены на токены, что, согласитесь, в массовых проектах имеет не последнее значение.
Мы являемся и разработчиками, и производителями, поэтому наша служба технической поддержки оперативно передает ИТ-специалистам пожелания клиентов по доработке продукта, и те вносят необходимые коррективы. Таким образом, Рутокен стремительно развивается и совершенствуется.
- Как происходит аутентификация пользователя в системе клиент-банк при помощи Рутокен?
- Перед первым подключением устанавливается только драйвер Рутокен, после чего можно смело погружаться в мир интернет банкинга. Все что должен сделать пользователь - это подключить токен к USB-порту и набрать PIN-код, после чего каждая транзакция, отправленная через клиент-банк, будет подписана личной ЭЦП клиента и будет признана легитимной. Таким образом, осуществляется двухфакторная аутентификация, когда доступ к информации можно получить, только обладая уникальным предметом (токеном) и зная некоторую уникальную комбинацию символов (PIN-код). Срок действия цифрового сертификата – от года до 3-х лет.
- В каких аспектах интернет-банкинга преобладает защита USB-токенами – для физических или юридических лиц?
- На сегодняшний день существует тенденция, что клиент-банку для юридических лиц уделяется больше внимания в плане обеспечения высокой «секьюрности». Что в вполне логично, так как объемы транзакций и суммы, переводимые со счета на счет, у корпоративных клиентов значительно выше, нежели чем у среднестатистического физического лица. Кроме того, у корпоративных клиентов больше вероятность хищения прав доступа к клиент-банку. Материальный ущерб может быть колоссальный! Юридическим лицам в системе клиент-банк не то что рекомендуется, а необходимо использовать электронную цифровую подпись.
Уровень доверия простого пользователя к интернет-платежам растет, и все чаще клиент выбирает не просто близкий к дому или работе банк, а современный, предоставляющий удобный «виртуальный кабинет», в котором можно не выходя из дома оплатить коммунальные услуги с минимальной комиссией, погасить кредиты, проконтролировать рост депозитных счетов, перевести деньги близким, детализировать платежи. Однако для физического лица актуален несколько иной уровень соотношения безопасности и стоимости услуги. Увы, цена имеет первоочередное значение. Возможно, связано это с тем, что простые пользователи традиционно склонны недооценивать уровень угроз и ошибочно рассчитывать на то, что их-то уж точно взламывать не станут. Для обеспечения требуемого уровня надежности операций, совершаемых пользователем со своего домашнего компьютера через систему банк-клиент, банкам приходится балансировать между стоимостью и безопасностью. Именно поэтому Рутокен и выступает в роли «золотой середины», доступной по цене и предоставляющей требуемую защиту. Обеспечение USB-токеном частного клиента – это не только вопрос безопасности, но и некий имиджевый ход, значительное конкурентное преимущество: банк заботится о деньгах клиента, деньги находятся под надежной защитой, а ключ к ним зашифрован и доступен только владельцу.
- Не так давно завершился первый этап проекта по поставке большой партии Рутокен для пользователей системы «Банк-Клиент» ОАО «Нордеа Банка». В каких еще банках используется ваш продукт?
- Рутокен является контейнером для ключей ЭЦП во многих банках России: Банк «Союз», АМТ Банк, «Промышленно-торговый банк», «Ханты-Мансийский банк», «Азиатско-Тихоокеанский Банк» и другие, а в банке «Открытие» недавно стартовал крупный проект с использованием нашей новой разработки – Рутокен ЭЦП.
Если банк хочет, чтобы Рутокен был изготовлен в фирменных цветах и с логотипом, мы готовы пойти навстречу такому пожеланию. Индивидуальное исполнение USB-токенов позволяет сделать ключевой носитель легко узнаваемым в рамках конкретного проекта и поднимает имидж банка.
- Насколько Рутокен легко вписывается в архитектуру системы клиент-банк? Требуются ли какие-то дополнительные усилия для интеграции USB-токена и системы?
- Мы сотрудничаем с отечественными разработчиками систем клиент-банкинга, BSS, БИФИТ, РФК, Инверсией и другими. Зачастую банк покупает систему уже с токенами, а потом заказывает дополнительные партии по мере надобности.
Что касается работы с криптопровайдерами, то большинство отечественных сертифицированных средств криптографической защиты информации (СКЗИ) взаимодействуют с Рутокен. В связи с чем, добавить в существующую систему ИБ электронный ключ как средство хранения ЭЦП для конечных пользователей не составит труда. Некоторые из производителей СКЗИ, например, СигналКОМ, ЛИССИ, Инфотекс, используют Рутокен ЭЦП для генерации ключей и вычисления ЭЦП.
Совместно с компанией КриптоПро мы выпустили новое решение для аутентификации и хранения ЭЦП – КриптоПро Рутокен CSP, которое объединяет возможности самого распространенного российского СКЗИ КриптоПро CSP и USB-токена с неизвлекаемыми ключами Рутокен ЭЦП.
Совсем недавно наше сотрудничество с компанией «Банк Софт Системс» (BSS) вышло на более высокий уровень – новая версия системы «ДБО BS-Client» будет поддерживать всю линейку идентификаторов Рутокен и программно-аппаратное СКЗИ «КриптоПро Рутокен CSP».
По сути, работа сотрудников банка при внедрении наших токенов минимальна. В ряде случаев, если используется достаточно старая версия ПО, необходимо обновление системы клиент-банк на новую версию, в которой включена поддержка Рутокен.
// Андрей Лазарев, специально для Bankir.Ru
http://bankir.ru/publication/article/6188686