Безопасность банка: инструменты защиты информации
Возможность развития дистанционного обслуживания банков напрямую связана с уровнем обеспечения безопасности, в первую очередь информационной.
Банковский сектор, как ни один другой, активно использует достижения информационных технологий и систем телекоммуникаций. Наряду с безусловно положительными факторами, этот процесс включает в себя и негативные моменты, связанные, прежде всего, с проблемой обеспечения безопасности банковской деятельности. В первую очередь это касается операций, производимых клиентами банка с помощью систем дистанционного банковского обслуживания.
Число операций, проводимых в режиме удаленного доступа, растет. Связано это с несомненными преимуществами таких систем перед традиционным обслуживанием клиента в офисе банка. Дистанционное обслуживание позволяет не зависеть от режима работы банка, его расположения.
Дистанционное обслуживание не предполагает непосредственного обращения клиента в банк, и поэтому требуется уделять повышенное внимание идентификации клиента, проверке его поручений на целостность и защите от утечки информации. Таким образом, при дистанционном банковском обслуживании на первое место выходят проблемы обеспечения безопасности удаленной работы клиента с банком. Этими вопросами, как правило занимаются подразделения информационной безопасности.
Способы защиты
Любой банк потенциально является объектом, для которого повышенное внимание к безопасности – один из основных постулатов. Банк защищает свои средства и средства клиентов, используя для этого комплексную систему обеспечения безопасности, в которую входят как охрана физических объектов, так и информации.
Безопасность предполагает наличие подсистемы защиты информации, обеспечивающей целостность электронных документов, аутентификацию их отправителей и защиту от несанкционированного доступа к данным. Возможно, это неизбежное ограничение мобильности, но только так банки могут предоставить клиенту гарантии подлинности документов и обезопасить от возможных финансовых рисков и потерь.
В первую очередь вопросы защиты информации касаются взаимодействия банка и клиента с использованием внешних каналов связи. Особенно актуально это при работе через интернет, поскольку в сети из-за свободы доступа и перемещения информационных потоков велика вероятность мошенничества.
Существуют определенные меры обеспечения безопасности, в том числе шифрование канала, идентификация клиента, идентификация транзакций клиента. Наивысшую защиту для средств электронной цифровой подписи и шифрования канала обеспечивают решения, сертифицированные ФАПСИ.
Идентификация клиента
Для того чтобы обезопасить себя и своих клиентов, банки в первую очередь обеспечивают защиту на уровне доступа клиента к счету. То есть для того, чтобы клиент банка мог управлять своими средствами, не опасаясь за их сохранность, банку необходимо знать его «в лицо».
Управление банковским счетом можно отнести к своеобразной форме сделки. Действительно, платежное поручение есть ни что иное, как волеизъявление одного субъекта правовых отношений (клиента), поручающее другому субъекту этих отношений (банку) передать часть финансовых средств клиента третьему субъекту (получателю платежа). Естественно, что во избежание недоразумений, банк должен удостовериться, что данное волеизъявление действительно исходит от правомочного владельца счета, то есть идентифицировать его. По этой причине неприемлем вариант, когда клиент дает такое распоряжение, например, просто позвонив по телефону, без дополнительных средств идентификации.
То есть банк должен обладать инструментами, позволяющими определять своего клиента. Эту функцию выполняют различные виды паролей и кодов доступа.
Наиболее распространенным на сегодняшний момент можно считать использование PIN кодов, например, при доступе к счету через банкомат. В этом случае система определяет клиента, во-первых, по пластиковой карте, а во-вторых, по вводимому коду. При этом должны присутствовать обе составные части процесса идентификации, что позволяет защитить деньги на счету клиента в случае утери карточки.
В некоторых случаях PIN код клиента дополняется TAN кодом. Например, при управлении счетом с телефона. Система ТАN кодов создана так, что не позволяет злоумышленникам подслушать, а потом использовать пароль, вводимый клиентом в тоновом режиме.
В рамках этой технологии, например, в ОАО «Уралвнешторгбанк», используется таблица PIN-TAN кодов, представляющая собой список неповторяющихся паролей. Клиент, осуществляя платежи, каждый раз вводит новый код из таблицы. Повторно один и тот же код система никогда не примет. Таким образом, при соблюдении клиентом мер предосторожности при хранении и использовании таблицы, достигается необходимый уровень защиты. В этом случае происходит не только идентификация клиента с помощью PIN-кода, как это делается при работе с банкоматами, но и идентификация транзакций клиента, использующая TAN-код.
Стоит отметить, что PIN-TAN коды применяются не только для защиты информации при телефонном соединении.
Так же идентификация клиента осуществляется при помощи электронно-цифровой подписи, которая является, по утверждению специалистов, полноценной заменой подписи и печати.
Традиционное управление счетом путем оформления платежного поручения в письменном виде и его защитой при помощи подписи и печати, по мнению банкиров, не является гарантией стопроцентной защиты средств клиента, ведь подпись и печать можно подделать.
Cредства защиты информации, выполняющие роль подписи и печати должны удовлетворять таким основным требованиям как возможность идентифицировать принадлежность подписи определенному лицу на основе объективных показателей, невозможность подделки посторонними, жесткая связь с защищаемым документом. Не должно быть возможности внесения изменений в защищаемый документ без нарушения цифровой подписи или «перенесения» подписи на другой документ.
Все эти критерии полностью или частично отсутствуют у подписи и печати, которые применяются в обычной практике при работе с «бумажными» документами. Более полное соответствие перечисленным выше требованиям защищенности, по мнению банкиров, обеспечивают технологии с применением электронной цифровой подписи (ЭЦП).
ЭЦП – это определенная числовая последовательность, однозначно зависящая от содержания документа (сообщения) и закрытого личного ключа отправителя.
Проверка ЭЦП под документом, производится соответствующим открытым ключом. Открытый и секретный ключи однозначно связаны между собой, они генерируются только парами, но вычислить один ключ по другому невозможно.
Правильность ЭЦП документа подтверждает, что документ не искажен, так как подпись зависит от его содержания, и что он составлен именно отправителем, так как закрытый ключ отправителя, от которого она также зависит, не известен более никому. В этом плане электронная подпись надежнее обычных подписи и печати.
То есть, электронная цифровая подпись при ее правильной эксплуатации не просто надежнее традиционных средств защиты, но и функциональней. Таким образом, ЭЦП – это принципиально лучший метод защиты денежных средств. Надо сказать, что такой инструмент, как электронная цифровая подпись, используется практически во всех банках, имеющих развитую систему дистанционного обслуживания.
«Для защиты информации в процессе ее движения от клиента к банку используются сертифицированные средства криптозащиты, в первую очередь электронная цифровая подпись. ЭЦП позволяет, во-первых, удостовериться, что именно этот клиент подписал данный документ, и, во-вторых, эта же электронная цифровая подпись четко показывает, что в процессе передачи документа от клиента до банка по сети никто не произвел каких-либо несанкционированных изменений, потому что любое, даже незначительное изменение, сразу же повлияет на значение функции электронно-цифровой подписи. Если значение электронно-цифровой подписи изменилось, банк отвергает такой документ. Таким образом, в банковскую систему попадают только документы, которые подписаны клиентом и поступили в неизменном виде», – говорит заместитель руководителя департамента информационных технологий ОАО «Уралвнешторгбанк», Сергей Шувалов.
Другие способы защиты
Инструменты идентификации клиента банка, позволяющие получить доступ к его счету, безусловно, являются основным элементом системы информационной безопасности банка. Однако, при использовании открытых каналов доступа, таких, как интернет, появляется опасность использования информации третьими лицами во время ее передачи по сети от клиента банку. Поэтому возникает необходимость защиты не только доступа клиента к счету, но и самого канала передачи информации. Частично эти функции выполняет ЭЦП и система PIN-TAN кодов, но для гарантированной безопасности клиента банки используют дополнительные меры, позволяющие оградить потоки информации между банком и клиентом от внешних воздействий.
К таким мерам можно отнести специализированные программно-аппаратные комплексы, устанавливаемые на стороне банка. Кроме того, банки часто используют средства дополнительного шифрования трафика при общении с клиентом через интернет, например протокол SSL.
Одной из мер защиты банка и клиентов является отделение интернет-серверов банка в сети от внутренних информационных систем. Такая схема применяется Банком России. «На сайт Банка России ежедневно совершается более тысячи атак – «хакерских», «вирусных» и т.д. От них никто не застрахован – ни мы, ни другие организации, имеющие веб-сайты. И только благодаря тому, что сайт Банка России отделен от внутренних информационных систем, появляется возможность говорить о достаточно высоком уровне защищенности. Конечно, в свое время это потребовало дополнительных затрат на оборудование и телекоммуникации, но они несопоставимы с потерями, которые могли бы возникнуть в случае несанкционированного доступа к внутренним системам Банка России», – сообщают представители банка.
«В Уралвнешторгбанке интернет-клиенты работают с транзакционным сайтом банка, который имеет жестко заданный и контролируемый уровень защиты, степень надежности. Система безопасности со стороны банка направлена на выявление и отражение атак со стороны внешних сетей, в частности из интернета. Следует отметить, что атаки фиксируются довольно часто, но система, управляемая специалистами службы информационной защиты, их успешно отражает. Кроме стандартных мер по защите существует определенный регламент работы в аварийных режимах во время атаки. Следует отметить, что поддержание необходимого уровня защиты информации – это непрерывный процесс: появляются новые способы взлома, и мы производим донастройку своих систем с целью противодействия.
В этом вопросе мы устойчиво впереди хакеров и можем сказать, что в нашем банке система безопасности работает хорошо», – заявляет Сергей Шувалов.
Как утверждают специалисты, о защите операций со счетами должны заботиться и сами клиенты. Безопасность информации при удаленном общении с банком зависит, кроме всего прочего, от информационной культуры клиента, от его привычки правильно к ней относиться. Поэтому специалисты говорят, что необходимо повышать уровень культуры обращения с информацией клиентов.
Кроме того не следует забывать об общепринятых мерах безопасности: не оставлять дискету в компьютере, прятать ключевую дискету, не передавать ее и пароль третьим лицам, следить за тем, чтобы секретные ключи не находились в памяти компьютера, а также при соединении с интернет выбирать безопасный режим и следовать рекомендациям служб банков при настройке и эксплуатации системы.
Выводы
Система защиты информации в банке необходима наряду с обеспечением физической безопасности объектов. Недооценка вопросов информационной безопасности может стоить банку намного больше, чем это предполагалось ранее, тем более в условиях развития систем дистанционного обслуживания клиентов.
В настоящих условиях, чтобы полностью обезопасить себя и клиента, банку не достаточно ввести систему ограничения доступа к счетам в виде паролей и кодов. Большинство банкиров считает, что необходима комплексная система обеспечения безопасности банка, многие положения которой регламентируются Центробанком, а также корректные действия пользователя системы удаленного обслуживания при использовании ключей и паролей.
Эта система базируется на следующих основных элементах, каждый из которых требует тщательного анализа и планирования: организационные мероприятия (кадры, создание охраны и т.п.), программные и технические средства защиты информации и электронные системы (оповещения, наблюдения и контроля).
Банковский сектор, как ни один другой, активно использует достижения информационных технологий и систем телекоммуникаций. Наряду с безусловно положительными факторами, этот процесс включает в себя и негативные моменты, связанные, прежде всего, с проблемой обеспечения безопасности банковской деятельности. В первую очередь это касается операций, производимых клиентами банка с помощью систем дистанционного банковского обслуживания.
Число операций, проводимых в режиме удаленного доступа, растет. Связано это с несомненными преимуществами таких систем перед традиционным обслуживанием клиента в офисе банка. Дистанционное обслуживание позволяет не зависеть от режима работы банка, его расположения.
Дистанционное обслуживание не предполагает непосредственного обращения клиента в банк, и поэтому требуется уделять повышенное внимание идентификации клиента, проверке его поручений на целостность и защите от утечки информации. Таким образом, при дистанционном банковском обслуживании на первое место выходят проблемы обеспечения безопасности удаленной работы клиента с банком. Этими вопросами, как правило занимаются подразделения информационной безопасности.
Способы защиты
Любой банк потенциально является объектом, для которого повышенное внимание к безопасности – один из основных постулатов. Банк защищает свои средства и средства клиентов, используя для этого комплексную систему обеспечения безопасности, в которую входят как охрана физических объектов, так и информации.
Безопасность предполагает наличие подсистемы защиты информации, обеспечивающей целостность электронных документов, аутентификацию их отправителей и защиту от несанкционированного доступа к данным. Возможно, это неизбежное ограничение мобильности, но только так банки могут предоставить клиенту гарантии подлинности документов и обезопасить от возможных финансовых рисков и потерь.
В первую очередь вопросы защиты информации касаются взаимодействия банка и клиента с использованием внешних каналов связи. Особенно актуально это при работе через интернет, поскольку в сети из-за свободы доступа и перемещения информационных потоков велика вероятность мошенничества.
Существуют определенные меры обеспечения безопасности, в том числе шифрование канала, идентификация клиента, идентификация транзакций клиента. Наивысшую защиту для средств электронной цифровой подписи и шифрования канала обеспечивают решения, сертифицированные ФАПСИ.
Идентификация клиента
Для того чтобы обезопасить себя и своих клиентов, банки в первую очередь обеспечивают защиту на уровне доступа клиента к счету. То есть для того, чтобы клиент банка мог управлять своими средствами, не опасаясь за их сохранность, банку необходимо знать его «в лицо».
Управление банковским счетом можно отнести к своеобразной форме сделки. Действительно, платежное поручение есть ни что иное, как волеизъявление одного субъекта правовых отношений (клиента), поручающее другому субъекту этих отношений (банку) передать часть финансовых средств клиента третьему субъекту (получателю платежа). Естественно, что во избежание недоразумений, банк должен удостовериться, что данное волеизъявление действительно исходит от правомочного владельца счета, то есть идентифицировать его. По этой причине неприемлем вариант, когда клиент дает такое распоряжение, например, просто позвонив по телефону, без дополнительных средств идентификации.
То есть банк должен обладать инструментами, позволяющими определять своего клиента. Эту функцию выполняют различные виды паролей и кодов доступа.
Наиболее распространенным на сегодняшний момент можно считать использование PIN кодов, например, при доступе к счету через банкомат. В этом случае система определяет клиента, во-первых, по пластиковой карте, а во-вторых, по вводимому коду. При этом должны присутствовать обе составные части процесса идентификации, что позволяет защитить деньги на счету клиента в случае утери карточки.
В некоторых случаях PIN код клиента дополняется TAN кодом. Например, при управлении счетом с телефона. Система ТАN кодов создана так, что не позволяет злоумышленникам подслушать, а потом использовать пароль, вводимый клиентом в тоновом режиме.
В рамках этой технологии, например, в ОАО «Уралвнешторгбанк», используется таблица PIN-TAN кодов, представляющая собой список неповторяющихся паролей. Клиент, осуществляя платежи, каждый раз вводит новый код из таблицы. Повторно один и тот же код система никогда не примет. Таким образом, при соблюдении клиентом мер предосторожности при хранении и использовании таблицы, достигается необходимый уровень защиты. В этом случае происходит не только идентификация клиента с помощью PIN-кода, как это делается при работе с банкоматами, но и идентификация транзакций клиента, использующая TAN-код.
Стоит отметить, что PIN-TAN коды применяются не только для защиты информации при телефонном соединении.
Так же идентификация клиента осуществляется при помощи электронно-цифровой подписи, которая является, по утверждению специалистов, полноценной заменой подписи и печати.
Традиционное управление счетом путем оформления платежного поручения в письменном виде и его защитой при помощи подписи и печати, по мнению банкиров, не является гарантией стопроцентной защиты средств клиента, ведь подпись и печать можно подделать.
Cредства защиты информации, выполняющие роль подписи и печати должны удовлетворять таким основным требованиям как возможность идентифицировать принадлежность подписи определенному лицу на основе объективных показателей, невозможность подделки посторонними, жесткая связь с защищаемым документом. Не должно быть возможности внесения изменений в защищаемый документ без нарушения цифровой подписи или «перенесения» подписи на другой документ.
Все эти критерии полностью или частично отсутствуют у подписи и печати, которые применяются в обычной практике при работе с «бумажными» документами. Более полное соответствие перечисленным выше требованиям защищенности, по мнению банкиров, обеспечивают технологии с применением электронной цифровой подписи (ЭЦП).
ЭЦП – это определенная числовая последовательность, однозначно зависящая от содержания документа (сообщения) и закрытого личного ключа отправителя.
Проверка ЭЦП под документом, производится соответствующим открытым ключом. Открытый и секретный ключи однозначно связаны между собой, они генерируются только парами, но вычислить один ключ по другому невозможно.
Правильность ЭЦП документа подтверждает, что документ не искажен, так как подпись зависит от его содержания, и что он составлен именно отправителем, так как закрытый ключ отправителя, от которого она также зависит, не известен более никому. В этом плане электронная подпись надежнее обычных подписи и печати.
То есть, электронная цифровая подпись при ее правильной эксплуатации не просто надежнее традиционных средств защиты, но и функциональней. Таким образом, ЭЦП – это принципиально лучший метод защиты денежных средств. Надо сказать, что такой инструмент, как электронная цифровая подпись, используется практически во всех банках, имеющих развитую систему дистанционного обслуживания.
«Для защиты информации в процессе ее движения от клиента к банку используются сертифицированные средства криптозащиты, в первую очередь электронная цифровая подпись. ЭЦП позволяет, во-первых, удостовериться, что именно этот клиент подписал данный документ, и, во-вторых, эта же электронная цифровая подпись четко показывает, что в процессе передачи документа от клиента до банка по сети никто не произвел каких-либо несанкционированных изменений, потому что любое, даже незначительное изменение, сразу же повлияет на значение функции электронно-цифровой подписи. Если значение электронно-цифровой подписи изменилось, банк отвергает такой документ. Таким образом, в банковскую систему попадают только документы, которые подписаны клиентом и поступили в неизменном виде», – говорит заместитель руководителя департамента информационных технологий ОАО «Уралвнешторгбанк», Сергей Шувалов.
Другие способы защиты
Инструменты идентификации клиента банка, позволяющие получить доступ к его счету, безусловно, являются основным элементом системы информационной безопасности банка. Однако, при использовании открытых каналов доступа, таких, как интернет, появляется опасность использования информации третьими лицами во время ее передачи по сети от клиента банку. Поэтому возникает необходимость защиты не только доступа клиента к счету, но и самого канала передачи информации. Частично эти функции выполняет ЭЦП и система PIN-TAN кодов, но для гарантированной безопасности клиента банки используют дополнительные меры, позволяющие оградить потоки информации между банком и клиентом от внешних воздействий.
К таким мерам можно отнести специализированные программно-аппаратные комплексы, устанавливаемые на стороне банка. Кроме того, банки часто используют средства дополнительного шифрования трафика при общении с клиентом через интернет, например протокол SSL.
Одной из мер защиты банка и клиентов является отделение интернет-серверов банка в сети от внутренних информационных систем. Такая схема применяется Банком России. «На сайт Банка России ежедневно совершается более тысячи атак – «хакерских», «вирусных» и т.д. От них никто не застрахован – ни мы, ни другие организации, имеющие веб-сайты. И только благодаря тому, что сайт Банка России отделен от внутренних информационных систем, появляется возможность говорить о достаточно высоком уровне защищенности. Конечно, в свое время это потребовало дополнительных затрат на оборудование и телекоммуникации, но они несопоставимы с потерями, которые могли бы возникнуть в случае несанкционированного доступа к внутренним системам Банка России», – сообщают представители банка.
«В Уралвнешторгбанке интернет-клиенты работают с транзакционным сайтом банка, который имеет жестко заданный и контролируемый уровень защиты, степень надежности. Система безопасности со стороны банка направлена на выявление и отражение атак со стороны внешних сетей, в частности из интернета. Следует отметить, что атаки фиксируются довольно часто, но система, управляемая специалистами службы информационной защиты, их успешно отражает. Кроме стандартных мер по защите существует определенный регламент работы в аварийных режимах во время атаки. Следует отметить, что поддержание необходимого уровня защиты информации – это непрерывный процесс: появляются новые способы взлома, и мы производим донастройку своих систем с целью противодействия.
В этом вопросе мы устойчиво впереди хакеров и можем сказать, что в нашем банке система безопасности работает хорошо», – заявляет Сергей Шувалов.
Как утверждают специалисты, о защите операций со счетами должны заботиться и сами клиенты. Безопасность информации при удаленном общении с банком зависит, кроме всего прочего, от информационной культуры клиента, от его привычки правильно к ней относиться. Поэтому специалисты говорят, что необходимо повышать уровень культуры обращения с информацией клиентов.
Кроме того не следует забывать об общепринятых мерах безопасности: не оставлять дискету в компьютере, прятать ключевую дискету, не передавать ее и пароль третьим лицам, следить за тем, чтобы секретные ключи не находились в памяти компьютера, а также при соединении с интернет выбирать безопасный режим и следовать рекомендациям служб банков при настройке и эксплуатации системы.
Выводы
Система защиты информации в банке необходима наряду с обеспечением физической безопасности объектов. Недооценка вопросов информационной безопасности может стоить банку намного больше, чем это предполагалось ранее, тем более в условиях развития систем дистанционного обслуживания клиентов.
В настоящих условиях, чтобы полностью обезопасить себя и клиента, банку не достаточно ввести систему ограничения доступа к счетам в виде паролей и кодов. Большинство банкиров считает, что необходима комплексная система обеспечения безопасности банка, многие положения которой регламентируются Центробанком, а также корректные действия пользователя системы удаленного обслуживания при использовании ключей и паролей.
Эта система базируется на следующих основных элементах, каждый из которых требует тщательного анализа и планирования: организационные мероприятия (кадры, создание охраны и т.п.), программные и технические средства защиты информации и электронные системы (оповещения, наблюдения и контроля).
Другие материалы по теме:
- В Екатеринбурге прошел семинар-презентация «Дистанционное банковское обслуж ...
- В дополнительном офисе ЗАО «Свердловский Губернский банк» в Асбесте увеличи ...
- Ассоциация региональных банков России обратилась в Банк России с просьбой ...
- В Свердловском Губернском банке отмечен прирост числа клиентов, работающих ...
- ОАО «УБРиР» провело семинар, в ходе которого клиентам были разъяснены детал ...