"Антифрод-терминал" - безопасность для ДБО
<br>Статья Николая Афанасьева, менеджера по развитию продукта компании "Аладдин Р.Д.", о новом решении для кредитно-финансового сектора
Использование систем ДБО является удобным и современным способом управления финансовыми потоками через Интернет. Но какие бы меры защиты ни предпринимал пользователь на своем ПК, антивирусное ПО не может дать стопроцентную гарантию отсутствия вредоносного ПО.
Различные системы ДБО пытаются решить проблему такой недоверенной среды по-разному:
- используют одноразовые пароли;
- внедряют технологии электронной подписи (ЭП).
Однако использование SMS-сообщений для доставки одноразовых паролей не является безопасным, так как SMS могут быть перехвачены. Недавний взлом известных устройств RSA SecurlD показал, что генераторы одноразовых паролей также являются небезопасными. Более того, такие решения не обеспечивают целостность и юридическую значимость.
Наиболее безопасным и надёжным способом аутентификации пользователя и обеспечения значимости его действий является использование квалифицированной ЭП, аппаратно реализованной на смарт-карте с неизвлекаемым ключом.
Однако недоверенная среда сохраняет следующие угрозы:
- вредоносное ПО может перехватить PIN-код на доступ к смарт-карте при его вводе на компьютере;
- вредоносное ПО может попытаться подменить документ, отправляемый на подпись на смарт-карту.
Более того, 161-ФЗ "О национальной платёжной системе" требует, чтобы банки возмещали клиентам украденные с их счетов средства. А это открывает возможности для мошенничества легальным клиентам банков. Выполнив транзакцию, они могут заявить, что средства были украдены со счёта с помощью вредоносного ПО, и потребовать возмещения.
Как говорил Эйнштейн: "Невозможно решить проблему на том же уровне, на котором она возникла. Нужно стать выше этой проблемы, поднявшись на следующий уровень". Лидеры в своих сегментах рынка — компании "Аладдин Р.Д." и VASCO, — последовав совету Эйнштейна, совместно разработали инновационное решение, которое позволяет нейтрализовать угрозы недоверенной среды — "Антифрод-терминал". Устройство представляет собой защищённый считыватель смарт-карт со встроенным монитором визуального контроля подписываемых документов и цифровой клавиатурой для безопасного ввода PIN-кода.
Подписывая платёжное поручение или иной документ, пользователь визуализирует его содержимое на экране терминала и подтверждает либо отменяет подпись на самом терминале. При этом устройство блокирует попытки ввода PIN-кода из приложения, разрешая его ввод только с клавиатуры терминала и защищая тем самым смарт-карту от попыток получить несанкционированный доступ к её криптографическим возможностям.
Главной особенностью "Антифрод-терминала" является то, что он имеет встроенный криптографический чип и реализует новую технологию SWYX (Sign What You eXecuted), предоставляя самый высокий на сегодняшний день уровень безопасности при работе со смарт-картами.
"Антифрод-терминал" ведёт защищенный лог всех операций, которые выполняет он сам и вставленная в него смарт-карта. Этот лог аппаратно подписывается встроенным чипом терминала ЭП по ГОСТ 34.10 - 2001 и вместе с подписанным документом отправляется на сервер.
Структура лога позволяет серверу в режиме реального времени гарантированно убедиться в том, что именно подписанный документ был действительно визуализирован и подтверждён легальным пользователем на зарегистрированном безопасном терминале. Это защищает банки от действий как со стороны вредоносного ПО, так и со стороны недобросовестных пользователей, которые могут заявить, что определённая транзакция выполнена не ими, сославшись на вредоносное ПО. Проверка сохранённого на сервере ДБО лога при разборе подобной ситуации однозначно покажет, что вмешательства вредоносного ПО не было.
Таким образом, "Антифрод-терминал" позволяет банкам значительно снизить свои финансовые и репутационные риски, выводя безопасность систем ДБО на новый уровень.