eToken на защите ДБО
Cnews №7-10
Компания Aladdin обеспечила комплексную защиту системы ДБО «Коммерцбанк (Евразия)» на базе eToken PRO (Java).
Рост количества мошенничеств с банковскими веб-сервисами, случаев кражи аутентификационных данных и несанкционированным переводом денежных средств со счетов клиентов негативно влияет на уровень доверия к системам дистанционного банковского обслуживания. Осознавая масштаб проблемы и ее последствия, руководство ЗАО «Коммерцбанк (Евразия)» приняло решение о пересмотре ИТ-стратегии среднесрочной перспективы в пользу дополнительных инвестиций в систему защиты сервисов ДБО. Проанализировав ситуацию, специалисты банка пришли к выводам: подавляющее большинство инцидентов в области информационной безопасности при использовании ДБО связано с недостаточным уровнем защиты секретных ключей ЭЦП, а также реквизитов доступа (логины, пароли, криптоключи), хранимых пользователями в легкодоступных для мошенников местах (дискеты, флэшки). Неправомерное использование этих данных – это серьёзный риск, источником которого является слабая защита рабочих мест пользователей и невнимание к рекомендациям банков в области ИБ. Снижение влияния человеческого фактора на безопасность ДБО путём обеспечения безопасного хранения ключевой информации пользователя и аутентификационных атрибутов – стало основной задачей проекта «Коммерцбанк (Евразия)».
По результатам исследовательских работ, а также ряда консультаций со стороны профильных компаний, выбор банка был остановлен на средствах аутентификации и хранения ключевой информации eToken PRO (Java) – новой модели токенов компании Aladdin, созданных на базе Java-карты. Теперь цифровые сертификаты и ключи ЭЦП пользователей сохраняются в защищенной области памяти eToken PRO (Java), что исключает возможность неправомерного доступа к этим данным и, следовательно, хищения денежных средств со счета юридического лица. Кроме того, обеспечена идентификация пользователей в системе ДБО, а также двухфакторная аутентификация при доступе к счёту: данная процедура проверки позволяет достоверно убедиться в том, что пользователь, предъявивший электронный ключ eToken и знающий его PIN-код, является его законным владельцем. Применение сертифицированных средств криптографической защиты информации в комплексе с защищенными ключевыми носителями eToken позволили достичь высокого уровня безопасности проводимых операций и юридическую значимость передаваемых электронных документов.
Комментируя результаты проекта, Сергей Егоров, старший специалист отдела информационных технологий «Коммерцбанк (Евразия)», отметил: «Своевременная оценка рисков позволила принять превентивные меры по нейтрализации негативных прецедентов, связанных с угрозой хищения криптографических ключей и осуществлением несанкционированных транзакций. В целях повышения информационной безопасности при использовании сервисов ДБО ЗАО «Коммерцбанк (Евразия)» мы предлагаем клиентам использовать ключевые носители eToken PRO (Java) 72k, расширенные возможности которых в полной мере удовлетворяют требованиям банка и наших клиентов».