Интернет-банкинг: две стороны одного сервиса

Аналитический банковский журнал, 9 (172), сентябрь 2009

По некоторым данным, более 82% финансово-кредитных организаций имеют свои представительства в Интернет. Всё более широкое распространение получает и электронный банкинг: всё идет к тому, что очереди "в кассу" останутся в советском прошлом. И действительно, сейчас только ленивый не обеспечил для пользователей банковских услуг возможность управления своим счётом через привычный канал Интернет.

Однако вместе с новыми возможностями дистанционное банковское обслуживание приносит банкам и клиентам новые риски. "Аналитический банковский журнал" попросил рассказать о том, как их избежать, специалистов по информационным технологиям и информационной безопасности.

Можно ли утверждать, что интернет-банкинг предлагает пользователю комфорт и удобство в ущерб информационной безопасности? Какие основные угрозы информационной безопасности систем ДБО наиболее актуальны сегодня? Какие шаги должны предпринимать банки, предлагающие сервисы удалённого обслуживания клиентов, для усиления функций безопасности и повышения доверия пользователей? Возможно ли в правильной пропорции разделить ответственность пользователя системы ДБО и ответственность банка при несанкционированном доступе к системе? Ответы на эти, и другие вопросы — в совместном проекте "Аналитического банковского журнала" и компании Aladdin.

Участники круглого стола

• Андрей Курило, Заместитель начальника ГУБиЗИ Банка России
• Юрий Шульга, Начальник отдела криптографической защиты информации Службы информационной безопасности Банка "Возрождение" (ОАО)
• Иван Янсон, Заместитель руководителя службы информационной безопасности Промсвязьбанка
• Андрей Степаненко, Член правления Райффайзенбанка, руководитель дирекции обслуживания физических лиц
• Георгий Кораблев, Заместитель начальника Отдела систем, сетей и информационной безопасности ЗАО "БСЖВ"
• Алексей Кирюшенков, Директор Департамента систем электронного банковского обслуживания компании R-Style Softlab
• Артем Сычев, Начальник управления информационной безопасности ОАО "Россельхозбанк"
• Сергей Кутузов, Администратор системы электронных расчетов, начальник отдела информационных технологий АБ "Интерпрогрессбанк" (ЗАО)
• Михаил Кривилев, Заместитель коммерческого директора Компании BSS
• Павел Крылов, Начальник отдела ИТ-рисков Управления риск менеджмента, ОАО "Сведбанк"
• Сергей Егоров, старший специалист отдела ИТ, ЗАО "Коммерцбанк (Евразия)"
• Роман Шефатов, Начальник Управления безопасности АКБ "17-й Процессинговый" (ЗАО)
• Роман Ермошин, Менеджер по маркетингу в России и странах СНГ "MoneyGram International Ltd"

Ключ к безопасной системе ДБО

Как показывает проведенный опрос, эксперты едины во мнении относительно сбалансированного распределения принимаемых мер безопасности как на стороне банка, так и на стороне пользователя системы ДБО. Нюанс состоит в том, что банк, фактически, не имея возможности контролировать уровень защищённости пользовательской среды, тем не менее, должен предоставить клиенту необходимые средства обеспечения безопасной работы со своим счётом. Одним из таких средств, применяемых как физическими, так и юридическими лицами, стали токены, оптимальные во всех отношениях устройства, - позволяющие решать задачи строгой аутентификации пользователей в системе и защиты от компрометации ключа электронной цифровой подписи.

В зависимости от функциональной нагрузки, токены могут различаться по внешнему виду. Наиболее простым и экономичным решением являются автономные ОТР-токены (One Time Password), оснащённые генератором одноразовых паролей. Такие OTP-устройства различаются принципом действия и внешним видом. В основном различают два типа генерации: по времени, когда текущий одноразовый пароль отображается на экране и периодически (например, раз в минуту) меняется, или по событию, когда новое значение генерируется каждый раз при нажатии пользователем на кнопку устройства.

Более надёжным вариантом считается сочетание двух и более "факторов" аутентификации. К примеру, это запоминаемый пароль и одноразовая числовая последовательность, либо аппаратное средство аутентификации - криптографический токен - и PIN-код к нему. Использование двухфакторного метода аутентификации для получения доступа в систему основано на факторе "то, что я имею" (токен или смарт-карта), а также факторе "то, что я знаю" (PIN-код к нему).

В отличие от других внешних носителей (например, флэш-дисков) при использовании токенов нет необходимости в копировании секретной пользовательской информации в оперативную память компьютера при проведении операции аутентификации, поскольку подобные устройства не только надёжно хранят реквизиты доступа, но и аппаратно выполняют необходимые криптографические вычисления. Кроме того, токен персонализирован, следовательно, все действия с его использованием выполняются владельцем и фиксируются в системе.

Постепенно банки приходят к пониманию того, что уровень безопасности, удовлетворявший требованиям информационной безопасности ранее, сегодня уже недостаточен. Использование дискет, флэш-дисков и прочих "бытовых" носителей для сохранения ключевой пользовательской информации постепенно уходит в прошлое. То, что дешево, редко бывает надёжно - и это более чем справедливое утверждение для защиты реквизитов доступа в системах дистанционного банковского обслуживания. Именно по этой причине в системах ДБО наиболее продвинутых банков сегодня используются два основных типа токенов: те, которые аппаратно выполняют работу с криптографическими ключами по алгоритмам ГОСТа и никогда "не выпускают" их наружу, и те, что хранят ключи в защищённой области памяти и "отдают" их внешнему крипто-провайдеру во время операций подписи документа.

По прогнозам аналитиков, с появлением более технологичных, а значит и менее затратных токенов, продолжится рост интереса банков к этим устройствам, могущим стать эффективным решением, оптимальным по соотношению "цена-качество". Наиболее широкие перспективы на этом рынке открываются для производителей токенов с аппаратной реализацией российской криптографии и интеграцией в инфраструктуру открытых ключей, что соответствует требованиям регуляторов и обеспечивает высокий уровень защиты в банковских системах.