НОТА-Банк: комплексный подход к информационной безопасности
Дистанционное банковское обслуживание (ДБО) является удобным способом сократить расходы на обслуживание клиентов, повысив в то же время качество предоставляемых услуг (в первую очередь, за счет возможности совершать банковские операции круглосуточно и из любого удобного клиенту места, где есть доступ в Интернет или другие каналы удаленных коммуникаций). Однако использование систем ДБО влечет за собой необходимость обеспечения безопасности передаваемой информации.
НОТА-Банк – один из ведущих российских банков, специализирующийся на обслуживании корпоративной клиентуры. В 2007 году в целях увеличения доступности банковских сервисов и спектра банковских услуг для своих клиентов НОТА-Банк принял решение о внедрении системы ДБО для юридических лиц. В качестве инструмента для обеспечения удаленного банковского обслуживания корпоративных клиентов была выбрана система «ДБО BS-Client» компании BSS (ООО «Банк Софт Системс»). Базовый функционал системы обеспечивает ввод и обработку различных типов платежных и иных документов клиентов банка, получение выписок и обмен сообщениями клиентов с банком посредством сети Интернет. Внедрение сервисов ДБО актуализировало вопрос обеспечения безопасности финансовых транзакций в части защиты передаваемой информации при совершении банковских операций.
ОАО «НОТА-Банк» работает на российском финансовом рынке более 14 лет. В последние годы банк демонстрирует высокие темпы роста основных финансовых показателей. По данным газеты «Коммерсант» (05.04.2007, 05.06.2008), «Нота-Банк» второй год подряд входит в TOP-100 самых быстро растущих банков стран СНГ, активы которых превышают 100 млн долл.
Банк специализируется на обслуживании корпоративной клиентуры. В 2008 г. количество обслуживаемых корпоративных клиентов превысило 1000. Взвешенная финансовая политика, проводимая банком, гарантирует стабильный и прогнозируемый доход от финансовых операций. С целью максимального приближения своих услуг к уже имеющимся корпоративным клиентам в регионах, банк обращает особое внимание на региональное развитие.
Новый импульс развитию банка дала принятая в 2005 г. стратегия, нацеленная на кредитование малого и среднего бизнеса. Банк стремится стать одним из лидеров в этой области, сохраняя при этом прочные позиции в сегментах работы с крупными корпоративными клиентами.
«Обеспечение информационной безопасности мы рассматриваем как непрерывный процесс, а не фронт работ, имеющий отправную точку и финал. Угрозы в области ИБ постоянно растут, меняется их вектор, появляются новые риски для банков. В соответствии с этими изменениями должна наращиваться и актуализироваться система информационной безопасности банка, – говорит начальник Службы информационной безопасности НОТА-Банка Игорь Усачев. – Сейчас практически все банки предоставляют услуги дистанционного обслуживания, одной из самых популярных среди них является Интернет-банкинг, требующий постоянной работы операторов в Интернете для удаленного обслуживания клиентов. Естественно, появление такого сервиса сопряжено с рисками, источником которых является сеть Интернет. Это и массовые DDos-атаки и адресные атаки на конкретные аккаунты с использование специализированных вредоносных приложений. На карте стоит репутация и финансовое благополучие банка, следовательно, необходимо внедрять новые технологии борьбы с современными Web-угрозами. Причем важно принимать эти меры превентивно, не дожидаясь возникновения негативного прецедента».
Для обеспечения комплексной безопасности при работе с клиентскими данными руководством НОТА-Банка была поставлена задача создания системы идентификации и строгой аутентификации сотрудников банка при доступе к информационным ресурсам банка. Эта задача была тесно сопряжена с обеспечением централизованного управления средствами аутентификации, «привязанными» к конкретному пользователю (сотруднику банка), имеющему строго определенные права и уровень привилегий при работе с защищенной информацией. Данная система должна была учитывать специфику работы банка, отвечать требованиям регуляторов в банковской сфере, а также обладать рядом технологических возможностей по интеграции с инфраструктурой открытых ключей (Public Key Infrastructure, PKI).
НОТА-Банк столкнулся с неожиданной проблемой: на российском рынке подобный класс решений фактически не представлен. Универсальная же система требовала доработки и могла отвлечь на себя слишком много технических ресурсов банка, что создавало дополнительные риски. В результате изучения предложений рынка банк принял решение о внедрении программного комплекса Avanpost Access System (АванПост), который является системой управления инфраструктурой открытых ключей, а также управления идентификацией и доступом пользователей к различным информационным ресурсам (Identity&Access Management, IAM). На сегодняшний день система Avanpost является фактически безальтернативной на российском рынке: она разработана в полном соответствии с требованиями предъявляемыми регуляторами к финансово-кредитным организациям, работающим на российском рынке. В отличии от аналогичных систем зарубежных производителей в ней учтены все нюансы законодательства РФ и требований отраслевых стандартов. Используя в качестве носителей идентификационной информации электронные ключи eToken компании Aladdin, система Аванпост позволяет обеспечить надежную защиту закрытых ключей электронной цифровой подписи (ЭЦП), строгую аутентификацию пользователя при доступе к информационным ресурсам банка, а также автоматизацию большинства ежедневных рутинных операций, выполняемых администраторами.
«Для защиты закрытых ключей ЭЦП пользователя мы выбрали носители eToken, – рассказывает Игорь Усачев из НОТА-Банка. – Причины на поверхности: во-первых, это рост угроз связанных с нелегальным доступом к акканутам систем ДБО, в частности, систем Интернет-банкинга. Это происходит в силу слабого уровня защиты рабочих мест пользователей, большинство из которых хранит файл-контейнер с ключевой информацией в памяти компьютера или на дискете, т.е. в легкодоступных для злоумышленника местах». Обладая секретной ключевой информацией, злоумышленник может успешно исполнить роль легального пользователя банковского сервиса и провести нужную ему транзакцию. Специализированные USB-носители eToken обеспечивают надежность хранения закрытых ключей ЭЦП и не зависят от уровня безопасности клиентского рабочего места.
Кроме того, в системе «ДБО BS-Client», используемой в НОТА-банке, также полностью реализована поддержка ключей eToken от Aladdin, что обеспечило корректность встраивания и избавило банк от необходимости дополнительных затрат на интеграцию, отмечает Игорь Усачев.
В рамках комплексной работы по обеспечению информационной безопасности банк пересмотрел технологический подход к защите от различных угроз, источником которых является Интернет. Специалистами банка были протестированы ряд решений, обеспечивающих фильтрацию Web-трафика и защиту ресурсов банка от вредоносного кода. Также сравнивались и анализировались возможности решений для обеспечения защиты почтовой системы банка от спама. В результате проведенных исследований выбор был сделан в пользу шлюзового решения Aladdin eSafe, устанавливаемого на уровне входа в сеть. Комментируя выбор решения, заместитель начальника информационно – аналитического управления НОТА-Банка Игорь Усачев подчеркнул: «Наличие ряда продуктов от различных вендоров в банковской сети для защиты от web-угроз (персональных, серверных и др.) может привести к снижению управляемости и, как следствие, снижению эффективности системы защиты. В этой связи мы считаем наиболее правильным подход, при котором на рабочем месте пользователей не устанавливается клиентского ПО, а вредоносный код и спам отфильтровываются на шлюзе, позволяя сотрудникам работать с «чистым» контентом, без риска заражения ПК. Таким решением является eSafe от Aladdin». Аргументами в пользу внедрения данного решения стали также возможность централизованного управления, наглядная и подробная система отчетности, возможность введения единых политик обеспечения безопасности при работе сотрудников банка с Интернет-ресурсами.
Внедрение этой системы позволило решить такие задачи, как снижение нагрузки на конечные устройства (ПК сотрудников банка) за счет обнаружения и блокирования вредоносного кода и спама на уровне шлюза; снижение объема нежелательной корреспонденции до минимального уровня (99% спама отфильтровывается на входе в сеть); управление работой сотрудников в сети Интернет (URL-фильтрация); контроль за установкой и использованием различных Интернет-приложений. «В зависимости от наших нужд мы можем добавлять к существующей конфигурации дополнительный функционал, например, модуль eSafe Web SSL расширяет возможности фильтра в части анализа контента, передаваемого по защищенному криптографическими методами протоколу SSL, - отмечает И.Усачев. - Нередко сайты, использующие подобные протоколы недоступны для сканирования подавляющим большинством решений для Web-безопасности».
Подчеркивая мысль о том, что обеспечение информационной безопасности является непрерывным процессом, Игорь Усачев отметил гибкость и масштабируемость модернизированной системы информационной безопасности банка. «В вопросах ИБ мы стараемся придерживаться политики упреждающих мер, внедрения технологий, работающих на опережение. Этот подход отражен и в политике информационной безопасности банка. Основные требования, которые мы предъявляем к системе защиты корпоративной информационной системы банка это комплексность, интегрируемость, управляемость, масштабируемость и отказоустойчивость». Стоит отметить, что Политика ИБ разработана в соответствии с рекомендациями национального банковского стандарта СТО БР ИББС-1.0-2008, а также международным банковским стандартам, например, ISO 13569, требованиям Basel II; требованиям международных платежных систем (PCI DSS) и других.