С уверенностью можно сказать, что катализатором активного распространения единых средств идентификации стало появление универсальных систем управления жизненным циклом электронных ключей (например, Token TMS — Token Management System) и смарт-карт (CMS — Card Management System) в масштабе предприятия. Этот продукт является связующим звеном между пользователями, их средствами аутентификации, security-приложениями и политикой безопасности, принятой в банке. Такие системы обеспечивают «прозрачность» управления и переводят административный контроль банковской информационной инфраструктуры на качественно новый уровень. Кто-то говорит об установлении, по сути, тотального контроля. Кто-то об упрощении жизни пользователя, поскольку теперь ему не приходится запоминать по 5—7 паролей для доступа к каждому приложению или — что сводит на нет все усилия офицера по ИБ — записывать эти пароли. Но это всего лишь разница оценочных, но не содержательных суждений.
2.4. Система «свой-чужой» для банка и клиента
Востребованность банками тех или иных продуктов жестко детерминируется самим характером угроз. Лавинообразный рост номенклатуры и доли банковских услуг с использованием интернета в «линейке» банковских предложений привел к возникновению новой группы взаимосвязанных преступлений. Ничего более точного для обозначения этого явления, чем калька с английского fishing — «фишинг», — русский язык пока не предложил. Фишингом именуется тип компьютерного мошенничества, основанный на создании поддельных web-ресурсов, позволяющих ввести пользователя в заблуждение (через спам, например, письма с заголовком «Извещение пользователей банковских услуг о переходе на новую систему зачисления платежей») и получить его конфиденциальные данные, как то: пароль, PIN-код и т.п. Причем пользователь, попавший в сети фишера, может наблюдать настоящий адрес банковского сайта в адресной строке браузера, но находиться сам при этом будет на сайте-подделке. Таким образом, продукты, защищающие от перехвата конфиденциальных данных, являются одними из самых востребованных сегодня.
Для того чтобы адекватно оценить масштабы угрозы, имеет смысл обратиться к цифрам, характеризующим динамику роста потока «инфицированных» писем. Согласно данным компании Postini, уже в июле текущего года количество такого рода сообщений перевалило за 19 млн. (из 8 млрд. совокупного числа электронных посланий). Для сравнения, в апреле их было зафиксировано лишь 9,7 млн. То есть за квартал их количество увеличилось без малого на 100%. А сумма ежегодно наносимого ущерба, по исчислениям глобального аналитического центра Gartner, уже с 2003 года зашкаливает за миллиард долларов.
Что может спасти от фишинга? Например, взаимная двухфакторная аутентификация клиента с одной стороны (с использованием отчуждаемого защищенного носителя) и банка — с другой. Используя надежный идентификатор, USB-ключ или смарт-карту, пользователь подключает его и вводит свой PIN-код на странице банка, после чего происходит взаимная аутентификация пользователя и банковского информационного ресурса. Если она прошла успешно, пользователь может быть уверен, что находится именно на этой web-странице именно этого банка и никто не «слушает» его трафик. Двусторонняя аутентификация обеспечивает также и гарантию того, что это именно тот пользователь, за которого он себя выдает, а не злоумышленник, решивший воспользоваться чужим банковским счетом в своих целях.
Топ-менеджмент ряда «прогрессивных» российских банков уже приходит к осознанию того, что использование простейших способов аутентификации, типа «логин-пароль», не обеспечивает нужной степени защиты, и это серьезным образом подрывает доверие к дистанционным технологиям обслуживания клиентов, интернет-банкингу и т.п., что не может не сказываться на репутации банка. О том, насколько узок круг «прогрессивных», можно судить на примере США, где, по данным Gartner, лишь около половины банков располагают продвинутыми технологиями аутентификации.
«Наши заказчики — пионеры внедрения технологий строгой аутентификации — в основном берут все расходы по приобретению более надежных идентификаторов на себя и бесплатно, но в обязательном порядке раздают их своим клиентам, чтобы обезопасить свой бизнес и сохранить репутацию. И это — еще одна тенденция современного банковского бизнеса», — говорит гендиректор Aladdin.
2.5. Криптография — дело федеральной безопасности
Вторая серьезная угроза, актуальная для любого бизнеса, а для банковского — вдвойне, это spyware — программы-шпионы. Этот своего рода злонамеренный код пишется специально для того, чтобы незаметно для пользователя собирать различную информацию о нем и автоматически отправлять ее своему создателю. «Шпионы» «подсаживаются» на компьютер при посещении пользователем каких-либо web-ресурсов или при открытии им неблагонадежного письма и скачивают любую информацию, представляющую интерес для автора «шпиона».
В настоящее время разработка программ-шпионов для осуществления заказной атаки в отношении отдельного банка или конкретного должностного лица, имеющего критически важную информацию, приносит их создателям весьма серьезный доход. Предложение подобных услуг можно встретить в сети интернет. А цена делает их доступными для широкого круга потребителей.
Обезопасить банк от таких атак можно, лишь комплексно подойдя к вопросу контент-безопасности, где речь идет уже не о защите информационных ресурсов банка по внешнему периметру, что очевидно, но о защите внутренних информационных потоков для контролирования каждого пользователя и той информации, которая от него исходит.
Также нельзя обойти вниманием проблему чрезмерной регламентации рынка со стороны государства. Сферу СКЗИ регулируют два ведомства — Гостехкомиссия и ФСБ. Гостехкомисия занимается выдачей лицензий на разработку защищенных средств, в первую очередь аппаратуры. В сфере компетенции ФСБ — сертификация и учет обращения средств шифрования и электронной подписи (средства криптографии). Для того чтобы иметь право распространять и использовать СКЗИ в своей продукции, у компании-производителя прикладного ПО, должны быть необходимые лицензии ФСБ, которые следует регулярно подтверждать.
Виктор Иванов (R-Style Softlab) считает, что российской спецификой рынка ПО для обеспечения информационной безопасности является чрезмерное влияние регулирующих госорганов, которые играют контрольно-распорядительную роль.
Но российская специфика развития рынка имеет и свои достоинства. «Мы на рынок финансовых приложений выходим более защищенными, чем западные банковские системы, которые изначально развивались с ритейла. Вследствие того, что развитие розничных банковских услуг опережало развитие средств обеспечения информационной защиты, ритейловые системы на Западе слабее защищены. Именно поэтому там больше проблем с обеспечением безопасности специализированных приложений», — считает эксперт. Впрочем, эти недостатки могут быть элиминированы путем глубокой интеграции СКЗИ в прикладное ПО.
Существует еще одна принципиальная проблема, связанная с несовершенством законодательной базы. Необходимо определиться, как рассматривать продукты, содержащие встроенные криптоалгоритмы, которые свободно используются на рынке (продукты Microsoft). Получается, что компании, которые продают офисный софт, фактически действуют нелегально, поскольку с этим софтом распространяют и средства криптозащиты (они не являются сертифицированными). Банку, чтобы работать с этими средствами криптографии, нужно получить целый пакет лицензий. В свою очередь, для получения пакета лицензий он обязан использовать только сертифицированные средства. Круг замкнулся. «Фактически, если банк в работе использует Windows, то использует и встроенные в нее криптографические средства. Имеет смысл решить проблему с de jure незаконным использованием «публичной» криптографии и официально дать встроенным средствам «зеленую улицу», — убежден Виктор Иванов (R-Style Softlab).
Есть еще один казус, связанный с использованием криптографических средств. В настоящее время все СКЗИ сертифицируются на три года. Проходит три года, и возникает вопрос, что с таким СКЗИ делать? Распространять это средство криптозащиты нельзя, а вот можно ли использовать? Закон не дает однозначного ответа, что позволяет говорить о еще одной правовой лакуне.
2.6. Рост спроса на биометрию — десятки процентов в год
Инструменты «умной» защиты банков отнюдь не исчерпываются СКЗИ. Наиболее актуальным и во многом еще неосвоенным направлением защиты банковского бизнеса являются, пожалуй, системы биометрической идентификации. Во многом рост популярности биометрии в банковском секторе подстегнуло подчеркнутое внимание к ней со стороны государственных органов стран-лидеров мировой экономики, ставшее следствием глобальной террористической экспансии. Грядущее в России введение биометрических паспортов стимулировало интерес российского бизнес-сообщества в целом и его банковской составляющей в частности к биометрическим системам защиты.
Как рассказал «БО» директор по развитию бизнеса компании BioLink Technologies Дмитрий Кравцов, в последнее время характер интереса банкиров к биометрии разительно изменился. Вопросы уже сводятся не к прикидочному «а что это такое — биометрическая идентификация?», но вполне предметному «что может ваше решение, каковы его характеристики, где и что мы приобретем?». И сегодня представители банковских структур, которые уже попробовали что-то относительно простое, предлагают разработать оригинальную систему на биометрических компонентах, учитывающую тонкости бизнеса именно этого банка.
Какая-либо национальная специфика развития рынка, по мнению Дмитрия Кравцова, отсутствует — вполне типичный бурнорастущий (десятки процентов ежегодно) рынок. За исключением одного принципиального обстоятельства. Холодный климат большинства регионов России повышает требования к аппаратному обеспечению, которое будет установлено на открытом пространстве. Биометрические системы для офиса банка в Сургуте или Ханты-Мансийске должны будут отличаться от их аналогов в Лос-Анджелесе.