Подводные камни безопасности ДБО. Опыт реализованных проектов
Часть 1

Денис Калемберг

менеджер по работе с корпоративными заказчиками компании Aladdin

Олег Плотников

руководитель отдела маркетинга компании Aladdin

В     последние годы удаленное управление счетом является одной из наиболее быстро развивающихся банковских услуг. По данным крупнейших российских банков, количество их клиентов – пользователей дистанционного банковского обслуживания (ДБО) – растет на 20–100% в год. В то же время растет и активность интернет-мошенников, совершающих атаки на клиентов банков. По данным МВД, только в Москве каждый месяц происходит больше десятка успешных мошеннических операций с использованием систем ДБО. Средний ущерб по каждому инциденту составляет более 3 млн рублей. Помимо этого, ежедневно сотрудниками служб безопасности банков пресекаются попытки мошенничества на суммы в сотни миллионов рублей.

Адекватно воспринимая эту угрозу, в 2009–2010 гг. многие российские банки активно реализовывали проекты повышения защищенности систем ДБО. Основным документом, регламентирующим безопасность ДБО, является письмо ЦБ РФ №36-Т от 31 марта 2008 г. "О рекомендациях по организации управления рисками, возникающими при осуществлении кредитными организациями операций с применением систем интернет-банкинга". Тем не менее, банки в своих проектах развили эти положения и разработали так называемые лучшие практики, которые мы рассмотрим в данной статье.

Масштабы бедствия: с чем приходится бороться?

Любой проект повышения безопасности дистанционного банковского обслуживания уникален. У каждого банка свои клиенты и своя тарифная политика, своя система ДБО и свои используемые средства защиты информации, свои внутренние бизнес-процессы и свое отношение к услугам дистанционного банкинга. Все это накладывает на систему ДБО отпечаток индивидуальности, придающий услугам неповторимые особенности.

В то же время проекты повышения уровня защищенности систем ДБО имеют много общего: встречаются одни и те же проблемы, решаются схожие задачи. С чем приходится сталкиваться отделам информационной безопасности банков? Каковы этапы реализуемых ими проектов?

Этапы типового проекта повышения безопасности в системах ДБО изображены на рис. 1. Рассмотрим эти задачи более подробно.

Какова стоимость риска?

Финансово-экономическое обоснование проекта повышения защищенности ДБО обычно связывают с анализом возможных финансовых потерь банка, возникающих в связи с хищениями средств со счетов клиентов. Как оценить эти потери? С некоторой долей упрощения их можно представить как совокупность трех составляющих:

•  Прямые потери клиентов. По статистике2, при атаке на одного клиента (юрлицо) обычно похищается от 500 тыс. до 25 млн рублей. При этом в большинстве случаев атаке подвергаются одновременно несколько клиентов банка. Известны случаи, когда клиенты через суд взыскивали с банка похищенные средства. Таким образом, возврат похищенных средств клиента может целиком "лечь на плечи" самого банка.

• Репутационные потери банка. Наиболее продвинутые клиенты, пострадавшие от действий мошенников, публикуют информацию о хищениях на популярных банковских ресурсах (например, www.banki.ru или www.bankir.ru), а также обращаются в прессу и на телевидение, что может спровоцировать формирование негативного имиджа банка и даже отток клиентов.

•  Затраченные ресурсы. При анализе возможных потерь необходимо также принимать во внимание расходы, связанные с отвлечением от работы сотрудников IТ-департа-мента и специалистов по информационной безопасности банка. Устранение последствий совершенных атак – это отдельный фронт работ, приводящий к увеличению расходов.

Кроме того, возможны еще и неочевидные потери банка, не связанные с украденными средствами клиента напрямую. Так, после самого хищения злоумышленниками обычно организуется DDoS-атака на сервис системы ДБО, в результате чего он временно прекращает функционирование. Еще одним аргументом в пользу проекта повышения защищенности ДБО может стать простой анализ ущерба банка при стандартной DDoS-атаке длительностью 8 часов. Ущерб можно оценить как сумму двух величин:

• Недополученная прибыль. Для определения этой величины руководителю отдела ИБ достаточно знать число клиентов системы ДБО, среднесуточное количество операций в системе и стоимость одной операции. Так, при средних значениях – 5000 клиентов, 15 операций в день и 16 рублей – недополученная прибыль составит 1,2 млн рублей в день.
• Расходы на защиту от DDoS-атаки. В среднем расходы на оперативную защиту могут составить от 100 до 200 тыс. рублей. Кроме того, если входящий трафик при DDoS-атаке будет тарифицирован провайдером (его "перерасход" может составить до 100 Гб), то затраты могут увеличиться еще на 100 тыс. рублей.

Таким образом, суммируя приведенные расходы, можно оценить возможные косвенные потери банка: от 1,3 до 1,5 млн рублей3 в день проведения атаки. При этом данная сумма не включает в себя стоимость сервисов сторонних компаний (например, услуг по расследованию инцидентов информационной безопасности), которую обычно не принимают во внимание при оценке величины ущерба.

Анализируя данные цифры, можно прийти к следующему выводу: два-три инцидента хищений могут нанести банку ущерб, сопоставимый с затратами на проект по повышению уровня безопасности системы ДБО.

Краеугольный камень – выбор технологий защиты

Успешно реализованный этап финансово-экономического обоснования проекта неизбежно перетекает в стадию анализа угроз конкретной системы ДБО. От каких угроз защищаются современные системы дистанционного банкинга? Какие решения и технологии выбирают ведущие банки и по каким критериям происходит выбор?

Несмотря на многообразие существующих систем дистанционного банковского обслуживания, угрозы и схемы атак со стороны интернет-мошенников можно свести к нескольким достаточно стандартным вариантам4:

• Атака на ключ ЭЦП пользователя. Скопировать ключ можно из незащищенного хранилища (flash-накопитель, жесткий диск и т.д.) или оперативной памяти компьютера. Первый вариант используется в подавляющем большинстве (около 70%) случаев хищения денежных средств со счетов клиентов, а второй – достаточно редко (около 5%). В качестве защиты от атак такого типа традиционно используются защищенные ключевые носители, или токены, выполняющие внутри себя операции с закрытым ключом пользователя. Одно лишь это простейшее решение позволит клиентам успешно противостоять большинству атак и не допустить компрометацию закрытого ключа ЭЦП.
• Атака на криптографические возможности токена. Данный вид атак подразумевает удаленное управление компьютером клиента с подключенным токеном. По приблизительным оценкам, такие атаки сейчас составляют около 15% от общего количества инцидентов. Безопасность в данном случае хорошо обеспечивает комбинация средств защиты – ЭЦП документа на базе аппаратных средств (токенов) и подтверждение транзакций или рабочей сессии одноразовым паролем.
• Действия внутреннего злоумышленника на стороне клиента (инсайд). Достаточно распространенное (около 10% случаев) явление. Здесь использование токенов не столько защищает от атаки, сколько упрощает расследование и поиск виновных, ведь воспользоваться ключом может только человек, имеющий физический доступ к нему, а также знающий PIN-код.
• Подмена документа в момент его подписания ЭЦП (или расчета HASH). Это сравнительно новый, дорогой и пока еще очень редкий вид атак. По статистике, он был использован в менее чем 1% случаев хищений. Основным инструментом реализации такой атаки являются специализированные "банковские трояны". На сегодняшний день наиболее эффективным средством противодействия попыткам подмены документа является комплексная защита – использование клиентами токенов в комплекте с антивирусными средствами.

В ходе анализа определяются наиболее актуальные из перечисленных угроз и выбираются технологии обеспечения безопасности с учетом таких факторов, как "портрет клиента" банка, интенсивность его работы, требования к мобильности и т.д. В качестве примера комплексного подхода к выбору технологических решений можно привести следующий спектр устройств для обеспечения безопасности финансовых операций клиентов:

• защита для физических лиц, осуществляющих небольшие платежи, например до 50 тыс. рублей, – генераторы одноразовых паролей (так называемые OTP-токены);
• защита операций юридических лиц – предприятий малого бизнеса, а также физических лиц, осуществляющих крупные платежи, – защищенные ключевые носители;
• защита средних и крупных корпоративных клиентов – защищенные ключевые носители в сочетании с генераторами одноразовых паролей;
• защита операций VIP-клиентов – мобильный защищенный доступ к ДБО с помощью замкнутой виртуальной среды, загружаемой со специального носителя.

Итак, мы получили некую "лесенку решений" (рис. 2) – совокупность средств обеспечения безопасности ДБО, зависящих от степени риска клиентов, величины выполняемых ими платежей и т.д. Каждое решение имеет свою стоимость, свою модель распространения среди пользователей услуг, предоставляет свои удобства для пользователей и свои возможности для бизнес-подразделений банка. Об этом мы поговорим в следующей части нашей статьи.