В рубрику "В фокусе" | К списку рубрик | К списку авторов | К списку публикаций
Сергей Витальевич Давиденко, заместитель генерального директора по информационным технологиям ЗАО "Сберкарта", рассказал редакции о создании единой платежной системы в России, об уровне ее защищенности, а также затронул нормативно-правовые аспекты в этой области,
- Расскажите, пожалуйста, о создании единой платежной системы в России?
- РПС СБЕРКАРТ создана в октябре 2005 г., когда была учреждена компания-оператор межбанковской платежной системы - ЗАО "Сберкарта". Целью деятельности компании является формирование российской платежной системы на базе микропроцессорных технологий, ориентированной на рынок массовых розничных платежей населения. чредителями являлись Сберегательный банк РФ, Национальный резервный банк, Межрегиональный инвестиционный банк, компании BGS Smartcard Systems AG (Австрия) и "РГ Лизинг".
Основные цели, которые были поставлены перед нами: объединение усилий российских банков для создания национальной платежной системы, ориентированной на массовые повседневные платежи населения нашей страны; охват подавляющей части населения карточками; обеспечение возможности их использования в качестве инструмента безналичной оплаты практически за любые приобретаемые товары и услуги на территории России; а также перевод значительной доли наличного денежного оборота в безналичные операции. Также предполагается активное участие платежной системы в реализации ряда государственных проектов, которые связаны с внедрением безналичных платежей в различные сферы экономической и социальной жизни нашего государства.
В качестве технологической платформы системы выбрана многофункциональная микропроцессорная карта, которая позволяет размещать наряду с банковскими приложениями на чипе целый спектр небанковских приложений. Хочу отметить, что за все годы эксплуатации системы (с 1993 г. она развивалась Сберегательным банком России, с 2005 г. - как межбанковская платежная система) не было ни одного случая взлома карточек.
- Насколько российские платежные банковские системы уязвимы для внутренних атак (инсайдеров) и атак извне? Есть ли какая-нибудь статистика по этому вопросу?
- Нельзя говорить об уязвимости платежных систем абстрактно. Если серьезно подходить к анализу уязвимости, то нужно начинать с модели угроз, затем к детальному анализу каждого компонента системы, включая и участников платежных систем. Это длительный процесс.
Принципы, которые были заложены при создании всех известных нам платежных систем, были достаточными и гарантировали приемлемый уровень информационной безопасности на тот исторический промежуток времени, когда платежные системы только создавались. Мы все прекрасно помним времена, когда 100% финансовых транзакций "путешествовали" по сетям Х.25 и выделенным линиям связи. Внешне они были практически неуязвимы. Вполне достаточны были средства защиты и разграничение доступа пользователей к информации на прикладном уровне, на уровне приложений.
Но с приходом сети Интернет в банковский мир все перевернулось с ног на голову. Первой реализацией механизма защиты от внешних угроз стал межсетевой экран. Затем появились системы обнаружения и предотвращения вторжений, средства VPN, фильтрация контента и т.п. Также параллельно развиваются другие решения по обеспечению сетевой безопасности - мониторинг, аудит событий, антивирусы, криптографические средства, улучшается защищенность операционных систем.
В сфере банковских систем в настоящее время появляются микропроцессорные карты, которые по уровню защищенности на порядок выше магнитных. Казалось бы, настал рай для специалистов по информационной безопасности, но тут мы получили проблему инсайдеров, которая остро встала относительно недавно (8-10 лет назад). По статистике, именно с проблемами инсайдеров связано порядка 75-80% всех инцидентов, которые происходят в банковских платежных системах, как российских, так и зарубежных.
Были случаи, когда инсайдерские проблемы в банковских системах приводили практически к ее деградации, оттоку клиентов и потерям существенных долей рынка. Поэтому к вопросу защиты информации мы подходим комплексно. Мы используем средства информационной и физической безопасности, системы теле- и видеонаблюдения. Доступ в сеть у нас осуществляется только по карточкам, с помощью ввода дополнительных кодов идентификации. Ну и, естественно, за всем этим наблюдает незримое око нашей службы информационной безопасности.
Банковский финансовый бизнес чрезвычайно чувствителен к имиджевой составляющей, и каждая громкая утечка приводит к значительному, резкому ухудшению репутации банка или платежной системы. Если проанализировать финансовые отчеты зарубежных компаний, которые заявили о своих громких утечках, то видно, что ухудшение имиджа приводит к снижению прибыли до 30%.
Возможно, поэтому точной статистики в этой области нет. Финансовые компании, банки, любые крупные организации подобную информацию скрывают и пытаются такие проблемы урегулировать внутренними усилиями.
Информационная безопасность не является законченным процессом. За нее отвечает не только IT-директор и служба безопасности, но и президент компании, и бухгалтерия - каждый сотрудник компании должен быть вовлечен в обеспечение информации. Потому что проблема инсайдеров -это, в первую очередь, проблема отношений внутри коллектива.
- Можно ли сравнить уровень защищенности и развитости платежных систем России и зарубежных стран? И корректно ли вообще такое сравнение?
- Конечно, можно. Работаем мы на одном рынке, конкурируем друг с другом. Я хочу отметить, что практически все участники платежных систем используют похожие, а порой и одинаковые технологические решения по информационной безопасности. Это, в первую очередь, сетевые средства безопасности и мониторинга, аудит трафика и т.п. Таких продуктов много, они используются как в российских, так и в зарубежных платежных системах.
Можно отметить лишь отличия в чисто карточных и платежных технологиях, которые используются в наших и международных платежных системах. При этом понятно, что нельзя сравнивать защищенность магнитных и микропроцессорных карточек, это разные вещи. Что касается нас, то мы используем в нашей системе микропроцессорные карты, которые позволяют обеспечить великолепный уровень защиты.
В основе системы расчетов нашей платежной системы лежат следующие технологические принципы:
В нашей нормативной базе четко прописаны требования к участникам платежной системы, в том числе и требования по информационной безопасности, которые минимизируют риски от внешних и внутренних атак. Естественно, мы учитываем ту специфику, которую накладывает наше законодательство. Сегодня в России существует ряд нормативных актов, которые так или иначе регламентируют вопросы защиты персональных данных и конфиденциальной информации. Это федеральные законы о коммерческой тайне, о персональных данных, стандарты Банка России по IT-безопасности 2006 г., соглашения Basel II. Любая платежная система обязана соблюдать национальное законодательство.
Можно сделать вывод, что те технологии, которые используются нашей платежной системой, обеспечивают идентичный уровень защиты с международными платежными системами. Кроме того, мы ничуть не уступаем и по уровню технологической защиты. Можно сказать, что даже превосходим кое в чем.
- Будет ли в нашей стране вводится PSI DSS - стандарт защиты информации в индустрии платежных карт?
- В 2005 г. VISA и MasterCard приняли меры для защиты своих клиентов, в первую очередь от инсайдерских атак. Именно в этих целях и был разработан новый четкий набор требований к информационной безопасности - Payment Card Industry Data Security Standard (PSI DSS), соблюдение которого должно свести к минимуму информационные риски, закрыть уязвимые бреши в компьютерных системах пользователей VISA и MasterCard, а также сохранить значимую конфиденциальную информацию. Это очень интересный и полезный стандарт. По расчетам специалистов VISA и MasterCard, PSI DSS является самым оптимальным на сегодняшний день стандартом, который позволяет хранить значимую и конфиденциальную информацию, касающуюся пластиковых карт.
Я могу сказать, что во многих серьезных организациях положения этого стандарта к моменту его создания уже были реализованы на практике. В некоторых российских банках существуют и более жесткие внутренние требования ИБ по сравнению с требованиями, описанными этим стандартом.
PSI DSS обязателен для всех участников системы в Европе и США. В России же пока, насколько я знаю, действуют более мягкие условия. Но VISA в стандартных договорах оставляет за собой право использования более жесткого и плотного контроля по информационной безопасности для своих клиентов. Что же касается сроков ввода этого стандарта в России и его разработки каким-либо государственным органом для индустрии платежных карт, то такой информации у меня нет.
Хотя я не думаю, что Центральный банк будет разрабатывать и издавать какие-то жесткие требования, касающиеся информационной безопасности в индустрии пластиковых карт. Это дело самих платежных систем, и в наших нормативных документах и системных требованиях они в деталях изложены порой даже в более жесткой форме, чем в этом стандарте.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #1, 2008