"Расчеты и операционная работа в коммерческом банке", 2006, N 6

УПРАВЛЕНИЕ РИСКАМИ И ЗАЩИТА ИНФОРМАЦИИ В СИСТЕМАХ

ИНТЕРНЕТ-БАНКИНГА

К концу 2008 г. отечественные банки обязаны привести свои бизнес-процессы в соответствие с нормами нового Соглашения Базельского комитета по банковскому надзору (Базель II), в котором особое внимание уделяется управлению рисками. Российским банкам предстоит перейти на новый уровень детализации в оценке рыночного, кредитного и операционного рисков. К операционным рискам относятся и риски столь популярного сегодня интернет-банкинга.

Интернет-банкинг предоставляет кредитной организации целый ряд преимуществ. С помощью этого сервиса обеспечивается более широкий охват клиентской базы и увеличиваются каналы предоставления услуг. Обслуживание системы интернет-банкинга обходится дешевле, чем содержание разветвленной сети филиалов и высококвалифицированного персонала. Системы интернет-банкинга обеспечивают возможность работы кредитной организации в круглосуточном режиме и ведение операций в режиме реального времени. Это лишь некоторые из возможностей, которые открываются перед банками, предоставляющими интернет-сервисы своим корпоративным и частным клиентам.

Основные риски, связанные с интернет-банкингом, возникают вследствие неадекватных или нестабильных внутренних процессов, несанкционированных действий персонала и внешних событий. Ключевой риск - халатность и мошенничество сотрудников, в том числе с использованием интернет-технологий. По статистике на него приходится самая большая часть убытков банков во всем мире. Также к рискам интернет-банкинга относятся внешние события - противоправные действия третьих лиц в отношении банка или его клиентов. В первую очередь это компьютерные преступления, мошеннический перевод денег, хакерские атаки и т.д.

Для того чтобы в полной мере воспользоваться преимуществами интернет-банкинга и контролировать риски, связанные с ним, важна слаженная работа всех участников рынка. Банки должны учитывать этот вид рисков при создании системы управления рисками, а регулирующие органы обязаны обеспечить законодательную поддержку и непротиворечивые стандарты и правила регулирования в этой сфере. Следует отметить, что сегодня в рамках реализации программы перехода отечественных банков на Базель II и осуществления риск-ориентированного надзора Банк России разрабатывает рекомендации по организации управления рисками, возникающими при совершении операций с применением интернет-банкинга. Определенная работа по обеспечению риск-ориентированного надзора ведется Банком России уже более полутора лет - с сентября 2004 г. все российские банки отчитываются об использовании интернет-технологий в своей деятельности. В соответствии с Указанием Банка России от 27.07.2004 N 1481-У банки обязаны сообщать об открытии или закрытии веб-сайта, изменении его функциональных возможностей, использовании интернет-банкинга и т.д. Однако некоторые вопросы законодательства в этой сфере все еще остаются нерешенными.

Задача же разработчиков программного обеспечения для интернет-банкинга - не только создавать полнофункциональные решения, охватывающие все направления электронной коммерции, но и обеспечивать высокий уровень информационной защищенности операций интернет-банкинга как на стороне клиента, так и на стороне банка. Практика показывает, что уровень безопасности банковской интернет-системы зависит, во-первых, от ее архитектуры, а во-вторых, от того комплекса мер, которые были приняты разработчиком для защиты от внешних и внутренних угроз.

Защита от внешних угроз

При передаче информации по открытым сетям, как и при реализации интернет-обслуживания, требуется особая степень защиты - на порядок выше, чем для классического "клиент-банк". Поэтому в рамках работы подобной системы должна быть предусмотрена многоуровневая система безопасности, обеспечивающая заслон от внешних угроз. Отдельное внимание уделяется также безопасности работы внутри системы. Таким образом, систему защиты нужно рассматривать как целостный комплексный блок. К примеру, в приложении "Интернет-клиент" для юридических лиц из состава комплексной системы электронного банковского обслуживания InterBank этот блок представлен пятью уровнями защиты (рис. 1).

     
   ——————————————————————————————————————————————————————————————————————————¬
   |*************************************************************************|
   |**————————————————————————————————————————————————————————————————————¬**|
   |**|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||**|
   |**|||——————————————————————————————————————————————————————————————¬|||**|
   |**||||>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>||||**|
   |**||||>>————————————————————————————————————————————————————————¬>>||||**|
   |**||||>>|\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\|>>||||**|
   |**||||>>|\\——————————————————————————————————————————————————¬\\|>>||||**|
   |**||||>>|\\|                               ———————————————¬  |\\|>>||||**|
   |**||||>>|\\|                               |..............|  |\\|>>||||**|
   |**||||>>|\\| —————————¬    ———————————¬    |..—————————¬..|  |\\|>>||||**|
   |**||||>>|\\| | Клиент +———>| Интернет +———>|..|  Банк  |..|  |\\|>>||||**|
   |**||||>>|\\| L—————————    L———————————    |..L—————————..|  |\\|>>||||**|
   |**||||>>|\\|                               |..............|  |\\|>>||||**|
   |**||||>>|\\|                               L———————————————  |\\|>>||||**|
   |**||||>>|\\L——————————————————————————————————————————————————\\|>>||||**|
   |**||||>>|\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\|>>||||**|
   |**||||>>L————————————————————————————————————————————————————————>>||||**|
   |**||||>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>||||**|
   |**|||L——————————————————————————————————————————————————————————————|||**|
   |**|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||**|
   |**L————————————————————————————————————————————————————————————————————**|
   |*************************************************************************|
   L——————————————————————————————————————————————————————————————————————————
   

----¬ ¦...¦ Защита внутренней корпоративной сети банка L-- ———— ----¬ ¦\\\¦ Защита соединения между банком и клиентом L-- ———— ----¬ ¦>>>¦ Безопасный вход в систему L-- ———— ----¬ ¦|||¦ Адаптивная система прав доступа пользователя L-- ———— ----¬ ¦***¦ Использование сертифицированных средств электронно-цифровой подписи L-- ————

Рис. 1. Пять уровней защиты в системе "Интернет-клиент"

для юридических лиц

Уровень 1 - защита внутренней корпоративной сети банка. Чтобы работать с системой, все ее пользователи должны иметь доступ к веб-серверу банка. Однако обращаться к нему может не только клиент банка, но и любой другой человек. Поэтому одним из важнейших требований безопасности является выделение так называемой демилитаризованной зоны (DMZ), где и размещаются веб-серверы. Главная особенность этой зоны - максимальная изоляция от корпоративной сети банка. Таким образом, банковские серверы становятся относительно недоступными для посторонних, поскольку ни один запрос к системе не попадает в корпоративную сеть банка напрямую.

Нередко при работе систем интернет-банкинга запросы, поступившие в веб-серверы, перенаправляются к серверу приложений, который реализует бизнес-логику системы (рис. 2).

Запросы к серверу приложений

передаются напрямую от веб-сервера

¦

Демилитаризованная ¦ Корпоративная

зона ¦ сеть банка

     
                            ————————————————————¬  |  ————————————————————————————————¬
                            |               —— —| —— —| ——¬                           |  
   —————————¬  ———————————¬ |  ——————————————¬  |     |  ————————————¬       ———————¬ |
   | Клиент +—>| Интернет +—+—>| Веб—сервер |+——+—————+—>|| Сервер   |<——T——>|Сервер| |
   L—————————  L——————————— |  L——————————————  |     |  | приложений|   |   |  АБС | |
                            |               |   |     |  L+———————————   |   L——————— |
                            |               L— —| — — | ———             \|/           |
                            |                   |     |          ————————+—————¬      |
                            |                   |     |          |    Сервер   |      |
                            |                   |     |          |"клиент—банк"|      |
                            |                   |     |          L——————————————      |
                            L————————————————————     L————————————————————————————————
   

Рис. 2. Структурная схема системы интернет-банкинга,

предусматривающая передачу запроса серверу приложений

С точки зрения безопасности это довольно рискованно, потому что, во-первых, не исключена вероятность того, что злоумышленнику станет доступна информация об архитектуре корпоративной сети банка (а это значительно повышает риск взлома), и, во-вторых, если злоумышленнику удастся получить контроль над веб-сервером, то у него появится возможность отправлять во внутреннюю сеть банка запросы любого содержания. Теоретически подобная ситуация может привести к сбоям в работе системы, раскрытию конфиденциальной информации клиентов, а в худшем случае - к потере контроля над размещенными в банке активами клиентов. В системе "Интернет-клиент" для юридических лиц R-Style Softlab реализовала совершенно другой подход.

В DMZ формируется так называемый выделенный сервер очереди, который только накапливает запросы клиентов, но не передает их в корпоративную сеть банка. Зато размещенный в ней сервер приложений сам периодически обращается к серверу очереди и забирает оттуда только разрешенные системой запросы (рис. 3), руководствуясь при этом правами, установленными для пользователя, от которого эти запросы поступили. Таким образом, вероятность получения несанкционированного доступа к данным, хранящимся в банковской корпоративной сети, практически равна нулю.

Сервер приложений забирает из демилитаризованной зоны

только разрешенные запросы

¦

Демилитаризованная ¦ Корпоративная

зона ¦ сеть банка

     
                            —————————————————————¬  |  ———————————————————————————————¬
                            | — — — — — — — — — —| — — + —¬                           |
                            |  ———————————————¬  |     | ————————————¬       ———————¬ |
                            | ||Сервер очереди|<—+—————+—+|  Сервер  |<——T——>|Сервер| |
                            |  L———————T———————  |     | | приложений|   |   |  АБС | |
                            | |       /|\        |     | L+———————————   |   L——————— |
                            |  ————————+——————¬  |     |                \|/           |  
   —————————¬  ———————————¬ | L|— — — — — — — + —| — — + ——       ———————+——————¬     |
   | Клиент +—>| Интернет +—+—>|  Веб—сервер  |  |     |          |    Сервер   |     |
   L—————————  L——————————— |  |              |  |     |          |"клиент—банк"|     |
                            |  L———————————————  |     |          L——————————————     |
                            L—————————————————————     L———————————————————————————————
   

Рис. 3. Структурная схема системы "Интернет-клиент"

для юридических лиц, предусматривающая использование

выделенного сервера очереди

Уровень 2 - защита соединения между банком и клиентом. Вся информация, передаваемая между клиентом и веб-сервером банка, шифруется. Для этого используется протокол симметричного шифрования трафика SSL/TLS (двусторонний SSL). Кодирование производится на основе сертификата, установленного на веб-сервере. Для обеспечения большей безопасности работы рекомендуется приобретать сертификаты в удостоверяющих центрах, например Thawte или VeriSign. Это помогает существенно сократить шансы злоумышленников "выудить" пароли и другие данные клиентов банка посредством одного из распространенных способов интернет-воровства - фишинг-сайтов.

Уровень 3 - безопасный вход в систему. В системе "Интернет-клиент" для юридических лиц предоставлены самые разные способы аутентификации пользователя, в частности:

- по логину и паролю;

- по сертификату электронно-цифровой подписи (ЭЦП);

- по сертификату ЭЦП и паролю.

В данном случае "пароль", которым будет пользоваться клиент, - это не просто набор символов, но еще и инструментарий, позволяющий менять пароли и управлять ими, например требовать смены пароля через определенные промежутки времени. Совместное использование сертификата и пароля при регистрации в системе гарантирует надежную защиту соединения и однозначную аутентификацию клиентов.

Уровень 4 - адаптивная система прав доступа пользователя. Данная система предполагает предоставление пользователю различного перечня разрешенных для него действий не только на основе его "базовых" прав, но и в зависимости от того, каким способом он осуществляет вход в систему. Например, коммерческий директор предприятия обладает всей полнотой прав по работе со счетами и документами, но только в том случае, если для связи с банковской системой он задействует защищенный канал передачи данных, то есть когда находится на своем обычном рабочем месте. Если же у него появляется потребность связаться с системой интернет-банкинга, когда он находится где-либо еще, с незащищенного компьютера, имеющего выход в глобальную сеть, то ему будут доступны только информационные функции. Таким образом, пользователь может быть полностью мобильным и получать доступ к необходимой ему информации из любой точки земного шара, и при этом будет обеспечен необходимый уровень безопасности.

Уровень 5 - использование сертифицированных средств электронно-цифровой подписи и средств криптозащиты информации (СКЗИ). Подчеркнем, что криптографическая стойкость алгоритмов, отвечающих государственным стандартам (ГОСТ Р 34.10-94, ГОСТ Р 34.10-2001 и ГОСТ Р 34.11-94), очень высока, и безопасность работы при их применении гарантирована.

Возможность поддержки нескольких систем криптозащиты, а также глубокая интеграция СКЗИ и прикладного ПО являются существенными факторами, которые повышают безопасность интернет-обслуживания. Система "Интернет-клиент" для юридических лиц поддерживает работу наибольшего количества СКЗИ, поэтому банк свободен в выборе криптосистемы и может использовать тот вид СКЗИ, которые когда-то приобрел, или легко перейти на использование другой системы. Возможны одновременная работа с несколькими системами криптозащиты при обслуживании различных клиентов, а также подключение любой иной СКЗИ через стандартный интерфейс.

Защита от внутренних угроз

Защита от несанкционированного доступа и хакерских атак позволяет обезопасить систему во время взаимодействия с внешним миром. Но зачастую проблемы внутреннего свойства - халатность персонала (например, пользователь отлучился со своего места, оставив компьютер в рабочем состоянии, потерял дискету, содержащую электронно-цифровую подпись, и т.д.), мошенничество и т.д. - наносят гораздо больший вред клиентам, банку и его репутации.

Преодолеть такие проблемы полностью вряд ли представляется возможным, однако при разработке систем для интернет-банкинга в R-Style Softlab предусмотрели целый комплекс мероприятий по внутренней защите информации. Так, например, сервер приложений системы "Интернет-клиент" для юридических лиц, который некоторое время не получал запросов от пользователя (этот временной интервал настраивается администратором системы в банке), при попытке совершить очередную операцию потребует повторить авторизацию, что может вызвать определенные трудности у злоумышленника, (разумеется, в том случае, если пароль, который требуется для входа в систему, не был написан на потерянной дискете).

Кроме того, все действия клиентов и сотрудников банка тщательно протоколируются системой, что позволяет практически исключить мошенничество персонала и нивелировать негативные последствия халатности отдельных сотрудников. В случае потери ключа электронно-цифровой подписи данная мера поможет определить IP-адрес, с которого мошенник пробует произвести какие бы то ни было операции, и по возможности предотвратить проведение этих операций.

Усилить контроль внутренних рисков интернет-банкинга можно при использовании независимых устройств хранения ключевой информации - брелоков e-token и ru-token (производства компании "Алладдин"), i-Button (производства компании Rainbow) и др. Они выполняют две функции - идентификация и хранение определенной информации. Фактически это аналог смарт-карты для персонала, который работает на этом рабочем месте. Для того чтобы легко использовать такие брелоки, необходимо, чтобы система интернет-банкинга, установленная в банке, могла работать поверх любой VPN и легко интегрироваться с внешними криптосистемами. Такая возможность имеется у банков - пользователей системы "Интернет-клиент" для юридических лиц.

* * *

Безопасное программное обеспечение для интернет-банкинга - главная составляющая системы управления операционными рисками в банке, предоставляющем соответствующий сервис юридическим и физическим лицам.

Помимо актуальной функциональности и производительности такая система должна иметь многоуровневую систему безопасности, которая представляет собой целостный комплексный блок средств и мероприятий, позволяющих нивелировать или контролировать внешние и внутренние угрозы при интернет-обслуживании.

Использование таких решений обеспечивает банку целый ряд конкурентных преимуществ, благодаря которым кредитное учреждение предоставляет своим клиентам максимально удобный и защищенный сервис при минимуме временных затрат на его обслуживание.

Д.Каленбет

Старший менеджер по работе с клиентами

Департамент систем электронного

банковского обслуживания

компании R-Style Softlab

Подписано в печать

06.07.2006

     
   ——————————————————————————————————————————————————————————————————
————————————————————
——