Безопасность межбанковских операций

Оглавление

 

Введение 2

Классификация потенциальных угроз информационной безопасности банков 3

Преступления с использованием пластиковых платежных средств 3

Интернет-банкинг 4

Информационная безопасность в системах электронной коммерции 8

Заключение 15

Список литературы 16

 

 

 

Введение

 

Со времени своего появления  банки неизменно вызывали преступный интерес. И этот интерес был связан не только с хранением в кредитных  организациях денежных средств, но и  с тем, что в банках сосредотачивалась  важная и зачастую секретная информация о финансовой и хозяйственной  деятельности многих людей, компаний, организаций и даже целых государств. Так, еще в XVIII веке недоброжелатели  известного Джакомо Казановы опубликовали закрытые данные о движении средств по его счету в одном из парижских банков. Из этой информации следовало, что организованная Казановой государственная лотерея приносила доход не только казне, но и (в не меньших масштабах) ему лично.

В наши дни в связи со всеобщей информатизацией и компьютеризацией банковской деятельности значение информационной безопасности банков многократно возросло. В результате повсеместного распространения электронных платежей, пластиковых карт, компьютерных сетей объектом информационных атак стали непосредственно денежные средства как банков, так и их клиентов. Совершить попытку хищения может любой — необходимо лишь наличие компьютера, подключенного к сети Интернет. Причем для этого не требуется физически проникать в банк, можно «работать» и за тысячи километров от него.

Компьютеризация банковской деятельности позволила значительно  повысить производительность труда  сотрудников банка, внедрить новые  финансовые продукты и технологии. Однако прогресс в технике преступлений шел не менее быстрыми темпами, чем  развитие банковских технологий. В  настоящее время свыше 90% всех преступлений связана с использованием автоматизированных систем обработки информации банка (АСОИБ). Следовательно, при создании и модернизации АСОИБ банкам необходимо уделять пристальное внимание обеспечению ее безопасности.

Как показывает практика, не существует сложных компьютерных систем, не содержащих ошибок. А поскольку  идеология построения крупных АСОИБ  регулярно меняется, то исправления  найденных ошибок и «дыр» в  системах безопасности хватает ненадолго, так как новая компьютерная система  приносит новые проблемы и новые  ошибки, заставляет по-новому перестраивать систему безопасности.

В связи с вышеизложенным, в настоящей работе основное внимание уделено именно компьютерной безопасности банков, т.е. безопасности автоматизированных систем обработки информации банка (АСОИБ), как наиболее актуальной, сложной и насущной.

 

Классификация потенциальных угроз информационной безопасности банков

 

По цели воздействия различают три основных типа угроз информационной безопасности:

  1. Угрозы нарушения конфиденциальности - направлены на разглашение конфиденциальной или секретной информации. При реализации этих угроз информация становится известной лицам, которые не должны иметь к ней доступ.

 

  1. Угрозы нарушения целостности информации, хранящейся в компьютерной системе или передаваемой по каналу связи - направлены на её изменение или искажение, приводящее к нарушению её качества или полному уничтожению. Целостность информации может быть нарушена умышленно злоумышленником, а также в результате объективных воздействий со стороны среды, окружающей систему. Эта угроза особенно актуальна для систем передачи информации - компьютерных сетей и систем телекоммуникации.

 

 

  1. Угрозы нарушения доступности - направлены на создание таких ситуаций, когда определённые преднамеренные действия либо снижают работоспособность аппаратных средств обработки информации, либо блокируют доступ к некоторым её ресурсам.

Преступления с использованием пластиковых платежных средств

 

Мошенничество с  платежными картами, кардинг — вид мошенничества, при котором производится операция с использованием платежной карты или ее реквизитов, не инициированная или не подтвержденная ее держателем. Реквизиты платежных карт, как правило, берут со взломанных серверов интернет-магазинов, платежных и расчётных систем, а также с персональных компьютеров, либо непосредственно, либо через программы удаленного доступа, «трояны», «боты» с функцией формграббера. Кроме того, наиболее распространённым методом похищения номеров платежных карт на сегодня является фишинг.

Фишинг  — создание мошенниками сайта, который будет пользоваться доверием у пользователя, например — сайт, похожий на сайт банка пользователя, через который и происходит похищение реквизитов платежных карт.

Одним из самых  масштабных преступлений в области  мошенничества с платежными картами  считается взлом глобального  процессинга кредитных карт Worldpay и кража с помощью его данных более 9 миллионов долларов США. В ноябре 2009 года по этому делу были предъявлены обвинения преступной группе, состоящей из граждан СНГ.

 

Интернет-банкинг

 

Интернет-банкинг  — это общее название технологий дистанционного банковского обслуживания, при котором доступ к счетам и операциям (по ним) предоставляется в любое время и с любого компьютера, имеющего доступ в Интернет. Для выполнения операций используется браузер, то есть отсутствует необходимость установки клиентской части программного обеспечения системы.

Интернет-банкинг часто  доступен по системе банк-клиент, с использованием

технологии тонкого клиента.

Как правило, услуги интернет-банкинга включают:

                - выписки по счетам

                - предоставление информации по  банковским продуктам (депозиты, кредиты и т. д.)

                - заявки на открытие депозитов,  получение кредитов, банковских  карт и т. д.

                - внутренние переводы на счета  банка

                - переводы на счета в других  банках

                - конвертацию средств

                - оплату услуг.

Безопасность  интернет-банкинга:

            Важным свойством безопасности  интернет-банкинга является подтверждение  транзакций с помощью  одноразовых паролей (чтобы перехват трафика не давал бы злоумышленнику возможности получить доступ к нашим финансам). Хотя теоретическая возможность подмены сервера всё же остаётся, однако осуществление подобного мошенничества довольно проблематично (особенно если использовать SSL соединение с сертификатом, подписанным третьей стороной).

Главным риском в системах интернет-банкинга является возможность  несанкционированного доступа к  средствам клиента третьих лиц. Понятно, что основные финансовые потери при этом несёт банк, поэтому обеспечение  защиты от несанкционированного доступа  является важнейшей задачей его  служб.

            Так как традиционные системы  “клиент-банк” (без использования  Интернета) достаточно длительное  время успешно эксплуатируюся практически всеми банковскими учреждениями, отработанные в них схемы информационной защиты  нашли применение и в системах интернет-банкинга. Прежде всего это относится к системам шифрования и ЭЦП. Однако в отличие от традиционных систем “клиент-банк” здесь взаимодействие с клиентом происходит с использованием Web- технологий, что потребовало введения и соответствующих новых элементов защиты.

Рис.1.Схема информационной защиты системы интернет-банкинга

IP-интернет-протокол;SSL-протокол защиты информации;CISCO- программируемый маршрутизатор(роутер).

Обмен электронными документами  через Интернет между банком и  клиентом, как правило, защищается с  помощью SSL-протокола, который стал де-факто стандартом для финансовых интернет-приложений. Широкое применение при использовании SSL-протокола находят цифровые сертификаты VeriSign (режим доступа: www.verisign.com) и Thawte (режим доступа: www.thawte.com), проверка которых осуществляется автоматически при начале соединения. Сами электронные документы (распоряжения клиента на выполнение операций, выписки по счету и другие ответы банка) также шифруются и подписываются ЭЦП.                                      

            Поддержку SSL-протокола на компьютере  клиента обеспечивают стандартные  компоненты интернет-браузеров при  установке соединения браузеры  обеспечивают автоматическую проверку  цифровых сертификатов Web-cepвepa банка. Для шифрования и ЭЦП применяются алгоритмы с несимметричными ключами (наиболее распространенными в настоящее время являются алгоритмы RSA, используются также и алгоритмы ГОСТ). Соответствующее ПО шифрования и ЭЦП предоставляется банком и устанавливается на стороне клиента. Так как клиентское ПО предназначено, главным образом, для формирования ЭЦП клиента и проверки ЭЦП банка и не предполагает хранения и сложной обработки данных (так называемый «тонкий клиент»), то важной задачей системы защиты является сохранение конфиденциальности закрытого ключа. Как правило, ключи хранятся на так называемой ключевой дискете, ограничение физического доступа к которой должно обеспечиваться клиентом. При обращении к закрытому ключу, например в процессе формирования ЭЦП, у клиента запрашивается пароль доступа. Многие системы интернет-банкинга (например, система «Интернет-сервис банк» Автобанк-Никойл) предлагают для хранения ключей ЭЦП более современные технические средства — USB-токены со встроенными микропроцессорами, что значительно повышает как защищенность клиента, так и общее удобство работы с системой.

Основной целью защиты на стороне банка является предотвращение несанкционированного доступа к  информации и алгоритмам как системы  интернет-банкинга, так и к АБС, с которой интернет-банкинг взаимодействует. Это означает, что клиент банка  не должен получить доступ к не принадлежащей  ему информации и выполнению операций, на которые он не подписан по условиям обслуживания. Первым барьером после  установления IP-соединения, как правило, является парольная защита — при  соединении клиента с сервером банка  у клиента запрашиваются имя  и пароль, которые проверяются  по базе данных системы интернет-банкинга.

            В случае использования цифровых  сертификатов, хранящихся на дискете  или на USB-токене (технология PKI), следующим шагом является проверка сертификата клиента. Последующий обмен электронными документами шифруется и подписывается ЭЦП сторон с помощью специализированного ПО, установленного как на стороне клиента, так и на стороне банка.

            Наряду с использованием средств  шифрования и ЭЦП очень важно  обеспечить информационную безопасность  сетевого периметра АБС. Для  этих целей используются как  технические средства защиты, так  и рациональная сегментация локальной  сети банка. Так, Web-сервер банка, с помощью которого осуществляется взаимодействие с клиентами, размещается за межсетевым экраном (МСЭ — Firewall), который настраивается таким образом, чтобы разрешить обмен только с зарегистрированными клиентами. При этом для фильтрации могут быть использованы как IP-адреса, так и идентификаторы клиентов, присваиваемые при регистрации в системе. Web-сервер банка может содержать также элементы проверки цифровых сертификатов клиентов при установке IP-соединения.

            Ядро системы интернет-банкинга  — сервер приложений и сервер  БД, также отделены от Web-сервера межсетевым экраном. В ряде случаев для повышения уровня защиты АБС интерфейс между ней и ядром интернет-банкинга также защищен межсетевым экраном.

  На уровне локальной сети Web-сервер, сервер приложений, сервер БД системы интернет-банкинга рекомендуется размещать в разных сегментах, взаимодействующих через программируемые маршрутизаторы (роутеры). Собственно, БД хранит идентификаторы клиентов, открытые ключи, архив документов и другую информацию, обеспечивающую поддержку функционального интерфейса с клиентом вплоть до элементов CRM. Повышению уровня защиты способствует также рациональное распределение информации между АБС и ядром интернет-банкинга. Так, например, из АБС в БД системы интернет-банкинга может автоматически загружаться информация о состоянии счетов клиентов, что позволяет запросы клиента не маршрутизировать в АБС.

            Ядро системы интернет-банкинга  обеспечивает также управление  открытыми ключами участников  от простого ведения (хранение, удаление, замена) до полной реализации  инфраструктуры открытых ключей (PKI) с ведением цифровых сертификатов. В последнем случае роль удостоверяющего  центра может выполнять как  сам банк, так и уполномоченная  третья сторона.

            Следует отметить также, что  наряду с программно-техническим  обеспечением защиты от несанкционированного  доступа большое значение имеют  организация общего внутреннего  контроля, проведение мероприятий  по предотвращению возможности  доступа к конфиденциальной информации  недобросовестных сотрудников банка.  Что касается клиентов, то одним  из последствий принятия Федерального  закона о противодействии легализации  (отмыванию) доходов, полученных  преступным путем, явилось запрещение  открытия банковских счетов без  физического присутствия клиента.

            В процессе регистрации клиента  производится проверка его документов, формируется юридическое дело, создаются  открытые ключи и цифровые  сертификаты, что значительно  снижает риски мошенничества  со стороны клиентов.

В качестве примера конкретного  решения вопросов информационной безопасности можно рассмотреть подсистему «интернет- клиент» системы ДБО (комплексная система дистанционного банковского обслуживания).

Общая схема подсистемы «интернет-клиент»  представлена на рис. 2.

Рис.2.Построение информационной защиты подсистемы “Интернет-клиент”  системы ДБО БСС

            Здесь собственную защиту HTTP-трафика  (шифрование, аутентификацию и авторизацию), а также взаимодействие с внешними  средствами защиты выполняет  блок BS-Defender, реализованный в виде симметричных прокси-серверов, в функции которого дополнительно входят протоколирование всего трафика, прошедшего по системе, и сжатие (распаковка) сообщений, проходящих по системе. Это позволяет сделать необязательным использование SSL-протокола. В принципе возможно использование функциональности BS-Defender и для формирования ЭЦП документов. BS-Defender имеет возможность подключать для шифрования и обработки ЭЦП также и внешние криптографические средства защиты (СКЗИ — КриптоПроСSР, Сигнал-Ком, Верба-OW, собственные разработки банка). Использование первых двух из перечисленных систем позволяет организовать работу в инфраструктуре открытых ключей (PKI).

  Взаимодействие интернет-клиента с АБС осуществляется через сервер ДБО, который имеет интерфейс практически со всеми известными промышленными АБС.

            Также представляет интерес механизм  сессий, обеспечивающий корректную  работу интернет-клиента в случае  сбоев и (или) обрывов связи.  Он позволяет значительно повысить  надежность системы и снизить  риски финансовых потерь клиента,  так как исключается возможность  повторного списания средств в случаях обрыва связи при доставке клиенту подтверждения выполненной в банке операции.

 

Информационная  безопасность в системах электронной  коммерции

 

            Обеспечение информационной безопасности  в системах электронной коммерции  — существенно более сложная  задача, чем для систем интернет-банкинга, так как и число участников, задействованных в проведении  операций, значительно больше, и  виды используемых при расчетах  платежных средств разнообразнее.  Выполнение финансовых транзакций  при этом обеспечивается системами  интернет-платежей, поэтому именно они и решают главные задачи информационной защиты.

            Типовая схема взаимодействия  участников электронной коммерции  представлена на рис. 3. Не вдаваясь  в подробности технологии, рассмотрим  риски финансовых потерь каждого  из участников системы.

Рис.3.Схема  взаимодействия участников электронной коммерции

        

   Основным риском  покупателя при выполнении платежей  через Интернет является вероятность  потери своих средств в случаях, когда:

- покупатель производит  оплату в мошеннический магазин  и не получает оплаченный товар  или услугу;

- реквизиты получателя  в распоряжении покупателя на  оплату мошеннически заменяются  другими при передаче распоряжения  в банк покупателя;

  • секретные реквизиты доступа к платежным средствам покупателя становятся известными третьим лицам и используются последними в мошеннических целях.

            Основной финансовый риск интернет-магазина (он же получатель средств, поставщик) заключается в неполучении оплаты за предоставленный товар или услугу. Такая ситуация может возникнуть в случаях:

- мошеннического использования  платежного средства покупателя  третьим лицом (как правило,  полученные таким образом средства  приходится возвращать);

- мошеннического изменения  реквизитов получателя платежа  в распоряжении покупателя на  оплату.

Следует отметить, что в  последнем случае финансовые потери несет интернет-магазин, если оказание услуги производится непосредственно  после положительного ответа на авторизационный запрос. В том случае, если оказание услуги выполняется только после поступления средств на счет магазина, финансовые потери несет покупатель.

            Конкретные схемы реализации информационной защиты должны учитывать как степень уязвимости платежных средств при их использовании в среде Интернет, так и технико-технологические и правовые (юридические) аспекты организации взаимодействия сторон при исполнении сделок электронной коммерции на техническом» технологическом и правовом (юридическом) уровнях.

             Наиболее сложной задачей является  обеспечение безопасности финансовых  транзакций в секторе В2С при  использовании стандартных банковских  платежных карт. Привлекательность  применения карт в электронной  коммерции очевидна — клиентская  база потенциальных плательщиков  в случае использования карт  международных платежных систем  фактически неограниченна, инфраструктура  этих платежных систем позволяет  производить расчеты практически  по всему миру. Для защиты информации  при выполнении сделки предусмотрены  следующие технологические приемы:

     1)Параметры  заказа после обращения потенциального  покупателя на сайт магазина (количество, сумма, идентификатор магазина  и т.п.) передаются на авторизационный сервер системы интернет-платежей в зашифрованном виде и с ЭЦП магазина (см. рис. 3 шаг 2).

     2)Авторизационный сервер выполняет проверку ЭЦП магазина и возвращает в ответ подтверждение приема авторизационного запроса с номером сессии (шаг 3), ответ подписывается ЭЦП авторизационного сервера.

     3)Одновременно  с пересылкой параметров заказа  магазин маршрутизирует покупателя  на авторизационный сервер. Сервер устанавливает с покупателем защищенное SSL-соединение для ввода покупателем параметров банковской карты или другого платежного средства(шаг4).

      4)Авторизационный запрос затем транслируется в ту платежную систему, к которой принадлежит банковская карта покупателя (шаг 5).

      5)Ответ  от платежной системы (шаг 6) возвращается магазину (шаг 7 с  ЭЦП авторизационного сервера. Важным моментом здесь является ввод параметров карты именно на стороне авторизационного сервера, а не на сайте магазина, что позволяет снизить риски мошеннического использования карты. Защита взаимодействия авторизационного сервера с внешней платежной системой (шаги 5 и 6), как правило, обеспечивается в соответствии с правилами этой внешней системы — закрытые выделенные линии, шифрование трафика, применение ЭЦП.

Существенным недостатком  таких расчетов является недостаточная  защищенность схемы от мошенничества. Основная проблема заключается в  том, что обеспечить регистрацию  клиентов-плательщиков в платежной  системе в целях формирования ключей ЭЦП и цифровых сертификатов не представляется возможным. А так  как сделка совершается без физического  присутствия покупателя и без  физического предъявления карты, то

выяснить, действительно  ли покупатель является истинным владельцем карты, просто невозможно.

            В таких случаях, когда методы PKI по разным причинам невозможно  использовать, применяются своеобразные  суррогаты PKI — дополнительные  способы идентификации. Рассмотрим  некоторые из наиболее известных в настоящее время:

     1.Использование  дополнительных идентификаторов  карты CVC2 (Control Verification Code), CVV2 (Control Verification Value):Эти коды были введены международными платежными системами соответственно MasterCard и Visa и представляют собой трехзначное число, которое не эмбоссировано на самой карте, но присутствует на ее обратной стороне. Поэтому знать это число можно, только имея физический доступ к карте в момент совершения сделки, предполагается, что эту возможность имеет только владелец. В настоящее время эти дополнительные идентификаторы входят в стандартный формат авторизационных сообщении, проверка осуществляется в банках-эмитентах.

     2.Применение  службы AVS (Address Verification Service):При выдаче карты в банке-эмитенте регистрируются адресные данные владельца, которые затем необходимо указывать при совершении сделок. Использование этой технологии ограничено тем, что российские банки-эмитенты не поддерживают эту службу.

    3.Применение технологии 3D-Secure (Three Domain Model) в системе Visa: Суть технологии состоит в предварительной аутентификации участников. В частности, покупателю (владельцу кредитной карты) генерируется некоторый специальный пароль, который известен только ему и банку-эмитенту. Принцип работы 3D-Secure состоит в том, что существуют три домена — банк- эмитент, продавец и Visa. Через домен Visa проходит сообщение между покупателем, продавцом и банками. При этом Visa обеспечивает полную конфиденциальность информации. Для идентификации покупателя в системе банку-эмитенту отправляется запрос на аутентификацию. Эмитент устанавливает соединение с покупателем, предъявляет установленную для общения с ним секретную фразу и запрашивает пароль покупателя. Проверив введенный покупателем пароль, банк-эмитент формирует в систему ответ. Далее происходит идентификация продавца банком- эквайером. Сделка не совершается, если на каком-либо из этапов не произошла верификация участников. Для проведения электронных платежей по стандарту 3D-Secure необходимо, чтобы все участники системы — покупатель, эмитент, эквайер и продавец — поддерживали данную технологию. В России пока не поддерживается.

     4.Система универсальной  идентификации владельца кредитной  карты UCAF (Universal Cardholder Authentication Field):UCAF — это специализированная система передачи данных, которая имеет возможность сопоставить данные банка-эмитента карты и информацию, известную продавцу, и на основании этого соответствия гарантировать, что сделка осуществляется реальным держателем карты. Система предложена корпорацией MasterCard, требует поддержки со стороны процессинговых центров и банков-эмитентов. В России пока не поддерживается.

     5.Схема PayPal:Одна из самых популярных американских платежных систем PayPal использует следующий верификационный механизм. Клиенту-владельцу банковской карты, который предполагает стать участником системы в качестве покупателя, предлагается зарегистрироваться. В процессе регистрации покупатель указывает реквизиты своей банковской карты и система инициирует платеж с нее.

Сумма платежа при этом небольшая и имеет случайное  значение, генерируемое системой. Покупателю предлагается получить в своем банке-эмитенте выписку с указанием суммы  платежа и кодом авторизации в платежной карточной системе, а затем ввести эти данные в специальном окне на сайте PayPal. В том случае, если введенные покупателем данные совпадут с данными, полученными системой PayPal от процессингового центра в ответ на авторизационный запрoc, покупателю присваивается верифицированный идентификационный код. Этот код затем должен использоваться покупателем при совершении сделок. Схема достаточно эффективна и в то же время не требует изменений интерфейсов с банками-эмитентами.

     7. Ради исторической  справедливости следует упомянуть  протокол SET (Secure Electronic Transaction): Протокол предполагает при выпуске банковской карты в банке-эмитенте формировать цифровой сертификат владельца карты. Сертификаты хранятся в иерархических центрах сертификатов платежной системы и при каждой сделке финансовой транзакции предшествует транзакция обмена и проверки сертификатов участников сделки. Содержащиеся в сертификатах открытые ключи используются для проверки ЭЦП под документами и для расшифровки содержания ЭД. Ввиду того, что PKI полностью перекрывает SET и является более общим стандартом, имеющим к тому же юридическую поддержку, протокол SET не нашел практического применения. Хотя есть отдельные реализации, например Альфабанк в свое время анонсировал внедрение SET совместно с платежной системой АССИСТ. Однако и в этом случае внедрение не распространилось на клиентов — владельцев платежных карт сторонних банков.

     8. Гораздо более  полную защиту от мошенничества  обеспечивает применение микропроцессорных  банковских карт (смарт-карты). Наличие  на таких картах микропроцессора  и энергонезависимой памяти позволяет  хранить на них закрытый и  открытый ключи, пароли доступа  к карте, цифровые сертификаты,  а также алгоритмы шифрования  и ЭЦП.

Это позволяет, в частности, использовать пароль доступа к карте (ПИН), как это делается в любых  других физических устройствах (банкоматы, POS-терминалы). Так как алгоритмы  обработки ПИН «зашиты» в микропроцессоре  карты, нет необходимости передавать его через Интернет на авторизационный сервер. Кстати, именно отсутствие такой возможности для карт с магнитной полосой и приводит к значительному усложнению организации безопасных транзакций, так как передавать PIN через Интернет равносильно предоставлению доступа к карте всем желающим.

            Возможности смарт-карт по хранению  и обработке цифровых сертификатов  открывают широкие перспективы  по применению их в платежных  системах, использующих PKI без установки  на стороне покупателя специализированного  ПО. Дополнительным преимуществом применения смарт-карт в электронной коммерции как с точки зрения безопасности, так и с точки зрения технологичности является то, что на самой карте может храниться остаток средств, доступных для выполнения платежей. Поэтому процесс авторизации значительно ускоряется, так как нет необходимости формировать запрос к процессинговому центру и ожидать от него ответа. Гипотетическое же мошенничество в случае попадания карты в чужие руки ограничивается суммой, хранящейся на карте.

Безопасность межбанковских операций