23 мая, 2017, BIS Journal №2(25)/2017

Ключ для ДБО


Морозов Анатолий

начальник отдела сопровождения средств защиты ЦОД и защиты от DDOS Операционного центра информационной безопасности (ПАО Сбербанк России)

Бондаренко Александр

главный инженер отдела сопровождения средств защиты ЦОД и защиты от DDOS Операционный центр информационной безопасности (ПАО Сбербанк России)

Практика защиты дистанционного обслуживания в Сбербанке

В ноябре 1982 г. Nottingam Building Society совместно с Банком Шотландии и британской телефонной компанией British Telecom внедрила систему Homelink. Теперь клиенты Ноттингемской строительной компании стали переводить деньги, не выходя из дома, — с помощью телефона и телевизора. Так появилось дистанционное банковское обслуживание.

С тех пор, благодаря распространению интернета, каналы ДБО перестали быть дополнительным сервисом для особо требовательных клиентов и превратились в популярную услугу.

ДБО ШАГАЕТ ПО СТРАНЕ

Эту тенденцию подтверждают различные исследования. По данным ЦБ РФ, в 2015 г. число банковских отделений на единицу населения в России сократилось на 15%. Удалённое обслуживание клиентов за пределами банковских офисов стало обычным делом. Ожидания пользователей растут.

Исследование аналитического агентства Markswebb Rank & Report, проведённое в конце 2015 года, показывает, что число потребителей банковских интернет-услуг в России составляет 35,3 млн человек — это 64,5% всех российских интернет-пользователей.

28 млн человек — 82% всех клиентов интернет-банкинга в России пользуется интернет-банком «Сбербанк Онлайн».


Мобильные банковские приложения для смартфонов и планшетов в России применяет 18,1 млн человек (33% всей российской интернет-аудитории). Как и в случае с интернет-банкингом, доминирующий по числу клиентов мобильный банк — мобильные приложения Сбербанка: ими пользуется 14 млн человек (78% всей аудитории мобильного банкинга).

 
Почему же банковские сервисы дистанционного обслуживания Сбербанка так популярны?

БЕЗОПАСНОСТЬ – КОНКУРЕНТНОЕ ПРЕИМУЩЕСТВО

Вопрос защиты удалённых каналов обслуживания остаётся одним из самых острых в банковской отрасли. Статистика говорит об экспоненциальном росте мошенничества в системах ДБО. В 2015 году Банк России получил сведения о 32,5 тысячи попыток осуществления несанкционированных операций в системах ДБО на общую сумму 5,13 млрд руб.



Если обратиться к статистике Сбербанка, то с ноября 2015 года по август 2016 года доля предотвращённых попыток краж в системах ДБО выросла до 95 %. Так, за прошлый год Сбербанк сохранил клиентам 8 млрд рублей. Это притом, что число пользователей за год выросло в два раза, а количество транзакций, проходящих через каналы дистанционного банковского обслуживания, — в 2,5 раза.

В условиях жёсткой конкуренции Сбербанк предлагает безопасность как одно из ключевых преимуществ: сервис не может быть удобным, если он не защищён и у клиента крадут деньги. Эффективное решение для обеспечения безопасности ДБО возможно только при условии создания системы, защищённой не только со стороны банка, но и со стороны клиента.

КОМПЛЕКСНАЯ ЗАЩИТА

Автоматизированная система «Сбербанк Бизнес Онлайн» — одна из самых популярных систем ДБО в Сбербанке. Eё используют порядка 1,4 млн юридических лиц. Каждую неделю к услуге подключается 10 000 новых организаций. Система предназначена для дистанционного банковского обслуживания бизнеса — индивидуальных предпринимателей и юридических лиц. В «Сбербанк Бизнес Онлайн» можно через стандартный интернет-браузер создавать, подписывать, отправлять в банк платёжные документы, получать выписки по счетам, производить переписку с банком, отправлять зарплатные реестры и многое другое.

Аутентификация пользователей и обеспечения достоверности (аутентичности) документов в системе может происходить с помощью одноразовых СМС-паролей. При этом на телефон клиента высылается сообщение с деталями транзакции и одноразовым кодом для её подтверждения. Однако у специалистов по информационной безопасности Сбербанка есть причины считать этот метод подходящим только для единичных транзакций.

СМС могут перехватить мошенники. Они устанавливают «троян» не только на компьютер с интернет-банком, но и на телефон клиента (в основном это касается платформы Android). Юридическое лицо для такого метода мошенничества — лакомый кусок: можно украсть сразу большую сумму, а пропажу клиент заметит не сразу.

Известны случаи перевыпусков SIM-карт по поддельным паспортам. Проконтролировать принадлежность номера телефона клиенту, отследить замену SIM-карт, чтобы исключить ситуации по отправке сообщений на телефон мошенника, можно не всегда.

И, наконец, рассылка СМС — это достаточно затратно для банков.

РЕКОМЕНДУЕТСЯ «ТОКЕН»

Постоянную работу с крупными денежными потоками Сбербанк рекомендует проводить с помощью «токена». Этот механизм защищает максимально и комплексно и пользователя, и банк. USB-ключ используется для аутентификации клиента в системе и создания защищённого TLS-соединения с банком в концепции «тонкого» клиента. Все криптографические преобразования, включая квалифицированную электронно-цифровую подпись и шифрование передаваемых по открытым каналам данных, происходят непосредственно внутри «токена». Основная система устройства полностью совместима с инфраструктурой открытых ключей (Public Key Infrastructure).

ОСОБЕННОСТИ ЗАЩИТЫ НА СТОРОНЕ БАНКА

Механизм безопасного доступа к веб-сервису построен на базе кластера SSL/TLS концентраторов «ФПСУ-TLS». В соответствии с ГОСТом 28147-89 средства защиты аппаратно-программного комплекса «ФПСУ-TLS» используют протокол TLS 1.2 с алгоритмом шифрования. При взаимодействии клиента с оконечными прикладными WWW-серверами системы ДБО ПАО Сбербанк «ФПСУ-TLS» обеспечивает аутентификацию пользователя и защиту HTTP-трафика.
 
TLS-концентраторы снижают загрузку процессорных ресурсов прикладных WWW-серверов, повышают возможности масштабирования и отказоустойчивости системы.
 

 
Практика Сбербанка показывает, что лучший эффект резервирования достигается, когда аппаратные элементы кластера распределяются по разным площадкам, то есть оборудование подключается в разных ЦОДах. Для бесперебойной работы системы в случае поломок необходимо обеспечить достаточное количество блоков (зависит от трафика) на каждой площадке, а в точках подключения оборудовать два независимых источника электропитания — по количеству блоков питания у аппаратных платформ «ФПСУ-TLS».  Отказоустойчивость и масштабируемость решения реализуются посредством VRRP и IPVS.
 
Комплексы «ФПСУ-TLS» надёжно защищают систему. Они могут выполнять функцию защищённого прокси-сервера. Для этого специалисты Сбербанка рекомендуют устанавливать их в сети компании непосредственно между внешним межсетевым экраном и пулом прикладных WWW-серверов. При этом на кластере «ФПСУ-TLS» необходимо включить опцию X-Forwarded-For (XFF). Так, в заголовке пакета фиксируется реальный IP-адрес внешнего клиента, и при наличии соответствующей функциональности в прикладной автоматизированной системе именно этот IP-адрес будет отражаться в подсистеме аудита. Такой подход сокращает процесс получения и анализа файлов регистрации действий клиентов — в логе автоматизированной системы сразу присутствует реальный (а не транслированный при прохождении по сети организации) адрес клиента.
 
Подсистема логирования «ФПСУ-TLS» фиксирует события различного уровня. Она передаёт эту информацию по протоколу Syslog на внешний сервер либо сохраняет журналы на диске. Опыт показывает, что даже при включении режима логирования абсолютно всех событий утилизация вычислительных ресурсов программно-аппаратного комплекса увеличивается незначительно. Для дальнейшего анализа событий специалисты Сбербанка рекомендуют использовать внешнюю SIEM-систему с тонкой настройкой правил корреляции. Это позволит фиксировать любую, даже незначительную аномальную активность и оперативно реагировать на инциденты.
 
В современных комплексах «ФПСУ-TLS» встроен модуль защиты от DDOS-атак. Однако опыт Сбербанка показывает, что для эффективного противодействия распределённым атакам необходимо строить эшелонированную систему защиты с применением специализированного оборудования и технологий. Специалисты Банка считают, что защищать системы ДБО от атак типа «отказ в обслуживании» только с помощью механизмов «ФПСУ-TLS» малоэффективно.
 
Простота и надёжная защита — ключевые особенности функционала продуктов линейки VPN-Key-TLS и программно-аппаратного комплекса «ФПСУ-TLS». Благодаря им Сбербанку удалось внедрить простой для клиента и надёжный с точки зрения безопасности способ защиты ДБО. Опыт Банка показывает, что в условиях жёсткой конкуренции безопасность ДБО становится основным преимуществом и её успех зависит двух факторов — лёгкости в использовании и гарантии абсолютной защиты.

 

Смотрите также

Подпишись на новости!
Подписаться