В статье рассматривается вопрос минимизации рисков информационной безопасности клиентов банков в процессе устранения сбоев, возникающих при предоставлении дистанционных банковских услуг, и предлагается использование системы защищенного удаленного мониторинга и управления «Ассистент» в качестве соответствующего вспомогательного инструмента.
ПРОБЛЕМА КАК ОНА ЕСТЬ
Для малых и средних организаций банковской системы РФ характерна ситуация, когда в удаленном филиале ИТ-подразделение состоит из 2-3 человек, и кроме того, оно заранее уведомляет клиентов о перерывах в приеме их обращений, мотивируя это занятостью или обслуживанием поступивших электронных транзакций.
От сбоев и ошибок в процессе предоставления дистанционных банковских услуг с использованием интернет-сервисов никто не застрахован. Но что происходит, когда, например, входной фильтр сервиса интернет-клиента не пропускает на подпись платежное поручение, указывая на ошибку, которой клиент в нем не находит? При этом ни операционисты, ни ИТ-подразделение банка не видят этого платежного поручения, так как оно клиентом еще не подписано и не отправлено в банк. Как сегодня на практике разрешается подобная «конфликтная» ситуация?
Клиенту, дозвонившемуся по телефону в банк и перенаправленному в ИТ-подразделение (в случае, если он звонит в рабочее время), предлагается несколько вариантов оказания помощи:
- вывод платежного поручения на экран монитора, создание скриншота и отправка его на электронную почту в ИТ–подразделение;
- воспользоваться приложением удаленного доступа для предоставления специалисту ИТ–подразделения банка возможности удаленно подключиться к рабочему столу компьютера клиента. При этом используются широко распространенные системы удаленного управления, построенные по клиент-серверной технологии, и серверная часть которых зачастую расположена или за пределами РФ или на серверных мощностях неподконтрольных банку.
Предметом статьи не является обсуждение правомочности таких предложений. Мы полагаем, что банк дорожит доверием клиента и стремится помочь ему в данном случае отправить платежное поручение, разрешив как можно быстрее «конфликтную» ситуацию.
Однако негативные стороны таких предложений заключаются в том, что в указанных сценариях оказания помощи клиенту риски информационной безопасности при устранении сбоев в процессе предоставления дистанционных банковских услуг полностью переносятся на самого клиента: именно он добровольно отправляет скриншот в банк через Интернет, именно он добровольно предоставляет удаленный доступ к своему рабочему столу, зачастую не задумываясь о безопасности (например, рабочий стол компьютера клиента может оказаться доступен третьим лицам, а не только сотрудникам банка).
РЕШЕНИЕ СУЩЕСТВУЕТ
Специалистами нашей компании, имеющей большой опыт разработки высоконагруженного программного обеспечения и технического сопровождения автоматизированных информационных систем в финансовой сфере, разработана система защищенного удаленного мониторинга и управления «Ассистент». Это программное обеспечение может быть использовано в организациях банковской сферы в качестве инструмента для устранения сбоев, возникающих при предоставлении дистанционных банковских услуг, при этом существенно минимизируются риски информационной безопасности клиента, связанные с удаленным доступом.
«Ассистент» представляет собой полнофункциональную систему защищенного удаленного доступа, управления и администрирования компьютерной техники и серверного оборудования и внесен в Единый реестр российских программ для электронных вычислительных машин и баз данных. Может применяться для решения различных задач, возникающих при осуществлении технической поддержки пользователей, например, в вопросах использования и настройки информационных систем, а также для проведения обучения пользователей ПО.
Уже сейчас для работы с «Ассистент» доступно использование серверной компоненты, размещенной в ЦОДе на территории РФ через сеть Интернет. При этом клиентское приложение для пользователей доступно на официальном сайте системы.
В случае необходимости подобная структура может быть развернута локально внутри закрытой ИТ-инфраструктуры организаций банковской системы.
Понимая, что подобные инструменты должны удовлетворять серьезным требованиям по обеспечению безопасности, в том числе требованиям регуляторов в области защиты персональных данных, в систему было встроено средство защиты удаленного доступа, реализующее следующие функции безопасности:
- идентификация и аутентификация;
- управление доступом;
- регистрация событий безопасности;
- контроль целостности программного обеспечения.
Программное средство защиты информации от несанкционированного доступа прошло сертификацию в ФСТЭК России на отсутствие недекларированных возможностей (по 4 уровню контроля) и соответствие техническим условиям, что позволяет использовать его в составе систем защиты информации государственных информационных систем высшего класса защищенности и информационных систем персональных данных высшего уровня защищенности.
Помимо указанного встроенного средства защиты в программном комплексе «Ассистент» реализованы дополнительные меры для обеспечения безопасности удаленного доступа, которые обеспечивают выполнение следующих функций:
- авторизация пользователей;
- настройка прав и политик доступа, в том числе разрешение на установление соединения по расписанию и ограничение доступного функционала;
- ведение журналов действий операторов при использовании инструментов удаленного доступа;
- ведение видеозаписи действий операторов при осуществлении удаленного доступа;
- отслеживание работоспособности компонентов программного комплекса;
- проверка на отсутствие несанкционированных изменений в исполняемых файлах;
- оповещение ответственных лиц об обнаруженных сбоях или фактах вторжения в работу программного комплекса и его подсистем;
- шифрование (криптографическая защита) канала удаленного управления с использованием криптографического пакета OpenSSL. При этом в настоящее время ведется разработка модуля, реализующего криптографию по ГОСТ с последующей сертификаций его в качестве средства криптографической защиты информации.
ДОПОЛНИТЕЛЬНЫЕ БОНУСЫ
Таким образом, использование программного комплекса «Ассистент» позволяет обеспечивать высокий уровень доверия при осуществлении удаленного управления и доступа к удаленному рабочему столу компьютера пользователя, в том числе при оказании технической поддержки в процессе предоставления дистанционных банковских услуг и тем самым минимизировать риски информационной безопасности клиентов банков.
На наш взгляд применение системы защищенного удаленного мониторинга и управления «Ассистент» в качестве вспомогательного инструмента в организациях банковской системы также позволит:
- осуществлять удаленную поддержку пользователей, удаленных подразделений в вопросах использования и настройки компьютерной техники, программного обеспечения;
- реализовать дистанционное обучение удаленных пользователей использованию компьютерной техники и программного обеспечения (по принципу «делай как я») и тем самым повысить уровень квалификации специалистов;
- организовать службу технической поддержки с функциями HelpDesk для собственных нужд внутри филиальной сети банка;
- предоставлять контролируемый удаленный доступ сторонним ИТ-сервисным компаниям к техническим и информационным ресурсам банка для проведения разовых и периодических работ по настройке и сопровождению.