В настоящий момент дистанционное банковское обслуживание (ДБО) является одним из наиболее востребованных банковских сервисов и в то же время одной из наиболее уязвимых областей во всем спектре финансовых услуг. В целях повышения безопасности сервиса ДБО руководство Росбанка приняло решение о внедрении электронных ключей eToken ГОСТ в системе «Интернет Клиент-Банк» (ИКБ) для юридических лиц.
Росбанк ведёт постоянную работу по анализу возникающих угроз информационной безопасности и необходимых мер защиты. Банк входит в мировую финансовую группу SocieteGeneraleи в своей работе руководствуется высокими требованиями установленных стандартов, в том числе и в области обеспечения защиты информации.
До начала данного проекта аутентификация клиентов и подтверждение операций осуществлялись с помощью электронной подписи (ЭП), однако для хранения закрытого ключа использовались дискеты, USB-флеш и HDD, не обеспечивавшие достаточной защиты.
Именно на получение доступа к закрытому ключу ЭП, на массовую кражу закрытых ключей ЭП из незащищенных хранилищ ориентированы в первую очередь специализированные банковские троянские программы, поскольку данная информация необходима злоумышленнику, чтобы осуществить хищение денежных средств со счетов клиентов банков.
Целью проекта было повышение уровня безопасности ИКБ посредством внедрения технологии, позволяющей исключить нахождение закрытого ключа в зоне доступности вирусного программного обеспечения. Достижение этой задачи обеспечивается благодаря использованию ключевых носителей с аппаратной генерацией электронной подписи и неизвлекаемыми закрытыми ключами – последний ни при каких условиях не покидает внутреннюю защищенную область устройства. Это позволяет значительно повысить уровень безопасности финансовых транзакций при работе в системе ДБО и практически исключить вероятность успеха массовых атак специализированными вирусными инструментами.
В качестве устройств, удовлетворяющих вышеуказанным требованиям, специалисты Росбанка выбрали электронный ключ eToken ГОСТ производства компании «Аладдин Р.Д.». Основными критериями при выборе данного решения явились высокая эксплуатационная надежность устройства, возможность работы без установки дополнительного ПО и подтверждённый широкий опыт использования данного устройства в аналогичных проектах. Дополнительным фактором, повлиявшим на принятие решения, явилось наличие сертификата ФСБ России на eToken ГОСТ как на средство криптографической защиты информации, удовлетворяющее требованиям нормативных документов по классам КС1 и КС2.
Полный цикл проекта занял чуть менее года. За это время была выполнена разработка технических и организационных требований к проекту, проведена дополнительная доработка программного обеспечения ИКБ, осуществлена крупномасштабная поставка устройств eToken ГОСТ и обеспечено распределение ключей по отделениям обслуживания банка, а также переработка договорной базы и внутренних порядков и инструкций.
.png)