Специалисты по информационной безопасности (ИБ) полагают, что способ аутентификации пользователя при помощи набора PIN-кода уже не может в наши дни считаться достаточно надежным, поскольку нажатия на клавиатуру (реальную или виртуальную) можно зафиксировать достаточно простым способом — при помощи кейлоггера. Еще проще получить несанкционированный доступ к файлу с ключом, хранящемся в незашифрованном виде на жестком диске или же на недостаточно защищенном съемном носителе. Аппаратный токен также не сможет защитить пользователя в том случае, если злоумышленнику уже удалось тем или иным способом получить удаленный доступ к компьютеру с установленным на нем «банк-клиентом».
Пользователю достаточно оставить компьютер с забытым USB-токеном на непродолжительное время, предоставив тем самым возможность подписать с его помощью платежное поручение и отправить через систему «банк-клиент» на исполнение. Еще одна современная схема хищений средств с расчетного счета компании построена на том, что пользователь лишен реальной возможности непосредственно контролировать, какой документ он на самом деле заверяет в данный момент при помощи системы банк-клиент. Это дает возможность незаметно осуществить подмену одного платежного поручения другим.
C технической точки зрения, PINPad представляет собой подключаемое к компьютеру небольшое устройство с сенсорным экраном, позволяющим ввести PIN-код, а также визуально просмотреть содержимое документа, перед тем как заверить его электронной подписью при помощи Рутокен ЭЦП, вставляемого в USB-порт на корпусе.
Безусловно, случаи, описанные выше, являются скорее исключением, чем правилом. Тем не менее они происходят ежедневно: счет по одной только Москве давно идет на десятки, причем статистика по разным видам хищений безналичных денежных средств ползет вверх. Пострадать может не только крупная компания с большими средствами на расчетном счете, привлекающими мошенников. Жертвой злоумышленников вполне может стать и относительно небольшой бизнес: за ИБ здесь по ряду причин могут следить менее тщательно, чем на крупном предприятии, а последствия неожиданного обнуления счета в банке для СМБ могут быть более чем ощутимыми.
Линейка токен-решений от компании «Актив», которую уже в этом месяце пополнит Рутокен PINPad, позволяет эффективно решить потребности компании любого масштаба и сферы деятельности
Заранее понятно, например, к чему потенциально могут привести действия бухгалтера небольшой дистрибуторской компании, чередующего отправку платежных заверенных поручений с посещением различных сайтов с одного и того же, недостаточно защищенного компьютера.Рано или поздно может случиться так, что однократное хищение накопившейся за месяц выручки за товар придется потом покрывать суммой прибыли, полученной за год.
Предсказать действия добросовестного предпринимателя, внезапно превратившегося из процветающего, уверенного в завтрашнем дне бизнесмена в человека, на котором висит огромная сумма долга, несложно: скорее всего, он обратится за помощью и в обслуживающий банк, и в полицию. Чем это закончится на практике? Раскрываемость по данному виду преступлений низкая. Действия же банка можно заранее спрогнозировать, внимательно прочитав условия своего договора на ДБО.
Выдавая защищенный токен и диск с дистрибутивом для пользования ДБО, банк достаточно справедливо полагает, что снабжает своего клиента одним из наиболее современных на сегодня средств защиты, остальную же часть работы по обеспечению нужного уровня безопасности для удаленных банковских транзакций клиент банка должен проделать уже самостоятельно. Скорее всего, соображения примерно такого плана, сформулированные юридическим языком, и будут предусмотрительно зафиксированы в договоре на удаленное обслуживание. Всерьез же обвинять коммерческий банк в том, что он не берет на себя всю полноту ответственности за произошедшее на компьютере клиента, пожалуй, не стоит: в конце концов, он тоже должен как-то защищать свои интересы.
Линейка Рутокен
«Наша компания занимается разработкой аппаратных средств защиты, — рассказывает руководитель отдела перспективных проектов компании «Актив» — Анализируя новые угрозы ИБ и мировой опыт борьбы с ними, мы постоянно развиваем нашу линейку продуктов Рутокен».
Исторически первым был разработан для клиентов «Актив» Рутокен S с объемом памяти до 128 Кб. Его основным назначением является хранение зашифрованного ключа, для доступа к которому от пользователя требуется введение PIN-кода.
Более совершенный с точки зрения ИБ Рутокен ЭЦП отличается тем, что никто, включая пользователя и изготовителя, не может никаким способом получить доступ к ключу. Рутокен ЭЦП самостоятельно генерирует уникальный ключ, хранит его «строго внутри себя» и осуществляет с его помощь все криптографические операции, требующиеся для того, чтобы можно было заверить документ электронной подписью (ЭП), с соблюдением всех требований действующего российского законодательства. Для этого Рутокен ЭЦП прошел, в частности, необходимую сертификацию в качестве средства криптографической защиты.
Рутокен ЭЦП Flash содержит дополнительный объем (до 16Гб) флэш-памяти, что позволяет, например,дополнительно записать на него и надежно защитить специализированное ПО (такое какклиент для подключения к VPN) или конфиденциальные данные.
В линейке Рутокен есть и другие решения. Например, Рутокен RF позволяет сократить число случаев, когда пользователи оставляют компьютер на длительное время, забыв при этом вынуть из него токен. Встроенная в корпус Рутокен RF RFID-метка служит ключом для открывания двери, используемым в системе контроля и управления доступом в помещения. Забыть ненадолго токен в компьютере — можно, а вот выйти без него из комнаты — нет.
-
Евгений Сухов
Руководитель отдела перспективных проектов, компания «Актив»
Мы предлагаем пользователям не одно конкретное решение, а всю разработанную нами линейку Рутокен, в связи с тем, что, как известно, не существует универсального и наилучшего решения для обеспечения ИБ для всех случаев. Оптимальный выбор определяется множеством факторов, таких как общий уровень обеспечения ИБ в данной компании, конкретной целью использования, объективной оценкой рисков и прочее.
Линейка токен-решений от компании «Актив», которую уже в этом месяце пополнит Рутокен PINPad, позволяет эффективно решить потребности компании любого масштаба и сферы деятельности.
В принципе, немаловажную роль может играть размер вложений, которые готова сделать компания в обеспечение своей ИБ. Автоматически это вовсе не означает то, что чем крупнее бизнес и чем больше средств клиент может потратить на ИБ-решение, тем лучше. «Проанализировав различные решения в сфере ИБ, можно, например, сделать вывод о том, что уровень обеспечиваемой защиты и удобство использования обычно находятся в обратной зависимости», — считает г-н Сухов.
В случае с защитой ДБО это может выражаться в том, что от конечных пользователей дополнительно потребуется безошибочно и неоднократно вводить длинные коды или уникальные номера банковских документов, отправлять и получать всевозможные SMS-сообщения и т. д. и т.п.
Исключение из общего правила
Новейшее пополнение линейки решений компании «Актив» — Рутокен PINPad — станет доступным для клиентов уже в декабре 2011 г. С технической точки зрения он представляет собой подключаемое к компьютеру небольшое устройство с сенсорным экраном, позволяющим ввести PIN-код, а также визуально просмотреть содержимое документа, перед тем как заверить его электронной подписью при помощи Рутокен ЭЦП, вставляемого в USB-порт на корпусе самого PINPad-а. Подпись формируется аппаратно при помощи неизвлекаемого ключа Рутокен ЭЦП, а PINPad гарантирует, что банковский документ был просмотрен бухгалтероми отправлен в банк именно путем нажатия виртуальной кнопки на экране.
«Идея подобного решения давно, что называется, витала в воздухе, однако именно компания «Актив» первой создала такое устройство», — сообщилг-н Сухов. Применение Рутокен PINPad, в частности, позволит эффективно бороться со всеми современными видами угроз, подстерегающими клиентов банка, пользующихся ДБО. Суть в том, что платежное поручение не может уйти в банк без окончательного одобрения самого пользователя, который всякий раз просматривает «платежку» при помощи PINPad-а, и только после этого отсылает (или отклоняет) платеж нажатием соответствующих кнопок на сенсорном экране. При этом, какие бы привилегии ни присвоил себе «забравшийся» в компьютерную систему злоумышленник, он будет лишен возможности не только самостоятельно инициировать платеж, но и совершить подмену платежного поручения. «Пользователь может быть уверен, что в банк отправится именно то платежное поручение, которое он визуально проверит на сенсорном экране Рутокен PINPad. Без его непосредственного участия совершить платеж с удаленного компьютера физически невозможно», — подчеркивает г-н Сухов.
Пожалуй, такое решение будет интересно практически всем. Для крупных клиентов, помимо прочего, предусмотрена дополнительная возможность контролировать и производить массовые платежи своим многочисленным доверенным контрагентам; для банков — появляется новый способ предоставить своим клиентам более надежный банковский сервис (вместо того, чтобы разбираться с претензиями); для ведущих разработчиков систем банк-клиент, совместно с которыми компания «Актив» и будет продвигать Рутокен PINPad на рынок, интеграция с этим аппаратным решением даст убедительное конкурентное преимущество, позволит привлечь новых покупателей.
«Крупная компания с выстроенными на должном уровне внутренними процессами обеспечения ИБ может позволить себе выдать своим многочисленным сотрудникам относительно простые и недорогие устройства, причем, с учетом всех обстоятельств, это вполне можно будет признать оптимальным выбором, — считает г-н Сухов. — Если же попытаться нарисовать портрет «идеального заказчика» именно для решения Рутокен PINPad, то им может стать СМБ-компания, распоряжающаяся большими средствами на расчетном счете и, в то же время, имеющая относительно небольшое среднее количество ежедневно совершаемых операций по этому счету. Рутокен PINPad даст такой компании удобный способ осуществлять тщательный контроль над каждой операцией по счету и исключить возможность несанкционированного доступа к нему, а также в ряде случаев может помочь снизить совокупные затраты на обеспечение информбезопасности. Мне сложно назвать другое, аналогичное нашему решение из числа имеющихся сегодня на рынке, которое сочетало бы в себе простоту установки и удобство использования со столь высоким уровнем обеспечиваемой защиты и эффективного в современных условиях снижения рисков при проведении удаленных платежей».
Таким образом, линейка токен-решений от компании «Актив», которую уже в этом месяце пополнит Рутокен PINPad, позволяет эффективно решить потребности компании любого масштаба и сферы деятельности. Оно может, например, использоваться в целях аутентификации на различных ресурсах, доступа в защищенную корпоративную сеть, выполнения требований компаний и площадок, организующих тендеры, удаленной сдачи бухгалтерской отчетности и оформления других юридически значимых электронных документов, требующих заверения при помощи ЭП и пр.