Продолжение № 8 Что мы имеем сейчас на март 2015 г. ? Существенное расширение класса угроз при использовании Персональных компьютеров! В настоящее время (как и должно быть!) появляются все новые и новые угрозы связанные с различными механизмами хищений и модификации информации (подмены подписываемых параметров, и т.д.) при дистанционном обслуживании клиентов использующих ПК, вот последний пример: В феврале 2015 года компания «Лаборатория Касперского» (ЛК) заявила, что обнаружила уникальную программу кибершпионажа, с помощью которой можно получить доступ к информации на большинстве компьютеров в мире. ЛК тогда уточнила, что программа тесно связана с вирусом Stuxnet, который был разработан по заказу АНБ. Подробнее: http://top.rbc.ru/politics/19/03/2015/550b02a29a79479cd82198d5 Предотвращение хищений в системах ДБО, и не только! В данном выступлении я остановлюсь на том, как уже сейчас, используя один достаточно известный механизм, без каких либо глобальных изменений в системах существующих ЭДО и ДБО, можно создать надежную защиту от возможной несанкционированной модификации создаваемых пользователем (клиентом) электронных документов (с учетом всех уже известные, и всех будущие возможных угроз при использовании ПК ). Что мы сейчас имеем в системах ДБО ? Чем нужно дополнить уже существующие механизмы защиты Давайте предположим, что у нас в дополнение к уже существующим механизмам безопасности ДБО, есть : однонаправленное с использованием сертифицированной криптографии устройство ввода информации в контрольные поля. Тогда давайте посмотрим как изменится картинка возможных атак на ДБО. Возможный путь нейтрализации проблемы Что осталось? Это Атака № 5 (нарушение клиентом правил использования однонаправленного интерфейса ввода, это вина клиента) и Атаки №2 и №4 (в АБС есть проводка без ЭП устройства клиента, это вина Банка). Теперь с данным интерфейсом ввода у всех Банков появляется комплект механизмов безопасности, который обеспечивает качественную безопасность систем ДБО (Я считаю, что это на данный момент очень важно). . Для клиента появляется реальный механизм, который обеспечивает защиту его финансовых операций от он-лайн фрода, и обеспечивает предупреждение хищений при использовании им электронных денег в систем ДБО и не только! В результате клиенту предоставляется на выбор полный комплекс механизмов безопасности, клиент может сам выбирать, уровень безопасности, от самого слабого до самого мощного. Зависимость (примерная) рисков ДБО при атаке клиентского места из Интернета от использовании различных механизмов безопасности в ДБО. Использование однонаправленных систем Использование разных каналов связи (использование SMS для передачи контрольного параметра) спользование различных специализированных И устройств повышающих безопасность проводимых… ЭЦП (файловая или на защищенном USB носителе) Одноразовый пароль (SMS или OTP); žSMS – информирование Логин – Пароль Штатные средства WEB 0 10 20 30 40 50 Риски 60 70 80 90 100 Также с данным однонаправленным интерфейсом существенно облегчается расследование инцидентов в ДБО . Данный интерфейс позволяет однозначно определять спорные транзакции, клиент и банк равноправны. Законы 161 и 63 могут выполняться в полном объеме банками без изменений, и без риска для банков и клиентов. Выбор универсального устройства Устройство должно обеспечивать гарантированный (сертифицированная криптография) уровень защиты ЭД в ДБО; Устройство должно быть универсальным и легко встраиваться без доработки в клиентскую часть любой существующей системы ДБО; Механизмы безопасности в устройстве должно быть универсальны для использования как физическими, так и юридическими лицами. Возможная схема стандартизации при эксплуатации систем ДБО Для автоматизированных систем ДБО Предлагается использовать дополнительные универсальные однонаправленные интерфейсы ввода информации (клавиатура, сканер, голосовой ввод и т.д.) Данные интерфейсы должны быть однонаправленные (полудуплексные); Должно обеспечиваться подключение к USB-порту или по средствам Bluetooth; Устройство не должно требовать установку дополнительных драйверов; Значения защищаемых полей в ДБО должны вводиться с использованием вышеперечисленных интерфейсов. Заключение Использование данных интеллектуальных однонаправленных интерфейсов ввода информации позволяет полностью решить проблемы связанные с выполнением действующих Федеральных Законов (ФЗ-63, ФЗ-161). По желанию заказчика в интерфейсы может быть встроен любой механизм формирования контрольного признака, любая ЭП, а также имеется возможность использования любого современного USB – хранилища ключей ЭП. Системы использующие данные интерфейсы ввода могут применяться в любом электронном документообороте, где есть необходимость защиты вводимой информации. Альтернативная концепция развития систем ДБО в России Спасибо за внимание! Потанин Сергей Сергеевич Начальник Управления Информационной безопасности ДЗА АКБ «СОЮЗ» (ОАО) тел. +7 (495) 729-55-00 (доб. 425-41) E-mail: Sergey.Potanin@banksoyuz.ru