w w w. a l a d d i n. r u 2-я Международная конференция «Инфофорум–Болгария» сентября 2010г. Решение некоторых актуальных вопросов информационной безопасности для банков А.Г.Сабанов, к.т.н., зам.ген.директора ЗАО «Аладдин Р.Д.» Эксперт по информационной безопасности APEC Electronic Commerce Steering Group

w w w. a l a d d i n. r u Служба ИБ в банке 2 Удостоверяющий Центр Корпоративной Информационной Системы Отдел внедрения и сопровождения систем обеспечения информационной безопасности Отдел криптографической защиты информации Отдел администраторов безопасности Отдел информационной безопасности автоматизированных банковских систем Отдел безопасности платежных систем Отдел аудита и аттестации информационных систем

w w w. a l a d d i n. r u Функционал системы ИБ банка 3 Управление запросами СКП и ключами Управление ключевыми носителями Система защищенного доступа Учет дистрибутивов ПО Управление лицензиями СКЗИ Интеграция с АБС Система управления паролями и SSO Система VPN на сертифицированном СКЗИ Система учета внутренних АРМ Система учета носителей информации Система контроля действий пользователей Автоматизация обновления ПО и смены СКП

w w w. a l a d d i n. r u ТОП-5 наиболее актуальных задач ИБ Противодействие атакам на системы дистанционного банковского обслуживания (ДБО); Защита от инсайдерских атак; Фильтрация Web-трафика от вирусов, троянов и т.д.; Защита от распределенных сетевых DDoS-атак на сайты банков; Атаки на платежные карты, банкоматы и платежные терминалы. 4 По материалам 2-ой Международной межбанковской конференции по информационной безопасности ДЦ «Юбилейный» г.Магнитогорск февраля 2010г.

w w w. a l a d d i n. r u 5 Атаки на ДБО - появление новых «бизнесов» 1. Атаки на клиентов банков стали массовыми и адресными 2. «Разделение труда» –Сбор информации о клиентах, их счетах и суммах с целью перепродажи –Кража денег с выбранных счетов – проведение адресных атак Причины Кризис (обострение проблем) Доступность инструментария для подготовки и проведения адресных атак –Используются уязвимости ПО и бот-сети –Стоимость менее $100 Перекладывание ответственности за безопасность на клиента (хотя он не может себя нормально защитить)

w w w. a l a d d i n. r u 6 Что происходит и почему? Масштаб бедствия Главные источники угроз Уязвимости Web-приложений – «заряженные» сайты – эксплойты 63% сайтов РФ имеют критические уязвимости * Специализированные эксплойты и трояны - антивирусы против них не эффективны Как мы получаем spyware Переходя по ссылкам в спамерских письмах («грязный» спам) Через поисковики (подозрительные сайты) Фишинг (письма «от банка») Из 600 млн. компьютеров, подключенных к Интернет, млн. уже являются частью бот-сетей. Давос, январь 2007 Из доклада Виртона Серта Positive Technologies, %

w w w. a l a d d i n. r u 7 Инструментарий Конструктор для подготовки и организации адресных атак Создание эксплойта для сайта, скрытно устанавливающего исполняемые программы на компьютере клиента Web Attacker Toolkit

w w w. a l a d d i n. r u 8 Конструктор spyware - специализированных троянов

w w w. a l a d d i n. r u 9 От защиты объекта к защите взаимодействия Основные векторы угроз Кража регистрационных данных клиентов (accountов) Кража / перехват ключей ЭЦП / кодов авторизации / одноразовых паролей (SMS) Противодействие Усиление аутентификации Использование автономных устройств OTP (One Time Password)- генераторов Токенов для защищенного хранения криптографических ключей ЭЦП Токенов с аппаратной ЭЦП (неизвлекаемый ключ ЭЦП) Для «толстого клиента» основной проблемой остается вопрос доверенной среды Большой интерес и новые разработки связаны с «тонким клиентом» (Web) основные вопросы обеспечения безопасной работы Даже Токен с аппаратным ЭЦП проблем не снимает – требуется прорабатывать всю security-архитектуру решения

w w w. a l a d d i n. r u 10 Микроконтроллеры общего назначения (1998 – н.в.) - Не предназначены для задач ИБ (unsecure by design) - Данные хранятся во внешней памяти, невозможность форм-фактора смарт-карты - Программная реализация функций безопасности, алгоритмов шифрования - Пропиетарная архитектура, нет стандартов Примеры: iKey 1000, eToken R2, ruToken, Шипка ВАЖНО: Есть факты взлома ключей, построенных на данной архитектуре (iKey1000) Смарт-карты (2000 – н.в.) + Разработаны для задач ИБ (secure by design) + Встроенная защищённая память + Общепринятые стандарты безопасности, аппаратно реализованы криптоалгоритмы - Сложность расширения функционала, длительный цикл разработки и тестирования Java-карты (2002 – н.в.) + Расширение функционала за счёт загрузки Java-апплетов - Медленное взаимодействие с периферией Микроконтроллеры для Java-карт (2007 – н.в.) + Быстрая периферия (USB- контроллер), драйвера в ОС Эволюция технологий

w w w. a l a d d i n. r u 11 Общая архитектура eToken Java

w w w. a l a d d i n. r u 12 Электронные ключи eToken Java Содержат Java-карту, полностью соответствующую стандартной спецификации Java Card компании SUN (ныне Oracle) и спецификации Global Platform Java Card Platform Specification ( Java Card Platform Specification 2.2http://java.sun.com/products/javacard/ Global Platform 2.2 ( В карту загружен Java-апплет, реализующий функционал eToken PRO Есть возможность загрузки дополнительных апплетов, созданных независимыми разработчиками

w w w. a l a d d i n. r u 13 Модели eToken USB-ключ/смарт-карта eToken PRO (Java) MobilePASS – программный OTP Генератор одноразовых паролей eToken PASS Комбинированный USB-ключ с генератором одноразовых паролей eToken NG-OTP (Java) Комбинированный USB-ключ с дополнительным модулем flash-памяти eToken NG-FLASH (Java) USB-ключ/смарт-карта eToken ГОСТ Электронные ключи eToken

w w w. a l a d d i n. r u Прямые потери клиентов - При атаке на одного клиента обычно похищается от 500,000 до 25,000,000 руб. При этом, в большинстве случаев одновременно атакуются несколько клиентов. *Известны прецеденты, когда клиентам удавалось через суд взыскать с банка похищенные средства. 2. Репутационные потери Банка - «Продвинутые» пострадавшие публикуют информацию о хищениях на банковских ресурсах ( и т.д.), что вызывает отток клиентов и формирование негативного имиджа банка. 3. Затраченные ресурсы - Необходимо принимать во внимание расход на отвлеченный от работы департамент ИТ и Информационной безопасности Финансово-экономическое обоснование проекта. «Стоимость» риска

w w w. a l a d d i n. r u 15 Кроме того, после хищения обычно организуется DDoS-атака на сервис системы ДБО, в результате чего он временно прекращает функционирование. Можно посчитать убытки банка при атаке длительностью в 8 часов: Недополученная прибыль: Количество операций в ДБО. Цена одной операции в среднем 16 рублей. 16 руб. – 5000 клиентов – 15 операций в день. = руб. Расходы на защиту от DDoS. оперативная защита руб. Если у ISP (провайдер) тарифицируется входящий трафик, то умножаем трафик в Гб на цену 1 Гб: 5 – 100 ГБ. перерасход трафика – руб. Итого: Не считая расследование (не входит в ущерб): от до руб. * Расходы злоумышленника Евро. Финансово-экономическое обоснование проекта «Стоимость» риска (2)

w w w. a l a d d i n. r u 16 Финансово-экономическое обоснование проекта (3) Как сделать информационную безопасность прибыльной? - Клиенты готовы платить за свою безопасность - При правильной организации процесса, Банк имеет возможность дополнительно зарабатывать на услугах по обеспечению безопасности в своей системе ДБО.

w w w. a l a d d i n. r u 17 Финансово-экономическое обоснование проекта (4) Содержание собственного Удостоверяющего центра Исходные данные для расчёта: - Стоимость ПО для УЦ на 5000 лицензий – 600,000 руб. - Стоимость оборудования – 200,000 руб. - Зарплата сотрудников в год (всего 3 человека) – 2,160,000 руб. - Стоимость одного цифрового сертификата (коммерческий УЦ) –600 руб. 6,100,000 руб. руб. лет Точка окупаемости

w w w. a l a d d i n. r u 18 * По данным Group IB для систем дистанционного банковского обслуживания УгрозаРиск Актуальность риска* Решение Цель: закрытый ключ ЭЦП пользователя Несанкционированное копирование закрытого ключа ЭЦП пользователя с последующим использованием Хищение закрытого ключа из незащищенного хранилища 70% Использование токенов, выполняющих операции с закрытым ключом пользователя внутри физического устройства. Закрытый ключ не может быть скомпрометирован. Хищение закрытого ключа из оперативной памяти РС 5% Цель: криптографические возможности токена Несанкционированное использование ключевого контейнера, либо токена, непосредственно на рабочей станции клиента системы ДБО Хищение СКЗИ, инсайд 10% Для работы с токеном требуется аутентификация в устройстве на основе PIN-кода пользователя. Удаленное управление машиной с подключенным токеном 14% Наряду с использованием ЭЦП, вырабатываемой токеном, можно требовать подтверждения транзакций одноразовым паролем (OTP), который вырабатывается (eToken NG-OTP/eToken PASS). Цель: документ, для которого вырабатывается ЭЦП, или его HASH Подмена документа или хеш-значения в процессе его передачи в СКЗИ Активность вирусного ПО 1% Предоставление клиентам Токена в комплекте с антивирусным пакетом, который существенно снижает уровень угроз, связанных с вирусами. Старт проекта. Оценка рисков и выбор технологии защиты

w w w. a l a d d i n. r u 19 Предоставление клиентам средств защиты должно быть приведено в соответствие с их потребностями и уровнем риска Физические лица - OTP-токены Юр. лица (SMB) - Защищенные ключевые носители Корпоративные клиенты - OTP + Защищенные ключевые носители VIP-клиенты – защищенная мобильная ОС на носителе «Лесенка» решений для клиентов р р р р. eToken PASS eToken ГОСТ eToken PRO (Java) eToken NG-OTP eToken PASS + eToken ГОСТ eToken NG-FLASH + Программное обеспечение

w w w. a l a d d i n. r u 20 На что стоит обратить внимание: 1.Организация работы подразделений, участвующих в процессе Обучение персонала, который непосредственно общается с клиентами - операционисты должны уметь правильно объяснить клиенту, зачем ему нужны средства защиты Должен существовать регламент реагирования службы безопасности на инциденты (хищения средств, DDoS и т.д.) *возможна передача данных задач на аутсорсинг специализированным компаниям 2. Юридические вопросы Корректность клиентских договоров на обслуживание по системе ДБО, актов, доверенностей на генерации и т.д. *при судебном разбирательстве любое упущение в договоре может привести к тому, что банку придется возмещать ущерб Наличие лицензий на распространение СКЗИ, в соответствии с требованиями регулирующих органов *претензии проверяющих на наличие лицензий ФСБ могут привести к приостановке деятельности организации «Подводные камни»

w w w. a l a d d i n. r u 21 Best practice (1) 1. Повышение уровня безопасности должно сопровождаться улучшением пользовательских характеристик системы Безопасность Удобство 2. Для бизнеса: дополнительные возможности для коммуникации с клиентами и донесения рекламной информации

w w w. a l a d d i n. r u «Схема одного визита». В Банке: Клиент Менеджер филиала УЦ Банка Подготовка комплекта документов Заявление на открытие счета + заявка на выпуск технологического сертификата Проверка документов, идентификация клиента, приём заявки на выпуск технологического сертификата Формирование запроса на сертификат Проверка (опционально) сформированного запроса Издание технологического сертификата и его передача в филиал Печать договора и копии технологического сертификата на бумажном носителе. Их передача с ключевым носителем клиенту Ознакомление клиента с договором и проверка им соответствия электронной версии и бумажной копии технологического СКП Подпись клиентом договора и бумажных копий технологического сертификата Передача Банку подписанного договора и бумажной копии технологического сертификата Best practice (2)

w w w. a l a d d i n. r u «Схема одного визита». Удаленно: Клиент Менеджер филиала УЦ Банка Формирование клиентом на своём рабочем месте запроса на сертификат (подписанного технологическим сертификатом) Издание сертификата клиента Регистрация клиентом своего сертификата в системе Начало работы клиента в системе ДБО Best practice (3)

w w w. a l a d d i n. r u 24 Итоги реализованных проектов 1.Повышение лояльности клиентов за счет увеличения защищенности сервиса ДБО. 2.Снижение репутационных рисков, связанных с распространением в СМИ публикаций о краже средств со счетов клиентов. 3.Повышение удобства подключения и работы клиента в системе ДБО 4.Дополнительные доходы для Банка. Департамент информационной безопасности перестает быть затратным подразделением.

w w w. a l a d d i n. r u 25 В России: Альфа-банк Банк Возрождение Газпромбанк КМБ-Банк Коммерцбанк-Евразия Метробанк Уралпромбанк Интерпрогрессбанк и многие другие … eToken в системах ДБО: В мире: Bankernes EDB Central (BEC) Banco Central do Brasil Bank Hapoalim Postbank Commerzbank International S.A. Israel Securities Authority Hypovereinsbank (HVB) Deutscher Ring Israel Discount Bank Ltd. NH-Bank и многие другие…

w w w. a l a d d i n. r u Спасибо за внимание! 26

w w w. a l a d d i n. r u 27 «Аладдин Р.Д.» – визитная карточка 15 лет на рынке Более 90 чел. (Московский офис) Офисы: –Казахстан –Украина Лицензии: –ФСБ (включая лицензии на гос.тайну и разработку шифросредств) –ФСТЭК России –Минэкономразвития (на экспорт/импорт шифросредств). Основные направления: Обеспечение безопасного доступа к информационным ресурсам (аутентификация) eToken Content Security для крупных корпоративных сетей и интернет-провайдеров eSafe Шифрование дисков, защита БД и перс. Данных Крипто БД Secret Disk Защита ПО HASP

w w w. a l a d d i n. r u 28 Сертифицированные по требованиям ФСТЭК решения eToken Pro 32К eToken PRO SmartCard Secret Disk NG 3.1 eToken Windows Logon eToken PRO 64K eToken NG-OTP Secret Disk Server NG 3.2 eToken Java eSafe 6 TMS Secret Disk 4.0