Криптографические технологии и PKI – эффективные инструменты обеспечения защищенности автоматизированных банковских систем, в том числе при трансграничном взаимодействии Кирюшкин Сергей Анатольевич, к.т.н. Советник генерального директора ООО «Газинформсервис», Россия, Санкт-Петербург Тел. +7(812) #1859 Факс +7(812) Международный форум по банковским информационным технологиям «БанкИТ» ноября 2012 года, г. Минск, Беларусь

Источники Презентация основана на аналитических и проектных материалах компаний Газинформсервис и Белтим СБ, а так же материалах ряда профильных конференций, в том числе PKI-Форум Россия иИнформационная безопасность банков

Технологии ДБО 1. Банк-клиент (Клиентское ПО) 2. Интернет-банкинг Браузер 3. Мобильный банкинг Клиентское ПО/Браузер/СМС 4. АТМ Банкомат/Терминал 1.Атака на АРМ пользователя с целью кражи идентификаторов (закрытого ключа, пароля, пин- кода…) 2.Атака на АРМ пользователя с целью захвата удаленного управления ресурсами АРМ пользователя 3.Атака на АРМ пользователя с целью подмены документа при процедурах электронной подписи 4.Аналогичные атаки на каналы передачи данных…

Известные решения на базе криптографии и PKI 1.Защищенное хранение ключей, в том числе использование ключевых с неизвлекаемым хранением ключей. 2.Контроль доступа и контроль операций на основе идентификации и аутентификации криптографическими методами 3.Создание доверенной среды выполнения криптографических операций 4.Строгая аутентификация и шифрование в каналах 1.Атака на АРМ пользователя с целью кражи идентификаторов (закрытого ключа, пароля, пин- кода…) 2.Атака на АРМ пользователя с целью захвата удаленного управления ресурсами АРМ пользователя 3.Атака на АРМ пользователя с целью подмены документа при процедурах электронной подписи 4.Аналогичные атаки на каналы передачи данных…

Примечания 1.Криптографические методы защиты актуальны, популярны и эффективны в ДБО и в банковских ИС в целом; 2.Применение криптографии (как и все остальные стадии жизненного цикла) регулируется особо на уровне законодательства и уполномоченными государственными регуляторами

Универсальное применение

Однако… По ряду причин СКЗИ и PKI в КФУ используются зачастую не эффективно

Банковская ЭЦП 8 Разработаны и достаточно широко используются банковские системы, в которых декларируется применение ЭЦП, но не в соответствии с 1-ФЗ «Об ЭЦП» Цитата из договора: Клиент при подписании электронного документа (ЭД) ЭЦП применяет свои секретные ключи подписи, а Банк при проверке ЭЦП ЭД открытые ключи подписи Клиента, являющиеся действующими на момент подписания и передачи документа на обработку соответственно. Ключи электронной цифровой подписи (секретный и соответствующий ему открытый ключ) подписывающей Стороны становятся действующими только после завершения процедур регистрации открытых ключей и ввода в действие секретных ключей. Риски банков применения псевдо ЭЦПне оценены. Ущерб от реализации данных рисков не минимизирован.

Некорректные процедуры работы с ЭЦП 9 Появляются риски банков и пользователей, связанных с исполнением документов, удостоверенных ЭЦП с отозванными (аннулированными) или не доверенными сертификатами Во многих АБС, использующих ЭЦП: По умолчанию отключена проверка на отозванность сертификата ключа подписи при проверке ЭЦП; Отсутствуют проверки на отозванность сертификата ключа подписи при подписании электронных документов; Не описана и не обоснована процедура установления отношений доверия к центрам сертификации (удостоверяющим центрам); И пр.

10 Применение сертифицированных библиотек с нарушением технических условий эксплуатации; Передача средств ЭЦП по незащищенным каналам связи или по протоколам SSL с алгоритмами RSA, DES и т.д. и пр. Появляются риски банков и пользователей, связанных с отказом от ЭЦП ввиду подтверждения экспертной организации о несертифицированном условии использования средства ЭЦП

11 Применяются незащищённые ключевые носители (дискеты, флэшки), т.к. они значительно дешевле защищенных; Цитата из договора, описывающая ВСЕ меры защиты криптографических ключей: КЛИЕНТ обязан самостоятельно обеспечить сохранность своих секретных ключей и несет за это полную ответственность. КЛИЕНТ по возможности обязан содержать свои секретные ключи на съемном электронном носителе информации, а данный носитель хранить в сейфовом шкафу или другом надежном месте с ограниченным доступом.

Подробный анализ судебных решений см. в блоге Н.А.Храмцовской:

13 Неправомерное списание денежных средств со счетов Подавляющее большинство дел выигрывают кредитные организации Кредитная организация проигрывает в случае нарушения правил работы и оформления документов

14 Банк виновен: При подключении системы «Клиент-банк» банк не составил ни одного предусмотренного Генеральным соглашением - виновен, ущерб 500 тысяч руб. РФ (дело А /2010)

15 Клиент виновен (нарушение безопасности ключей): Добровольно передав ключ ЭЦП, руководитель тем самым санкционировал последующие действия исполнителя (дело А /2011) Клиент не стал получать собственные средство ЭЦП, ключи и сертификат, и использовал средства, принадлежащие другой организации (дело А /2011) Приказом право доступа к криптографическим ключам, помимо генерального директора организации было предоставлено главному бухгалтеру и заместителю главного бухгалтера – ущерб 450 тысяч (делу А /2010)

16 Клиент виновен (организационные причины): Несмотря на затянувшийся корпоративный конфликт, никто из поочередно сменявшихся директоров общества, работавших с одними ключами, не известил банк о сложившейся ситуации – ущерб 29 млн. рублей (дело А /2011) Договор с банком был подписан неустановленным лицом, а организация его одобрила, начав использование системы «клиент-банк» (дело А38-311/2011)

17 Клиент виновен (несоблюдение ТУ эксплуатации): На компьютере клиента присутствовали вредоносные программы, не были выполнены иные меры по обеспечению безопасности при работе в системе ДБО (дело А /2011)

Вывод 1 1.Несмотря на популярность, эффективность и определенность нормативного регулирования применения СКЗИ и PKI, как правило они используются в АБС далеко не оптимально. 2.Для повышения эффективности и снижения рисков для создания таких систем необходимо привлекать лицензиатов и проводить независимый аудит создаваемых и эксплуатируемых систем.

Защита информации на основе СКЗИ и PKI при трансграничном взаимодействии 19

Определение 21 Трансграничная передача персональных данных - передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства. (ФЗ-152, ст.3, п.11)

Область применения 22

Основные вопросы 23 1.Как обеспечить совместимость технологий защиты? 2.Как учесть разницу в правовом регулировании?

Одноплечевая схема 24 АB ДТС

Двуплечевая схема 25 АB ДТС АДТС B

Как учесть разницу в правовом регулировании? 26 1.Международные соглашения (примеры – директивы и конвенции Европарламента, Конвенция (Соглашение) о порядке признания юридического значения иностранных электронных документов (сообщений) и/или их электронных подписей в международном информационном обмене) 2.Привести в соответствие национальное законодательство 3.Договоры B2B (примеров не требуется) 4.Внутренние регламенты (для филиалов) 5.И пр.

Национальное законодательство Закон Республики Беларусь от 28 декабря 2009 г. N 113-З Об электронном документе и электронной цифровой подписи Статья 30. Признание иностранного сертификата открытого ключа Иностранный сертификат открытого ключа, соответствующий требованиям законодательства иностранного государства, в котором этот сертификат издан, признается на территории Республики Беларусь в случаях и порядке, определенных международным договором Республики Беларусь, предусматривающим взаимное признание сертификатов открытых ключей или другой способ придания юридической силы иностранным электронным документам. Сертификат открытого ключа, изданный поставщиком услуг иностранного государства, аккредитованным в Государственной системе управления открытыми ключами, признается на территории Республики Беларусь.

Национальное законодательство Федеральный закон Российской Федерации от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи" Статья 7. Признание электронных подписей, созданных в соответствии с нормами иностранного права и международными стандартами 1. Электронные подписи, созданные в соответствии с нормами права иностранного государства и международными стандартами, в Российской Федерации признаются электронными подписями того вида, признакам которого они соответствуют на основании настоящего Федерального закона. 2. Электронная подпись и подписанный ею электронный документ не могут считаться не имеющими юридической силы только на том основании, что сертификат ключа проверки электронной подписи выдан в соответствии с нормами иностранного права

Национальное законодательство в Москве прошел экспертный совет по подготовке к парламентским слушаниям в Совете Федерации «Об использовании электронной подписи: состояние нормативно- правовой базы и практика её применения». Модератором совещания экспертов выступал заместитель председателя Комитета Совета Федерации по экономической политике Юрий Витальевич Росляк. Среди огромного количества обсуждаемых вопросов, был и вопрос, связанный с определением объема существующей нормативной базы для применения Статьи 7 63-ФЗ «Об электронной подписи» по использованию иностранных электронных подписей. В ходе обсуждения экспертами, было принято решение, что на настоящий момент существующей нормативной базы вполне достаточно для применения данной статьи закона (Ст ФЗ) как для уровня бизнеса, так и для уровня государства.

Модель системы нормативного регулирования доверенного трансграничного электронного взаимодействия 30 Страна A Страна B Международное соглашение Типовой договор Договор Регламент TTP Регламент TTP TTP A TTP B Институт государства и права РАН, 2007 г. Доверенное электронное взаимодействие Договор

Модель системы нормативного регулирования доверенного трансграничного электронного взаимодействия 31 Страна A Страна B TTP A Торговый обычай Договор Доверенное электронное взаимодействие Договор TTP B Договор

32 Доверенная третья сторона X.842, раздел 7 содержит описание основных категорий сервисов ДТС: 1.Сервис меток времени 2.Сервис неотрекаемости 3.Сервис управления ключами 4.Сервис управления сертификатами 5.Электронный нотариат 6.Сервис электронного цифрового архива 7.Сервис идентификации и аутентификации в режимах «on-line», «off-line», «in-line» 8.Сервис трансляции в режиме «in-line» 9.Сервис восстановления данных и ключевой информации 10.Сервис персонализации 11.И др. Традиционны е сервисы удостоверяю щих центров

Сервис валидации ЭД

сервис валидациии онлайн 34

Трансграничная конфиденциальность

Спасибо за внимание! Кирюшкин Сергей Анатольевич, к.т.н. Советник генерального директора ООО «Газинформсервис», Россия, Санкт-Петербург Тел. +7(812) #1859 Факс +7(812)