Безопасная система клиент-банк — серьезный инструмент повышения лояльности клиентов
Дмитрий Горелов, коммерческий директор компании «Актив», ответил на вопросы корреспондента информационного портала Bankir.ru Андрея Лазарева и подробно рассказал о технологиях безопасности виртуального банкинга, о том, как сделать клиент-банк еще одним конкурентным преимуществом.
-
Дмитрий Горелов
Коммерческий директор, Актив
Работает на рынке информационной безопасности (ИБ) более 20 лет. В 1994 году с партнерами основал компанию «Актив», которая занимается разработкой и производством аппаратных средств аутентификации Рутокен и средств защиты программного обеспечения от нелегального копирования Guardant.
Входит в совет директоров Российской Криптологической Ассоциации «РусКрипто» и возглавляет программный комитет ежегодной конференции «РусКрипто». Является признанным экспертом на рынке отечественной ИБ, что подтверждает его активная деятельность в качестве модератора и докладчика на различных мероприятиях, посвященных защите информации.
Bankir.ru: Ни для кого не секрет, что виртуальный банкинг — уже не роскошная дополнительная услуга, которую банк предоставляет своим клиентам в качестве бонуса, а серьезный инструмент, гарантирующий лояльность клиентов и позволяющий сэкономить. Но, к сожалению, до сих пор узким местом интернет-банкинга остается обеспечение должного уровня информационной безопасности. Какие на сегодняшний день существуют технологии, позволяющие сделать проведение операций через интернет более «секьюрными»?
Дмитрий Горелов: Вы правы, интернет-банкинг (или клиент-банк) в современном динамичном мире — отличный помощник. Для клиента — это существенная экономия времени. Отпала необходимость ездить в банк для осуществления операций по счету: можно в любое удобное время посмотреть выписку по счету, узнать внутренний курс валют, погасить кредит, провести любой платеж и многое другое. Для банка же перевод клиента в «виртуальное пространство» — серьезная экономия бюджета: нет необходимости открывать все больше и больше дополнительных офисов для обслуживания клиентов.
Во многих банках система клиент-банк выполняет до сих пор некую справочную функцию — можно посмотреть выписки по счету, провести простые транзакции, но доверить клиенту самостоятельно проводить через интернет межбанковские операции пока решаются немногие. Связано это с тем, что гарантировать безопасность таких «удаленных» операций могут себе позволить далеко не все. Наиболее популярной защитой до сих пор является логин и пароль. При заключении договора клиенту передается пакет документов, в котором и содержится необходимый логин и пароль для доступа к клиент-банку. Действительно, эта технология не требует никаких дополнительных финансовых вливаний, но думаю, не стоит говорить о том, почему она небезопасна.
Следующая по популярности технология — скретч-карты, на которых под защитным слоем содержится до сотни одноразовых паролей доступа. Более современная и относительно недорогая технология, но после того, как количество одноразовых паролей закончится — клиенту снова придется идти в банк и получать новую карту. А если клиент — юридическое лицо и проводит до 50 финансовых операций в день? Надолго ли ему хватит такой карточки?
Сейчас очень популярна технология получения одноразовых паролей доступа на мобильный телефон в виде смс-сообщения. Однако система безопасности, основанная на смс-уведомлениях, имеет свои ограничения. Представим себе ситуацию: клиенту необходимо пополнить баланс мобильного телефона. Клиент запрашивает в личном кабинете клиент-банка одноразовый пароль для проведения транзакции, но получить смс он не сможет, так как мобильный телефон заблокирован. Возможны сбои на стороне мобильного оператора и прочие внешние форс-мажорные обстоятельства.
Bankir.ru: Получается, что существующие технологии не всегда гарантируют клиенту банка то, что в любой момент он может воспользоваться интернет-банком и при этом быть уверенным в надежности и легитимности финансовых операций?
Дмитрий Горелов: Это не так. Наиболее надежной и безопасной технологией удаленного управления счетом является верификация операций средствами электронной цифровой подписи (ЭЦП), которая генерируется средствами криптопровайдера (СКЗИ). Ключ ЭЦП — это некий набор символов, который является паспортом-пропуском клиента в виртуальный мир банковских операций. При заключении договора обслуживания клиент получает ключ, и каждую проведенную операцию он будет подтверждать росчерком «виртуального пера»: электронная подпись поступает на проверку в Удостоверяющий центр банка (это специальная служба, отвечающая за выдачу цифровых сертификатов и за проверку их подлинности), где формируется ответ — подтвердить подлинность сертификата или отклонить запрос. Но! Важно обеспечить достойное хранение секретного ключа ЭЦП: устаревшие на сегодняшний день методы, такие как дискета или флешка абсолютно небезопасны. Нужен контейнер, который будет хранить ЭЦП в зашифрованном виде, недоступном непосвященным людям или злоумышленникам. Роль такого контейнера выполняют смарт-карты и USB-токены.
Bankir.ru: Что безопаснее и надежнее — USB-токен или смарт-карта?
Дмитрий Горелов: Оба этих устройства обладают практически одинаковым функционалом. Единая сущность — разные конструктивы. Но для работы со смарт-картой необходим считыватель — еще одно устройство в копилку делового человека. Согласитесь, это не всегда удобно. USB-токен же выглядит как небольшой брелок, дополнительных приспособлений не требует, можно носить на связке с ключами. Для доступа к интернет-банкингу нужен компьютер или ноутбук, оснащенный USB-портами, доступ к интернету и токен.
Bankir.ru: Компания «Актив» с 2002 года занимается разработкой и производством USB-токенов, выпускаемых под брендом Рутокен. Уже много лет «Актив» входит в тройку крупнейших поставщиков USB-токенов в России и на равных конкурирует с международными компаниями. Чем ваш продукт заслужил уважение и признание на рынке ИБ?
Дмитрий Горелов: Действительно, Рутокен — наше сравнительно новое направление, 8 лет назад совместно с фирмой «Анкад» мы разработали электронные USB-идентификаторы, которые с успехом заменили парольные системы защиты информации. Основу Рутокен составляет микроконтроллер, который выполняет криптографическое преобразование данных, и память, в которой хранятся данные пользователя (пароли, сертификаты, ключи шифрования и т. д. ). Нет необходимости запоминать множество паролей — все они надежно, в зашифрованном виде содержатся в памяти токена.
Рутокен — продукт, сделанный в соответствии с отечественными и международными стандартами, имеет сертификаты ФСБ и ФСТЭК, подтверждающие нашу компетентность и соответствие принятым в России государственным нормам в области защиты конфиденциальной информации. Сертифицированный Рутокен может также работать со сведениями под грифом «секретно». Немногие наши зарубежные коллеги способны подкрепить свои обещания сертификатами такого уровня.
Играет роль также и цена продукта. Мы сами производим USB-токены и для крупных заказчиков действует механизм прямых продаж. Мы можем себе позволить держать достаточно невысокие цены на токены, что, согласитесь, в массовых проектах имеет не последнее значение.
Мы являемся и разработчиками, и производителями, поэтому наша служба технической поддержки оперативно передает ИТ-специалистам пожелания клиентов по доработке продукта, и те вносят необходимые коррективы. Таким образом, Рутокен стремительно развивается и совершенствуется.
Bankir.ru: Как происходит аутентификация пользователя в системе клиент-банк при помощи Рутокен?
Дмитрий Горелов: Перед первым подключением устанавливается только драйвер Рутокен, после чего можно смело погружаться в мир интернет банкинга. Все что должен сделать пользователь — это подключить токен к USB-порту и набрать PIN-код, после чего каждая транзакция, отправленная через клиент-банк, будет подписана личной ЭЦП клиента и будет признана легитимной. Таким образом, осуществляется двухфакторная аутентификация, когда доступ к информации можно получить, только обладая уникальным предметом (токеном) и зная некоторую уникальную комбинацию символов (PIN-код). Срок действия цифрового сертификата — от года до 3-х лет.
Bankir.ru: В каких аспектах интернет-банкинга преобладает защита USB-токенами — для физических или юридических лиц?
Дмитрий Горелов: На сегодняшний день существует тенденция, что клиент-банку для юридических лиц уделяется больше внимания в плане обеспечения высокой «секьюрности». Что в вполне логично, так как объемы транзакций и суммы, переводимые со счета на счет, у корпоративных клиентов значительно выше, нежели чем у среднестатистического физического лица. Кроме того, у корпоративных клиентов больше вероятность хищения прав доступа к клиент-банку. Материальный ущерб может быть колоссальный! Юридическим лицам в системе клиент-банк не то что рекомендуется, а необходимо использовать электронную цифровую подпись.
Уровень доверия простого пользователя к интернет-платежам растет, и все чаще клиент выбирает не просто близкий к дому или работе банк, а современный, предоставляющий удобный «виртуальный кабинет», в котором можно не выходя из дома оплатить коммунальные услуги с минимальной комиссией, погасить кредиты, проконтролировать рост депозитных счетов, перевести деньги близким, детализировать платежи. Однако для физического лица актуален несколько иной уровень соотношения безопасности и стоимости услуги. Увы, цена имеет первоочередное значение. Возможно, связано это с тем, что простые пользователи традиционно склонны недооценивать уровень угроз и ошибочно рассчитывать на то, что их-то уж точно взламывать не станут.
Для обеспечения требуемого уровня надежности операций, совершаемых пользователем со своего домашнего компьютера через систему банк-клиент, банкам приходится балансировать между стоимостью и безопасностью. Именно поэтому Рутокен и выступает в роли «золотой середины», доступной по цене и предоставляющей требуемую защиту. Обеспечение USB-токеном частного клиента — это не только вопрос безопасности, но и некий имиджевый ход, значительное конкурентное преимущество: банк заботится о деньгах клиента, деньги находятся под надежной защитой, а ключ к ним зашифрован и доступен только владельцу.
Bankir.ru: Не так давно завершился первый этап проекта по поставке большой партии Рутокен для пользователей системы «Банк-Клиент» ОАО «Нордеа Банка». В каких еще банках используется ваш продукт?
Дмитрий Горелов: Рутокен является контейнером для ключей ЭЦП во многих банках России: Банк «Союз», АМТ Банк, «Промышленно-торговый банк», «Ханты-Мансийский банк», «Азиатско-Тихоокеанский Банк» и другие, а в банке «Открытие» недавно стартовал крупный проект с использованием нашей новой разработки — Рутокен ЭЦП.
Если банк хочет, чтобы Рутокен был изготовлен в фирменных цветах и с логотипом, мы готовы пойти навстречу такому пожеланию. Индивидуальное исполнение USB-токенов позволяет сделать ключевой носитель легко узнаваемым в рамках конкретного проекта и поднимает имидж банка.
Bankir.ru: Насколько Рутокен легко вписывается в архитектуру системы клиент-банк? Требуются ли какие-то дополнительные усилия для интеграции USB-токена и системы?
Дмитрий Горелов: Мы сотрудничаем с отечественными разработчиками систем клиент-банкинга, BSS, БИФИТ, РФК, Инверсией и другими. Зачастую банк покупает систему уже с токенами, а потом заказывает дополнительные партии по мере надобности.
Что касается работы с криптопровайдерами, то большинство отечественных сертифицированных средств криптографической защиты информации (СКЗИ) взаимодействуют с Рутокен. В связи с чем, добавить в существующую систему ИБ электронный ключ как средство хранения ЭЦП для конечных пользователей не составит труда. Некоторые из производителей СКЗИ, например, Сигнал-КОМ, ЛИССИ, Инфотекс, используют Рутокен ЭЦП для генерации ключей и вычисления ЭЦП.
Совместно с компанией КриптоПро мы выпустили новое решение для аутентификации и хранения ЭЦП — КриптоПро Рутокен CSP, которое объединяет возможности самого распространенного российского СКЗИ КриптоПро CSP и USB-токена с неизвлекаемыми ключами Рутокен ЭЦП.
Совсем недавно наше сотрудничество с компанией «Банк Софт Системс» (BSS) вышло на более высокий уровень — новая версия системы «ДБО BS-Client» будет поддерживать всю линейку идентификаторов Рутокен и программно-аппаратное СКЗИ «КриптоПро Рутокен CSP».
По сути, работа сотрудников банка при внедрении наших токенов минимальна. В ряде случаев, если используется достаточно старая версия программного обеспечения, необходимо обновление системы клиент-банк на новую версию, в которой включена поддержка Рутокен.