О том, какие средства защиты информации сегодня используются и какую опасность может представлять утечка информации из банка, рассказал доктор технических наук, профессор, академик РАЕН, советник департамента информационных систем Банка России Андрей Щербаков.
— Андрей Юрьевич, несколько лет назад произошел скандальный случай — база Центрального банка поступила на открытый рынок. Как злоумышленникам удалось вынести информацию из Банка России?
— Инцидент, о котором вы говорите, произошел в 2005 году. За пределами банка оказалась информация о некоторых платежах московского региона. Я бы не преувеличивал скандальность этого эпизода — украденная информация не является закрытой и ее утечка не ведет к каким-то негативным последствиям. Последствия от утечки данной информации можно сравнить с последствиями от кражи квитков по коммунальным платежам в отделении Сберегательного банка — сведения о платежах есть, только использовать их практически невозможно. Показательно, что ни одна организация, упомянутая в этом списке, не стала жаловаться, а при обсуждении инцидента в прессе ни одного комментария юриста или технического специалиста не было.
Хищение информации было осуществлено при помощи съемного носителя. Уволившись, администратор захватил информацию с собой. Однако это действие не является наказуемым правонарушением, поскольку информация не содержит закрытых данных.
Замечу, что в прошлом году в Центральном банке не произошло ни одного инцидента в области информационной безопасности. Этот факт свидетельствует о том, что система защиты информации в Центральном Банке РФ грамотно выстроена и эффективно работает.
— Каким образом защищается база Центрального банка сегодня?
— В каналах связи информация о платежах и другая информация передается только в зашифрованном виде, все платежные документы защищены кодом аутентификации. Информация во внутреннем контуре полностью изолирована от внешних сетей, и задействована разветвленная система разграничения доступа. Кроме того, полностью платежная информация не собрана в каком-то едином месте. Добавлю еще, что платежная информация отправляется в высокозащищенный архив сразу после окончания операционного дня, а не лежит в промежуточных хранилищах.
Доступ посторонних лиц к данным практически исключен. Однако состояние защищенности необходимо постоянно поддерживать, для контроля высокой защищенности используется аудит. Часто для проведения проверок используются внешние доверенные аудиторы. Практика показала, что это надежнее.
— Как часто на рынке появляются базы из коммерческих банков и как злоумышленники могут их использовать?
— При помощи уполномоченных организаций отслеживается «черный» информационный рынок, и мы следим за тем, какие базы на нем появляются, интересуемся, что появилось нового. Базы из банков появляются на этом рынке очень редко.
Спрос на такую информацию небольшой, потому что обычно в банковских базах может содержаться только фрагментарная информация. Злоумышленнику же, как правило, интересно финансовое состояние конкретного человека или организации. Большая часть клиентов, обслуживающихся в коммерческих банках — это люди со средним уровнем доходов. Информация о клиентах со сверхдоходами, как правило, закрыта. Они обслуживаются отдельно. Иногда вообще вне системы электронных платежей. А узнать, что кто-то на пять тысяч рублей открыл счет, а потом тут же снял три тысячи, вряд ли кому-то будет интересно.
Большую ценность для злоумышленников представляет персональная информация — базы по внешнеэкономической деятельности, налоговым платежам, по телефонным номерам и номерам автомобилей.
Надо понимать, что и в открытой информации, размещенной в Интернете можно найти массу интересного. Этому посвящена написанная с моим участием книга «Системный анализ и аналитические исследования». Часто не нужно воровать базу, чтобы собрать исчерпывающий и интересный материал.
— Какова сегодня стоимость баз на «черном» рынке?
— Как я уже говорил, мы постоянно проводим мониторинг на «черном» рынке. По нашим данным, самые дорогие базы — это базы по регистрационным номерам машин и по номерам мобильных телефонов. Они стоят около пяти тысяч рублей. База ЦБ за 2005 год упала в цене и стоит тысячу рублей. Чтобы найти что-то ценное в базе, нужно перелопатить гору информации. Например, месячная база по внешнеэкономической деятельности «весит» около 2 гигабайт. Отработать ее на домашнем компьютере, связав воедино операции за несколько месяцев, нереально.
— Андрей Юрьевич, вы сказали, что для VIP-клиентов существуют отдельные системы. Как они работают и защищаются?
— Да, например, у Центрального банка есть система быстрых платежей БЭСП, которая находится в отдельном контуре. Если крупные игроки делают крупные платежи, средства переводятся в течение одной минуты. Этот платеж, если можно так выразиться, «не варится в общем котле». Таким образом, банк обеспечивает оперативность перечисления средств, надежность и выказывает уважение к клиенту.
В коммерческих банках есть аналогичные vip-подсистемы. Информация по крупным клиентам и их платежам, как правило, хранится в отдельном сервере.
— Какая информация, хранящаяся в коммерческом банке, подвержена наибольшему риску?
— Задача номер один для любого банка — это обеспечение безопасности проведения электронных платежей. Задача номер два, не менее важная — обеспечение конфиденциальности корпоративной и персональной информации.
Но сделаю небольшую ремарку. С советских времен сложилось разделение на открытую информацию и на информацию, составляющую государственную тайну. Коммерческие банки, как правило, не работают с информацией, содержащей гостайну. Сведения, с которыми работают кредитные организации, могут подпадать под закон о защите персональных данных и Федеральный закон «О банках и банковской деятельности» от 02.12.1990 № 395-1, статья 26.
— Каким образом осуществляется защита информации при проведении платежей?
— При передаче информации основные средства защиты — шифрование и электронная подпись. Вся информация, которая проходит через расчетную сеть Центрального банка, зашифрована и защищена электронной цифровой подписью или кодом аутентификации. В коммерческих банках вопрос защиты информации при проведении платежей физических лиц решить сложнее.
Представляется, что информация по операциям с пластиковыми картами сегодня является наименее защищенной. По данным иностранных экспертов, 80% нарушений в финансовой сфере за рубежом происходит именно в электронных платежах с пластиковыми картами.
Кроме того, сегодня активно развиваются дистанционные системы обслуживания, например мобильный банкинг. Использование мобильного банкинга по определению не может быть безопасным. Так, sms-сообщение, содержащее информацию о состоянии счета, доступно не только для сотрудников банка, но и для операторов сети и для всех лиц, которые имеют доступ к телефону владельца счета.
Теоретически для повышения безопасности мобильного банкинга можно делать шифрование sms-сообщений, что неудобно, как для банка, так и для пользователя. Есть другой вариант — техническое сотрудничество коммерческого банка и мобильного оператора. Со стороны операторов связи и банкиров уже предприняты шаги навстречу друг другу.
Интернет-банкинг также является системой повышенного риска, потому что в этой сфере нет общепринятой стратегии безопасности. При подключении домашнего компьютера к Интернету, например, для совершения покупок через сеть, автоматически включаются механизмы безопасности — шифрование канала связи. Однако в информационные системы, как правило, встраиваются зарубежные криптографические алгоритмы, которые не проходили сертификацию у нас, а потому никто достоверно не может гарантировать надежность шифрования информации. Банки со своей стороны пытаются принять меры, но для того, чтобы они были эффективными, необходимо знать технологию проведения платежей каждой конкретной системы.
— А в Стандарте по безопасности ЦБ не прописаны нормы безопасности по таким операциям?
— В Стандарте ЦБ содержатся общие рекомендации по использованию Интернета. Процедуры интернет-банкинга пока не детализированы в Стандарте. В этой сфере используется множество различных технологий, и систематизировать их, выработать общие рекомендации — достаточно сложная задача. Возможно, к Стандарту будет принят дополнительный документ или рекомендации по интернет-банкингу в ближайшее время.
— Каким образом информация может выйти за пределы банка?
— 90% информации из организаций выносится при помощи USB-носителей.
— Но сегодня на рынке представлено множество средств защиты от подобных посягательств...
— Такие средства действительно есть, но они пока мало используются. Например, во многих организациях для входа в Интернет выделен специальный компьютер. С точки зрения обеспечения безопасности это очень верное решение. Однако для того, чтобы сотруднику перенести полученную информацию на свое рабочее место, требуется специальный носитель. Конечно, можно отправить необходимую информацию на внутреннюю почту, однако это достаточно трудоемкий и длительный процесс. От флэш-накопителей не отказываются, потому что они удобны в использовании.
Существует несколько решений этой проблемы. Крайний метод — блокировка всех USB-портов. Однако существует множество устройств, подключение которых осуществляется только через USB-порт. Кроме того, для ведения архивов информацию также необходимо записывать на съемные носители. Соответственно, полностью заблокировать эту опцию нельзя.
Второй метод — использование в организации только служебных флэш-носителей. Такие устройства регистрируются во внутренней системе и раздаются сотрудникам для использования в офисе, а по окончании рабочего дня сдаются.
Еще один метод — обеспечение сотрудников флэшками, которые запрограммированы под внутреннюю систему организации и не считываются чужими устройствами.
Но при решении данной задачи важны не только технические аспекты, но и мотивационные. Замотивированный конкурентами сотрудник коммерческого банка может постепенно вынести на внешних носителях огромный объем критичной информации. Например, в истории известен случай под названием «архив Митрохина». Первые лица в коммерческих банках, доверенные игроки на бирже обладают практически неограниченными полномочиями. В данном случае обеспечить безопасность можно либо при помощи аудита, либо правильной мотивации.
— Основное средство для защиты информации сегодня — это система криптографии?
— Да, при передаче информации основные средства защиты — шифрование и электронная подпись. При хранении информация шифруется достаточно редко. Шифровать объемную, динамически используемую базу данных затруднительно или невозможно, потому что тогда с ней будет достаточно проблематично работать.
Банки по-разному пытаются защитить внутреннюю информацию. Иногда ставят перед открытым сервером сервер доступа, расшифровывающий удаленные запросы. В результате на сервер приходит уже расшифрованная информация. Или делается зашифрованная база, внутри которой обрабатываются запросы с динамическим шифрованием отдельных записей. В зависимости от того, какую аппаратную систему, какие программные средства использует банк, подбирается оптимальное решение.
Исторически сложилось, что созданием системы, обеспечивающей безопасность электронных платежей, изначально занимались бывшие криптографы спецслужб. На тот момент — приблизительно 1994 год — альтернативных вариантов, по сути, и не было. Служба информационной безопасности придерживалась принципа: нужно шифровать все, что возможно зашифровать. Сейчас практика показывает, что это не всегда верно, потому что шифрование, цифровая подпись, а особенно управление этими механизмами требует больших трудозатрат. Например, для внедрения цифровой подписи нужно выработать ключ к подписи и ключ проверки. Ключ проверки нужно оформить в виде сертификата в уполномоченных органах. После получения сертификата всем сотрудникам необходимо раздать его, необходимо следить за тем, чтобы ключ подписи хранился в тайне. Если ключ подписи утрачен, нужно оперативно менять сертификат.
Для передачи информации и осуществления расчетов между филиалами банка, где стороны доверяют друг другу, может использоваться симметричная схема, в которой не предусмотрено получение сертификата. Однако в некоторых случаях от несимметричной криптографии невозможно отказаться.
Начать дискуссию