Банки

Организация безопасного ДБО на основе СОДС «МАРШ!»

Банки являются источником повышенной опасности для клиентов. Но банки также являются агентом управления финансами, а финансовые потоки являются необходимым условием движения товарных потоков. Если у клиента со счета в банке исчезают деньги - обычно оказывается «виноватым» клиент, хотя зачастую его вина лишь в том, что он выбрал именно этот банк.
498 10

Банки являются источником повышенной опасности для клиентов. Но банки также являются агентом управления финансами, а финансовые потоки являются необходимым условием движения товарных потоков. Если у клиента со счета в банке исчезают деньги - обычно оказывается «виноватым» клиент, хотя зачастую его вина лишь в том, что он выбрал именно этот банк.

Проблема эта стала проблемой национальной безопасности. Сегодня практически нет банков, клиенты которых не пострадали бы от действий хакеров, атакующих системы ДБО. «Доходы» преступных хакерских групп составляют, по оценкам экспертов, 25-30 млн долларов в месяц для каждой группы. Это те деньги, которые теряют вкладчики, так как все риски банки перекладывают на них. По имеющимся данным, потери клиентов российских банков составляют более 2,5 млрд евро.

Источник проблемы - имитация защиты, подменяющая реальные меры безопасности. Полноценная защита слишком дорогая, усеченная - не дает ожидаемого эффекта, но применяется банками для привлечения клиентов. Нельзя носитель ключа ЭЦП выдавать за надежную защиту. Ни одна система ДБО сегодня не обеспечивает создания доверенной среды функционирования СКЗИ, в результате применение средств защиты осуществляется с нарушением обязательных условий, что и приводит к потерям.

Усеченные решения банки применяют исходя из неверной логики - если создание доверенной среды дорого, то можно заменить ее паллиативами. Это не так. Если известные решения слишком дорогие - значит, нужно разрабатывать более дешевые, а не применять имитацию безопасности.

Надежно проблема может быть решена применением новой технологии доверенного сеанса связи (ДСС).

Доверенный сеанс связи - период работы компьютера, в рамках которого обеспечивается доверенная загрузка ОС, организуется защищенное соединение, а также поддерживаются достаточные условия работы с ЭЦП. Примером практической реализации концепции доверенного сеанса связи является средство обеспечения доверенного сеанса «МАРШ!» - СОДС «МАРШ!», изготавливаемое в виде специализированного USB-устройства.

Суть концепции состоит в том, что необходимый уровень защищенности компьютера обеспечивается не на все время эксплуатации компьютерной системы, а только на те периоды времени, когда высокая защищенность действительно необходима.

ЧТО ТАКОЕ «МАРШ!»

Конструкция

Конструктивно «МАРШ!» выполнен в виде USB-устройства и выглядит точно так же, как обычная «флешка». Тем не менее «МАРШ!» похож на флешку только внешне. На самом деле это активное микропроцессорное устройство с многоконтурной криптографической подсистемой, проверенной защищенной операционной системой Linux, браузером, специальной подсистемой управления к памяти и многим другим.

«МАРШ!» как аппаратный модуль доверенной загрузки

Основная задача СОДС «МАРШ!» - создание доверенной среды функционирования криптографии. Для этого в специальном разделе памяти устройства размещается все необходимое для этого программное обеспечение. Важнейшей особенностью является обеспечиваемая СОДС «МАРШ!» возможность подписи документов в формате XML.

«МАРШ!» подготавливается к эксплуатации как загрузочное устройство. При начале доверенного сеанса связи пользователь загружается с «МАРШ!», обеспечивая тем самым доверенную среду. Далее стартуют браузер и все сопутствующее программное обеспечение, необходимое для работы. В браузере в доверенном сеансе обеспечивается защищенный обмен информацией с соблюдением всех требований 63-ФЗ.

После загрузки ОС на компьютер клиента и старта браузера устанавливается доверенный сеанс связи с сервером (VPN-шлюзом) центральной ИС, то есть защищенное соединение на основе криптографических алгоритмов (закрытые ключи и сертификаты хранятся в защищенной памяти «МАРШ!»).

«МАРШ!» как память с аппаратным управлением доступом

С точки зрения управления доступом «МАРШ!» представляет собой память, разделенную на несколько разделов. Как правило, это не менее одного раздела Read Only (RO), не менее одного раздела ReadWriteHidden (RWH), используются также разделы AddOnly (AO) и разделы с общим доступом RW. Разделение на разделы осуществляется при производстве и пользователем изменено быть не может.

Обычно в разделе RO размещается операционная система и другое ПО, которое является неизменяемым достаточно длительное время, обновления и дополнения ФПО размещаются в одном из разделов RWH, в другом размещается ключевая информация VPN, а раздел AO используется для ведения аппаратных журналов событий безопасности.

Аппаратные ресурсы СОДС «МАРШ!»

СОДС «МАРШ!» с точки зрения аппаратных ресурсов представляет собой управляющий микроконтроллер, память загрузки ПО микроконтроллера, двухплечевой датчик случайных чисел с физическими источниками шума и память с управляемым доступом. На предложенной конструкции аппаратно выполняется управление памятью, генерация и контроль случайных последовательностей, резидентная криптография, которая используется для управления обновлениями ПО. Аппаратные ресурсы «МАРШ!» не используются для потоковой криптографии, а только для хранения кода и ключевой информации, что позволяет применять изделие с любыми сертифицированными СКЗИ без изменения систем ключевого менеджмента.

Резидентные программные средства СОДС «МАРШ!»

В состав резидентного ПО входят операционная система, браузер, модуль интеграции, библиотека электронной подписи, VPN, криптоядро, вспомогательные библиотеки для надежной работы с памятью, транспортной системой мас-сторадж, файловой системой.

Операционная система - Linux.

Браузер - Mozilla Firefox.

Модуль интеграции встраивается как плагин браузера и предназначается для инициирования выполнения операций с ЭП.

Библиотека ЭП - это средство, позволяющее применять ЭП не битовых строк, а документов в формате XML.

VPN может быть любым. Есть положительный опыт работы со всеми распространенными VPN.

Криптоядро также может быть любым. Есть положительный опыт работы со всеми распространенными криптоядрами.

Интеграция СОДС «МАРШ!» в функциональные подсистемы на базе WEB-сервисов

Для интеграции с функциональной подсистемой, построенной на основе WEB-сервисов, со стороны серверной части достаточно установить физический или виртуальный сервер доверенного сеанса связи - сервер ДСС. Его задачи - поддержка VPN со стороны канала (клиента) и поддержка WEB-сервиса со стороны центра. Имеющийся опыт интеграции показывает, что на этом этапе при правильно разработанной системе трудностей не возникает.

При интеграции с системой, построенной не на WEB-сервисной технологии, система может быть дополнена типовым агентом интеграции (АИ), выпускаемым серийно. В этом случае интеграция заключается в описании и настройках сервисов на АИ.

Стоимость технических средств ДСС в разы ниже, чем при традиционных подходах.
Такой подход позволит гарантированно исключить случаи утраты денежных средств банками и их клиентами из-за хакерских атак на системы ДБО.

Банк, первым реализовавший такой подход, получит огромные конкурентные преимущества.

Начать дискуссию

Верховный Суд защитил недвижимость предпринимателя от притязаний церкви

Коммерсант много лет добросовестного использовал для сельского хозяйства арендованный земельный участок, на который вдруг стала претендовать РПЦ.

1

Курсы повышения
квалификации

18
Официальное удостоверение с занесением в госреестр Рособрнадзора

🔥 Четыре новые онлайн-курса этой весны уже в подписке Клерк.Премиум!

Оформите годовую подписку Клерк.Премиум со скидкой 50% за 9 900 рублей и получите доступ к самым свежим материалам и курсам!

14

Российский экологический оператор: нужно отказаться от пластиковых бонусных карт и бумажных чеков

В РЭО создали концепцию по сокращению отходов. Экологи, Минприроды и ФНС поддерживают идею перейти на электронные чеки и не печатать бумажные.

15
Лучшие спикеры, новый каждый день

Какие проблемы может решить управленческий баланс в финансовом анализе

Собственник бизнеса, который хочет уйти из операционной деятельности компании, должен научиться читать управленческий баланс. Из него можно понять, что происходит с предприятием, развивается оно или угасает.

29

О том, как налоговая со своим уставом в чужой монастырь залезла. Судебная практика

Все более увеличивающееся желание налоговых органов пополнить бюджет (а иногда, просто показать принципиальность налогоплательщику) заставляет инспекторов открывать для себя новые грани неизведанного и пытаться разбираться в тех отраслях права и знаний, которые для них всегда были чуждыми.

Иллюстрация: Вера Ревина / Клерк
53

Для замены лет при оплате больничных будет специальная форма бланка

В общем случае при расчете больничных берут зарплату за 2 предыдущих года. Но если там был отпуск по беременности и родам или уходу за ребенком, эти годы можно заменить. Для такой замены сотрудница должна написать заявление.

34
Опытом делятся эксперты-практики, без воды

Кассовая дисциплина 2024: основные нарушения, последствия и риск–ориентированный подход ФНС

Как работает риск-ориентированный подход регулятора (об этом говорил Президент в своем Послании к Федеральному собранию) при контроле пользователей касс и ОФД ? Каковы правила и как устроена система кассовой дисциплины. Что ждет нарушителей, рассказываем в обзоре.

Кассовая дисциплина 2024: основные нарушения, последствия и риск–ориентированный подход ФНС
47

Оставленная в рабочем компьютере флешка с электронной подписью «стоила» коммерсанту 2+ млн рублей

Благодаря оперативно принятым мерам полицейскими Красноярского края свыше 2 млн рублей не попали в руки мошенников.

122

Если вы ошиблись в сумме уведомления по ЕНП, обнулять ее не надо

Ошибка в сумме налога в уведомлении по ЕНП исправляется подачей нового уведомления с правильной суммой.

44
Банки

Клиенты Райффайзенбанка не могут отправить деньги в приложении

Пользователи жалуются, что в приложении Райффайзенбанка не работают денежные переводы по номеру телефона и между счетами.

66

❓Что выбрать: переподготовку, повышение квалификации или онлайн-курсы? Разберемся, что подойдет именно вам

Мы сделали разбор по нашим основным обучающим продуктам. Объясним, чем курсы повышения квалификации или переподготовки отличаются от онлайн-курсов. Из поста вы поймете, какое обучение подходит именно вам. Забирайте в закладки, чтобы не потерять.

Иллюстрация: Вера Ревина/Клерк.ру
75

Обновления Telega.in, и как они вам помогут сделать рекламу еще эффективнее

Это вы удачно зашли — тут про обновления в Telega.in рассказывают.

Обновления Telega.in, и как они вам помогут сделать рекламу еще эффективнее
22
Миникурсы, текстовые и видеоинструкции для бухгалтеров

4 признака, которые говорят, что пора автоматизировать бизнес

Чаще всего собственники и руководители замечают, когда в бизнесе что-то идет не так. Но так как они погружены в решение оперативных задач, то не сразу могут увидеть, что многие вопросы можно решить с помощью автоматизации. В итоге менеджмент борется с симптомами, а проблема остается. Разбираемся, какие признаки говорят о том, что вам пора автоматизировать бизнес.

4 признака, которые говорят, что пора автоматизировать бизнес
25

В судах на 60% выросло число дел о применении искусственного интеллекта

Большинство споров связаны с использованием технологии искусственного интеллекта для взыскания долгов, с проблемами по грантам и договорам на разработку IT-продуктов на базе ИИ.

54

Статья 187 — укус гадюки. Опасно, может быть смертельно

Такой заголовок относительно вроде бы неналоговой статьи 187 Уголовного кодекса был на нашем старом канале. И, в целом, я собираюсь повторить то, что уже писал ранее. Потому, что за полтора года актуальности информация не потеряла, а даже добавились новые поводы.

23

Как сделать возврат или зачет суммы излишне уплаченного налога в 2024: новая форма заявления 

Суммы налогов, которые излишне уплачены в составе ЕНП, по сути переплата в бюджет, они образуют на ЕНС положительного сальдо. Такую переплату можно вернуть на расчетный счет или зачесть в счет будущей задолженности, которая будет сформирована. 

Как сделать возврат или зачет суммы излишне уплаченного налога в 2024: новая форма заявления 
74

Директора подразделения «Росатома» арестовали за взятку

Топ-менеджера структурного подразделения ГК «Росатом» заключили под стражу до 26 мая 2024 года. Его подозревают в получении взятки в особо крупном размере.

102

Фиктивная сотрудница, ничего не делая, за год «заработала» более 500 000 рублей

В Сочи направлено в суд уголовное дело о мошенничестве при трудоустройстве.

212

🧠Пятничный мозгонапрягатель. Снова в школу

Геометрическое задание на школьные знания внимательность. Бухгалтер, справишься?

🧠Пятничный мозгонапрягатель. Снова в школу
194

Интересные материалы

Какие выплаты положены работнику при увольнении переводом

Если сотрудник увольняется переводом к другому работодателю, то никаких выходных пособий и компенсаций в ТК за это не предусмотрено.

83