iBank 2 Key» на страже безопасности ДБО

реклама
X международный форум iFin-2010
Хищения по системам ДБО.
Прямые угрозы и скрытые риски.
iBank 2 Key на страже безопасности
ДБО: практика и перспективы
Москва
2010
Угрозы хищений в системах ДБО
2007-2008 гг.
Регистрация первых случаев «технологичных»
хищений секретных ключей ЭЦП клиентов.
Первые успешные попытки хищения средств
Суть причины угрозы – хранение секретных ключей
ЭЦП в файлах
Суть технологии хищения – использование
специализированного вредоносного ПО
злоумышленниками для хищения секретных ключей
Эволюция угроз, связанных с хищениями
2008-2009 гг.
- Усложнение технологий вывода средств: вместо
переводов на карты и в цифровую наличность –
переводы на счета подставных юридических лиц
- Расширение спектра технологий хищений новые трояны, фишинговые атаки
- Применение DDoS-атак для маскировки хищений
Эволюция угроз, связанных с хищениями
DDoS-атаки. Анатомия угрозы
1.
Злоумышленник похищает секретные ключи
клиента, используя троянскую программу
2.
С использованием похищенных ключей
осуществляется перевод со счета клиента
3.
После исполнения банком распоряжения на
списание средств со счета клиента организуется
DDoS-атака. Цель – помешать клиенту войти в
ДБО и обнаружить хищение средств
Эволюция угроз, связанных с хищениями
DDoS-атаки. Анатомия угрозы
Результат DDoS-атаки:
•
Полная недоступность интернет-каналов банка
•
Невозможность доступа всех клиентов к ДБО
•
Невозможность взаимодействия с филиалами
•
Недоступность иных каналов (телефон, факс)
при осуществлении атаки на них
Итог DDoS-атаки – серьезное нарушение
операционной деятельности банка
Эволюция угроз, связанных с хищениями
2009 г.
- Рост числа DDoS-атак на банки (десятки случаев)
- Совершенствование троянов с целью обхода
защитных механизмов (контроль IP- и MAC-адресов)
Противодействие хищениям
С чего все начиналось
1.
2.
3.
4.
Контроль IP- и MAC-адресов
Контроль реквизитов по «черным спискам»
SMS-информирование клиентов
... и т.д.
Почему не решило проблему
1.
2.
3.
4.
Вероятностный характер механизмов защиты
Возможность обхода злоумышленником
Большие издержки банка
Борьба не с причиной, а со следствием
Противодействие хищениям
Суть технологии - принципиальное исключение
возможности хищения ключей ЭЦП
1.
2.
3.
4.
Формирование ЭЦП в доверенной среде вне ПК
Генерация ключа ЭЦП внутри устройства
Отсутствие технической возможности передачи
секретного ключа ЭЦП в ПК
Взаимодействие с компьютером через USB-интерфейс
Персональный аппаратный криптопровайдер – ПАК
Противодействие угрозам хищений
Принцип работы ПАК
ЭЦП
ГОСТ
Р34.10.2001
Секретный
ключ ЭЦП
ПАК «iBank 2 Key»
Компания «БИФИТ» первой в России встроила
поддержку ПАК в систему электронного банкинга
«iBank 2» (февраль 2008 г.)
В настоящее время банки-партнеры компании
используют более 170 тысяч ПАК «iBank 2 Key»
23% банков осуществили полный перевод
всех клиентов на «iBank 2 Key»
ПАК «iBank 2 Key»
USB-токен и смарт карта «iBank 2 Key» на базе карточного
чипа с КОС и сертифицированным СКЗИ «Криптомодуль-С»
Переход на использование ПАК
Основной метод – плановый перевод всех клиентов
на обязательное использование ПАК
Достоинства:
•
проработанная методология
•
отсутствие необходимости продвижения ПАК
•
принципиальное решение проблемы хищений
Опыт показывает – в банках, осуществивших 100%
переход на ПАК, с тех пор не было ни одного
инцидента, связанного с хищениями
Переход на использование ПАК
Почему частичный переход на ПАК не решает
проблему?
1.
Сохраняется риск хищений
2.
Растущий поток попыток хищений направлен
на сужающуюся клиентскую аудиторию
3.
Сохраняется риск DDoS-атак для маскировки
хищений
ПАК: перспективы развития
Направления дальнейшего развития ПАК
1.
Насыщение рынка сертифицированными
доступными решениями
2.
Создание высокопроизводительных решений
3.
Создание «ПАК нового поколения»
(с возможностью контроля содержимого
подписываемого документа)
ПАК: перспективы развития
1. Насыщение рынка сертифицированными
доступными решениями
Путь – создание и сертификация ПАК российскими
разработчиками
Способ содействия – законодательное регулирование
использования ПАК (пример – Евросоюз, Германия)
ПАК: перспективы развития
2. Создание высокопроизводительных
решений
Проблема современных ПАК – низкая скорость
выполнения криптографических преобразований
(200-500 мс – формирование ЭЦП)
Направление развития – создание устройств на базе
микропроцессоров, обеспечивающих высокую
скорость выполнения операций (формирование ЭЦП,
шифрование)
ПАК: перспективы развития
3. Создание «ПАК нового поколения»
Современные ПАК решают задачу «как подписывать»,
но не контролируют «что подписывать»
«ПАК нового поколения» - устройство с экраном,
позволяющее контролировать содержимое
подписываемых электронных документов
ПАК: перспективы развития
3. Создание «ПАК нового поколения»
Пример прототипа устройства с аналогичной
идеологией – IBM ZTIC
X международный форум iFin-2010
Хищения по системам ДБО.
Прямые угрозы и скрытые риски.
iBank 2 Key на страже безопасности
ДБО: практика и перспективы
Шилов Станислав
info@bifit.com
Скачать