Проблемы электронной подписи в системах ДБО
В рубрику "Оборудование и технологии" | К списку рубрик | К списку авторов | К списку публикаций
Проблемы электронной подписи в системах ДБО
Опроблемах безопасности в системах ДБО, а также о том, как уменьшить количество хищений в таких системах, редакции рассказал Артем Сычев, заместитель директора департамента безопасности, начальник управления информационной безопасности ОАО “РоссельхозБанк", к.т.н., доцент
Артем Сычев
заместитель директора департамента безопасности,
начальник управления информационной безопасности
ОАО "РоссельхозБанк", к.т.н., доцент
заместитель директора департамента безопасности,
начальник управления информационной безопасности
ОАО "РоссельхозБанк", к.т.н., доцент
– Артем Михайлович, расскажите, пожалуйста, о главных проблемах безопасности в системах ДБО.
– Основная проблема систем ДБО связана с низкой ИБ-грамотностью пользователей. 85% хищений денежных средств со счетов клиентов связано с тем, что клиент, как правило, не соблюдает элементарных требований по безопасности. Какой бы стойкий криптоалгоритм ни использовался, если закрытый ключ лежит в свободном доступе на той же машине, с которой пользователь выходит в Интернет, велика вероятность того, что ключ будет украден. И как его в дальнейшем будут использовать – предугадать невозможно.
Также отмечу, что слишком большое значение часто придают чисто технической составляющей. Например, в отношении неизвлекаемых ключей на мобильных носителях говорят, что это очень надежный способ их хранения и использования. Это верно, только если рассматривать процесс хранения, а не всю цепочку бизнес-процесса. Приведу пример. Человек работает за компьютером, вставил в порт токен с неизвлекаемыми ключами и забыл про него. Если же машина захвачена злоумышленниками, им даже не приходится воровать ключ, они могут удаленно проводить операции в системе ДБО, пользователь буквально сам передает злоумышленникам все ключи.
Основная проблема – непонимание пользователем важности вопросов ИБ как таковых. В США, кстати, просветительская работа на эту тему поддерживается и даже ведется самим государством. У нас, к сожалению, подобные вещи не практикуются.
Основная проблема – непонимание пользователем важности вопросов ИБ как таковых. В США, кстати, просветительская работа на эту тему поддерживается и даже ведется самим государством. У нас, к сожалению, подобные вещи не практикуются. Банки в обязательном порядке информируют клиентов о важности вопросов информационной безопасности. Но этого недостаточно.
Сейчас банковское сообщество серьезно озабочено требованиями 161-ФЗ. Этот закон определяет "превентивную" ответственность банка в случае хищения денег. Другими словами, сначала банк должен возместить клиенту украденные у него деньги, а потом уже разбиратся, кто прав, а кто виноват. То есть нарушается стройный принцип разделения рисков. Когда мы говорим об использовании криптографии, важно понимать, где заканчивается зона ответственности одного участника электронного обмена и начинается зона ответственности другого. Вернемся к приведенным примерам: если клиент не соблюдает элементарных требований по безопасности, ключи лежат неизвестно где, кто пользуется токеном, также непонятно, то банк как принимающая сторона не может быть уверен в том, что полученный документ подписан именно тем человеком, которому доверена подпись, кто уполномочен совершать соответствующие действия. С точки зрения банка подпись будет легитимна, следовательно банк обязан выполнить распоряжение клиента, подписанное легитимной подписью. И вот тут возникает проблема. Согласно требованиям 161-ФЗ, в случае возникновения ситуации, когда клиент уверяет, что не давал распоряжений по своему счету, банк будет обязан возместить деньги, а уж потом доказывать, кто прав, а кто виноват. Эта тонкость законодателями не учитывается.
– Принято считать, что серьезной проблемой безопасности являются инсайдеры. Справедливо ли это в отношении систем ДБО?
– Как я уже говорил, примерно 85% хищений связано с беспечностью клиента. Оставшиеся 15% можно отнести к внутреннему фроду. Но подобные случаи необязательно связаны с хищением ключей и уж точно не связаны со взломом криптографии. Из своей практики я не припомню ни одного случая взлома криптографических алгоритмов. Конечно, периодически появляются публикации о взломе криптографии на каком-нибудь суперкомпьютере. Но надо понимать, что цель в данном случае не оправдывает затраченные на ее достижение средства. А когда способ достижения цели становится финансово невыгодным, его не используют. Точка зрения злоумышленника примерно такая: “Так зачем затрачивать чрезмерные усилия и что-то ломать, когда можно взять то, что плохо лежит?”.
– Что нас ждет 1 июля 2012 г., когда вступит в силу 63-ФЗ "Об электронной подписи"?
– Ничего принципиально нового или слишком сложного я здесь не вижу. Появилось несколько видов подписей. Необходимо лишь разобраться, где какую подпись применять. Что касается функционирования удостоверяющих центров, сейчас мы ждем документов по процедуре аккредитации.
Основная проблема систем ДБО связана с низкой ИБ-грамотностью пользователей. 85% хищений денежных средств со счетов клиентов связано с тем, что клиент, как правило, не соблюдает элементарных требований по безопасности.
Возможно усложнение правоприменительной практики. Это связано как раз с наличием нескольких видов подписей. При возникновении разбирательств в судебном порядке возможны коллизии в определении, в какой период времени использована цифровая подпись и почему именно она, а не другая. Выход один – должна развиваться экспертиза подобных вопросов. Суды и правоохранительные органы должны формировать отдельную техническую компетенцию, а не ссылаться на незнание предметной области. В связи с этим я считаю, что возможно ожидать развития рынка компьютерной криминалистики. Спрос на подобные услуги есть, и благодаря принятию изменения в законодательстве он будет только расти.
Принципиальных же сложностей, повторюсь, я в этом законе и выполнении его требований не вижу.
– Можно ли сравнить уровень развития и уровень защиты ДБО в России и в других европейских странах, в США?
– В данном вопросе я не буду касаться технических аспектов, таких как используемые криптографические алгоритмы и т.п., а расскажу об организационной составляющей. На Западе значительно больше нас озабочены вопросами кибербезопасности. В Австралии, США и других странах в рамках полицейских подразделений существуют отдельные группы кибербезопасности. Различается и законодательство. Так, например, мы "упираемся" в проблему места совершения преступления, которое пленумом Верховного суда определено как место, где ворованные деньги фактически получены на руки. Согласитесь, очень спорно. Такое определение дает основание правоохранительным органам отказывать в возбуждении дела под предлогом чужой подследственности.
В Европе и США прекрасно понимают, что преступления такого рода часто являются трансграничными, поэтому договорились о взаимной помощи при расследовании на территории других стран. Это положение закреплено соответствующей конвенцией. Мы к такому союзу не примыкаем, очевидно, по соображениям государственной безопасности. Но какие-то компромиссные варианты можно было бы найти.
Что касается расследования киберпреступлений, надо формировать единые подходы, единое нормативное регулирование, прорабатывать единые требования. Это даже не столько вопрос банка или финансовой сферы, сколько государства в целом.
– Какие шаги, вы считаете, необходимо предпринять, чтобы уменьшить количество хищений в системах ДБО?
– Назову три аспекта, работать над которыми необходимо совместно. Во-первых, это технические вопросы ИБ. Во-вторых, широкое информирование и пропаганда вопросов безопасности среди широких масс пользователей. Наконец, в-третьих, планомерная работа со стороны правоохранительных органов. Преступники должны понимать, что их действительно могут поймать, и за свои преступления им придется ответить по закону. Реальная угроза серьезного наказания будет весомым сдерживающим фактором.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #2, 2012
